ShareConnect

Con ShareConnect, los usuarios pueden conectarse a sus equipos de forma segura a través de iPads, tabletas y teléfonos Android para el acceso a sus archivos y aplicaciones. Los usuarios pueden:

  • Trabajar en archivos que se encuentran en el equipo o en unidades de disco conectadas y de red
  • Ejecutar aplicaciones desde la máquina de destino dentro de ShareConnect.
  • Acceder a aplicaciones móviles sin tener que empaquetar otras aplicaciones móviles de productividad.
  • Ejecutar ShareConnect en Citrix Virtual Desktops para disfrutar de un acceso optimizado para dispositivos móviles.

Puede descargar la versión MDX de ShareConnect desde la página de descargas de Endpoint Management.

Para obtener información general sobre cómo instalar y utilizar ShareConnect, consulte Citrix Knowledge Center.

Descripción de la arquitectura

Los componentes de ShareConnect incluyen el ShareConnect Broker, propiedad de Citrix y los servidores de comunicación ShareConnect Communication Servers, como se muestra en la siguiente ilustración. ShareConnect Broker es un servidor de aplicaciones y base de datos que asigna usuarios a equipos e informa a los usuarios de si su equipo host está conectado a la red o no. Los servidores ShareConnect Communication Servers se usan para intercambiar datos entre los equipos host y cliente. Esos datos pasan a través de un micro túnel VPN seguro entre los equipos host y cliente, según los parámetros de Endpoint Management.

Arquitectura de WorxDesktop

Además, Citrix Files puede proporcionar la autenticación de usuario a través de Single Sign-On (SSO) con un proveedor de identidades (IdP) SAML, como Endpoint Management, o los Servicios de federación de Active Directory (ADFS). El acceso a los recursos fuera de la red está suministrado a través de NetScaler Gateway en una implementación de Endpoint Management.

Funcionamiento de las conexiones en ShareConnect

ShareConnect establece conexiones directas o indirectas:

  • Conexiones directas. ShareConnect establece una conexión directa entre el equipo cliente y el equipo host si están en la misma red LAN o WiFi. En este caso, los datos fluyen directamente entre el equipo o el dispositivo móvil cliente que se utiliza para tener acceso a un equipo host. Los datos no fluyen a través de los servidores ShareConnect Communication Server, lo que proporciona un rendimiento óptimo. Para las conexiones directas, Endpoint Management utiliza NetScaler Gateway para proporcionar acceso seguro a los recursos de fuera de la red local.
  • Conexiones indirectas. ShareConnect establece una conexión indirecta entre el equipo cliente y el equipo host si no se puede tener acceso a ellos de forma directa. En este caso, los datos fluyen a través de servidores ShareConnect Communication Server.

La siguiente ilustración muestra las conexiones que se usan cuando los usuarios acceden a un equipo host desde un equipo o dispositivo móvil que ejecuta ShareConnect con conexiones directas. Los pasos de la conexión se describen en esta ilustración.

Diagrama del flujo de conexiones

① En este caso, Endpoint Management está configurado para que actúe como proveedor de identidades (IdP) SAML para Citrix Files, de manera que puede ofrecer Single Sign-On (SSO) desde Worx Home. ShareConnect solicita un token SAML desde Worx Home, que, a su vez, transfiere la solicitud a Endpoint Management a través de NetScaler Gateway. A continuación, Endpoint Management envía el token SAML a ShareConnect.

② ShareConnect envía el token SAML a Citrix Files para validarlo y para intercambiar el token SAML por un token OAuth.

③ ShareConnect envía el token OAuth al broker de ShareConnect, que luego envía un token de sesión a ShareConnect.

④ ShareConnect obtiene una lista de los equipos host desde el broker de ShareConnect y pide credenciales de equipo host. ShareConnect, a continuación, establece una conexión directa con el servidor ShareConnect Communication Server. Después de que el equipo host valida las credenciales, ShareConnect obtiene una lista de los archivos y las aplicaciones desde el equipo host. Después de que el usuario abre un archivo o aplicación, tiene lugar una conexión directa entre ShareConnect y el equipo host.

⑤ El agente de ShareConnect en el equipo host envía mensajes de estado al servidor ShareConnect Poll Server para indicar si está activo o si está fuera de línea.

⑥ El servidor ShareConnect Poll Server envía solicitudes con equilibrio de carga desde el agente de ShareConnect al broker de ShareConnect y envía actualizaciones de estado del host al broker de ShareConnect.

