SmartAccess para aplicaciones HDX

Esta funcionalidad permite controlar el acceso a aplicaciones HDX en función de las propiedades del dispositivo, las propiedades de un usuario o las aplicaciones instaladas en un dispositivo. Puede usar esta función mediante acciones automatizadas que marcan el dispositivo como no conforme para denegarle el acceso a las aplicaciones. Las aplicaciones HDX utilizadas con esta funcionalidad se configuran en XenApp y XenDesktop usando una directiva de SmartAccess que deniega el acceso a los dispositivos no conformes. XenMobile comunica el estado del dispositivo a StoreFront mediante una etiqueta firmada y cifrada. A continuación, StoreFront permite o deniega el acceso en función de la directiva del control de acceso de la aplicación.

Para usar esta característica, su implementación requiere:

  • XenApp y XenDesktop 7.6
  • StoreFront 3.7 o 3.8
  • Aplicaciones HDX agregadas, configuradas para XenMobile Server, desde un servidor StoreFront
  • XenMobile Server configurado con un certificado SAML que se utilizará para firmar y cifrar las etiquetas. El mismo certificado sin clave privada se carga en el servidor StoreFront.

Para empezar a usar esta funcionalidad:

  • Configure el certificado de XenMobile Server para el almacén de StoreFront
  • Configure al menos un grupo de entrega de XenApp y XenDesktop con la directiva de SmartAccess requerida
  • Establezca la acción automatizada en XenMobile

Exportar, configurar el certificado de XenMobile Server y cargarlo en el almacén de StoreFront

SmartAccess usa etiquetas cifradas y firmadas para la comunicación entre los servidores de XenMobile y StoreFront. Para habilitar esta comunicación, agregue el certificado del servidor XenMobile al almacén de StoreFront.

Para obtener más información sobre la integración de StoreFront y XenMobile cuando XenMobile tiende habilitada la autenticación basada en certificados y dominios, consulte los artículos de Knowledge Center.

Exportar el certificado SAML desde XenMobile Server

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros. Haga clic en Certificados.

  2. Busque el certificado SAML para XenMobile Server.

    Imagen de la configuración de Smart Access

  3. Compruebe que Exportar clave privada está establecido en No. Haga clic en Exportar para exportar el certificado al directorio de descargas.

    Imagen de la configuración de Smart Access

  4. Busque el certificado en el directorio de descargas. El certificado raíz tiene el formato PEM.

    Imagen de la configuración de Smart Access

Convertir el certificado de PEM a CER

  1. Abra Microsoft Management Console (MMC) y haga clic con el botón secundario en Certificados > Todas las tareas > Importar.

    Imagen de la configuración de Smart Access

  2. Cuando aparezca el asistente para la importación de certificados, haga clic en Siguiente.

    Imagen de la configuración de Smart Access

  3. Vaya al certificado ubicado en el directorio de descargas.

    Imagen de la configuración de Smart Access

  4. Seleccione Colocar todos los certificados en el siguiente almacén y, a continuación, seleccione Personal como almacén de certificados. Haga clic en Siguiente.

