Citrix Secure Hub

O Citrix Secure Hub é a plataforma de lançamento para a experiência com o Citrix Endpoint Management (anteriormente, XenMobile). Os usuários registram seus dispositivos no Secure Hub para obter acesso à loja de aplicativos. Na loja de aplicativos, eles podem adicionar aplicativos móveis de produtividade desenvolvidos pela Citrix e aplicativos de terceiros.

Quanto ao Secure Hub e outros requisitos de sistema de aplicativos móveis de produtividade, consulte os Requisitos do sistema.

Administração do Secure Hub

Você executa a maioria das tarefas administrativas relacionadas ao Secure Hub durante a configuração inicial do Endpoint Management. Para tornar o Secure Hub disponível para os usuários, para iOS e Android, carregue o Secure Hub no iOS App Store e no Google Play Store.

Além de fornecer um portal para aplicativos Citrix, o Secure Hub atualiza a maioria das políticas de MDX armazenadas no Endpoint Management para os aplicativos instalados quando uma sessão de usuário do NetScaler Gateway se renova após autenticação usando o NetScaler Gateway.

Importante:

As alterações a qualquer uma das políticas a seguir exigem que um usuário exclua e reinstale o aplicativo para aplicar a atualização de política: Grupo de Segurança, Ativar criptografia e o Exchange Server do Secure Mail.

PIN da Citrix

Você pode configurar o Secure Hub para usar o PIN da Citrix, um recurso de segurança ativado no console Endpoint Management em Configurações > Propriedades do Cliente. A configuração requer que os usuários de dispositivos móveis registrados façam logon no Secure Hub e ativem os aplicativos MDX incluídos usando um número de identificação pessoal (PIN).

O recurso de PIN da Citrix simplifica a experiência de autenticação do usuário ao fazer logon nos aplicativos seguros preparados. Os usuários não precisam inserir outra credencial repetidamente, como o nome de usuário e a senha do Active Directory.

Os usuários que fazem logon no Secure Hub pela primeira vez precisam inserir seu nome de usuário e senha do Active Directory. Durante o logon, o Secure Hub salva as credenciais do Active Directory ou um certificado de cliente no dispositivo do usuário e, em seguida, solicita ao usuário para inserir um PIN. Quando o usuário faz logon novamente, ele digita o PIN para acessar seus aplicativos Citrix e o Store com segurança, até que o próximo período de tempo limite de ociosidade termine para a sessão de usuário ativa. Propriedades de cliente correlatas permitem criptografar segredos usando o PIN, especificar o tipo de código secreto para PIN e especificar os requisitos de força e comprimento do PIN. Para obter detalhes, consulte Propriedades do cliente.

Quando a autenticação da impressão digital está ativada, os usuários agora podem fazer logon usando uma impressão digital quando for necessária a autenticação offline devido à inatividade de aplicativo. Os usuários ainda têm que inserir um PIN quando fizerem logon ao Secure Hub pela primeira vez ou ao reiniciar o dispositivo, e depois que o tempo limite de inatividade expirar. A autenticação por impressão digital é compatível com dispositivos iOS 9 e iOS 10.3 e alguns dispositivos Android. Para obter informações sobre como ativar a autenticação por impressão digital, consulte a configuração ENABLE_TOUCH_ID_AUTH em Propriedades do cliente.

Fixação de certificado

O Secure Hub para iOS e Android oferecem suporte a fixação de certificado SSL. Esse recurso garante que o certificado assinado por sua empresa seja usado quando os clientes Citrix se comunicam com o Endpoint Management. A fixação de certificados impede conexões de clientes ao Endpoint Management quando a instalação de um certificado raiz no dispositivo compromete a sessão SSL. Quando o Secure Hub detecta alterações no servidor chave pública, o Secure Hub nega a conexão.

A partir do Android N, o sistema operacional não permite mais autoridades de certificação (AC) adicionadas pelo usuário. A Citrix recomenda o uso de uma Autoridade de Certificação raiz pública no lugar de uma autoridade de certificação adicionada pelo usuário.

Os usuários que fizerem a atualização para Android N podem ter problemas se usarem autoridades de certificação privadas ou autoassinadas. As conexões em dispositivos Android N são interrompidas nos seguintes cenários:

  • Autoridades de certificação privadas/autoassinadas e a opção Required Trusted CA for Endpoint Management em AutoDiscovery Service está definida como ON. Para obter mais informações, consulte Endpoint Management AutoDiscovery Service.
  • Autoridades de certificação privadas/autoassinadas e o AutoDiscovery Service (ADS) não estão acessíveis. Devido a questões de segurança, quando ADS não está acessível, a opção Required Trusted CA é ativada mesmo que tenha sido definida como desativada inicialmente.