Seguridad para ShareConnect

ShareConnect utiliza el cifrado AES de 128 bits de manera que todos los datos enviados entre el cliente ShareConnect y un equipo host que ejecuta el agente de ShareConnect están totalmente cifrados de extremo a extremo. La clave de cifrado es única para cada conexión. Ni siquiera los dispositivos más sofisticados pueden interceptar los datos necesarios para descodificar el cifrado.

Normalmente, se configura ShareConnect de forma que los datos se enruten directamente entre el cliente ShareConnect y un equipo host. Los datos no se enrutan a través de los servidores ShareConnect Communication Server a menos que se configure la directiva “Acceso de red” en “Sin restricciones”. Para obtener más información sobre las directivas, consulte “Agregar ShareConnect a Endpoint Management” en este artículo.

Para las conexiones directas o indirectas, los metadatos cifrados, como las direcciones IP y los puertos necesarios para establecer conexiones, se envían a los servidores ShareConnect.

Además, el empaquetado MDX de ShareConnect ofrece cifrado de datos a través de MDX Vault, que cifra las aplicaciones empaquetadas con MDX y los datos almacenados asociados a ellas tanto en dispositivos iOS (anteriores a iOS 9) como Android, usando módulos de criptografía certificados por FIPS suministrados por OpenSSL.

Dispone de información sobre los parámetros de seguridad y los controles de administración en el documento técnico sobre seguridad cuyo enlace se ofrece a continuación.

Documento técnico de seguridad para ShareConnect

Guía del administrador de ShareConnect

Requisitos de puertos para ShareConnect

Es necesario abrir los siguientes puertos para permitir las comunicaciones de ShareConnect. Los requisitos de puerto son distintos dependiendo del tipo de conexión, si es una conexión directa (si los equipos están en la misma red LAN o WiFi) o una conexión indirecta (si los equipos cliente y host no pueden contactar mutuamente de manera directa).

Para conexiones directas

Puerto TCP 80: Se utiliza para las conexiones salientes desde NetScaler Gateway a app.shareconnect.com.

Origen: NetScaler Gateway

Destino: app.shareconnect.com

Puerto TCP 80, 443, 8200: Se requiere al menos uno de estos puertos para las conexiones salientes desde NetScaler Gateway al servidor de comunicación ShareConnect.

Origen: NetScaler Gateway

Destino: Servidores de comunicación ShareConnect

Puerto TCP 80, 443, 8200: Se utiliza para las conexiones salientes desde equipos host de ShareConnect a servidores Citrix.

Origen: Equipos host de ShareConnect

Destino: poll.shareconnect.com, servidores de comunicación ShareConnect

Puerto TCP 443: Se utiliza para las conexiones salientes desde NetScaler Gateway a los sitios requeridos.

Origen: NetScaler Gateway

Destino: crashlytics.com, secure.sharefile.com, ShareFile_sub-domain.sharefile.com

Puerto TCP de 53000 a 53010: Se utiliza para las conexiones salientes desde NetScaler Gateway a equipos host de ShareConnect.

Origen: NetScaler Gateway

Destino: Equipos host de ShareConnect basados en LAN

Puerto TCP de 53000 a 53010: Se utiliza para las conexiones entrantes desde NetScaler Gateway a equipos host de ShareConnect.

Origen: NetScaler Gateway

Destino: Equipos host de ShareConnect basados en LAN

Para conexiones indirectas

Puerto TCP 80: Se utiliza para las conexiones salientes desde el agente de ShareConnect a app.shareconnect.com.

Origen: Agente de ShareConnect.

Destino: app.shareconnect.com

Puerto TCP 80, 443, 8200: Se requiere al menos uno de estos puertos para las conexiones salientes desde el agente de ShareConnect al servidor de comunicación ShareConnect.

Origen: Agente de ShareConnect.

Destino: Servidores de comunicación ShareConnect

Puerto TCP 80, 443, 8200: Se utiliza para las conexiones salientes desde equipos host de ShareConnect a servidores Citrix.

Origen: Equipos host de ShareConnect

Destino: poll.shareconnect.com, servidores de comunicación ShareConnect

Puerto TCP 443: Se utiliza para las conexiones salientes desde el agente de ShareConnect a los sitios requeridos.

Origen: Agente de ShareConnect.

Destino: crashlytics.com, secure.sharefile.com, ShareFile_sub-domain.sharefile.com

Integrar y entregar ShareConnect

Para integrar y entregar ShareConnect con Endpoint Management, siga estos pasos generales:

  1. Si lo desea, puede habilitar el inicio de sesión Single Sign-On (SSO) desde Worx Home. Para ello, configure la información de la cuenta de Citrix Files en Endpoint Management para habilitar Endpoint Management como proveedor de identidades SAML para Citrix Files.

