Guía de PoC: acceso adaptativo a aplicaciones web privadas y SaaS

Overview

A medida que los usuarios consumen más aplicaciones basadas en SaaS, las organizaciones deben unificar todas las aplicaciones sancionadas y simplificar las operaciones de inicio de sesión de los usuarios y, al mismo tiempo Las organizaciones deben poder proteger estas aplicaciones aunque existan más allá de los límites del centro de datos. Citrix Workspace proporciona a las organizaciones acceso seguro a las aplicaciones SaaS.

En este caso, un usuario se autentica en Citrix Workspace mediante Active Directory, Azure Active Directory, Okta, Google o Citrix Gateway como directorio de usuario principal. Citrix Workspace proporciona servicios de inicio de sesión único para un conjunto definido de aplicaciones SaaS.

Si el servicio Citrix Secure Private Access está asignado a la suscripción de Citrix, se aplican directivas de seguridad mejoradas, que van desde la aplicación de marcas de agua basadas en pantalla, la restricción de las acciones de impresión y descarga, las restricciones de captura de pantalla, la ofuscación del teclado y la protección de los usuarios de enlaces no fiables en parte superior de las aplicaciones SaaS.

La siguiente animación muestra a un usuario que accede a una aplicación SaaS con Citrix que proporciona SSO y está protegido con Citrix Secure Private Access.

Esta demostración muestra un flujo de SSO iniciado por un proveedor de identidades en el que el usuario inicia la aplicación en Citrix Workspace. Esta guía de PoC también admite un flujo SSO iniciado por SP en el que el usuario intenta acceder a la aplicación SaaS directamente desde su explorador preferido. Además, en esta guía se muestra el uso de las políticas de acceso adaptativo para proporcionar acceso condicional en función de condiciones como el rol del usuario, la ubicación de la red o la posición del dispositivo.

Esta guía de prueba de concepto demuestra cómo:

1. Configuración de Citrix Workspace
2. Integrar un directorio de usuario principal
3. Incorporar inicio de sesión único para aplicaciones SaaS
4. Validar la configuración
5. Configurar y validar Adaptive Access

Configuración de Citrix Workspace

Los pasos iniciales para configurar el entorno son preparar Citrix Workspace para la organización, que incluye

Establecer dirección URL de espacio

1. Conéctese a Citrix Cloud e inicie sesión como su cuenta de administrador
2. En Citrix Workspace, acceda a Configuración de Workspace desde el menú superior izquierdo
3. En la ficha Acceso, introduzca una URL única para la organización y seleccione Habilitado

Verificar

Citrix Workspace tarda unos minutos en actualizar los servicios y la configuración de URL. Desde un explorador web, compruebe que la URL personalizada del espacio de trabajo esté activa. Sin embargo, el inicio de sesión no está disponible hasta que se define y configura un directorio de usuario principal.

Integración de un directorio de usuario principal

Para que los usuarios puedan autenticarse en Workspace, se debe configurar un directorio de usuarios principal. El directorio de usuarios principal es la única identidad que necesita el usuario, ya que todas las solicitudes de aplicaciones de Workspace utilizan el inicio de sesión único en identidades secundarias.

Una organización puede utilizar cualquiera de los siguientes directorios de usuario primarios

• Active Directory: para habilitar la autenticación de Active Directory, se debe implementar un conector de nube en el mismo centro de datos que un controlador de dominio de Active Directory siguiendo la guía de instalación de Cloud Connector.
• Active Directory con contraseña de un solo uso basada en tiempo: la autenticación basada en Active Directory también puede incluir autenticación multifactor con una contraseña de un solo uso basada en tiempo (TOTP). Esta guía detalla los pasos necesarios para habilitar esta opción de autenticación.
• Azure Active Directory: los usuarios pueden autenticarse en Citrix Workspace con una identidad de Azure Active Directory. En esta guía se proporcionan detalles sobre la configuración de esta opción.
• Citrix Gateway: las organizaciones pueden usar un Citrix Gateway local para actuar como proveedor de identidades para Citrix Workspace. Esta guía proporciona detalles sobre la integración.
• Okta: Las organizaciones pueden usar Okta como directorio de usuarios principal de Citrix Workspace. En esta guía se proporcionan instrucciones para configurar esta opción.
• SAML 2.0: las organizaciones pueden usar el proveedor SAML 2.0 de su elección con su Active Directory (AD) local. En esta guía se proporcionan instrucciones para configurar esta opción.

