Documentación de productos
Aplicaciones de productividad móvil
Ver PDF

Citrix Secure Hub™

May 6, 2026
Contribución de: 
C C

Citrix Secure Hub es la plataforma de lanzamiento para la experiencia de Citrix Endpoint Management™ (anteriormente, XenMobile). Los usuarios registran sus dispositivos en Secure Hub para obtener acceso a la Tienda. Desde la Tienda, pueden agregar aplicaciones de productividad móvil desarrolladas por Citrix y aplicaciones de terceros.

Para conocer los requisitos del sistema de Secure Hub y otras aplicaciones de productividad móvil, consulta Requisitos del sistema.

Administración de Secure Hub

La mayoría de las tareas de administración relacionadas con Secure Hub se realizan durante la configuración inicial de Endpoint Management. Para poner Secure Hub a disposición de los usuarios, tanto para iOS como para Android, sube Secure Hub a la App Store de iOS y a Google Play Store.

Secure Hub actualiza la mayoría de las directivas MDX almacenadas en Endpoint Management para las aplicaciones instaladas cuando la sesión de Citrix Gateway de un usuario se renueva después de la autenticación mediante Citrix Gateway.

Importante:

Los cambios en cualquiera de estas directivas requieren que el usuario elimine y vuelva a instalar la aplicación para aplicar la directiva actualizada: Grupo de seguridad, Habilitar cifrado y Servidor Exchange de Secure Mail.

PIN de Citrix

  • Puedes configurar Secure Hub para usar el PIN de Citrix, una función de seguridad habilitada en la consola de Endpoint Management en Configuración > Propiedades de cliente. La configuración requiere que los usuarios de dispositivos móviles registrados inicien sesión en Secure Hub y activen cualquier aplicación MDX encapsulada mediante un número de identificación personal (PIN).

La función de PIN de Citrix simplifica la experiencia de autenticación del usuario al iniciar sesión en las aplicaciones encapsuladas seguras. Los usuarios no tienen que introducir repetidamente otra credencial como su nombre de usuario y contraseña de Active Directory.

  • Los usuarios que inician sesión en Secure Hub por primera vez deben introducir su nombre de usuario y contraseña de Active Directory. Durante el inicio de sesión, Secure Hub guarda las credenciales de Active Directory o un certificado de cliente en el dispositivo del usuario y luego solicita al usuario que introduzca un PIN. Cuando los usuarios inician sesión de nuevo, introducen el PIN para acceder de forma segura a sus aplicaciones de Citrix y a la Tienda. No vuelven a usar el PIN hasta que finalice el siguiente período de tiempo de espera por inactividad para la sesión de usuario activa. Las propiedades de cliente relacionadas te permiten cifrar secretos mediante el PIN, especificar el tipo de código de acceso para el PIN y especificar los requisitos de fortaleza y longitud del PIN. Para obtener más información, consulta Propiedades de cliente.

  • Cuando la autenticación por huella digital (Touch ID) está habilitada, los usuarios pueden iniciar sesión mediante una huella digital cuando se requiere autenticación sin conexión debido a la inactividad de la aplicación. Los usuarios aún tienen que introducir un PIN al iniciar sesión en Secure Hub por primera vez, al reiniciar el dispositivo y después de que expire el temporizador de inactividad. Para obtener información sobre cómo habilitar la autenticación por huella digital, consulta Autenticación por huella digital o Touch ID.

  • Fijación de certificados

  • Secure Hub para iOS y Android admite la fijación de certificados SSL. Esta función garantiza que se utilice el certificado firmado por tu empresa cuando los clientes de Citrix se comunican con Endpoint Management. La fijación de certificados evita las conexiones de los clientes a Endpoint Management cuando la instalación de un certificado raíz en el dispositivo compromete la sesión SSL. Cuando Secure Hub detecta cualquier cambio en la clave pública del servidor, Secure Hub deniega la conexión.