    Configurar la información referente a la cuenta de Citrix Files en Endpoint Management es una operación que solo hay que realizar una vez para todos los clientes de aplicaciones móviles de productividad, clientes (Worx) de Citrix Files y clientes Citrix Files que no son MDX.

  2. Descargue y empaquete ShareConnect. Para obtener más información, consulte Acerca del MDX Toolkit.

  3. Agregue ShareConnect a Endpoint Management y configure las directivas MDX.

  4. Instale el agente de ShareConnect en equipos host. El agente de ShareConnect es un paquete MSI, de modo que puede utilizar sus métodos de implementación de software existentes para distribuir e instalar el agente. Los usuarios deben registrar el equipo host iniciando sesión en el agente usando sus credenciales de Citrix Files en el plazo de una hora después de la instalación.

    De forma alternativa, los usuarios pueden instalar el agente de ShareConnect en el equipo al que se conectarán con ShareConnect. Para obtener más información, consulte “Para instalar el agente de ShareConnect en un equipo” más adelante en este artículo.

Agregar ShareConnect a Endpoint Management

Agregue ShareConnect a Endpoint Management siguiendo los mismos pasos que sigue para agregar otras aplicaciones MDX. Para obtener más información, consulte Agregar una aplicación MDX. Al agregar ShareConnect, configure las directivas MDX para esta aplicación, tal como se muestra en la siguiente tabla.

Directiva Valor Resultados
Acceso de red Túnel a la red interna o Sin restricciones Si es Túnel a la red interna, se usa un túnel VPN hacia la red interna para cada aplicación, para todo el acceso de red. Esta configuración proporciona una conexión directa entre ShareConnect y un equipo host. Sin restricciones usa servidores de comunicación que son propiedad de Citrix para enrutar datos cifrados entre un equipo host y ShareConnect. Debe probar la configuración con acceso no restringido para comprobar que todo funciona correctamente, incluso aunque quiera utilizar la opción Túnel a la red interna para el acceso de red.
Modo preferido de VPN Exploración segura Establece el modo de conexión inicial de la manera apropiada para las conexiones que requieren SSO.
Habilitar cifrado Cifra los datos almacenados en la tableta.
Cortar y pegar Sin restricciones Habilita las operaciones de cortar y copiar para ShareConnect.
Pegar Sin restricciones Habilita las operaciones de pegar para ShareConnect.
Intercambio de documentos (Abrir en) Sin restricciones Permite a los usuarios abrir desde ShareConnect cualquier archivo ubicado en el equipo conectado o en una unidad de red conectada.
Guardar contraseña No Requiere que los usuarios introduzcan su nombre de usuario y contraseña para el equipo cada vez que inicien sesión en ShareConnect.

Para instalar el agente de ShareConnect en un equipo

En los pasos siguientes, se describe cómo deben instalar los usuarios el agente de ShareConnect en cada equipo físico o virtual al que quieran conectarse desde un dispositivo móvil respaldado.

Antes de realizar estos pasos, el usuario debe instalar Worx Home (o Secure Hub) y seguir las indicaciones para permitir que las aplicaciones móviles de productividad se instalen en el dispositivo móvil respaldado.

  1. Inicie una sesión en Worx Home en la tableta.

  2. Abra ShareConnect.

  3. Toque en el enlace de descarga del mensaje de correo electrónico.

    Citrix envía un correo electrónico desde no-reply@shareconnect.com.

  4. En el equipo host al que desea tener acceso desde ShareConnect, abra el mensaje de correo electrónico.

  5. En el mensaje, haga clic en Set up this computer.

  6. Haga doble clic en ShareConnect_Installer.exe para comenzar la instalación.

    El agente de ShareConnect se instala en el equipo host. Durante la instalación, ShareConnect solicita una dirección de correo electrónico (si se configura el acceso SSO de Citrix Files) o credenciales de Citrix Files (si el acceso SSO de Citrix Files no está configurado).

  7. Siga las instrucciones facilitadas en los asistentes de ShareConnect y Get Started.

El agente de ShareConnect, a continuación, registra el equipo host, que puede conectarse desde un cliente ShareConnect siempre que el equipo host esté encendido y pueda contactar con poll.shareconnect.com en, al menos, uno de los puertos publicados (80, 443, o 8200).

Funciones de ShareConnect

  • Agregar equipos host. Mediante ShareConnect, los usuarios pueden agregar y conectarse a equipos host remotos desde dispositivos móviles respaldados.

  • Obtener acceso a archivos. Los usuarios pueden ver una lista de los archivos recientes, así como examinar y buscar archivos en la unidad de disco y unidades conectadas al equipo host.