    Imagen de la configuración de Smart Access

  5. Revise los cambios y haga clic en Finalizar. Haga clic en Aceptar en la ventana de confirmación.

  6. En la MMC, haga clic con el botón secundario en el certificado y seleccione Todas las tareas > Exportar.

    Imagen de la configuración de Smart Access

  7. Cuando aparezca el asistente para la exportación de certificados, haga clic en Siguiente.

    Imagen de la configuración de Smart Access

  8. Seleccione el formato DER binario codificado X.509 (.CER). Haga clic en Siguiente.

    Imagen de la configuración de Smart Access

  9. Vaya al certificado. Escriba un nombre para el certificado y haga clic en Siguiente.

    Imagen de la configuración de Smart Access

  10. Guarde el certificado.

    Imagen de la configuración de Smart Access

  11. Vaya al certificado y haga clic en Siguiente.

    Imagen de la configuración de Smart Access

  12. Revise los cambios y haga clic en Finalizar. Haga clic en Aceptar en la ventana de confirmación.

    Imagen de la configuración de Smart Access

  13. Busque el certificado en el directorio de descargas. Tenga en cuenta que el certificado está en formato CER.

    Imagen de la configuración de Smart Access

Copiar el certificado al servidor StoreFront

  1. En el servidor StoreFront, cree una carpeta llamada SmartCert.

  2. Copie el certificado a la carpeta SmartCert.

    Imagen de la configuración de Smart Access

Configurar el certificado en el almacén de StoreFront

En el servidor StoreFront, ejecute el siguiente comando de PowerShell para configurar el certificado de XenMobile Server convertido que se encuentra en el almacén:

    Grant-STFStorePnaSmartAccess –StoreService $store –CertificatePath  “C:\xms\xms.cer” –ServerName “XMS server”

Imagen de la configuración de Smart Access

Si ya hay certificados existentes en el almacén de StoreFront, ejecute este comando de PowerShell para revocarlos:

    Revoke-STFStorePnaSmartAccess –StoreService $store –All

Imagen de la configuración de Smart Access

De forma alternativa, puede ejecutar cualquiera de estos comandos de PowerShell en el servidor StoreFront para revocar los certificados existentes en el almacén de StoreFront:

  • Revocar por nombre:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –ServerName “My XM Server"
  • Revocar por huella digital:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –CertificateThumbprint “1094821dec7834d5d42 bb456329efe4fca86c60b”
  • Revocar por objeto de servidor:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    $access = Get-STFStorePnaSmartAccess –StoreService $store

    Revoke-STFStorePnaSmartAccess –StoreService $store –SmartAccess $access.AccessConditionsTrusts[0]

Configurar la directiva de SmartAccess para XenApp y XenDesktop

Para agregar la directiva de SmartAccess requerida al grupo que entrega la aplicación HDX:

  1. En el servidor XenApp y XenDesktop, abra Citrix Studio.

  2. Seleccione Grupos de entrega en el panel de navegación de Studio.

  3. Seleccione el grupo que entrega la aplicación o aplicaciones a las que quiere controlar el acceso. Seleccione Modificar grupo de entrega en el panel Acciones.

  4. En la página Directiva de acceso, seleccione Conexiones a través de NetScaler Gateway y Conexiones que cumplan cualquiera de estos filtros.

  5. Haga clic en Agregar.

  6. Agregue una directiva de acceso donde Comunidad es XM y Filtro es XMCompliantDevice.

    Imagen de la configuración de Smart Access

  7. Haga clic en Aplicar para aplicar los cambios que haya hecho y dejar la ventana abierta, o bien haga clic en Aceptar para aplicar los cambios y cerrar la ventana.

Establecer acciones automatizadas en XenMobile

La directiva de SmartAccess que se estableció en el grupo de entrega para una aplicación HDX deniega el acceso a un dispositivo cuando el dispositivo no es conforme. Puede utilizar acciones automatizadas para marcar el dispositivo como no conforme.

Imagen de la configuración de Smart Access

  1. En la consola de XenMobile, haga clic en Configurar > Acciones. Aparecerá la página Acciones.

  2. Haga clic en Agregar para agregar una acción. Aparecerá la página Información de la acción.

  3. En la página Información de la acción, escriba un nombre y una descripción para la acción.

  4. Haga clic en Siguiente. Aparecerá la página Detalles de la acción. En el siguiente ejemplo, se crea un desencadenador que marca inmediatamente los dispositivos como no conformes si tienen el nombre de la propiedad de usuario eng5 o eng6.

    Imagen de la configuración de Smart Access

  5. En la lista Desencadenador, elija Propiedad de dispositivo, Propiedad de usuario o Nombre de la aplicación instalada. SmartAccess no admite desencadenadores de eventos.

  6. En la lista Acción:

    • Elija Marcar dispositivo como No conforme.
    • Elija es.
    • Elija Verdadero.
    • Para que el dispositivo se marque como no conforme en cuanto se cumpla la condición del desencadenador, establezca el marco de tiempo en 0.
  7. Elija el grupo o grupos de entrega de XenMobile a los que aplicar esta acción.

