Guía de PoC: acceso adaptativo a aplicaciones web privadas y SaaS

Información general

A medida que los usuarios consumen más aplicaciones basadas en SaaS, las organizaciones deben unificar todas las aplicaciones sancionadas y simplificar las operaciones de inicio de sesión de los usuarios y, al mismo tiempo Las organizaciones deben poder proteger estas aplicaciones aunque existan más allá de los límites del centro de datos. Citrix Workspace proporciona a las organizaciones acceso seguro a las aplicaciones SaaS.

En este caso, un usuario se autentica en Citrix Workspace mediante Active Directory, Azure Active Directory, Okta, Google o Citrix Gateway como directorio de usuario principal. Citrix Workspace proporciona servicios de inicio de sesión único para un conjunto definido de aplicaciones SaaS.

Descripción general del inicio de sesión único

Si el servicio Citrix Secure Private Access está asignado a la suscripción de Citrix, se aplican políticas de seguridad mejoradas, que van desde la aplicación de marcas de agua basadas en pantalla, la restricción de las acciones de impresión y descarga, las restricciones de captura de pantalla, la ofuscación del teclado y la protección de los usuarios de enlaces no fiables en parte superior de las aplicaciones SaaS.

La siguiente animación muestra a un usuario que accede a una aplicación SaaS con Citrix que proporciona SSO y está protegido con Citrix Secure Private Access.

Demostración de Citrix SSO

Esta demostración muestra un flujo de SSO iniciado por un proveedor de identidades en el que el usuario inicia la aplicación en Citrix Workspace. Esta guía de PoC también admite un flujo SSO iniciado por SP en el que el usuario intenta acceder a la aplicación SaaS directamente desde su explorador preferido. Además, esta guía demuestra el uso de políticas de Adaptive Access para proporcionar acceso condicional en función de condiciones como el rol del usuario, la ubicación de la red o la postura del dispositivo.

Esta guía de prueba de concepto demuestra cómo:

  1. Configuración de Citrix Workspace
  2. Integrar un directorio de usuario principal
  3. Incorporar inicio de sesión único para aplicaciones SaaS
  4. Validar la configuración
  5. Configurar y validar Adaptive Access

Configuración de Citrix Workspace

Los pasos iniciales para configurar el entorno son preparar Citrix Workspace para la organización, que incluye

Establecer dirección URL de espacio

  1. Conéctese a Citrix Cloud e inicie sesión como su cuenta de administrador
  2. En Citrix Workspace, acceda a Configuración de Workspace desde el menú superior izquierdo
  3. En la ficha Acceso, introduzca una URL única para la organización y seleccione Habilitado

URL del espacio de trabajo

Verificar

Citrix Workspace tarda unos minutos en actualizar los servicios y la configuración de URL. Desde un explorador, compruebe que la URL personalizada del espacio de trabajo está activa. Sin embargo, el inicio de sesión no está disponible hasta que se define y configura un directorio de usuario principal.

Integración de un directorio de usuario principal

Para que los usuarios puedan autenticarse en Workspace, se debe configurar un directorio de usuarios principal . El directorio de usuarios principal es la única identidad que necesita el usuario, ya que todas las solicitudes de aplicaciones dentro de Workspace utilizan el inicio de sesión único para identidades secundarias.

Una organización puede utilizar cualquiera de los siguientes directorios de usuario primarios

  • Active Directory: para habilitar la autenticación de Active Directory, se debe implementar un conector de nube en el mismo centro de datos que un controlador de dominio de Active Directory siguiendo la guía de instalación de Cloud Connector .
  • Active Directory con contraseña de un solo uso basada en tiempo: la autenticación basada en Active Directory también puede incluir autenticación multifactor con una contraseña de un solo uso basada en tiempo (TOTP). Esta guía detalla los pasos necesarios para habilitar esta opción de autenticación.
  • Azure Active Directory: los usuarios pueden autenticarse en Citrix Workspace con una identidad de Azure Active Directory. En esta guía se proporcionan detalles sobre la configuración de esta opción.
  • Citrix Gateway: las organizaciones pueden utilizar un Citrix Gateway local para que actúe como proveedor de identidad para Citrix Workspace. Esta guía proporciona detalles sobre la integración.
  • Okta: Las organizaciones pueden usar Okta como directorio de usuarios principal de Citrix Workspace. En esta guía se proporcionan instrucciones para configurar esta opción.
  • SAML 2.0: las organizaciones pueden usar el proveedor SAML 2.0 de su elección con su Active Directory (AD) local. En esta guía se proporcionan instrucciones para configurar esta opción.

Configurar el inicio de sesión único

Para integrar correctamente aplicaciones SaaS con Citrix Workspace, el administrador debe hacer lo siguiente

  • Configurar la aplicación SaaS
  • Autorizar la aplicación SaaS

Configurar la aplicación SaaS

  • En Citrix Workspace, seleccione Administrar en el mosaico Acceso privado seguro.
  • Seleccionar aplicaciones
  • Selecciona Agregar una aplicación
  • En el asistente Elegir una plantilla, busque y elija la plantilla correcta, que en este caso es Zoho, y haga clic en Siguiente Setup SaaS App 01
  • En la ventana Detalles de la aplicación, escriba el nombre de dominio único de la organización para la aplicación SaaS. La URL y los dominios relacionados se completarán automáticamente

