Product Documentation

Configuración de la autenticación con certificados del cliente

Feb 02, 2016
Importante:
  • Cuando se usa StoreFront, Receiver respalda las versiones de Citrix Access Gateway Enterprise Edition a partir de la 9.3, y las versiones de NetScaler Gateway hasta la 11.
  • La autenticación con certificados del cliente recibe respaldo en Receiver para iOS a partir de la versión 5.5 incluida.
  • Solo Access Gateway Enterprise Edition 9.x y 10.x (y versiones posteriores) respaldan la autenticación con certificados del cliente.
  • Los tipos de autenticación de doble origen deben ser CERT y LDAP.
  • Receiver también respalda la autenticación opcional con certificados del cliente.
  • Solo se respaldan certificados con formato P12.

Los usuarios que inician sesiones en un servidor Access Gateway (o NetScaler Gateway) virtual pueden ser autenticados también basándose en los atributos del certificado del cliente que se presenta ante el servidor virtual. La autenticación con certificados del cliente también puede utilizarse con otro tipo de autenticación, LDAP, para ofrecer autenticación de doble origen.

Para autenticar usuarios basándose en los atributos del certificado del cliente, la autenticación de clientes debe estar habilitada en el servidor virtual y se debe solicitar el certificado del cliente. Es necesario vincular un certificado raíz al servidor virtual en Access Gateway.

Cuando los usuarios inician sesiones en el servidor Access Gateway virtual, después de la autenticación, la información de nombre de usuario y dominio se extrae del campo especificado del certificado.  Esta información debe estar en el campo SubjectAltName:OtherName:MicrosoftUniversalPrincipalName del certificado. Está en el formato "nombreDeUsuario@dominio". Si el nombre de usuario y el dominio se extraen correctamente, y el usuario suministra la otra información requerida (por ejemplo, un contraseña), se autenticará al usuario. Si el usuario no presenta un certificado y credenciales válidas, o si falla la extracción del nombre de usuario y el dominio, la autenticación también fallará.

Si un usuario suministra la información de nombre de usuario y dominio (en lugar de un certificado con estos datos, que esencialmente es un paradigma más seguro), quite el campo SubjectAltName:OtherName:MicrosoftUniversalPrincipalName del certificado del cliente.

Se puede autenticar usuarios basándose en el certificado del cliente, definiendo el tipo de autenticación predeterminado para que use el certificado del cliente. También se puede crear una acción de certificado que defina lo que hay que hacer durante la autenticación basada en un certificado SSL del cliente.

Para configurar el sitio de servicios XenApp

Si aún no ha creado un sitio de servicios XenApp, en la consola de XenApp o en la consola de la Interfaz Web (según la versión de XenApp instalada), cree un sitio de servicios XenApp para dispositivos móviles.

El software de Receiver para dispositivos móviles utiliza un sitio de servicios XenApp (anteriormente Agente de Program Neighborhood) para obtener información sobre las aplicaciones a las que un usuario tiene derecho, y las presenta en el Receiver que se ejecuta en el dispositivo. Esto es similar al modo en que se utiliza la Interfaz Web para las conexiones tradicionales de XenApp basadas en SSL para las que se puede configurar un Access Gateway.

Configure el sitio de servicios XenApp para que el Receiver para dispositivos móviles respalde conexiones provenientes de una conexión de Access Gateway.

  1. En el sitio de servicios XenApp, seleccione Administrar el acceso seguro > Modificar parámetros de acceso seguro.
  2. Cambie el método de acceso a Directa con Gateway.
  3. Ingrese el nombre de dominio completo del dispositivo Access Gateway.
  4. Ingrese la información de Secure Ticket Authority (STA).

Para configurar el dispositivo Access Gateway

La autenticación con el certificado del cliente requiere configurar Access Gateway con la autenticación de dos factores mediante dos directivas de autenticación: Cert y LDAP. Para obtener detalles, consulte en eDocs su versión de Access Gateway Enterprise Edition (9.x solamente) o Access Gateway 10, y busque el tema: Configuring Client Certificate Authentication.

  1. Cree una directiva de sesión en Access Gateway para permitir las conexiones entrantes de XenApp desde Receiver y especifique la ubicación del sitio de servicios XenApp creado recientemente.
    • Cree una directiva de sesión nueva para identificar que la conexión proviene de Receiver para dispositivos móviles. Cuando cree la directiva de sesión, configure la siguiente expresión y seleccione Hacer coincidir todas las expresiones como el operador de la expresión:

      REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver



    • En la configuración del perfil asociado para la directiva de sesión, en la ficha Security, configure Default Authorization con el valor Allow (Permitir).

      En la ficha Published Applications, si no es un parámetro global (es decir, la casilla de verificación Override Global está marcada), asegúrese de que el campo ICA Proxy esté definido como OFF.

      En el campo Web Interface Address (Dirección de Interfaz Web), escriba la dirección URL, incluido el archivo config.xml, del sitio de servicios XenApp que utilizan los usuarios del dispositivo, por ejemplo, http://NombreServidorXenApp/Citrix/PNAgent/config.xml o http://NombreServidorXenApp/RutaPersonalizada/config.xml.

    • Vincule la directiva de sesión con un servidor virtual.
    • Cree directivas de autenticación para Cert y LDAP.
    • Vincule las directivas de autenticación con el servidor virtual.
    • Configure el servidor virtual para que solicite certificados de cliente en la conexión TLS (en la ficha Certificate (Certificado), abra SSL Parameters (Parámetros SSL), y para Client Authentication (Autenticación de cliente), defina Client Certificate (Certificado del cliente) como Mandatory (Obligatorio).
    • Importante: Si el certificado del servidor que se utiliza en Access Gateway forma parte de una cadena de certificados (con un certificado intermedio), asegúrese de que los certificados intermedios también estén instalados correctamente en Access Gateway. Para obtener más información sobre la instalación de certificados, consulte la documentación de Access Gateway.

Para configurar el dispositivo móvil para la aplicación de Receiver

Si la autenticación de certificados del cliente está habilitada en Access Gateway, los usuarios se autenticarán basándose en ciertos atributos del certificado del cliente. Una vez completada con éxito la autenticación, el nombre de usuario y el dominio se extraen del certificado y se aplican las directivas especificadas para dicho usuario.

  1. En Receiver, abra Configuración de la cuenta y en el campo Servidor, introduzca el nombre FQDN correspondiente a su servidor Access Gateway, por ejemplo:GatewayClientCertificateServer.organization.com. Receiver detecta automáticamente que se necesita el certificado del cliente.
  2. Los usuarios pueden instalar un certificado nuevo o bien seleccionar uno de la lista de certificados ya instalados. La autenticación con certificado del cliente iOS requiere que solo la aplicación de Receiver descargue e instale el certificado.
  3. Después de seleccionar un certificado válido, los campos de nombre de usuario y dominio en la pantalla de inicio de sesión se rellenan usando la información del nombre de usuario del certificado, y los usuarios introducen la información restante, incluida la contraseña.
  4. Si la autenticación con certificado del cliente es opcional, los usuarios pueden omitir la selección de certificado, presionando el botón Atrás en la página de certificados. En este caso, Receiver continúa con la conexión y presenta al usuario la pantalla de inicio de sesión.
  5. Después de que los usuarios completan el inicio de sesión, pueden iniciar las aplicaciones sin tener que proporcionar el certificado nuevamente. Receiver almacena el certificado para la cuenta y lo utiliza automáticamente para solicitudes de inicio de sesión futuras.