  • Modificar archivos. Desde tabletas, los usuarios pueden acceder a aplicaciones de escritorio en sus equipos host para editar los archivos. Los usuarios pueden trabajar con las aplicaciones en pantalla completa.

  • Compartir pantallas. En lugar de ver en un solo archivo o aplicación, los usuarios pueden usar la función de uso compartido de pantalla para ver el escritorio del equipo host.

  • Integración con Citrix Files. Los usuarios pueden mover o compartir archivos entre el equipo host y Citrix Files.

  • Teclado y puntero. ShareConnect respalda el uso simultáneo de un teclado Bluetooth y el Citrix XI Prototype Mouse.

  • Puertos restringidos. ShareConnect usa solo los puertos 53000 a 53010.

  • Imponer introducción de contraseña en cada inicio de sesión. Para mejorar la seguridad, puede configurar esta opción para exigir a los usuarios que introduzcan la contraseña de su equipo cada vez que inicien sesión en ShareConnect. Cuando la directiva “Guardar contraseña” está desactivada, como se muestra en esta imagen, los usuarios tienen que introducir obligatoriamente sus credenciales de inicio de sesión cada vez que se conectan.

    Guardar contraseña

  • Agregar o eliminar aplicaciones. Los usuarios pueden agregar o eliminar aplicaciones desde su bandeja de aplicaciones en ShareConnect utilizando el conmutador situado junto a cada aplicación para seleccionarlas o deseleccionarlas.

    Agregar o quitar aplicaciones

  • Caché de vista previa de archivos. ShareConnect guarda en caché los archivos a los que el usuario ya ha tenido acceso, de modo que los archivos no tienen que volver a descargarse si los usuarios abren una vista previa de otros archivos, y luego vuelven a los archivos anteriores. Esta característica mejora los tiempos de carga cuando los usuarios acceden a sus archivos consecutivamente.

Solucionar problemas de ShareConnect

Problemas en la instalación del agente de ShareConnect

Problema Descripción y solución
Si un usuario descarga el agente de ShareConnect y espera una hora o más para iniciar la instalación, ese usuario deberá introducir el nombre de cuenta y la contraseña de Citrix Files para registrar el agente de ShareConnect. El instalador del agente de ShareConnect incluye un token que caduca al cabo de una hora de realizar la descarga. Si un usuario no inicia la instalación antes de que caduque el token, ese usuario debe iniciar sesión dos veces en su cuenta de Citrix Files: la primera vez para registrar el agente de ShareConnect y la segunda vez para iniciar sesión en el agente una vez completada la instalación. Si los usuarios pueden descargar e instalar el agente ShareConnect en un plazo de una hora solo tienen que iniciar sesión una vez.
Durante el proceso de registro del agente de ShareConnect, el agente no se conecta y aparece un mensaje de error similar al siguiente: “Compruebe su conexión y vuelva a intentarlo”. Verifique que el puerto para poll.shareconnect.com no esté bloqueado. Para obtener más información, consulte los requisitos del sistema en este artículo.

Problemas en la conexión con ShareConnect

Importante:

Citrix recomienda que, para probar ShareConnect, configure la directiva “Acceso de red” en Sin restricciones para descartar problemas de puertos y parámetros de red. El acceso sin restricciones obliga a ShareConnect a conectar a través de servidores ShareConnect Communication Server, lo que normalmente le permitirá hacer pruebas de conexión si el dispositivo móvil con ShareConnect y el equipo host tienen acceso a Internet.

Problema Descripción y solución
ShareConnect se inicia, pero no se conecta al equipo host y no pide credenciales. Verifique que la configuración cumple los requisitos para puertos detallados anteriormente en este artículo en la sección Requisitos del sistema.
Los usuarios no pueden iniciar sesión en ShareConnect con las credenciales de sus cuentas de Citrix Files. El inicio de sesión SSO en ShareConnect requiere que la cuenta de Citrix Files esté configurada con un proveedor de identidades (IdP) SAML. Para obtener información sobre el uso de Endpoint Management como un IdP de SAML, consulte Citrix Files para Endpoint Management. Para obtener información más detallada acerca de los proveedores de identidades, consulte este artículo de asistencia en Citrix Knowledge Center. Si el inicio de sesión SSO no está configurado para su cuenta, ShareConnect para iOS pide al usuario el nombre de usuario y la contraseña de Citrix Files.
Después de que los usuarios inician sesión en ShareConnect, ShareConnect no puede conectarse al equipo host. Cuando ShareConnect está configurado para conexiones directas (es decir, se configura la directiva “Acceso de red” en “Túnel a la red interna”), pueden ocurrir fallos de conexión si hay restricciones en los parámetros de red, tales como bloqueo de firewalls o servidores proxy configurados.