Nota: Las directivas de seguridad mejoradas utilizan el campo Dominios relacionados para determinar las URL que se deben proteger. Un dominio relacionado se agrega automáticamente en función de la URL del paso anterior. Las directivas de seguridad mejoradas requieren dominios relacionados para la aplicación. Si la aplicación utiliza varios nombres de dominio, el debe agregarse al campo dominios relacionados, que suele ser *.<companyID>.SaaSApp.com (como ejemplo *.citrix.slack.com)

Configurar la aplicación SaaS 02

  • En la ventana Seguridad mejorada, seleccione Habilitar seguridad mejorada - Mostrar marca de agua (u otras políticas de seguridad apropiadas para el entorno)
  • En la ventana Inicio de sesión único, copie la URL de inicio de sesión
  • Seleccione Descargar para descargar el certificado X.509 en formato PEM

Configurar la aplicación SaaS 03

  • Dentro de la aplicación Zoho Account, selecciona Organización > Autenticación SAML para abrir la configuración. (Requiere una licencia Enterprise permanente o de prueba con objetos de usuario Enterprise creados)
  • Seleccione Configurar ahora

Configurar la aplicación SaaS 05

  • Para la URL de inicio de sesión y la URL de cambio de contraseña, pegue la URL de inicio de sesión obtenida de la configuración de Citrix Secure Private Access
  • Para el certificado X.509, cargue el archivo .PEM que descargó de la configuración de Citrix Secure Private Access
  • Para el Servicio Zoho, ingrese “Personas”
  • Seleccione Configurar

Configurar la aplicación SaaS 06

  • En Configuración de Citrix Secure Private Access, seleccione Siguiente
  • En la ventana Conectividad de aplicaciones, observe que los dominios necesarios se configuran automáticamente para enrutarse externamente y seleccione Siguiente
  • En la ventana Suscriptores de aplicaciones, agregue los usuarios/grupos apropiados que estén autorizados para iniciar la aplicación
  • Seleccione Siguientey, a continuación, Finalizar

Autorizar la aplicación SaaS 02

Validar la configuración

Validación iniciada por IDP

  • Inicie sesión en Citrix Workspace como usuario
  • Seleccione la aplicación SaaS configurada.
  • La aplicación SaaS se inicia con éxito
  • El usuario inicia sesión automáticamente en la aplicación
  • Se aplica una seguridad mejorada

Demostración de Citrix SSO

Validación iniciada por SP

  • Iniciar un explorador
  • Vaya a la URL definida por la empresa para la aplicación SaaS
  • El explorador dirige el explorador a Citrix Workspace para su autenticación
  • Una vez que el usuario se autentica con el directorio de usuario principal, la aplicación SaaS se inicia en el explorador local si la seguridad mejorada está inhabilitada. Si se habilita la seguridad mejorada, una instancia de Explorador seguro inicia la aplicación SaaS

Configurar y validar Adaptive Access

Administración

  • En el icono de Citrix Secure Private Access, seleccione Administrar
  • Seleccione Políticas de acceso en el menú de la izquierda
  • Seleccione Crear política
  • En Para los usuarios de estas aplicaciones, ingrese Zoho People.
  • En Si se cumplen las siguientes condiciones, observe varias opciones de condiciones. Seleccione Ubicación de redy seleccione Coincide con cualquiera
  • Seleccione Crear ubicación de red, introduzca un nombre y una etiqueta y, para el rango de direcciones IP públicas, busque la dirección IP pública del punto final de POC e introdúzcala seguida de /32, lo que indica que es una dirección IP de host Adaptive Access
  • En Luego, observe varias opciones preestablecidas para Permitir con restricciones de acceso. En nuestro caso, elegimos Denegar acceso
  • Introduzca un nombre de política
  • Habilite la política y seleccione Guardar acceso adaptable

Usuario

  • Inicie sesión en Citrix Workspace como usuario
  • Selecciona Aplicaciones en el menú de la izquierda
  • Observe que se ha aplicado la política Acceso Adaptable, Ubicación de red y que Zoho People ahora falta en la lista de aplicaciones disponibles

Acceso adaptativo

Solución de problemas

Falla de directivas de seguridad mejoradas

Los usuarios pueden experimentar un error en las directivas de seguridad mejoradas (marca de agua, impresión o acceso al portapapeles). Normalmente, esto sucede porque la aplicación SaaS utiliza varios nombres de dominio. Dentro de los ajustes de configuración de la aplicación SaaS, había una entrada para Dominios relacionados

Configurar la aplicación SaaS 02

Las políticas de seguridad mejoradas se aplican a los dominios relacionados. Para identificar nombres de dominio que faltan, un administrador puede acceder a la aplicación SaaS con un explorador local y hacer lo siguiente:

  • Vaya a la sección de la aplicación en la que fallan las directivas
  • En Google Chrome y Microsoft Edge (versión Chromium), selecciona los tres puntos en la parte superior derecha del navegador para mostrar una pantalla de menú
  • Seleccionar más herramientas
  • Seleccionar herramientas de desarrollador
  • Dentro de las herramientas de desarrollador, seleccione Fuentes. Proporciona una lista de nombres de dominio de acceso para esa sección de la aplicación. Para habilitar las políticas de seguridad mejoradas para esta aplicación, esos nombres de dominio deben ingresarse en el campo de dominios relacionados dentro de la configuración de la aplicación. Los dominios relacionados se agregan como los siguientes *.domain.com

Solución de problemas de seguridad mejorada 01

Guía de PoC: acceso adaptativo a aplicaciones web privadas y SaaS