Prueba de concepto: Acceso seguro a aplicaciones SaaS con Okta y Citrix Secure Workspace Access

Información general

A medida que los usuarios consumen más aplicaciones basadas en SaaS, las organizaciones deben poder unificar todas las aplicaciones sancionadas, simplificar las operaciones de inicio de sesión de los usuarios y, al mismo tiempo, aplicar los estándares de autenticación. Las organizaciones deben poder proteger estas aplicaciones aunque existan más allá de los límites del centro de datos. Citrix Workspace proporciona a las organizaciones acceso seguro a las aplicaciones SaaS.

En este caso, un usuario se autentica en Citrix Workspace mediante Active Directory u Okta como directorio de usuario principal. Okta también proporciona servicios de inicio de sesión único para un conjunto definido de aplicaciones SaaS.

Active Directory y Okta SSO

Active Directory y Okta SSO

Si el servicio Citrix Secure Workspace Access está asignado a la suscripción de Citrix, se aplican directivas de seguridad mejoradas, que van desde la aplicación de marcas de agua basadas en pantalla, la restricción de acciones de impresión/descarga, las restricciones de captura de pantalla, la ofuscación del teclado y la protección de los usuarios de vínculos poco confiables. en la parte superior de las aplicaciones SaaS basadas en Okta.

La siguiente animación muestra a un usuario que accede a una aplicación SaaS con Okta proporcionando SSO y protegido con Citrix Secure Workspace Access.

Demostración de SSO Okta

Esta demostración muestra un flujo de inicio de sesión inicio de sesión iniciado por el IDP en el que el usuario inicia la aplicación desde Citrix Workspace. Esta guía de PoC también admite un flujo SSO iniciado por SP en el que el usuario intenta acceder a la aplicación SaaS directamente desde su explorador preferido.

Supuestos:

  • Okta ya está configurado para proporcionar SSO a Office 365 y otras aplicaciones SaaS
  • Los usuarios pueden iniciar sesión correctamente en el portal de Okta e iniciar Office 365 y otras aplicaciones SaaS
  • Citrix Workspaces ya está configurado con Active Directory u Okta como directorio de identidad principal del usuario.

Esta guía de prueba de concepto demuestra cómo:

  1. Configuración de Citrix Workspace
  2. Integrar un directorio de usuario principal
  3. Incorporar inicio de sesión único para aplicaciones SaaS
  4. Definir directivas de filtrado de sitios web
  5. Validar la configuración

Configuración de Citrix Workspace

Los pasos iniciales para configurar el entorno son preparar Citrix Workspace para la organización, que incluye

  1. Configuración de la URL del espacio de trabajo
  2. Habilitación de los servicios apropiados

Establecer dirección URL de espacio

  1. Conéctese Citrix Cloud a su cuenta de administrador e inicie sesión como
  2. En Citrix Workspace, acceda a Configuración de Workspace desde el menú superior izquierdo
  3. En la ficha Acceso, introduzca una URL única para la organización y seleccione Habilitado

![URL del área]de trabajo(/en-us/tech-zone/learn/media/poc-guides_access-control-okta-sso_workspace-config-001.png)

Habilitar servicios

Desde la ficha Integración de servicios, habilite los siguientes servicios para admitir el acceso seguro a las aplicaciones SaaS caso de uso

  1. Puerta de enlace
  2. Secure Browser Service

Servicios de Workspace

Verificar

Citrix Workspace tarda unos minutos en actualizar los servicios y la configuración de URL. Desde un explorador, compruebe que la URL personalizada del espacio de trabajo está activa. Sin embargo, el inicio de sesión no estará disponible hasta que se defina y configure un directorio de usuario principal.

Integración de un directorio de usuario principal

Antes de que los usuarios puedan autenticarse en Workspace, directorio de usuario principal debe configurarse un. El directorio de usuario principal es la única identidad que necesita el usuario, ya que todas las solicitudes de aplicaciones dentro de Workspace utilizan el inicio de sesión único en identidades secundarias.

