Guía de PoC: Acceso seguro a aplicaciones SaaS con Okta y Citrix Secure Private Access

Overview

A medida que los usuarios consumen más aplicaciones basadas en SaaS, las organizaciones deben poder unificar todas las aplicaciones sancionadas y simplificar las operaciones de inicio de sesión de los usuarios sin dejar de aplicar los estándares de autenticación. Las organizaciones deben poder proteger estas aplicaciones aunque existan más allá de los límites del centro de datos. Citrix Workspace proporciona a las organizaciones acceso seguro a las aplicaciones SaaS.

En este caso, un usuario se autentica en Citrix Workspace mediante Active Directory u Okta como directorio de usuario principal. Okta también proporciona servicios de inicio de sesión único para un conjunto definido de aplicaciones SaaS.

SSO de Active Directory y Okta

SSO de Active Directory y Okta

Si Citrix Secure Private Access Servicio está asignado a la suscripción de Citrix, se aplican directivas de seguridad mejoradas, que van desde la aplicación de marcas de agua basadas en la pantalla, la restricción de las acciones de impresión y descarga, las restricciones de captura de pantalla, la ofuscación del teclado y la protección de los usuarios de los enlaces poco fiables, se aplican a top de las aplicaciones SaaS basadas en Okta.

La siguiente animación muestra a un usuario que accede a una aplicación SaaS con Okta que proporciona SSO y está protegido con Citrix Secure Private Access.

Demostración de SSO de Okta

Esta demostración muestra un flujo de inicio de sesión inicio de sesión iniciado por el IDP en el que el usuario inicia la aplicación desde Citrix Workspace. Esta guía de PoC también admite un flujo SSO iniciado por SP en el que el usuario intenta acceder a la aplicación SaaS directamente desde su explorador preferido.

Supuestos:

  • Okta ya está configurado para proporcionar SSO a Office 365 y otras aplicaciones SaaS
  • Los usuarios pueden iniciar sesión correctamente en el portal de Okta e iniciar Office 365 y otras aplicaciones SaaS
  • Citrix Workspaces ya está configurado con Active Directory u Okta como directorio de identidad principal del usuario.

Esta guía de prueba de concepto demuestra cómo:

  1. Configuración de Citrix Workspace
  2. Integrar un directorio de usuario principal
  3. Incorporar inicio de sesión único para aplicaciones SaaS
  4. Definir directivas de filtrado de sitios web
  5. Validar la configuración

Configuración de Citrix Workspace

Los pasos iniciales para configurar el entorno son preparar Citrix Workspace para la organización, que incluye

  1. Configuración de la URL del espacio de trabajo
  2. Habilitación de los servicios apropiados

Establecer dirección URL de espacio

  1. Conéctese a Citrix Cloud e inicie sesión como su cuenta de administrador
  2. En Citrix Workspace, acceda a Configuración de Workspace desde el menú superior izquierdo
  3. En la ficha Acceso, introduzca una URL única para la organización y seleccione Habilitado

URL del espacio de trabajo

Habilitar servicios

En la pestaña Integración de servicios , habilite los siguientes servicios para respaldar el caso práctico de acceso seguro a las aplicaciones SaaS

  1. Secure Private Access
  2. Aislamiento remoto del explorador

Servicios de Workspace

Verificar

Citrix Workspace tarda unos minutos en actualizar los servicios y la configuración de URL. Desde un explorador web, compruebe que la URL personalizada del espacio de trabajo esté activa. Sin embargo, el inicio de sesión no estará disponible hasta que se defina y configure un directorio de usuarios principal.

Integración de un directorio de usuario principal

Para que los usuarios puedan autenticarse en Workspace, se debe configurar un directorio de usuarios principal. El directorio de usuarios principal es la única identidad que necesita el usuario, ya que todas las solicitudes de aplicaciones de Workspace utilizan el inicio de sesión único en identidades secundarias.

Una organización puede utilizar cualquiera de los siguientes directorios de usuario primarios

  • Active Directory (AD): Para habilitar la autenticación de Active Directory, se debe implementar un conector a la nube en el mismo centro de datos que un controlador de dominio de Active Directory siguiendo la guía de instalación de Cloud Connector.
  • Active Directory (AD) con contraseña de un solo uso: La autenticación basada en Active Directory también puede incluir la autenticación de varios factores con una contraseña de un solo uso (TOTP) basada en el tiempo. Esta guía detalla los pasos necesarios para habilitar esta opción de autenticación.
  • Azure Active Directory (AAD): Los usuarios pueden autenticarse en Citrix Workspace con una identidad de Azure Active Directory. En esta guía se proporcionan detalles sobre la configuración de esta opción.
  • Citrix Gateway: las organizaciones pueden usar un Citrix Gateway local para actuar como proveedor de identidades para Citrix Workspace. Esta guía proporciona detalles sobre la integración.
  • Google: Las organizaciones pueden usar Google como el directorio de usuarios principal de Citrix Workspace. En esta guía se proporcionan instrucciones para configurar esta opción.
  • Okta: Las organizaciones pueden usar Okta como directorio de usuarios principal de Citrix Workspace. En esta guía se proporcionan instrucciones para configurar esta opción.

