Prueba de concepto: Acceso seguro a aplicaciones web internas con Citrix Secure Workspace Access

Información general

Con el trabajo remoto, los usuarios necesitan acceso a aplicaciones internas basadas en web. Proporcionar una mejor experiencia significa evitar un modelo de implementación de VPN, lo que a menudo resulta en los siguientes desafíos:

• Riesgo de VPN 1: Son difíciles de instalar y configurar
• Risk de VPN 2: Requerir que los usuarios instalen software VPN en dispositivos de punto final, lo que podría utilizar un sistema operativo no compatible
• Risk VPN 3: Requiere la configuración de directivas complejas para evitar que un dispositivo de dispositivo de punto final que no sea de confianza tenga acceso sin restricciones a la red corporativa, los recursos y los datos.
• Riesgo de VPN 4: Difícil mantener sincronizadas las directivas de seguridad entre la infraestructura VPN y la infraestructura local.

Para mejorar la experiencia general del usuario, las organizaciones deben poder unificar todas las aplicaciones sancionadas, simplificar las operaciones de inicio de sesión de los usuarios y, al mismo tiempo, aplicar los estándares de autenticación.

Las organizaciones deben poder ofrecer y proteger aplicaciones SaaS, web, Windows, Linux y escritorios aunque algunos de estos recursos existan más allá de los límites del centro de datos y puedan acceder a recursos fuera del centro de datos. Citrix Workspace proporciona a las organizaciones acceso seguro y sin VPN a recursos autorizados por el usuario.

En este caso de prueba de concepto, un usuario se autentica en Citrix Workspace mediante Active Directory, Azure Active Directory, Okta, Google o Citrix Gateway como directorio de usuario principal. Citrix Workspace proporciona servicios de inicio de sesión único para un conjunto definido de aplicaciones web empresariales.

Si el servicio Citrix Secure Workspace Access está asignado a la suscripción de Citrix, se aplican directivas de seguridad mejoradas, que van desde la aplicación de marcas de agua basadas en pantalla, la restricción de acciones de impresión/descarga, las restricciones de captura de pantalla, la ofuscación del teclado y la protección de los usuarios de vínculos poco confiables. en la parte superior de las aplicaciones web.

La animación muestra que un usuario accede a una aplicación web con SSO proporcionado por Citrix y protegido con el servicio Citrix Secure Workspace Access.

Esta demostración muestra un flujo en el que el usuario inicia la aplicación desde Citrix Workspace, que utiliza la conexión sin VPN al centro de datos. Dado que el usuario accede a una aplicación web interna desde un dispositivo externo, la solicitud de acceso debe provenir de Citrix Workspace.

Esta guía de prueba de concepto demuestra cómo:

1. Configuración de Citrix Workspace
2. Integrar un directorio de usuario principal
3. Incorporar inicio de sesión único para Outlook Web Access, que se encuentra dentro del centro de datos
4. Definir directivas de filtrado de sitios web
5. Validar la configuración

Configuración de Citrix Workspace

Los pasos iniciales para configurar el entorno son preparar Citrix Workspace para la organización, que incluye

1. Configuración de la URL del espacio de trabajo
2. Habilitación de los servicios apropiados

Establecer dirección URL de espacio

1. Conéctese Nube Citrix a su cuenta de administrador e inicie sesión como
2. En Citrix Workspace, acceda a Configuración de Workspace desde el menú superior izquierdo
3. En la ficha Acceso, introduzca una URL única para la organización y seleccione Habilitado

![URL del área]de trabajo(/en-us/tech-zone/learn/media/poc-guides_access-control-web-citrix-sso_workspace-config-001.png)

Habilitar servicios

En la ficha Integración de servicios, habilite los siguientes servicios para admitir el acceso seguro a aplicaciones web

1. Puerta de enlace
2. Secure Browser Service

Verificar

Citrix Workspace tarda unos minutos en actualizar los servicios y la configuración de URL. Desde un explorador, compruebe que la URL personalizada del espacio de trabajo está activa. Sin embargo, el inicio de sesión no está disponible hasta que se define y configura un directorio de usuario principal.