Una organización puede utilizar cualquiera de los siguientes directorios de usuario primarios

  • Active Directory: Para habilitar la autenticación de Active Directory, se debe implementar un conector en la nube en el mismo centro de datos que un controlador de dominio de Active Directory siguiendo la Instalación de Cloud Connector guía.
  • Active Directory con contraseña de una sola vez basada en tiempo: La autenticación basada en Active Directory también puede incluir autenticación multifactor con una contraseña de una sola vez basada en tiempo (TOTP). Esto guía detalla los pasos necesarios para habilitar esta opción de autenticación.
  • Azure Active Directory: Los usuarios pueden autenticarse en Citrix Workspace con una identidad de Azure Active Directory. Esto guía proporciona detalles sobre la configuración de esta opción.
  • Citrix Gateway: Las organizaciones pueden utilizar un Citrix Gateway local para actuar como proveedor de identidades para Citrix Workspace. Esto guía proporciona detalles sobre la integración.
  • Okta: Las organizaciones pueden usar Okta como directorio de usuario principal para Citrix Workspace. Esto guía proporciona instrucciones para configurar esta opción.

Agregar Okta como proveedor de inicio de sesión único

Para integrar correctamente las aplicaciones de Okta con Citrix Workspace, el administrador debe hacer lo siguiente

  • Identificar URL de inicio de sesión SAML
  • Identificar el URI del emisor de IdP
  • Configurar proveedor de identidades SAML
  • Configurar la aplicación SaaS
  • Autorizar la aplicación SaaS
  • Configuración de redirección de IdP

Identificar URL de inicio de sesión SAML

  • Inicie sesión en Okta como administrador
  • Seleccionar aplicaciones
  • Seleccione la aplicación que quiere agregar a Citrix Workspace. En este ejemplo, se utiliza Microsoft Office 365.
  • En General, desplácese hacia abajo hasta que se encuentre el vínculo de inserción de aplicación correcto. Se utiliza como URL de inicio de sesión de SAML para Citrix Workspace.

URL de inicio de sesión de SAML

Identificar el URI del emisor de IdP

  • Inicie sesión en Citrix Cloud como administrador
  • En la sección Administración de identidades y accesos, seleccione Acceso API
  • Capture el parámetro ID de cliente. Esto se utiliza para crear el URI del emisor de IdP en el formato: https://citrix.com/<customerID>

URI del emisor de IdP

Configurar proveedor de identidades SAML

Okta necesita usar Citrix Workspace como proveedor de identidades SAML, lo que hace que Okta se convierta en proveedor de servicios en la configuración SAML.

  • Inicie sesión en Okta como administrador
  • Seleccione Seguridad -> Proveedores de identidad
  • Seleccione Agregar proveedor de identidad -> Agregar IdP SAML 2.0

Configurar IdP de SAML 01

  • Proporcionar un nombre
  • Para IdP UserName, utilice la siguiente expresión: idpuser.userName (esto distingue entre mayúsculas y minúsculas)
  • El partido contra debe ser Okta Nombre de usuario o correo electrónico
  • Si no se encuentra ninguna coincidencia, seleccione Redirigir a la página de inicio de sesión de Okta
  • Para el URI del emisor del IdP, utilice la URL https://citrix.com/<customerID>. CustomerID es de la sección URI del emisor de IdP

Configurar IdP de SAML 02

  • Deje esta parte del proceso abierta hasta que podamos obtener la URL de inicio de sesión único y el certificado SSL de Citrix Cloud.

Configurar la aplicación SaaS

  • En Citrix cloud, seleccione Administrar en el icono Gateway.

