Versión Current Release de XenMobile Server

SmartAccess para aplicaciones HDX

Esta funcionalidad permite controlar el acceso a aplicaciones HDX en función de las propiedades del dispositivo, las propiedades de un usuario o las aplicaciones instaladas en un dispositivo. Puede usar esta función mediante acciones automatizadas que marcan el dispositivo como no conforme para denegarle el acceso a las aplicaciones. Las aplicaciones HDX utilizadas con esta función se configuran en Virtual Apps and Desktops mediante una directiva de SmartAccess que deniega el acceso a los dispositivos no conformes. XenMobile comunica el estado del dispositivo a StoreFront mediante una etiqueta firmada y cifrada. A continuación, StoreFront permite o deniega el acceso en función de la directiva del control de acceso de la aplicación.

Para usar esta función, su implementación requiere:

  • Virtual Apps and Desktops 7.6
  • StoreFront 3.7 o 3.8
  • XenMobile Server configurado para agregar aplicaciones HDX desde un servidor de StoreFront
  • XenMobile Server configurado con un certificado SAML que se utilizará para firmar y cifrar las etiquetas. El mismo certificado sin clave privada se carga en el servidor de StoreFront.

Para empezar a usar esta funcionalidad:

  • Configure el certificado de XenMobile Server para el almacén de StoreFront
  • Configure al menos un grupo de entrega de Virtual Apps and Desktops con la directiva de SmartAccess requerida
  • Establezca la acción automatizada en XenMobile

Exportar, configurar el certificado de XenMobile Server y cargarlo en el almacén de StoreFront

SmartAccess usa etiquetas cifradas y firmadas para la comunicación entre los servidores de XenMobile y StoreFront. Para habilitar esta comunicación, agregue el certificado de XenMobile Server al almacén de StoreFront.

Para obtener más información sobre la integración de StoreFront y XenMobile cuando XenMobile tiende habilitada la autenticación basada en certificados y dominios, consulte los artículos de Knowledge Center.

Exportar el certificado SAML desde XenMobile Server

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros. Haga clic en Certificados.

  2. Busque el certificado SAML para XenMobile Server.

    Configuración de SmartAccess

  3. Compruebe que Exportar clave privada está establecido en No. Haga clic en Exportar para exportar el certificado al directorio de descargas.

    Configuración de SmartAccess

  4. Busque el certificado en el directorio de descargas. El certificado raíz tiene el formato PEM.

    Configuración de SmartAccess

Convertir el certificado de PEM a CER

  1. Abra Microsoft Management Console (MMC) y haga clic con el botón secundario en Certificados > Todas las tareas > Importar.

    Configuración de SmartAccess

  2. Cuando aparezca el asistente para la importación de certificados, haga clic en Siguiente.

    Configuración de SmartAccess

  3. Vaya al certificado ubicado en el directorio de descargas.

    Configuración de SmartAccess

  4. Seleccione Colocar todos los certificados en el siguiente almacén y, a continuación, seleccione Personal como almacén de certificados. Haga clic en Siguiente.

    Configuración de SmartAccess

  5. Revise los cambios y haga clic en Finalizar. Haga clic en Aceptar en la ventana de confirmación.

  6. En la MMC, haga clic con el botón secundario en el certificado y seleccione Todas las tareas > Exportar.

    Configuración de SmartAccess

  7. Cuando aparezca el asistente para la exportación de certificados, haga clic en Siguiente.

    Configuración de SmartAccess

  8. Seleccione el formato DER binario codificado X.509 (.CER). Haga clic en Siguiente.

    Configuración de SmartAccess

  9. Vaya al certificado. Escriba un nombre para el certificado y haga clic en Siguiente.

    Configuración de SmartAccess

  10. Guarde el certificado.

    Configuración de SmartAccess

  11. Vaya al certificado y haga clic en Siguiente.

    Configuración de SmartAccess

  12. Revise los cambios y haga clic en Finalizar. Haga clic en Aceptar en la ventana de confirmación.

    Configuración de SmartAccess

  13. Busque el certificado en el directorio de descargas. El certificado está en formato CER.

    Configuración de SmartAccess

Copiar el certificado al servidor de StoreFront

  1. En el servidor de StoreFront, cree una carpeta llamada SmartCert.

  2. Copie el certificado a la carpeta SmartCert.

    Configuración de SmartAccess

Configurar el certificado en el almacén de StoreFront

En el servidor StoreFront, ejecute el siguiente comando de PowerShell para configurar el certificado de XenMobile Server convertido que se encuentra en el almacén:

    Grant-STFStorePnaSmartAccess –StoreService $store –CertificatePath  “C:\xms\xms.cer” –ServerName “XMS server”
<!--NeedCopy-->

Configuración de SmartAccess

Si ya hay certificados existentes en el almacén de StoreFront, ejecute este comando de PowerShell para revocarlos:

    Revoke-STFStorePnaSmartAccess –StoreService $store –All
<!--NeedCopy-->

Configuración de SmartAccess

También puede ejecutar cualquiera de estos comandos de PowerShell en el servidor de StoreFront para revocar los certificados existentes en el almacén de StoreFront:

  • Revocar por nombre:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –ServerName “My XM Server"
<!--NeedCopy-->
  • Revocar por huella digital:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –CertificateThumbprint “ReplaceWithThumbprint”
<!--NeedCopy-->
  • Revocar por objeto de servidor:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    $access = Get-STFStorePnaSmartAccess –StoreService $store

    Revoke-STFStorePnaSmartAccess –StoreService $store –SmartAccess $access.AccessConditionsTrusts[0]
<!--NeedCopy-->

Configurar la directiva de SmartAccess para Virtual Apps and Desktops

Para agregar la directiva de SmartAccess requerida al grupo que entrega la aplicación HDX:

  1. En el servidor de Virtual Apps and Desktops, abra Citrix Studio.

  2. Seleccione Grupos de entrega en el panel de navegación de Studio.

  3. Seleccione el grupo que entrega las aplicaciones a las que quiere controlar el acceso. Seleccione Modificar grupo de entrega en el panel Acciones.

  4. En la página Directiva de acceso, seleccione Conexiones a través de NetScaler Gateway y Conexiones que cumplan cualquiera de estos filtros.

  5. Haga clic en Agregar.

  6. Agregue una directiva de acceso donde Comunidad es XM y Filtro es XMCompliantDevice.

    Configuración de SmartAccess

  7. Haga clic en Aplicar para aplicar los cambios que haya hecho y dejar la ventana abierta, o bien haga clic en Aceptar para aplicar los cambios y cerrar la ventana.

Establecer acciones automatizadas en XenMobile

La directiva de SmartAccess que se estableció en el grupo de entrega para una aplicación HDX deniega el acceso a un dispositivo cuando el dispositivo no es conforme. Puede utilizar acciones automatizadas para marcar el dispositivo como no conforme.

Configuración de SmartAccess

  1. En la consola de XenMobile, haga clic en Configurar > Acciones. Aparecerá la página Acciones.

  2. Haga clic en Agregar para agregar una acción. Aparecerá la página Información de la acción.

  3. En la página Información de la acción, escriba un nombre y una descripción para la acción.

  4. Haga clic en Siguiente. Aparecerá la página Detalles de la acción. En el siguiente ejemplo, se crea un desencadenador que marca inmediatamente los dispositivos como no conformes si tienen el nombre de la propiedad de usuario eng5 o eng6.

    Configuración de SmartAccess

  5. En la lista Desencadenador, elija Propiedad de dispositivo, Propiedad de usuario o Nombre de la aplicación instalada. SmartAccess no admite desencadenadores de eventos.

  6. En la lista Acción:

    • Elija Marcar dispositivo como No conforme.
    • Elija Es.
    • Elija Verdadero.
    • Para que el dispositivo se marque como no conforme en cuanto se cumpla la condición del desencadenador, establezca el marco de tiempo en 0.
  7. Elija el grupo o grupos de entrega de XenMobile a los que aplicar esta acción.