  • A partir de Android N, el sistema operativo ya no permite las autoridades de certificación (CA) añadidas por el usuario. Citrix recomienda usar una CA raíz pública en lugar de una autoridad de certificación añadida por el usuario.

Los usuarios que actualicen a Android N pueden experimentar problemas si utilizan CA privadas o autofirmadas. Las conexiones en dispositivos Android N se interrumpen en los siguientes escenarios:

  • CA privadas/autofirmadas y la opción CA de confianza requerida para Endpoint Management en el servicio AutoDiscovery está configurada en ACTIVADO. Para obtener más información, consulta Servicio AutoDiscovery de Endpoint Management.
  • CA privadas/autofirmadas y el servicio AutoDiscovery de Endpoint Management (ADS) no están accesibles. Debido a problemas de seguridad, cuando ADS no está accesible, la CA de confianza requerida se activa (ACTIVADO) incluso si se configuró inicialmente como DESACTIVADO.

Antes de registrar dispositivos o actualizar Secure Hub, considera habilitar la fijación de certificados. La opción está Desactivada de forma predeterminada. Cuando habilitas la fijación de certificados, los usuarios no pueden registrarse en Endpoint Management con un certificado autofirmado. Si los usuarios intentan registrarse con un certificado autofirmado, se les advierte de que el certificado no es de confianza. El registro falla si los usuarios no aceptan el certificado.

Para usar la fijación de certificados, solicita a Citrix que suba los certificados al servidor ADS de Citrix. Abre un caso de soporte técnico utilizando el portal de soporte de Citrix. Luego, proporciona la siguiente información:

  • El dominio que contiene las cuentas con las que los usuarios se registran.
  • El nombre de dominio completo (FQDN) de Endpoint Management.
  • El nombre de instancia de Endpoint Management. De forma predeterminada, el nombre de instancia es zdm y distingue entre mayúsculas y minúsculas.
  • Tipo de ID de usuario, que puede ser UPN o correo electrónico. De forma predeterminada, el tipo es UPN.
  • El puerto utilizado para el registro de iOS si cambiaste el número de puerto del puerto predeterminado 8443.
  • El puerto a través del cual Endpoint Management acepta conexiones si cambiaste el número de puerto del puerto predeterminado 443.
  • La URL completa de tu Citrix Gateway.
  • Opcionalmente, una dirección de correo electrónico para tu administrador de Endpoint Management.
  • Los certificados con formato PEM que quieres agregar al dominio.

Autenticación con certificado + contraseña de un solo uso

Puedes configurar Citrix ADC para que Secure Hub se autentique mediante un certificado más un token de seguridad que sirve como contraseña de un solo uso. Esta configuración proporciona una opción de seguridad sólida que no deja una huella de Active Directory en los dispositivos.

Para habilitar Secure Hub para que use este tipo de autenticación, agrega una acción de reescritura y una directiva de reescritura en Citrix ADC que inserte un encabezado de respuesta personalizado con el formato X-Citrix-AM-GatewayAuthType: CertAndRSA para indicar el tipo de inicio de sesión de Citrix Gateway.

Normalmente, Secure Hub utiliza el tipo de inicio de sesión de Citrix Gateway configurado en la consola de Endpoint Management. Sin embargo, esta información no está disponible para Secure Hub hasta que Secure Hub completa el inicio de sesión por primera vez. El encabezado personalizado es necesario para permitir que Secure Hub realice este método de inicio de sesión.

Nota:

Si se configuran diferentes tipos de inicio de sesión en Endpoint Management y Citrix ADC, la configuración de Citrix ADC anula la configuración. Para obtener más información, consulta Citrix Gateway y Endpoint Management.

  1. En Citrix ADC, ve a Configuration > AppExpert > Rewrite > Actions.

  2. Haz clic en Agregar.

    Aparece la pantalla Create Rewrite Action.