Configuración de la aplicación SaaS 01

  • Seleccione Agregar una aplicación web/SaaS
  • En el asistente Elegir una plantilla, seleccione Omitir
  • Debido a que se trata de una aplicación SaaS, seleccione Fuera de mi red corporativa
  • En la ventana Detalles de la aplicación, proporcione un nombre para la aplicación
  • Para la URL, utilice el vínculo de inserción de aplicaciones de la sección URL de inicio de sesión de SAML de identidad
  • Las directivas de seguridad mejoradas utilizan el campo Dominios relacionados para determinar las direcciones URL que se deben proteger. Un dominio relacionado se agrega automáticamente en función de la URL introducida en el paso anterior. Ese dominio específico relacionado está asociado con el enlace de aplicación Okta. Las directivas de seguridad mejoradas requieren dominios relacionados para la aplicación real, que suele ser *.<companyID>.SaaSApp.com (como ejemplo *.citrix.slack.com)

Configuración de la aplicación SaaS 02

  • En la ventana Seguridad mejorada, seleccione las directivas de seguridad adecuadas para el entorno
  • En la ventana Inicio de sesión único, seleccione Descargar para capturar el certificado basado en PEM.
  • Seleccione el botón Copiar para capturar la URL de inicio de sesión

Configuración de la aplicación SaaS 03

  • Vuelva a la configuración de Okta. El cuadro de diálogo Agregar proveedor de identidades aún debe estar visible
  • Para la URL de inicio de sesión único del IdP, utilice la URLde inicio de sesión de Citrix copiada del paso anterior. Debe parecerse a https://app.netscalergateway.net/ngs/<customerid>/saml/login?APPID=2347894324327
  • En el certificado de firma de IdP, las cejas para el certificado PEM descargado

Configuración de la aplicación SaaS 04

  • Una vez finalizado el asistente, copie la URL del Servicio al consumidor de aserción y el URI de audiencia.

Configuración de la aplicación SaaS 05

  • Vuelva a la configuración de Citrix.
  • En la ventana Single Sign-On, para la URL de aserción, utilice el elemento URLdel Servicio al consumidor de aserción obtenido de la sección Proveedor de identidades SAML
  • Para la audiencia, utilice el elemento URI de audiencia obtenido de la sección Proveedor de identidades SAML.
  • El formato de ID de nombre y el ID de nombre pueden permanecer como correo electrónico. Okta utiliza la dirección de correo electrónico para asociarse con un usuario de Okta.

Configuración de la aplicación SaaS 06

  • Seleccione Guardar
  • Seleccione Finalizar

Autorizar la aplicación SaaS

  • En Citrix Cloud, seleccione Biblioteca en el menú

Autorizar aplicación SaaS 01

  • Busque la aplicación SaaS y seleccione Administrar suscriptores
  • Agregue los usuarios/grupos apropiados que estén autorizados para iniciar la aplicación

Autorizar aplicación SaaS 02

Configuración de redirección de IdP

Hasta ahora, la configuración admite un proceso de inicio iniciado por el IDP, en el que el usuario inicia la aplicación desde Citrix Workspace. Para habilitar un proceso iniciado por SP, donde el usuario inicia la aplicación con URL directa, Okta necesita una regla de redirección de IdP definida.

  • En la consola de administración de Okta, seleccione Seguridad - Proveedores de identidad
  • Seleccionar reglas de redirección
  • Seleccionar Agregar regla de redirección
  • Proporcionar un nombre para la regla
  • Para la opción Usar este proveedor de identidades, seleccione el proveedor de identidades Citrix creado anteriormente

Regla de redirección del proveedor de identidad Okta

  • Seleccione Activar

*Nota: Durante la configuración, es posible que el administrador de Okta no pueda iniciar sesión en la consola de administración de Okta porque la configuración SAML entrante está incompleta. Si esto sucede, el administrador puede omitir la regla de redirección del IdP accediendo al entorno de Okta con la siguiente dirección: https://companyname.okta.com/login/default*

Validar

Validación iniciada por IDP

  • Inicie sesión en Citrix Workspace como usuario
  • Seleccione la aplicación SaaS configurada
  • Observe que aparece brevemente el proceso de inicio de sesión de Okta
  • La aplicación SaaS se inicia con éxito

Validación iniciada por SP

  • Iniciar un explorador
  • Vaya a la URL definida por la empresa para la aplicación SaaS
  • El explorador redirige a Okta y luego a Citrix Workspace para la autenticación
  • Una vez que el usuario se autentica con el directorio de usuario principal, la aplicación SaaS se inicia con Okta proporcionando inicio de sesión único

Definir directivas de filtrado de sitios web

El servicio Citrix Secure Workspace Access proporciona filtrado de sitios web dentro de SaaS y aplicaciones web para ayudar a proteger al usuario de ataques de phishing. A continuación se muestra cómo configurar directivas de filtrado de sitios web.