Antes de registrar dispositivos ou atualizar o Secure Hub, considere ativar a fixação de certificados. A opção está Desativada por padrão e é gerenciada pelo Endpoint Management AutoDiscovery Service (ADS). Quando você ativa a fixação de certificado, os usuários não podem se registrar no Endpoint Management com um certificado autoassinado. Se os usuários tentarem se registrar com um certificado autoassinado, eles serão avisados de que o certificado não é confiável. O registro falhará se os usuários não aceitarem o certificado.

Para usar fixação de certificado, solicite que a Citrix carregue certificados no seu servidor Citrix ADS. Abra um caso de suporte técnico usando o Citrix Support portal. Em seguida, forneça as seguintes informações:

  • O domínio que contém as contas com que os usuários vão se inscrever.
  • O nome de domínio totalmente qualificado (FQDN) do Endpoint Management.
  • O nome da instância do Endpoint Management. Por padrão, o nome da instância é zdm e ela diferencia maiúsculas de minúsculas.
  • Tipo de ID de usuário, que pode ser UPN ou Email. Como padrão, o tipo é UPN.
  • A porta usada para registro de iOS se você tiver alterado o número de porta da porta padrão 8443.
  • A porta através da qual o Endpoint Management aceita conexões se você tiver alterado o valor do número de porta padrão 443.
  • O URL completo do NetScaler Gateway.
  • Opcionalmente, um endereço de email para o seu administrador do Endpoint Management.
  • Os certificados formatados com PEM que você deseja adicionar ao domínio.

Configuração de certificado + autenticação de senha de uso único para o Secure Hub

Você pode configurar o NetScaler para que o Secure Hub autentique usando um certificado além de um token de segurança que atua como uma senha de uso único. Esta opção fornece uma configuração de alta segurança que não deixa rastros do Active Directory nos dispositivos.

Para ativar o Secure Hub para usar este tipo de autenticação, adicione uma ação de regravação e uma política de regravação no NetScaler que insira um cabeçalho de resposta personalizado do formulário X-Citrix-AM-GatewayAuthType: CertAndRSA para indicar o tipo de logon NetScaler Gateway.

Em geral, o Secure Hub usa o tipo de logon do NetScaler Gateway configurado no console Endpoint Management. No entanto, essas informações não estão disponíveis para o Secure Hub até que o Secure Hub conclua o logon pela primeira vez, portanto, o cabeçalho personalizado é necessário para permitir que o Secure Hub faça isso.

Nota:

Se diferentes tipos de logon forem definidos no Endpoint Management e no NetScaler, a configuração do NetScaler substituirá a configuração. Para obter informações, consulte NetScaler Gateway e Endpoint Management.

  1. No NetScaler, navegue para Configuration > AppExpert > Rewrite > Actions.

  2. Clique em Adicionar.

    É exibida a tela Create Rewrite Action.

  3. Preencha cada campo conforme mostrado na figura a seguir e, em seguida, clique em Create.

    Imagem da tela de criação de uma ação de regravação

    O resultado é exibido na tela principal Rewrite Actions.

    Imagem dos resultados na tela de ações de regravação

  4. Vincule a ação de regravar ao servidor virtual como uma política de regravação. Vá para Configuration > NetScaler Gateway > Virtual Serverse depois selecione seu servidor virtual.

    Imagem da tela de Servidores Virtuais

  5. Clique em Edit.

  6. Na tela Virtual Servers configuration, role até Policies.

  7. Clique em + para adicionar uma política.

    Imagem da opção de adição de política

  8. No campo Choose Policy, selecione Rewrite.

  9. No campo Choose Type, selecione Response.

    Imagem da opção de resposta

  10. Clique em Continue.

    A seção Policy Binding se expande.

    Imagem da seção de vinculação de política

  11. Clique em Select Policy.

    É exibida uma tela com políticas disponíveis.

    Imagem das políticas disponíveis

  12. Clique na linha da política que você acabou de criar e clique em Select. A tela Policy Binding aparece novamente, com a sua política selecionada preenchida.

    Imagem da política selecionada

  13. Clique em Bind.

    Se a associação for bem-sucedida, é exibida a principal tela de configuração com a política de reescrever concluída exibida.

