Prueba de concepto: Acceso seguro a Microsoft 365 con Citrix Secure Workspace Access

Información general

A medida que los usuarios acceden al contenido confidencial de Microsoft 365 (Office 365), las organizaciones deben poder simplificar las operaciones de inicio de sesión de los usuarios y, al mismo tiempo, aplicar los estándares de autenticación. Las organizaciones deben poder proteger Microsoft 365 aunque exista más allá de los límites del centro de datos. Citrix Workspace proporciona a las organizaciones controles de seguridad mejorados para Microsoft 365.

En este caso, un usuario se autentica en Citrix Workspace mediante Active Directory como directorio de usuario principal.

Active Directory y Okta SSO

Si el servicio Citrix Secure Workspace Access está asignado a la suscripción de Citrix, se aplican directivas de seguridad mejoradas, que van desde la aplicación de marcas de agua basadas en pantalla, la restricción de acciones de impresión/descarga, las restricciones de captura de pantalla, la ofuscación del teclado y la protección de los usuarios de vínculos poco confiables. en la parte superior de las aplicaciones de Microsoft 365.

La siguiente animación muestra a un usuario que accede a Microsoft 365 con SSO y protegido con Citrix Secure Workspace Access.

Demostración de SSO Okta

Esta demostración muestra un flujo de inicio de sesión inicio de sesión iniciado por el IDP en el que el usuario inicia la aplicación desde Citrix Workspace. Esta guía de PoC también admite un flujo SSO iniciado por SP en el que el usuario intenta acceder a la aplicación SaaS directamente desde su explorador preferido.

Esta guía de prueba de concepto demuestra cómo:

  1. Configuración de Citrix Workspace
  2. Integrar un directorio de usuario principal
  3. Incorporar inicio de sesión único para aplicaciones SaaS
  4. Definir directivas de filtrado de sitios web
  5. Validar la configuración

Configuración de Citrix Workspace

Los pasos iniciales para configurar el entorno son preparar Citrix Workspace para la organización, que incluye

  1. Configuración de la URL del espacio de trabajo
  2. Habilitación de los servicios apropiados

Establecer dirección URL de espacio

  1. Conéctese Citrix Cloud a su cuenta de administrador e inicie sesión como
  2. En Citrix Workspace, acceda a Configuración de Workspace desde el menú superior izquierdo
  3. En la ficha Acceso, introduzca una URL única para la organización y seleccione Habilitado

![URL del área]de trabajo(/en-us/tech-zone/learn/media/poc-guides_access-control-azuresso-o365_workspace-config-001.png)

Habilitar servicios

Desde la ficha Integración de servicios, habilite los siguientes servicios para admitir el acceso seguro a las aplicaciones SaaS caso de uso

  1. Puerta de enlace
  2. Secure Browser Service

Servicios de Workspace

Verificar

Citrix Workspace tarda unos minutos en actualizar los servicios y la configuración de URL. Desde un explorador, compruebe que la URL personalizada del espacio de trabajo está activa. Sin embargo, el inicio de sesión no estará disponible hasta que se defina y configure un directorio de usuario principal.

Integración de un directorio de usuario principal

Antes de que los usuarios puedan autenticarse en Workspace, directorio de usuario principal debe configurarse un. El directorio de usuario principal es la única identidad que necesita el usuario, ya que todas las solicitudes de aplicaciones dentro de Workspace utilizan el inicio de sesión único en identidades secundarias.

Una organización puede usar cualquiera de los siguientes directorios de usuario primarios con Microsoft 365:

  • Active Directory: Para habilitar la autenticación de Active Directory, se debe implementar un conector en la nube en el mismo centro de datos que un controlador de dominio de Active Directory siguiendo la Instalación de Cloud Connector guía.
  • Active Directory con contraseña de una sola vez basada en tiempo: La autenticación basada en Active Directory también puede incluir autenticación multifactor con una contraseña de una sola vez basada en tiempo (TOTP). Esto guía detalla los pasos necesarios para habilitar esta opción de autenticación.
  • Citrix Gateway: Las organizaciones pueden utilizar un Citrix Gateway local para actuar como proveedor de identidades para Citrix Workspace. Esto guía proporciona detalles sobre la integración.
  • Okta: Las organizaciones pueden usar Okta como directorio de usuario principal para Citrix Workspace. Esto guía proporciona instrucciones para configurar esta opción.