  3. Rellena cada campo como se muestra en la siguiente figura y luego haz clic en Crear.

    Imagen de la pantalla Create Rewrite Action

  • El siguiente resultado aparece en la pantalla principal Rewrite Actions.

    Imagen del resultado de la pantalla Rewrite Actions

  1. Vincula la acción de reescritura al servidor virtual como una directiva de reescritura. Ve a Configuration > NetScaler® Gateway > Virtual Servers y luego selecciona tu servidor virtual.

    Imagen de la pantalla Virtual Servers

  2. Haz clic en Editar.

  3. En la pantalla de Configuración de servidores virtuales, desplázate hasta Directivas.

    1. Haz clic en + para agregar una directiva.

    Imagen de la opción para agregar directiva

    1. En el campo Elegir directiva, elige Reescritura.

  1. En el campo Elegir tipo, elige Respuesta.

    Imagen de la opción Respuesta

  2. Haz clic en Continuar.

    La sección Enlace de directivas se expande.

    Imagen de la sección Enlace de directivas

  3. Haz clic en Seleccionar directiva.

    Aparece una pantalla con las directivas disponibles.

  • Imagen de las directivas disponibles

  1. Haz clic en la fila de la directiva que creaste y, a continuación, haz clic en Seleccionar. La pantalla Enlace de directivas aparece de nuevo, con la directiva seleccionada rellenada.

    Imagen de la directiva seleccionada

  2. Haz clic en Enlazar.

    Si el enlace se realiza correctamente, aparece la pantalla de configuración principal con la directiva de reescritura completada mostrada.

    Imagen de un enlace correcto

  3. Para ver los detalles de la directiva, haz clic en Directiva de reescritura.

    Imagen de los detalles de la directiva de reescritura

Requisito de puerto para la conectividad de ADS para dispositivos Android

La configuración del puerto garantiza que los dispositivos Android que se conectan desde Secure Hub puedan acceder al Servicio de detección automática (ADS) de Endpoint Management desde la red corporativa. La capacidad de acceder a ADS es importante al descargar actualizaciones de seguridad disponibles a través de ADS. Es posible que las conexiones de ADS no sean compatibles con tu servidor proxy. En este escenario, permite que la conexión de ADS omita el servidor proxy.

Importante:

Secure Hub para Android e iOS requiere que permitas a los dispositivos Android acceder a ADS. Para obtener más información, consulta Requisitos de puertos en la documentación de Endpoint Management. Esta comunicación se realiza a través del puerto de salida 443. Es muy probable que tu entorno existente esté diseñado para permitir este acceso. Se recomienda a los clientes que no puedan garantizar esta comunicación que no actualicen a Secure Hub 10.2. Si tienes alguna pregunta, ponte en contacto con el soporte técnico de Citrix.

Requisitos previos

  • Recopila los certificados de Endpoint Management y Citrix ADC. Los certificados deben estar en formato PEM y deben ser un certificado público, no la clave privada.
  • Ponte en contacto con el soporte técnico de Citrix y solicita la activación del anclaje de certificados. Durante este proceso, se te pedirán tus certificados.

Las nuevas mejoras en el anclaje de certificados requieren que los dispositivos se conecten a ADS antes de que el dispositivo se inscriba. Conectarse a ADS primero garantiza que la información de seguridad más reciente esté disponible para Secure Hub para el entorno en el que se inscribe el dispositivo. Si los dispositivos no pueden acceder a ADS, Secure Hub no permite la inscripción del dispositivo. Por lo tanto, abrir el acceso a ADS dentro de la red interna es fundamental para permitir que los dispositivos se inscriban.