    Imagem de um vínculo bem-sucedido

  14. Para exibir os detalhes da política, clique em Rewrite Policy.

    Imagem dos detalhes de reescrita/regravação da política

Requisito de porta para conectividade ADS para dispositivos Android

A configuração de porta garante que dispositivos Android que se conectam do Secure Hub possam acessar o Citrix ADS de dentro da rede corporativa. A capacidade de acessar ADS é importante ao baixar as atualizações de segurança disponibilizadas por meio do ADS. As conexões ADS podem não ser compatíveis com o servidor proxy. Nesse cenário, permita que a conexão do ADS ignore o servidor proxy.

Importante:

o Secure Hub para Android e iOS exige que você permita que dispositivos Android acessem o ADS. Para obter detalhes, consulte os Requisitos de porta na documentação do Endpoint Management. Note que essa comunicação é na porta de saída 443. É altamente provável que o ambiente existente tenha sido criado para permitir isso. Recomenda-se com ênfase aos clientes que não possam garantir a comunicação que não atualizem para o Secure Hub 10.2. Se tiver alguma dúvida, entre em contato com o Atendimento ao Cliente Citrix.

Para permitir a fixação de certificado, os seguintes pré-requisitos devem ser atendidos:

  • Colete os certificados do Endpoint Management e do NetScaler. Os certificados precisam estar no formato PEM e devem ser um certificado público e não a chave privada.
  • Entre em contato com o suporte da Citrix e faça uma solicitação para permitir a fixação de certificado. Durante este processo, você será solicitado a fornecer seus certificados.

As melhorias do novo certificado de fixação exigem que os dispositivos se conectem ao ADS antes de o dispositivo se inscrever. Isso garante que as informações de segurança mais recentes estejam disponíveis ao Secure Hub para o ambiente no qual o dispositivo está se inscrevendo. Se os dispositivos não puderem alcançar o ADS, o Secure Hub não permitirá o registro do dispositivo. Portanto, a abertura de acesso a ADS na rede interna é crítica para possibilitar que os dispositivos se registrem.

Para permitir o acesso ao ADS para o Secure Hub para Android, abra a porta 443 para os seguintes endereços IP e FQDN:

FQDN Endereço IP Porta Uso de IP e porta
discovery.mdm.zenprise.com 52.5.138.94 443 Secure Hub - ADS Communication
discovery.mdm.zenprise.com 52.1.30.122 443 Secure Hub - ADS Communication
ads.xm.cloud.com: observe que o Secure Hub versão 10.6.15 e posterior usa ads.xm.cloud.com. 34.194.83.188 443 Secure Hub - ADS Communication
ads.xm.cloud.com: observe que o Secure Hub versão 10.6.15 e posterior usa ads.xm.cloud.com. 34.193.202.23 443 Secure Hub - ADS Communication

Se a fixação de certificado estiver ativada:

  • O Secure Hub fixa o certificado corporativo durante o registro do dispositivo.
  • Durante uma atualização, o Secure Hub descarta os certificados fixados e, em seguida, fixa o certificado do servidor na primeira conexão para usuários registrados.

    Nota:

    Se você ativar a fixação de certificado após uma atualização, os usuários devem fazer novo registro.

  • A renovação do certificado não exige o processo de novo registro, desde que a chave pública de certificado não tenha se alterado.

A fixação de certificado dá suporte a certificados de folha, mas não certificados intermediários ou certificados de emissor. A fixação de certificado se aplica a servidores Citrix, como, por exemplo, Endpoint Management e NetScaler Gateway, e não a servidores de terceiros.

Recursos do Secure Hub

O Secure Hub permite monitorar e impor políticas móveis e fornece acesso ao Store e suporte ao vivo. Os usuários começam a baixar o Secure Hub para seus dispositivos das lojas de aplicativos Apple, Android ou Windows.

Quando o Secure Hub é aberto, os usuários digitam as credenciais fornecidas pela sua empresa para registrar seus dispositivos no Secure Hub. Para obter mais informações sobre o registro de dispositivos, consulte Usuários, contas, funções e registro.

No Secure Hub para Android, durante a instalação inicial e registro, aparece a seguinte mensagem: Permitir que o Secure Hub acesse fotos, mídia e arquivos em seu dispositivo?

Note que esta mensagem vem do sistema operacional Android e não da Citrix. Quando você toca em Allow, a Citrix e os administradores que administram o Secure Hub não veem seus dados pessoais em nenhum momento. Se, no entanto, você realizar uma sessão de suporte remoto com seu administrador, o administrador pode visualizar seus arquivos pessoais dentro da sessão.

Depois de inscritos, os usuários veem os aplicativos e áreas de trabalho que você enviou nas respectivas guias My Apps. Os usuários podem adicionar mais aplicativos do Store. Nos telefones o link do Store está sob o ícone de configurações tipo hambúrguer no canto superior esquerdo.