Nota: En este momento, utilizar Azure Active Directory como identidad principal del usuario no funcionará correctamente.

Federar la autenticación de Azure en Citrix Workspace

Para federar correctamente Microsoft 365 con Citrix Workspace, el administrador debe hacer lo siguiente

  • Configurar la aplicación SaaS
  • Autorizar la aplicación SaaS
  • Verificar dominio de autenticación
  • Configurar federación de dominios

Configurar la aplicación SaaS

Con el dominio verificado en Azure, se puede configurar una aplicación SaaS de Microsoft 365 en Citrix Workspace.

  • En Citrix Cloud, seleccione Administrar en el icono Gateway.

Configuración de la aplicación SaaS 01

  • Seleccione Agregar una aplicación web/SaaS
  • En el asistente para elegir una plantilla, seleccione Office 365

Configuración de la aplicación SaaS 02

  • Seleccionar Siguiente
  • En la pantalla Detalles de la aplicación, cambie el Nombre, el Iconoy la Descripción según sea necesario, sin modificar todas las entradas restantes.

Configuración de la aplicación SaaS 03

  • Seleccionar Siguiente
  • Las directivas de seguridad mejoradas utilizan el campo Dominios relacionados para determinar qué direcciones URL proteger. Un dominio relacionado se agrega automáticamente en función de la URL predeterminada. Las directivas de seguridad mejoradas requieren dominios relacionados para cualquier URL asociada a la aplicación. Microsoft 365 incluye muchas URL, que se pueden encontrar en la sección Dominios relacionados con Microsoft 365.

  • En la ventana Seguridad mejorada, seleccione las directivas de seguridad adecuadas para el entorno

Configuración de la aplicación SaaS 04

  • En la ventana Inicio de sesión único, compruebe el formato de ID de nombre=Persistente y Name ID = GUID de Active Directory
  • En Atributos avanzados, compruebe Atributo=IDPEmail, Formato de atributo = No especificadoy Atributo valor=Correo electrónico
  • Seleccione Descargar para capturar el certificado basado en CRT.
  • Junto a la URL de iniciode sesión, seleccione el botón Copiar para capturar la URL de inicio de sesión. Esta URL se utiliza más adelante.
  • Seleccionar el vínculo Metadatos SAML

Configuración de la aplicación SaaS 05

  • En el archivo de metadatos SAML, busque EntityID. Copie toda la URL y almacénelo para su uso posterior. Una vez capturado, el archivo de metadatos SAML se puede cerrar.

Configuración de la aplicación SaaS 06

  • Seleccione Guardar
  • Seleccione Finalizar para completar la configuración de las aplicaciones SaaS de Microsoft 365.

Autorizar la aplicación SaaS

  • En Citrix Cloud, seleccione Biblioteca en el menú

Autorizar aplicación SaaS 01

  • Busque la aplicación Microsoft 365 y seleccione Administrar suscriptores
  • Agregue los usuarios/grupos apropiados que estén autorizados para iniciar la aplicación

Autorizar aplicación SaaS 02

Verificar dominio de autenticación

Para federar la autenticación en Citrix Workspace, Azure debe verificar el nombre de dominio completo. En Azure Portal, haga lo siguiente:

  • Acceder a Azure Active Directory
  • Seleccionar nombres de dominio personalizados en la ventana de navegación
  • Seleccione Agregar dominio personalizado
  • Introduzca el nombre de dominio completo

Verificación de dominio 01

  • Seleccione Agregar dominio
  • Azure proporciona registros para incorporarlos al registrador de nombres de dominio. Una vez hecho esto, selecciona Verificar.

Verificación de dominio 02

  • Una vez completado, el dominio contiene una marca verificada

Verificación de dominio 03

Configurar federación de dominios

La configuración final consiste en que Azure use Citrix Workspace como autoridad federada para el dominio verificado. La configuración de la federación debe realizarse con PowerShell.