Para permitir el acceso a ADS para Secure Hub para Android, abre el puerto 443 para las siguientes direcciones IP y FQDN:

FQDN Dirección IP Puerto Uso de IP y puerto
discovery.mdm.zenprise.com 52.5.138.94 443 Comunicación de Secure Hub - ADS
discovery.mdm.zenprise.com 52.1.30.122 443 Comunicación de Secure Hub - ADS
ads.xm.cloud.com: ten en cuenta que Secure Hub versión 10.6.15 y posteriores usa ads.xm.cloud.com. 34.194.83.188 443 Comunicación de Secure Hub - ADS
ads.xm.cloud.com: ten en cuenta que Secure Hub versión 10.6.15 y posteriores usa ads.xm.cloud.com. 34.193.202.23 443 Comunicación de Secure Hub - ADS

Si el anclaje de certificados está habilitado:

  • Secure Hub ancla tu certificado empresarial durante la inscripción del dispositivo.

  • Durante una actualización, Secure Hub descarta cualquier certificado anclado actualmente y, a continuación, ancla el certificado del servidor en la primera conexión para los usuarios inscritos.

    Nota:

    Si habilitas el anclaje de certificados después de una actualización, los usuarios deben inscribirse de nuevo.

  • La renovación del certificado no requiere una nueva inscripción, si la clave pública del certificado no cambió.

El anclaje de certificados admite certificados hoja, no certificados intermedios o de emisor. El anclaje de certificados se aplica a los servidores de Citrix, como Endpoint Management y Citrix Gateway, y no a servidores de terceros.

Uso de Secure Hub

Los usuarios comienzan descargando Secure Hub en sus dispositivos desde la tienda de aplicaciones de Apple o Android.

Cuando se abre Secure Hub, los usuarios introducen las credenciales proporcionadas por sus empresas para inscribir sus dispositivos en Secure Hub. Para obtener más detalles sobre la inscripción de dispositivos, consulta Usuarios, cuentas, roles e inscripción.

En Secure Hub para Android, durante la instalación y la inscripción iniciales, aparece el siguiente mensaje: ¿Permitir que Secure Hub acceda a fotos, contenido multimedia y archivos en tu dispositivo?

Este mensaje proviene del sistema operativo Android y no de Citrix. Cuando tocas Permitir, Citrix y los administradores que gestionan Secure Hub no ven tus datos personales en ningún momento. Sin embargo, si realizas una sesión de asistencia remota con tu administrador, este puede ver tus archivos personales durante la sesión.

Una vez inscritos, los usuarios ven las aplicaciones y los escritorios que has enviado en su ficha Mis aplicaciones. Los usuarios pueden agregar más aplicaciones desde la Tienda. En los teléfonos, el enlace de la Tienda se encuentra debajo del icono de menú de hamburguesa de Configuración en la esquina superior izquierda.

Imagen del enlace de la Tienda

En las tabletas, la Tienda es una ficha independiente.

Imagen de la Tienda en tabletas

Cuando los usuarios con iPhone que ejecutan iOS 9 o posterior instalan aplicaciones de productividad móvil desde la tienda de aplicaciones de Endpoint Management, ven un mensaje. Este mensaje indica que el desarrollador empresarial, Citrix, no es de confianza en ese iPhone. El mensaje también indica que la aplicación no está disponible para su uso hasta que el desarrollador sea de confianza. Cuando aparece este mensaje, Secure Hub pide a los usuarios que consulten una guía que les orienta a través del proceso de confiar en las aplicaciones empresariales de Citrix para su iPhone.

Inscripción automática en Secure Mail

Para implementaciones solo de MAM, puedes configurar CEM para que los usuarios que se inscriben en Secure Hub con credenciales de correo electrónico se inscriban automáticamente en Secure Mail. Los usuarios no tienen que introducir más información ni realizar más pasos para inscribirse en Secure Mail.

En el primer uso de Secure Mail, Secure Mail obtiene la dirección de correo electrónico, el dominio y el ID de usuario del usuario de Secure Hub. Secure Mail usa la dirección de correo electrónico para el descubrimiento automático. El servidor de Exchange se identifica usando el dominio y el ID de usuario, lo que permite a Secure Mail autenticar al usuario automáticamente. Se pide al usuario que introduzca una contraseña si la directiva está configurada para no pasar la contraseña. Aquí, no se requiere que el usuario introduzca más información.