  • Desde Citrix Cloud, administre dentro del mosaico Secure Workspace Access

Citrix Secure Workspace Access 1

  • Si se siguió esta guía el paso Configurar autenticación de usuario final y los pasos Configurar el acceso de usuario final a SaaS, los pasos de aplicaciones web y virtuales están completos. Seleccione Configurar acceso al contenido
  • Seleccione Modificar
  • Habilitar la opción Filtrar categorías de sitios web
  • En el cuadro Categorías bloqueadas, seleccione Agregar
  • Seleccione las categorías para impedir que los usuarios accedan

Citrix Secure Workspace Access 2

  • Cuando se seleccionan todas las categorías aplicables, seleccione Agregar

Citrix Secure Workspace Access 3

  • Haga lo mismo para las categorías permitidas
  • Haga lo mismo para las categorías redirigidas. Estas categorías se redirigen a una instancia de Secure Browser
  • Si es necesario, los administradores pueden filtrar acciones denegadas, permitidas y redirigidas para direcciones URL específicas siguiendo el mismo proceso que se utilizó para definir categorías. Las URL de sitios web tienen prioridad sobre las categorías.

Validar la configuración

Validación iniciada por IDP

  • Inicie sesión en Citrix Workspace como usuario
  • Seleccione la aplicación SaaS configurada. Si la seguridad mejorada está inhabilitada, la aplicación se inicia dentro del explorador local; de lo contrario, se utilizará el explorador incrustado
  • El usuario inicia sesión automáticamente en la aplicación
  • Se aplican las directivas de seguridad mejoradas adecuadas
  • Si está configurado, seleccione una URL dentro de la aplicación SaaS que se encuentre en las categorías bloqueadas, permitidas y redirigidas
  • Si está configurado, seleccione una URL dentro de la aplicación SaaS que esté en las URL bloqueadas, permitidas y redirigidas
  • La aplicación SaaS se inicia con éxito

Validación iniciada por SP

  • Iniciar un explorador
  • Vaya a la URL definida por la empresa para la aplicación SaaS
  • El explorador dirige el explorador a Citrix Workspace para su autenticación
  • Una vez que el usuario se autentica con el directorio de usuario principal, la aplicación SaaS se inicia en el explorador local si la seguridad mejorada está inhabilitada. Si se habilita la seguridad mejorada, una instancia de Explorador seguro inicia la aplicación SaaS

Solución de problemas

Falla de directivas de seguridad mejoradas

Los usuarios pueden experimentar un error en las directivas de seguridad mejoradas (acceso a marcas de agua, impresión o portapapeles). Normalmente, esto sucede porque la aplicación SaaS utiliza varios nombres de dominio. Dentro de los ajustes de configuración de la aplicación SaaS, había una entrada para Dominios Relacionados.

Configuración de la aplicación SaaS 02

Las directivas de seguridad mejoradas se aplican a esos dominios relacionados. Para identificar nombres de dominio que faltan, un administrador puede acceder a la aplicación SaaS con un explorador local y hacer lo siguiente:

  • Vaya a la sección de la aplicación en la que fallan las directivas
  • En Google Chrome y Microsoft Edge (versión Chromium), selecciona los tres puntos en la parte superior derecha del explorador para mostrar una pantalla de menú.
  • Seleccione Más herramientas.
  • Seleccionar herramientas de desarrollador
  • Dentro de las herramientas de desarrollador, seleccione Fuentes. Esto proporciona una lista de nombres de dominio de acceso para esa sección de la aplicación. Para habilitar las directivas de seguridad mejoradas para esta parte de la aplicación, esos nombres de dominio deben introducirse en el campo dominios relacionados dentro de la configuración de la aplicación. Los dominios relacionados deben agregarse de la siguiente manera *.domain.com

Solución de problemas de seguridad mejorada 01