  • Iniciar PowerShell
  • Agregue los módulos apropiados con los siguientes comandos
Install-Module AzureAD -Force
Import-Module AzureAD -Force
Install-Module MSOnline -Force
Import-module MSOnline -Force
<!--NeedCopy-->
  • Conectarse a Microsoft Online a través de PowerShell y autenticar
Connect-MSOLService
<!--NeedCopy-->
  • Compruebe que el dominio está configurado actualmente en Administrado en Azure ejecutando el siguiente comando de PowerShell
Get-MsolDomain
<!--NeedCopy-->

Federación de Dominios 01

  • Utilice el siguiente código en un script de PowerShell para convertir este dominio Federado cambiando las variables para que se alineen con su entorno
 $dom = "workspaces.wwco.net" # The fully qualified domain name verified within Azure
 $fedBrandName = "CitrixWorkspaceSAMLIdP" # A name to help remember the configuration purpose
 $IssuerUri = "https://citrix.com/fdafdjk4" # The entityID taken from the Citrix Worksapce SAML Metadata file
 $logoffuri = "https://app.netscalergateway.net/cgi/logout" # Standard entry for all. Do not change
 $uri = "https://app.netscalergateway.net/ngs/dhhn4j3mf1kc/saml/login?APPID=8dd87428-460b-4358-a3c2-609451e8f5be" # The Login URL from the Citrix Workspace Microsoft 365 app configuration
 $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("e:\CitrixCloud.crt") # Path to the downloaded certificate file from Citrix Workspace
 $certData = [system.convert]::tobase64string($cert.rawdata)

 Set-MsolDomainAuthentication `
     -DomainName $dom `
     –federationBrandName $fedBrandName `
     -Authentication Federated `
     -PassiveLogOnUri $uri `
     -LogOffUri $logoffuri `
     -SigningCertificate $certData `
     -IssuerUri $IssuerUri `
     -PreferredAuthenticationProtocol SAMLP
<!--NeedCopy-->
  • Compruebe que el dominio está configurado actualmente en Federado en Azure ejecutando el siguiente comando de PowerShell
Get-MsolDomain
<!--NeedCopy-->

Federación de Dominios 02

  • Compruebe la configuración de federación en Azure ejecutando el siguiente comando de PowerShell
Get-MsolDomainFederationSettings -DomainName $dom
<!--NeedCopy-->

Federación de Dominios 03

***Nota: Si es necesario quitar la configuración de federación, ejecute el siguiente comando de PowerShell

Set-MsolDomainAuthentication -DomainName $dom -Authentication Managed
<!--NeedCopy-->

Validar

Validación iniciada por IDP

  • Inicie sesión en Citrix Workspace como usuario
  • Seleccione la aplicación Microsoft 365
  • Observe la URL para verla redirigirse brevemente a través de Azure
  • El portal de Microsoft 365 se inicia correctamente

Validación iniciada por SP

  • Iniciar un explorador
  • Vaya a la URL definida por la empresa para la aplicación SaaS
  • El explorador redirige a Azure Active Directory y luego a Citrix Workspace para la autenticación
  • Una vez que el usuario se autentica con el directorio de usuario principal, la aplicación SaaS se inicia con Citrix proporcionando inicio de sesión único

Definir directivas de filtrado de sitios web

El servicio Citrix Secure Workspace Access proporciona filtrado de sitios web dentro de SaaS y aplicaciones web para ayudar a proteger al usuario de ataques de phishing. A continuación se muestra cómo configurar directivas de filtrado de sitios web.

  • Desde Citrix Cloud, administre dentro del mosaico Secure Workspace Access

Citrix Secure Workspace Access 1

  • Si se siguió esta guía, el paso Configurar autenticación de usuario final y los pasos Configurar el acceso de usuario final a SaaS, web y aplicaciones virtuales están completados. Seleccione Configurar acceso al contenido
  • Seleccione Modificar
  • Habilitar la opción Filtrar categorías de sitios web
  • En el cuadro Categorías bloqueadas, selecciona Agregar
  • Seleccione las categorías para impedir que los usuarios accedan

Citrix Secure Workspace Access 2

  • Cuando se seleccionan todas las categorías aplicables, seleccione Agregar

Citrix Secure Workspace Access 3

  • Haga lo mismo para las categorías permitidas
  • Haga lo mismo para las categorías redirigidas. Estas categorías se redirigen a una instancia de Secure Browser
  • Si es necesario, los administradores pueden filtrar acciones denegadas, permitidas y redirigidas para direcciones URL específicas siguiendo el mismo proceso que se utilizó para definir categorías. Las URL de sitios web tienen prioridad sobre las categorías.