Agregar Okta como proveedor de inicio de sesión único

Para integrar correctamente las aplicaciones de Okta con Citrix Workspace, el administrador debe hacer lo siguiente

  • Identificar URL de inicio de sesión SAML
  • Identificar el URI del emisor de IdP
  • Configurar proveedor de identidades SAML
  • Configurar una aplicación SaaS
  • Autorizar la aplicación SaaS
  • Configuración de redirección de IdP

Identificar URL de inicio de sesión SAML

  • Inicie sesión en Okta como administrador
  • Seleccionar aplicaciones
  • Seleccione la aplicación que quiere agregar a Citrix Workspace. En este ejemplo, se utiliza Microsoft Office 365.
  • En General, desplácese hacia abajo hasta que se encuentre el vínculo de inserción de aplicación correcto. Se utiliza como URL de inicio de sesión de SAML para Citrix Workspace.

URL de inicio de sesión SAML

Identificar el URI del emisor de IdP

  • Inicie sesión en Citrix Cloud como administrador
  • En la sección Administración de identidades y accesos, seleccione Acceso API
  • Capture el parámetro ID de cliente. Esto se utiliza para crear el URI del emisor de IdP en el formato: https://citrix.com/<customerID>

URI del emisor de IdP

Configurar proveedor de identidades SAML

Okta necesita usar Citrix Workspace como proveedor de identidades SAML, lo que hace que Okta se convierta en proveedor de servicios en la configuración SAML.

  • Inicie sesión en Okta como administrador
  • Seleccione Seguridad -> Proveedores de identidad
  • Seleccione Agregar proveedor de identidad -> Agregar IdP SAML 2.0

Configurar SAML IdP 01

  • Proporcionar un nombre
  • Para el nombre de usuario del IdP, utilice la siguiente expresión: IDPUser.User.User.username (distingue entre mayúsculas y minúsculas)
  • El partido contra debe ser Okta Nombre de usuario o correo electrónico
  • Si no se encuentra ninguna coincidencia, seleccione Redirigir a la página de inicio de sesión de Okta
  • Para el URI del emisor del IdP, utilice la URL https://citrix.com/<customerID>. CustomerID es de la sección URI del emisor de IdP

Configurar SAML IdP 02

  • Deje esta parte del proceso abierta hasta que podamos obtener la URL de inicio de sesión único y el certificado SSL de Citrix Cloud.

Configurar una aplicación SaaS

  • En Citrix Cloud, seleccione Administrar en el mosaico de Secure Private Access.

Configurar el mosaico de SPA de la aplicación SaaS

  • En el menú Acceso privado seguro, selecciona Aplicaciones
  • En la sección Aplicación, seleccione Agregar una aplicación
  • En el asistente Elegir una plantilla, seleccione Omitir
  • Debido a que se trata de una aplicación SaaS, seleccione Fuera de mi red corporativa
  • En la ventana de detalles de la aplicación, introduzca un nombre de aplicación
  • Para la URL, utilice el vínculo de inserción de aplicaciones de la sección URL de inicio de sesión de SAML de identidad
  • Las políticas de seguridad mejoradas utilizan el campo de dominios relacionados para determinar las URL que se deben proteger. Un dominio relacionado se agrega automáticamente en función de la URL introducida en el paso anterior. Ese dominio específico relacionado está asociado con el enlace de aplicación Okta. Las directivas de seguridad mejoradas requieren dominios relacionados para la aplicación real, que suele ser *.<companyID>.SaaSApp.com (como ejemplo *.citrix.slack.com)

Configurar la aplicación SaaS 02

  • Seleccionar Siguiente
  • En la ventana Single Sign-On, seleccione Descargar para capturar el certificado basado en PEM.
  • Seleccione el botón Copiar para capturar la URL de inicio de sesión

Configurar la aplicación SaaS 03

  • Vuelva a la configuración de Okta. El cuadro de diálogo Agregar proveedor de identidades aún debe estar visible
  • Para la URL de inicio de sesión único del IdP, utilice la URLde inicio de sesión de Citrix copiada del paso anterior. Debe parecerse a https://app.netscalergateway.net/ngs/<customerid>/saml/login?APPID=<appid>
  • En el certificado de firma del IdP, busque el certificado PEM descargado

Configurar la aplicación SaaS 04

  • Una vez finalizado el asistente, copie la URL del Servicio al consumidor de aserción y el URI de audiencia.