Para habilitar esta función, crea tres propiedades:

  • La propiedad de servidor MAM_MACRO_SUPPORT. Para obtener instrucciones, consulta Propiedades del servidor.
  • Las propiedades de cliente ENABLE_CREDENTIAL_STORE y SEND_LDAP_ATTRIBUTES. Para obtener instrucciones, consulta Propiedades del cliente.

Tienda personalizada

Si quieres personalizar tu Tienda, ve a Configuración > Personalización de cliente para cambiar el nombre, agregar un logotipo y especificar cómo aparecen las aplicaciones.

Imagen de la personalización de cliente

Puedes modificar las descripciones de las aplicaciones en la consola de Endpoint Management. Haz clic en Configurar y, a continuación, haz clic en Aplicaciones. Selecciona la aplicación de la tabla y, a continuación, haz clic en Modificar. Selecciona las plataformas para la aplicación con la descripción que estás modificando y, a continuación, escribe el texto en el cuadro Descripción.

Imagen del cuadro Descripción

En la Tienda, los usuarios pueden explorar solo las aplicaciones y los escritorios que has configurado y protegido en Endpoint Management. Para agregar la aplicación, los usuarios tocan Detalles y, a continuación, tocan Agregar.

Opciones de ayuda configuradas

Secure Hub también ofrece a los usuarios varias formas de obtener ayuda. En las tabletas, al tocar el signo de interrogación en la esquina superior derecha se abren las opciones de ayuda. En los teléfonos, los usuarios tocan el icono de menú de hamburguesa en la esquina superior izquierda y, a continuación, tocan Ayuda.

Imagen de la pantalla de Ayuda

Tu departamento de TI muestra el teléfono y el correo electrónico del servicio de asistencia de tu empresa, al que los usuarios pueden acceder directamente desde la aplicación. Introduce los números de teléfono y las direcciones de correo electrónico en la consola de Endpoint Management. Haz clic en el icono de engranaje en la esquina superior derecha. Aparece la página Configuración. Haz clic en Más y, a continuación, haz clic en Asistencia al cliente. Aparece la pantalla donde introduces la información.

Imagen de la pantalla de Asistencia al cliente

Notificar un problema muestra una lista de aplicaciones. Los usuarios seleccionan la aplicación que tiene el problema. Secure Hub genera automáticamente registros y, a continuación, abre un mensaje en Secure Mail con los registros adjuntos como un archivo zip. Los usuarios agregan líneas de asunto y descripciones del problema. También pueden adjuntar una captura de pantalla.

Enviar comentarios a Citrix abre un mensaje en Secure Mail con una dirección de asistencia de Citrix rellenada. En el cuerpo del mensaje, el usuario puede introducir sugerencias para mejorar Secure Mail. Si Secure Mail no está instalado en el dispositivo, se abre el programa de correo nativo.

Los usuarios también pueden tocar Asistencia de Citrix, lo que abre el Centro de conocimientos de Citrix. Desde allí, pueden buscar artículos de asistencia para todos los productos de Citrix.

En Preferencias, los usuarios pueden encontrar información sobre sus cuentas y dispositivos.

Directivas de ubicación

Secure Hub también proporciona directivas de geolocalización y geoseguimiento si, por ejemplo, quieres asegurarte de que un dispositivo corporativo no infrinja un determinado perímetro geográfico. Para obtener más detalles, consulta Directiva de ubicación de dispositivos.

Recopilación y análisis de bloqueos

Secure Hub recopila y analiza automáticamente la información de fallos para que puedas ver qué provocó un fallo en particular. El software Crashlytics es compatible con esta función.

Para obtener más funciones disponibles para iOS y Android, consulta la matriz de funciones por plataforma para Citrix Secure Hub.

Citrix Secure Hub™
May 6, 2026
Contribución de: 
C C
May 6, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.