Validar la configuración

Validación iniciada por IDP

  • Inicie sesión en Citrix Workspace como usuario
  • Seleccione Microsoft 365. Si la seguridad mejorada está inhabilitada, la aplicación se inicia dentro del explorador local; de lo contrario, se utilizará el explorador incrustado
  • El usuario inicia sesión automáticamente en la aplicación
  • Se aplican las directivas de seguridad mejoradas adecuadas
  • Si está configurado, seleccione una URL dentro de la aplicación SaaS que se encuentre en las categorías bloqueadas, permitidas y redirigidas
  • Si está configurado, seleccione una URL dentro de la aplicación SaaS que esté en las URL bloqueadas, permitidas y redirigidas
  • La aplicación SaaS se inicia con éxito

Validación iniciada por SP

  • Iniciar un explorador
  • Vaya al Office 365 sitio web y seleccione Iniciar sesión
  • Introduzca el nombre de usuario.
  • El explorador redirige el explorador a Citrix Workspace para la autenticación
  • Una vez que el usuario se autentica con el directorio de usuario principal, Microsoft 365 se inicia en el explorador local si la seguridad mejorada está inhabilitada. Si la seguridad mejorada está habilitada, una instancia de explorador seguro inicia Microsoft 365

Dominios relacionados con Microsoft 365

Al crear una nueva aplicación en Citrix Workspace, hay disponible un campo de dominio relacionado. Las directivas de seguridad mejoradas utilizan estos dominios relacionados para determinar cuándo aplicar la directiva.

La lista siguiente son los dominios actuales asociados a Microsoft 365.

*Nota: Estos dominios pueden cambiar en cualquier momento*

  • *.office.com
  • *.office365.com
  • *.sharepoint.com
  • *.live.com
  • *.onenote.com
  • *.microsoft.com
  • *.powerbi.com
  • *.dynamics.com
  • *.microsoftstream.com
  • *.powerapps.com
  • *.yammer.com
  • *.windowsazure.com
  • *.msauth.net
  • *.msauthimages.net
  • *.msocdn.com
  • *.microsoftonline.com
  • *.windows.net
  • *.microsoftonline-p.com
  • *.akamaihd.net
  • *.sharepointonline.com
  • *.officescriptsservice.com
  • *.live.net
  • *.office.net
  • *.msftauth.net

Aplicaciones de Microsoft 365

Si es preferible iniciar una aplicación específica de Microsoft 365 (Word, PowerPoint o Excel) en lugar del portal de Microsoft 365, el administrador debe crear una instancia de aplicación independiente dentro de Citrix Cloud para cada aplicación. Cada aplicación tiene una URL única, que debe incluir el valor correcto para el dominio federado, que se configuró en esta guía. La entrada de dominio federado informa a Azure para redirigir a la configuración correcta del dominio federado.

  • Palabra: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Foffice.live.com%2Fstart%2FWord.aspx%3Fauth%3D2&whr=Dominio federado
  • PowerPoint: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Fwww.office.com%2Flaunch%2Fpowerpoint%3Fauth%3D2&whr=Dominio federado
  • Excel: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Foffice.live.com%2Fstart%2FExcel.aspx%3Fauth%3D2&whr=Dominio federado
  • CRM/Dynamics Online: https://<tenant>.crm.dynamics.com/?whr=Dominio federado
  • OneDrive para la Empresa: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2F<tenant>-my.sharepoint.com%2F&whr=Dominio federado
  • Calendario de Outlook: https://outlook.office.com/owa/?realm=Dominio federado&path=/calendar/view/Month
  • Outlook Web Access a Exchange Online: https://outlook.com/owa/Dominio federado
  • SharePoint Online: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2F<tenant>.sharepoint.com%2F&whr=Dominio federado

  • En Citrix Cloud, seleccione Administrar en el icono Gateway.

Configuración de la aplicación SaaS 01

  • Seleccione Agregar una aplicación web/SaaS
  • En el asistente para elegir una plantilla, seleccione Office 365

Configuración de la aplicación SaaS 02

  • Seleccionar Siguiente
  • En la pantalla Detalles de la aplicación, use la URL específica de la aplicación desde arriba y colóquela en el campo URL.
  • Cambie el nombre, el iconoy la descripción según sea necesario sin modificar todas las entradas restantes.

Configuración de la aplicación SaaS 02

  • Seleccionar Siguiente
  • Las directivas de seguridad mejoradas utilizan el campo Dominios relacionados para determinar qué direcciones URL proteger. Un dominio relacionado se agrega automáticamente en función de la URL predeterminada. Las directivas de seguridad mejoradas requieren dominios relacionados para cualquier URL asociada a la aplicación. Microsoft 365 incluye muchas URL, que se pueden encontrar en la sección Dominios relacionados con Microsoft 365.