Configurar la aplicación SaaS 05

  • Vuelva a la configuración de Citrix.
  • En la ventana Single Sign-On, para la URL de aserción, utilice el elemento URL del Servicio al consumidor de aserción obtenido de la sección Proveedor de identidades SAML
  • Para la audiencia, utilice el elemento URI de audiencia obtenido de la sección Proveedor de identidades SAML.
  • El formato de ID de nombre y el ID de nombre pueden permanecer como correo electrónico. Okta utiliza la dirección de correo electrónico para asociarse con un usuario de Okta.

Configurar la aplicación SaaS 06

  • Seleccionar Siguiente
  • En la ventana Conectividad de aplicaciones, seleccione Siguiente
  • Seleccione Finalizar

Autorizar la aplicación SaaS

  • En el menú Acceso privado seguro, seleccione Políticas de acceso
  • En la sección Directivas de acceso, seleccione Crear directiva

Autorizar la aplicación SaaS 01

  • Introduzca el nombre de la directiva y una breve descripción de la directiva.
  • En el campo desplegable Aplicaciones, busque y seleccione la aplicación SaaS

Nota

Puede crear varias reglas de acceso y configurar diferentes condiciones de acceso para diferentes usuarios o grupos de usuarios dentro de una única directiva. Estas reglas se pueden aplicar por separado para las aplicaciones HTTP/HTTPS y TCP/UDP, todo ello dentro de una única directiva. Para obtener más información sobre las reglas de acceso múltiple, consulte Configurar una directiva de acceso con varias reglas.

  • Haga clic en Crear regla para crear reglas para la directiva.

Autorizar la aplicación SaaS 02

  • Introduzca el nombre de la regla y una breve descripción de la regla y haga clic en Siguiente.

Autorizar la aplicación SaaS 03

  • Agregue los usuarios/grupos apropiados que estén autorizados a iniciar la aplicación y haga clic en Siguiente.

Nota

Haga clic en + para añadir varias condiciones en función del contexto.

Autorizar la aplicación SaaS 04

  • Especifique si se puede acceder a la aplicación HTTP/HTTPS con o sin restricciones.
    La captura de pantalla anterior no tiene ninguna restricción configurada. Si se necesita una seguridad mejorada, cambie “Permitir acceso” por “Permitir acceso con restricciones”.
  • Especifique la acción de las aplicaciones TCP/UDP.
    La captura de pantalla anterior niega el acceso a las aplicaciones TCP/UDP.
  • Haga clic en Siguiente.

Autorizar la aplicación SaaS 05

  • La página Resumen muestra los detalles de la regla de directiva.
    Compruebe los detalles y haga clic en Finalizar .

Autorizar la aplicación SaaS 06

  • En el cuadro de diálogo Crear directiva, compruebe que esté marcada la casilla Habilitar directiva al guardar y haga clic en Guardar.

Configuración de redirección de IdP

Hasta ahora, la configuración admite un proceso de inicio iniciado por el IDP, en el que el usuario inicia la aplicación desde Citrix Workspace. Para habilitar un proceso iniciado por SP, en el que el usuario inicia la aplicación con una URL directa, Okta necesita que se defina una regla de enrutamiento de IdP.

  • En la consola de administración de Okta, seleccione Seguridad - Proveedores de identidad
  • Seleccionar reglas de redirección
  • Seleccionar Agregar regla de redirección
  • Proporcione un nombre de regla
  • Para la opción Usar este proveedor de identidades, seleccione el proveedor de identidades Citrix creado anteriormente

Regla de redirección del proveedor de identidades de Okta

  • Seleccione Activar

*Nota: Durante la configuración, es posible que el administrador de Okta no pueda iniciar sesión en la consola de administración de Okta porque la configuración SAML entrante está incompleta. Si esto ocurre, el administrador puede eludir la regla de enrutamiento del IdP accediendo al entorno de Okta con la siguiente dirección: https://companyname.okta.com/login/default*

Validar

Validación iniciada por IDP

  • Inicie sesión en Citrix Workspace como usuario
  • Seleccione la aplicación SaaS configurada
  • Observe que aparece brevemente el proceso de inicio de sesión de Okta
  • La aplicación SaaS se inicia con éxito