Integración de un directorio de usuario principal

Antes de que los usuarios puedan autenticarse en Workspace, directorio de usuario principal debe configurarse un. El directorio de usuario principal es la única identidad que necesita el usuario, ya que todas las solicitudes de aplicaciones dentro de Workspace utilizan el inicio de sesión único en identidades secundarias.

Una organización puede utilizar cualquiera de los siguientes directorios de usuario primarios

• Active Directory: Para habilitar la autenticación de Active Directory, se debe implementar un conector en la nube en el mismo centro de datos que un controlador de dominio de Active Directory siguiendo la Instalación de Cloud Connector guía.
• Active Directory con contraseña de una sola vez basada en tiempo: La autenticación basada en Active Directory también puede incluir autenticación multifactor con una contraseña de una sola vez basada en tiempo (TOTP). Esto guía detalla los pasos necesarios para habilitar esta opción de autenticación.
• Azure Active Directory: Los usuarios pueden autenticarse en Citrix Workspace con una identidad de Azure Active Directory. Esto guía proporciona detalles sobre la configuración de esta opción.
• Citrix Gateway: Las organizaciones pueden utilizar un Citrix Gateway local para actuar como proveedor de identidades para Citrix Workspace. Esto guía proporciona detalles sobre la integración.
• Okta: Las organizaciones pueden usar Okta como directorio de usuario principal para Citrix Workspace. Esto guía proporciona instrucciones para configurar esta opción.

Configurar el inicio de sesión único

Para integrar correctamente aplicaciones web con Citrix Workspace, el administrador debe hacer lo siguiente

• Implementar conector de gateway
• Configurar la aplicación web
• Autorizar aplicación web

Implementar conector de gateway

• En Citrix cloud, seleccione Ubicaciones de recursos en la barra de menús.

• Dentro de la ubicación de recursos asociada al sitio que contiene la aplicación web, seleccione Conectores de puertade enlace
• Seleccione Agregar un conector de puertade enlace
• Descargue la imagen asociada con el hipervisor apropiado. Deje abierta esta ventana del explorador
• Una vez descargada, importe la imagen al hipervisor
• Cuando se inicia la imagen, proporcionará la URL que se utilizará para acceder a la consola

• Inicie sesión en el Conector y cambie la contraseña de administrador y establezca la dirección IP de red
• Para proporcionar inicio de sesión único para ciertas aplicaciones locales (SharePoint, por ejemplo), configure una cuenta para realizar la delegación restringida de Kerberos
• Vuelva a la ventana del explorador que descargó la imagen Connector. Seleccione Obtener código de activación

• Agregue el código de activación a la pantalla de configuración del Conector de puerta de enlace local. Si se hace correctamente, el conector de puerta de enlace muestra una conexión establecida con el servicio Citrix Gateway.

Configurar la aplicación web

• En Citrix cloud, seleccione Administrar en el icono Gateway.

• Seleccione Agregar una aplicación web/SaaS
• En el asistente Elegir una plantilla, seleccione Omitir

• En la ventana Detalles de la aplicación, seleccione Dentro de mi red corporativa
• Proporcionar un nombre para la aplicación
• Introduzca la dirección URL de la aplicación web
• Agregar dominios relacionados adicionales según sea necesario para la aplicación web
• Agregar un icono específico de la aplicación si es necesario

Nota: Las directivas de seguridad mejoradas utilizan el campo Dominios relacionados para determinar las URL que se deben proteger. Un dominio relacionado se agrega automáticamente en función de la URL del paso anterior. Las directivas de seguridad mejoradas requieren dominios relacionados para la aplicación. Si la aplicación utiliza varios nombres de dominio, cada uno debe agregarse al campo dominios relacionados, que suele ser *.<companyID>.company.com (como ejemplo *.mail.citrix.com)

• En la ventana Seguridad mejorada, seleccione las directivas de seguridad adecuadas para el entorno
• Seleccionar Siguiente

• Seleccione la ubicación de recursos adecuada que aloja la aplicación web. Si un conector de puerta de enlace no se instaló y configuró previamente, debe hacerse ahora.
• Seleccionar Siguiente

• En la ventana Inicio de sesión único, seleccione la opción de inicio de sesión único adecuada para la aplicación web. Esto a menudo requiere ayuda del propietario de la aplicación web. Para OWA, seleccione Basado en formularios
• Introduzca la información adecuada para el formulario de inicio de sesión de la aplicación web. Esto es específico de la aplicación