  • En la ventana Seguridad mejorada, seleccione las directivas de seguridad adecuadas para el entorno

Configuración de la aplicación SaaS 04

  • En la ventana Inicio de sesión único, compruebe que la URL de estado de retransmisión esté alineada con la URL específica de la aplicación de arriba.
  • Compruebe el formato de ID de nombre=Persistente y Name ID = GUID de Active Directory
  • Habilite la configuración Inicie la aplicación mediante la URL especificada. Cuando el usuario inicia una aplicación desde Workspace (flujo iniciado por el IDP), el usuario siempre terminará en la página de Azure Portal. Esta configuración incluye la URL de estado de retransmisión dentro de la aserción SAML, lo que indica a Azure que muestre la dirección URL en lugar de la página de Azure Portal.
  • En Atributos avanzados, compruebe Atributo=IDPEmail, Formato de atributo = No especificadoy Atributo valor=Correo electrónico

Configuración de la aplicación SaaS 05

  • Seleccione Guardar
  • Seleccione Finalizar para completar la configuración de las aplicaciones SaaS de Microsoft 365.

Manténgase conectado

En la configuración predeterminada, Azure Active Directory muestra un cuadro de diálogo durante el proceso de inicio de sesión que permite a los usuarios seguir iniciando sesión.

Inicio desesión persistente 01

Esta es una configuración de Azure que se puede cambiar fácilmente haciendo lo siguiente:

  • En Azure, seleccione Azure Active Directory
  • Seleccionar marca de empresa
  • Seleccione la configuración regional habilitada
  • En el panel Modificar marca de empresa, seleccione No en la opción Mostrar para seguir iniciando sesión.

Inicio desesión persistente 01

  • Seleccione Guardar

Solución de problemas

La cuenta de usuario no existe en el directorio

Al intentar iniciar Microsoft 365, el usuario puede recibir el siguiente error: La cuenta de usuario “nombre de cuenta” no existe en el directorio “GUID”.

Solución deproblemas de cuentas de usuario 01

Las siguientes son sugerencias sobre cómo resolver este problema:

  • Compruebe que el usuario tiene licencia para usar Microsoft 365 en la consola de administrador de Microsoft 365
  • Compruebe que la dirección de correo electrónico identificada dentro del error coincide entre el directorio de usuario principal, Azure Active Directory y Microsoft 365.

Objeto Dominio de Federación

Durante la validación, un usuario puede recibir el siguiente error:

Solución de problemas de dominio de federación 01

Esto suele deberse a que el dominio no se verifica o se ha federado correctamente. Revise las siguientes secciones de la guía de PoC:

Falla de directivas de seguridad mejoradas

Los usuarios pueden experimentar un error en las directivas de seguridad mejoradas (marca de agua, impresión o acceso al portapapeles). Normalmente, esto sucede porque la aplicación SaaS utiliza varios nombres de dominio. Dentro de los ajustes de configuración de la aplicación SaaS, había una entrada para Dominios Relacionados.

Configuración de la aplicación SaaS 02

Las directivas de seguridad mejoradas se aplican a esos dominios relacionados. La Dominios relacionados con Microsoft 365 sección de esta guía de PoC contiene el conjunto inicial de dominios relacionados, que Microsoft puede cambiar en cualquier momento.

Si las directivas de seguridad mejoradas no funcionan dentro de ciertas secciones de la aplicación, aún falta un dominio relacionado. Para identificar nombres de dominio que faltan, un administrador puede acceder a la aplicación SaaS con un explorador local y hacer lo siguiente:

  • Vaya a la sección de la aplicación en la que fallan las directivas
  • En Google Chrome y Microsoft Edge (versión Chromium), selecciona los tres puntos en la parte superior derecha del explorador para mostrar una pantalla de menú.
  • Seleccione Más herramientas.
  • Seleccionar herramientas de desarrollador
  • Dentro de las herramientas de desarrollador, seleccione Fuentes. Esto proporciona una lista de nombres de dominio de acceso para esa sección de la aplicación. Para habilitar las directivas de seguridad mejoradas para esta parte de la aplicación, esos nombres de dominio deben introducirse en el campo dominios relacionados dentro de la configuración de la aplicación. Los dominios relacionados se agregan como los siguientes *.domain.com

Solución de problemas de seguridad mejorada 01