Validación iniciada por SP

  • Iniciar un explorador
  • Vaya a la URL definida por la empresa para la aplicación SaaS
  • El explorador web redirige a Okta y, a continuación, a Citrix Workspace para la autenticación.
  • Una vez que el usuario se autentica con el directorio de usuario principal, la aplicación SaaS se inicia con Okta proporcionando inicio de sesión único

Definir sitios web no autorizados

Los sitios web no autorizados son las aplicaciones que no están configuradas en la configuración de Secure Private Access, pero a las que se puede acceder desde Citrix Enterprise Browser. Puede configurar reglas para estos sitios web no autorizados. Por ejemplo, un enlace dentro de una aplicación SaaS puede apuntar a un sitio web malicioso. Con estas reglas, un administrador puede tomar una URL específica de un sitio web o una categoría de sitio web y permitir el acceso, bloquear el acceso o redirigir la solicitud a una instancia de explorador web alojada y segura, lo que ayuda a prevenir los ataques por explorador web.

  • Desde Citrix Cloud, administre dentro del mosaico Secure Private Access

Citrix Secure Private Access 1

  • Si se siguió esta guía, se completaron los pasos Configurar la autenticación del usuario final y Configurar el acceso del usuario final a las aplicaciones SaaS, web y virtuales.
  • En el menú Acceso privado seguro, selecciona Configuración
  • En la sección Configuración, selecciona Sitios web no autorizados
  • Seleccione Modificar
  • Habilite la opción Filtrar listas de sitios web.

Citrix Secure Private Access 2

  • Haga clic en Agregar en la sección correspondiente para bloquear sitios web, permitir sitios web o redirigir al usuario a un navegador seguro (aislamiento remoto del navegador)
  • Por ejemplo, para bloquear sitios web en la sección de categorías bloqueadas, haz clic en Agregar
  • Introduzca un sitio web al que los usuarios no puedan acceder y haga clic en Agregar
  • Haga clic en Guardar para que los cambios surtan efecto

Validar la configuración

Validación iniciada por IDP

  • Inicie sesión en Citrix Workspace como usuario
  • Seleccione la aplicación SaaS configurada. Si la seguridad mejorada está inhabilitada, la aplicación se inicia en el explorador web local. De lo contrario, se utiliza el explorador web empresarial.
  • El usuario inicia sesión automáticamente en la aplicación
  • Se aplican las directivas de seguridad mejoradas adecuadas
  • Si está configurado, seleccione una URL dentro de la aplicación SaaS que se encuentre en las categorías bloqueadas, permitidas y redirigidas
  • Si está configurado, seleccione una URL dentro de la aplicación SaaS que esté en las URL bloqueadas, permitidas y redirigidas
  • La aplicación SaaS se inicia con éxito

Validación iniciada por SP

  • Iniciar un explorador
  • Vaya a la URL definida por la empresa para la aplicación SaaS
  • El explorador dirige el explorador a Citrix Workspace para su autenticación
  • Una vez que el usuario se autentica con el directorio de usuario principal, la aplicación SaaS se inicia en el explorador local si la seguridad mejorada está inhabilitada. Si se habilita la seguridad mejorada, una instancia de Explorador seguro inicia la aplicación SaaS

Solución de problemas

Falla de directivas de seguridad mejoradas

Los usuarios pueden experimentar errores si se mejoran las directivas de seguridad (marcas de agua, impresión o acceso al portapapeles). Normalmente, esto sucede porque la aplicación SaaS utiliza varios nombres de dominio. Dentro de los ajustes de configuración de la aplicación SaaS, había una entrada para Dominios Relacionados.

Configurar la aplicación SaaS 02

Las directivas de seguridad mejoradas se aplican a los dominios relacionados. Para identificar nombres de dominio que faltan, un administrador puede acceder a la aplicación SaaS con un explorador local y hacer lo siguiente:

  • Vaya a la sección de la aplicación en la que fallan las directivas
  • En Google Chrome y Microsoft Edge (versión Chromium), selecciona los tres puntos en la parte superior derecha del explorador para mostrar una pantalla de menú.
  • Seleccione Más herramientas.
  • Seleccionar herramientas de desarrollador
  • Dentro de las herramientas de desarrollador, seleccione Fuentes. Esto proporciona una lista de nombres de dominio de acceso para esa sección de la aplicación. Para habilitar las directivas de seguridad mejoradas para esta parte de la aplicación, esos nombres de dominio deben introducirse en el campo dominios relacionados dentro de la configuración de la aplicación. Los dominios relacionados deben agregarse de la siguiente manera *.domain.com

Solución de problemas de seguridad mejorada 01