Configurar Single Sign-On

Para integrar correctamente aplicaciones SaaS con Citrix Workspace, el administrador debe hacer lo siguiente

• Configurar una aplicación SaaS
• Autorizar una aplicación SaaS

Configurar una aplicación SaaS

• En Citrix Workspace, seleccione Administrar en el mosaico Acceso privado seguro.
• Seleccionar aplicaciones
• Selecciona Agregar una aplicación
• En el asistente Elegir una plantilla, busque y elija la plantilla correcta, que en este caso es Zoho , y haga clic en Siguiente

• En la ventana Detalles de la aplicación, escriba el nombre de dominio único de la organización para la aplicación SaaS. La URL y los dominios relacionados se completarán automáticamente
• Seleccionar Siguiente

*Nota: Las directivas de seguridad mejoradas utilizan el campo Dominios relacionados para determinar las URL que se deben proteger. Un dominio relacionado se agrega automáticamente en función de la URL del paso anterior. Las directivas de seguridad mejoradas requieren dominios relacionados para la aplicación. Si la aplicación utiliza varios nombres de dominio, el debe agregarse al campo dominios relacionados, que suele ser *.<companyID>.SaaSApp.com (como ejemplo *.citrix.slack.com)*

• En la ventana de inicio de sesión único, copie la URL de inicio de sesión (1 )
• Seleccione Descargar para descargar el certificado X.509 en formato PEM (2)

• En la aplicación Zoho Account, selecciona Organización > Autenticación SAML para que aparezca la configuración
  (se requiere una licencia empresarial permanente o de prueba con los objetos de usuario empresariales creados)
• Seleccione Configurar ahora

• Para la URL de inicio de sesión y la URL de cambio de contraseña, pegue la URL de inicio de sesión obtenida de la configuración de Citrix Secure Private Access
• Para obtener el certificado X.509, cargue el archivo.PEM que descargó de la configuración de Citrix Secure Private Access
• Para el servicio Zoho, introduzca “Personas”
• Seleccione Configurar

• En Configuración de Citrix Secure Private Access, seleccione Siguiente
• En la ventana Conectividad de aplicaciones, observe que los dominios requeridos se configuran automáticamente para enrutarse externamente y seleccione Guardar

• Seleccione Finalizar

Autorizar una aplicación SaaS y configurar una seguridad mejorada

• En el menú Acceso privado seguro, seleccione Políticas de acceso
• En la sección Directiva de acceso, seleccione Crear directiva.
• Introduzca el nombre de la directiva y una breve descripción de la directiva
• En la lista desplegable de aplicaciones, busque “Zoho People” y selecciónelo

Nota

Puede crear varias reglas de acceso y configurar diferentes condiciones de acceso para diferentes usuarios o grupos de usuarios dentro de una única directiva. Estas reglas se pueden aplicar por separado para las aplicaciones HTTP/HTTPS y TCP/UDP, todo ello dentro de una única directiva. Para obtener más información sobre las reglas de acceso múltiple, consulte Configurar una directiva de acceso con varias reglas.

• Seleccione Crear regla para crear reglas para la directiva
• Introduzca el nombre de la regla y una breve descripción de la regla y seleccione Siguiente

• Agregue los usuarios/grupos apropiados que estén autorizados a iniciar la aplicación y seleccione Siguiente.

Nota

Haga clic en + para añadir varias condiciones en función del contexto.

• Especifique si se puede acceder a la aplicación HTTP/HTTPS con o sin restricciones
  . La siguiente captura de pantalla tiene configurada la restricción de marca de agua.
  Si no se necesita una seguridad mejorada, cambie “Permitir acceso con restricciones” por “Permitir acceso”.
• Especifique la acción de las aplicaciones TCP/UDP La siguiente captura de pantalla deniega el acceso a las aplicaciones TCP/UDP.
• Seleccionar Siguiente

• La página Resumen muestra los detalles de la regla de directiva.
  Verifique los detalles y seleccione Finalizar.

• En el cuadro de diálogo Crear directiva, compruebe que esté marcada la casilla Habilitar directiva al guardar y seleccione Guardar.