  8. Revise el resumen de la acción.

  9. Haga clic en Siguiente y, a continuación, seleccione Guardar.

Cuando el dispositivo se marca como no conforme, las aplicaciones HDX ya no aparecen en el almacén Secure Hub. El usuario ya no está suscrito a la aplicación. No se envía ninguna notificación al dispositivo y nada en el almacén de Secure Hub indica que las aplicaciones HDX estaban disponibles anteriormente.

Si quiere que se notifique a los usuarios cuando un dispositivo se marque como no conforme, cree una notificación y luego cree una acción automatizada para enviar esa notificación.

En este ejemplo se crea y se envía esta notificación cuando un dispositivo se marca como no conforme: “El número de serie o el número de teléfono del dispositivo ya no cumple la directiva de dispositivo y las aplicaciones HDX se bloquearán”.

Configuración de SmartAccess

Crear la notificación que ven los usuarios cuando un dispositivo se marca como no conforme

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. Aparecerá la página Parámetros.

  2. Haga clic en Plantillas de notificaciones. Aparecerá la página Plantillas de notificaciones.

  3. Haga clic en Agregar para agregar una nueva plantilla de notificaciones en la página Plantillas de notificaciones.

  4. Cuando se le solicite configurar primero el servidor SMS, haga clic en No, lo configuraré más tarde.

    Configuración de SmartAccess

  5. Configure estos parámetros:

    • Nombre: Bloqueo de aplicaciones HDX
    • Descripción: Notificación del agente cuando el dispositivo no es conforme
    • Tipo: Notificación ad hoc
    • Secure Hub: Activado
    • Mensaje: El dispositivo ${firstnotnull(device.TEL_NUMBER,device.serialNumber)} ya no cumple la directiva de dispositivo y las aplicaciones HDX se bloquearán.

    Configuración de SmartAccess

  6. Haga clic en Guardar.

Crear la acción que envía la notificación cuando un dispositivo se marca como no conforme

  1. En la consola de XenMobile, haga clic en Configurar > Acciones. Aparecerá la página Acciones.

  2. Haga clic en Agregar para agregar una acción. Aparecerá la página Información de la acción.

  3. En la página Información de la acción, escriba un nombre y una descripción para la acción:

    • Nombre: Notificación de HDX bloqueado
    • Descripción: Notificación de HDX bloqueado porque el dispositivo no es conforme
  4. Haga clic en Siguiente. Aparecerá la página Detalles de la acción.

  5. En la lista Desencadenador:

    • Elija Propiedad de dispositivo.
    • Elija No conforme.
    • Elija Es.
    • Elija Verdadero.

    Configuración de SmartAccess

  6. En la lista Acción, especifique las acciones que se producen cuando se cumple el desencadenador:

    • Elija Enviar notificación.
    • Elija Bloqueo de aplicaciones HDX, la notificación que ha creado.
    • Elija 0. Si este valor es 0, la notificación se enviará cuando se cumpla la condición del desencadenador.
  7. Elija el grupo o grupos de entrega de XenMobile a los que aplicar esta acción. En este ejemplo, se ha elegido AllUsers.

  8. Revise el resumen de la acción.

  9. Haga clic en Siguiente y, a continuación, seleccione Guardar.

Para obtener información detallada acerca de la configuración de acciones automatizadas, consulte Acciones automatizadas.

Cómo los usuarios recuperan el acceso a las aplicaciones HDX

Los usuarios pueden volver a obtener el acceso a las aplicaciones HDX después de que el dispositivo vuelva a ser conforme:

  1. En el dispositivo, vaya al almacén Secure Hub para actualizar las aplicaciones en el almacén.

  2. Vaya a la aplicación y toque Agregar en la aplicación.

Una vez agregada la aplicación, aparece en “Mis aplicaciones” con un punto azul, porque es una aplicación recién instalada.

Configuración de SmartAccess

SmartAccess para aplicaciones HDX