  8. Revise el resumen de la acción.

  9. Haga clic en Siguiente y, a continuación, seleccione Guardar.

Cuando el dispositivo se marca como no conforme, las aplicaciones HDX ya no aparecen en la tienda de Secure Hub. El usuario ya no está suscrito a las aplicaciones. No se envía ninguna notificación al dispositivo y nada en la tienda Secure Hub indica que las aplicaciones HDX estaban disponibles anteriormente.

Si quiere que se notifique a los usuarios cuando un dispositivo se marque como no conforme, cree una notificación y luego cree una acción automatizada para enviar esa notificación.

En este ejemplo se crea y se envía esta notificación cuando un dispositivo se marca como no conforme: “El número de serie o el número de teléfono del dispositivo ya no cumple la directiva de dispositivo y las aplicaciones HDX se bloquearán”.

Imagen de la configuración de Smart Access

Crear la notificación que ven los usuarios cuando un dispositivo se marca como no conforme

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. Aparecerá la página Parámetros.

  2. Haga clic en Plantillas de notificaciones. Aparecerá la página Plantillas de notificaciones.

  3. Haga clic en Agregar para agregar una nueva plantilla de notificaciones en la página Plantillas de notificaciones.

  4. Cuando se le solicite configurar primero el servidor SMS, haga clic en No, lo configuraré más tarde.

    Imagen de la configuración de Smart Access

  5. Configure estos parámetros:

    • Nombre: Bloqueo de aplicaciones HDX
    • Descripción: Notificación del agente cuando el dispositivo no es conforme
    • Tipo: Notificación ad hoc
    • Secure Hub: Activado
    • Mensaje: El dispositivo ${firstnotnull(device.TEL_NUMBER,device.serialNumber)} ya no cumple la directiva de dispositivo y las aplicaciones HDX se bloquearán.

    Imagen de la configuración de Smart Access

  6. Haga clic en Guardar.

Crear la acción que envía la notificación cuando un dispositivo se marca como no conforme

  1. En la consola de XenMobile, haga clic en Configurar > Acciones. Aparecerá la página Acciones.

  2. Haga clic en Agregar para agregar una acción. Aparecerá la página Información de la acción.

  3. En la página Información de la acción, escriba un nombre y una descripción para la acción:

    • Nombre: Notificación de HDX bloqueado
    • Descripción: Notificación de HDX bloqueado porque el dispositivo no es conforme
  4. Haga clic en Siguiente. Aparecerá la página Detalles de la acción.

  5. En la lista Desencadenador:

    • Elija Propiedad de dispositivo.
    • Elija No conforme.
    • Elija es.
    • Elija Verdadero.

    Imagen de la configuración de Smart Access

  6. En la lista Acción, especifique las acciones que se producen cuando se cumple el desencadenador:

    • Elija Enviar notificación.
    • Elija Bloqueo de aplicaciones HDX, la notificación que ha creado.
    • Elija 0. Si este valor es 0, la notificación se enviará tan pronto como se cumpla la condición del desencadenador.
  7. Elija el grupo o grupos de entrega de XenMobile a los que aplicar esta acción. En este ejemplo, se ha elegido AllUsers.

  8. Revise el resumen de la acción.

  9. Haga clic en Siguiente y, a continuación, seleccione Guardar.

Para obtener información detallada acerca de la configuración de acciones automatizadas, consulte Acciones automatizadas.

Cómo los usuarios recuperan el acceso a las aplicaciones HDX

Los usuarios pueden volver a obtener el acceso a las aplicaciones HDX después de que el dispositivo vuelva a ser conforme:

  1. En el dispositivo, vaya a la tienda de Secure Hub para actualizar las aplicaciones en la tienda.

  2. Vaya a la aplicación y toque en Agregar en la aplicación.

Una vez agregada la aplicación, aparece en “Mis aplicaciones” con un punto azul, porque es una aplicación recién instalada.

Imagen de la configuración de Smart Access