Imagem do link da loja

Em tablets, o Store é uma guia separada.

Imagem da loja em tablets

Quando os usuários com iPhones com iOS 9 ou posterior instalam aplicativos móveis de produtividade da loja de aplicativos do Endpoint Management, eles veem uma mensagem que informa que a empresa desenvolvedora, a Citrix, não é confiável no iPhone e o aplicativo não estará disponível para uso até que o desenvolvedor seja confiável. Quando esta mensagem é exibida, o Secure Hub avisa aos usuários para exibir um guia que os orienta pelo processo de confiar nos aplicativos empresariais Citrix para seu iPhone.

Para as implantações somente MAM, você pode configurar o Endpoint Management para que os usuários com dispositivos Android ou iOS que se registrarem no Secure Hub com credenciais de email sejam automaticamente registrados no Secure Mail. Os usuários não têm que digitar mais informações nem executar mais etapas para se registrarem no Secure Mail.

Ao ser usado pela primeira vez, o Secure Mail obtém do Secure Hub o endereço de email do usuário, o domínio e a identificação de usuário. O Secure Mail usa o endereço de email para a detecção automática. O servidor do Exchange é identificado com o uso do domínio e a identificação de usuário, o que permite que o Secure Mail autentique o usuário automaticamente. O usuário é solicitado a digitar uma senha se a política for definida como não passar pela senha, mas não é necessário que o usuário digite mais nenhuma informação.

Para ativar esse recurso, crie três propriedades:

  • A propriedade do servidor MAM_MACRO_SUPPORT. Para obter instruções, consulte Propriedades do servidor.
  • As propriedades de cliente ENABLE_CREDENTIAL_STORE e SEND_LDAP_ATTRIBUTES. Para obter instruções, consulte Propriedades do cliente.

Se você deseja personalizar sua Store, vá para Settings > Client Branding para alterar o nome, adicionar um logotipo e especificar como os aplicativos serão exibidos.

Imagem da imagem de marca do cliente

Você pode editar as descrições do aplicativo no console Endpoint Management. Clique em Configure e em Apps. Selecione o aplicativo na tabela e clique em Edit. Selecione as plataformas para o aplicativo com a descrição que você está editando e digite o texto na caixa Description.

Imagem da caixa de descrição

No Store, os usuários poderão procurar somente os aplicativos e áreas de trabalho que você tiver configurado e protegido no Endpoint Management. Para adicionar o aplicativo, os usuários devem tocar em Details e depois em Add.

O Secure Hub também oferece aos usuários uma variedade de formas de obter ajuda. Em tablets, tocar o ponto de interrogação no canto superior direito abre as opções de ajuda. Em telefones, os usuários devem tocar no ícone de hambúrguer no canto superior esquerdo e depois tocar em Help.

Imagem da tela de ajuda

Your IT Department mostra o telefone e o email do suporte técnico de sua empresa, que os usuários podem acessar diretamente do aplicativo. Você pode inserir números de telefone e endereços de email no console Endpoint Management. Clique no ícone de engrenagem no canto superior direito. A página Configurações é exibida. Clique em More e em Client Support. É exibida a tela em que você insere as informações.

Imagem da tela de suporte ao cliente

Report Issue mostra uma lista de aplicativos. Os usuários devem selecionar o aplicativo que apresenta o problema. O Secure Hub gera automaticamente os logs e abre uma mensagem em Secure Mail com os logs anexados como um arquivo zip. Os usuários podem adicionar linhas de assunto e descrição do problema. Eles também podem anexar uma captura de tela.

Send Feedback to Citrix abre uma mensagem no Secure Mail com um endereço de suporte da Citrix preenchido. No corpo da mensagem, o usuário pode fornecer sugestões para melhorar o Secure Mail. Se o Secure Mail não estiver instalado no dispositivo, o programa de email nativo será aberto.

Os usuários também podem tocar em Citrix Support, o que abre o Citrix Knowledge Center. Ali eles podem pesquisar artigos de suporte para todos os produtos da Citrix.

Em Preferences, os usuários podem encontrar informações sobre suas contas e dispositivos.

O Secure Hub também fornece políticas de localização geográfica e rastreio geográfico se, por exemplo, você desejar garantir que um dispositivo pertencente à empresa não invade um determinado perímetro geográfico. Para obter detalhes, consulte Location device policy. Além disso, o Secure Hub coleta automaticamente e analisa informações de falhas para que você possa ver o que levou a uma determinada falha. Esta função é suportada pelo software Crashlytics.