• Seleccione Guardar
• Seleccione Finalizar

Autorizar la aplicación web

• En Citrix cloud, seleccione Biblioteca en el menú

• Busque la aplicación web y seleccione Administrar suscriptores
• Agregue los usuarios/grupos apropiados que estén autorizados para iniciar la aplicación

Validar

Validación iniciada por IDP

• Inicie sesión en Citrix Workspace como usuario
• Seleccione la aplicación web configurada
• La aplicación web se inicia correctamente

Validación iniciada por SP

• El acceso a las aplicaciones web internas debe iniciarse desde Citrix Workspace

Definir directivas de filtrado de sitios web

El servicio Citrix Secure Workspace Access proporciona filtrado de sitios web dentro de SaaS y aplicaciones web para ayudar a proteger al usuario de ataques de phishing. A continuación se muestra cómo configurar directivas de filtrado de sitios web.

• Desde Citrix cloud, Administrar en el mosaico Secure Workspace Access

• Si se siguió esta guía, el paso Configurar autenticación de usuario final y los pasos Configurar el acceso de usuario final a SaaS, web y aplicaciones virtuales están completados. Seleccione Configurar acceso al contenido
• Seleccione Modificar
• Habilitar la opción Filtrar categorías de sitios web
• En el cuadro Categorías bloqueadas, selecciona Agregar
• Seleccione las categorías para impedir que los usuarios accedan

• Cuando se seleccionan todas las categorías aplicables, seleccione Agregar

• Haga lo mismo para las categorías permitidas
• Haga lo mismo para las categorías redirigidas. Estas categorías se redirigen a una instancia de Secure Browser
• Si es necesario, los administradores pueden filtrar acciones denegadas, permitidas y redirigidas para direcciones URL específicas siguiendo el mismo proceso que se utilizó para definir categorías. Las URL de sitios web tienen prioridad sobre las categorías.

Validar la configuración

Validación iniciada por IDP

• Inicie sesión en Citrix Workspace como usuario
• Seleccione la aplicación web configurada. La aplicación se inicia dentro del explorador incrustado.
• El usuario inicia sesión automáticamente en la aplicación
• Se aplican las directivas de seguridad mejoradas adecuadas
• Si está configurado, seleccione una URL dentro de la aplicación web que se encuentre en las categorías bloqueadas, permitidas y redirigidas
• Si está configurado, seleccione una URL dentro de la aplicación web que esté en las URL bloqueadas, permitidas y redirigidas

Validación iniciada por SP

• El acceso a las aplicaciones web internas debe iniciarse desde Citrix Workspace

Ejemplos de configuración de aplicaciones web

OWA

La configuración de SSO para Outlook Web Access es la siguiente:

SharePoint

Una implementación local para SharePoint puede admitir diferentes tipos de autenticación (Kerberos, basada en formularios y SAML). La configuración de SSO para un sitio interno de SharePoint que utiliza Kerberos es la siguiente:

Solución de problemas

Falla de directivas de seguridad mejoradas

Los usuarios pueden experimentar un error en las directivas de seguridad mejoradas (marca de agua, impresión o acceso al portapapeles). Normalmente, esto sucede porque la aplicación web utiliza varios nombres de dominio. Dentro de la configuración de la aplicación para la aplicación web, había una entrada para Dominios Relacionados.

Las directivas de seguridad mejoradas se aplican a esos dominios relacionados. Para identificar nombres de dominio que faltan, un administrador puede acceder a la aplicación web con un explorador local y hacer lo siguiente:

• Vaya a la sección de la aplicación en la que fallan las directivas
• En Google Chrome y Microsoft Edge (versión Chromium), selecciona los tres puntos en la parte superior derecha del explorador para mostrar una pantalla de menú.
• Seleccione Más herramientas.
• Seleccionar herramientas de desarrollador
• Dentro de las herramientas de desarrollador, seleccione Fuentes. Esto proporciona una lista de nombres de dominio de acceso para esa sección de la aplicación. Para habilitar las directivas de seguridad mejoradas para esta parte de la aplicación, esos nombres de dominio deben introducirse en el campo dominios relacionados dentro de la configuración de la aplicación. Los dominios relacionados se agregan como los siguientes *.domain.com