*Nota: Para las pruebas iniciales de SSO, siempre es una buena idea configurar la seguridad mejorada con la opción “Abrir en un explorador web remoto” configurada.*

Validar la configuración

Validación iniciada por IDP

• Inicie sesión en Citrix Workspace como usuario
• Seleccione la aplicación SaaS configurada.
• La aplicación SaaS se inicia con éxito
• El usuario inicia sesión automáticamente en la aplicación
• Se aplica una seguridad mejorada

Validación iniciada por SP

• Iniciar un explorador
• Vaya a la URL definida por la empresa para la aplicación SaaS
• El explorador dirige el explorador a Citrix Workspace para su autenticación
• Una vez que el usuario se autentica con el directorio de usuario principal, la aplicación SaaS se inicia en el explorador local si la seguridad mejorada está inhabilitada. Si se habilita la seguridad mejorada, una instancia de Explorador seguro inicia la aplicación SaaS

Configurar y validar Adaptive Access

Administración

• En el icono de Citrix Secure Private Access, seleccione Administrar
• Seleccione Directivas de acceso en el menú de la izquierda
• En el campo de búsqueda escribe “ Zoho “ (1)
• Haga clic en los tres puntos (2) y seleccione Editar (3) para abrir la directiva de acceso de Zoho existente

• Haga clic en Crear regla para crear una segunda regla para esta directiva
• Introduzca el nombre de la regla y una breve descripción de la regla y seleccione Siguiente

• Agregue los usuarios/grupos apropiados que estén autorizados para iniciar la aplicación
• Seleccione + para añadir una segunda condición

Nota

Según el contexto, se pueden aplicar las siguientes condiciones .

• Seleccione Ubicación de red y seleccione “Crear ubicación de red”

• Introduzca el nombre de la ubicación y la etiqueta de ubicación y, para el rango de direcciones IP públicas, busque la dirección IP pública del punto final de PoC e introdúzcala seguida de /32, lo que indica que es una dirección IP del host
• Seleccione Guardar

• En el cuadro de diálogo Crear nueva regla, seleccione la etiqueta de ubicaciónde red creada anteriormente y seleccione Siguiente

• Especifique si se puede acceder a la aplicación HTTP/HTTPS con o sin restricciones, o si se deniega el acceso. La siguiente captura de pantalla deniega el acceso a las aplicaciones HTTP/HTTPS.
• Especifique la acción de las aplicaciones TCP/UDP La siguiente captura de pantalla deniega el acceso a las aplicaciones TCP/UDP.
• Seleccionar Siguiente

• La página Resumen muestra los detalles de la regla de directiva.
  Verifique los detalles y seleccione Finalizar.

• En el cuadro de diálogo Crear directiva, reordene la prioridad de la directiva de acceso y seleccione Guardar.

Usuario

• Inicie sesión en Citrix Workspace como usuario
• Selecciona Aplicaciones en el menú de la izquierda
• Observe que se ha aplicado la directiva Acceso Adaptable, Ubicación de red y que Zoho People ahora falta en la lista de aplicaciones disponibles

Solución de problemas

Falla de directivas de seguridad mejoradas

Los usuarios pueden experimentar un error en las directivas de seguridad mejoradas (marca de agua, impresión o acceso al portapapeles). Normalmente, esto sucede porque la aplicación SaaS utiliza varios nombres de dominio. Dentro de los ajustes de configuración de la aplicación SaaS, había una entrada para Dominios relacionados

Las directivas de seguridad mejoradas se aplican a los dominios relacionados. Para identificar nombres de dominio que faltan, un administrador puede acceder a la aplicación SaaS con un explorador local y hacer lo siguiente:

• Vaya a la sección de la aplicación en la que fallan las directivas
• En Google Chrome y Microsoft Edge (versión Chromium), selecciona los tres puntos en la parte superior derecha del navegador para mostrar una pantalla de menú
• Seleccionar más herramientas
• Seleccionar herramientas de desarrollador
• Dentro de las herramientas de desarrollador, seleccione Fuentes. Proporciona una lista de nombres de dominio de acceso para esa sección de la aplicación. Para habilitar las directivas de seguridad mejoradas para esta aplicación, esos nombres de dominio deben ingresarse en el campo de dominios relacionados dentro de la configuración de la aplicación. Los dominios relacionados se agregan como los siguientes *.domain.com