Integração e implantação do Secure Web

Para integrar e fornecer o Secure Web, siga estas etapas gerais:

  1. Para ativar o SSO na rede interna, configure NetScaler Gateway.

    Para o tráfego HTTP, o NetScaler pode fornecer SSO para todos os tipos de autenticação proxy com suporte pelo NetScaler. Para o tráfego HTTPS, a política de cache de senha da Web permite ao Secure Web autenticar e fornecer SSO para o servidor proxy por meio de MDX. O MDX dá suporte apenas a autenticação basic, digest e NTLM proxy. A senha é armazenada em cache usando MDX e armazenada no cofre compartilhado do Endpoint Management, uma área de armazenamento segura para os dados confidenciais de aplicativo. Para obter detalhes sobre a configuração do NetScaler Gateway, consulte NetScaler Gateway.

  2. Baixar o Secure Web.
  3. Determine como você deseja configurar conexões de usuário para a rede interna.
  4. Adicione o Secure Web ao Endpoint Management usando as mesmas etapas que para outros aplicativos MDX e configure as políticas de MDX. Para obter detalhes sobre as políticas específicas para o Secure Web, veja Sobre as políticas do Secure Web.

Configurando conexões de usuário

O Secure Web oferece suporte para as seguintes configurações para conexões de usuário:

  • Navegação segura: Conexões que fazem túnel para a rede interna podem usar uma variação de uma VPN sem cliente, chamada de navegação segura. Esta é a configuração padrão especificada para a política de modo VPN preferencial. A navegação segura é recomendada para conexões que exigem um logon único (SSO).
  • Túnel VPN completo: Conexões que fazem túnel para a rede interna podem usar um túnel VPN, configurado pela política de modo VPN preferencial. Túnel VPN completo é recomendado para conexões que usam certificados de cliente ou SSL de ponta a ponta a um recurso na rede interna. Túnel VPN completo manipula qualquer protocolo por TCP e pode ser usado com computadores Windows e Mac, bem como dispositivos iOS e Android.
  • A política Permitir comutação de modo VPN permite alternar automaticamente entre os modos Túnel VPN completo e navegação segura, conforme o necessário. Como padrão, esta política está Desativada. Quando esta política está ativada, uma solicitação de rede que falhar devido a uma solicitação de autenticação que não possa ser processada no modo VPN preferido é repetida no modo alternativo. Por exemplo, o modo de túnel VPN completo, mas não o modo de navegação segura, pode acomodar desafios do servidor para certificados de cliente. Da mesma forma, os desafios de autenticação HTTP têm maior probabilidade de serem atendidos pelo SSO ao usar o modo navegação segura.
  • Túnel VPN completo com PAC: Você pode usar um arquivo PAC com uma implantação de túnel VPN completo para dispositivos iOS e Android. Um arquivo PAC contém regras que definem como os navegadores selecionam um proxy para acessar uma URL especificada. O arquivo de regras PAC pode especificar a manipulação tanto para sites internos quanto externos. O WorxWeb analisa o arquivo de regras PAC e envia as informações do servidor proxy para o NetScaler Gateway.
  • O desempenho de full VPN quando um arquivo PAC é usado é comparável ao modo navegação segura. Para obter detalhes sobre a configuração de PAC, consulte Full VPN tunnel com PAC.
  • Reverse Split Tunnel: no modo REVERSE, o tráfego para aplicativos de intranet ignora o túnel VPN enquanto outro tráfego passa pelo túnel VPN. Isso pode ser usado para registrar todo o tráfego de LAN não local.

Etapas de configuração de Reverse do túnel dividido

**Para configurar o modo Reverse de túnel dividido no NetScaler Gateway: **

  • Navegar para a política Políticas > Sessão.
  • Selecione a política do Secure Hub e navegue até Client Experience > Túnel dividido.
  • Selecione REVERSE.

A política de MDX de lista de exclusão do modo Reverse Split Tunnel no XenMobile Server: O XenMobile 10.3.5 ou posterior introduz uma nova política de MDX intitulada “Lista de exclusão do modo Reverse Split Tunnel”. Isso é configurado com o intervalo de “exclusão” baseado em uma lista separada por vírgula de sufixos DNS e FQDN, o que define as URLs para as quais o tráfego na rede local (LAN) do dispositivo deve ser enviado, e não para o NetScaler. Para obter detalhes sobre essa política, consulte Reverse Split Tunnel Use Case in XenMobile Server and NetScaler Integration.

A tabela a seguir indica se o Secure Web pede as credenciais de um usuário, com base na configuração de site e tipo:

Modo de conexão Tipo de Site Senha em cache SSO configurado para o NetScaler Gateway Secure Web solicita credenciais no primeiro acesso de um site Secure Web solicita credenciais no acesso subsequente do site Secure Web solicita credenciais após a alteração da senha
Navegação segura http Não Sim Não Não Não
Navegação segura https Não Sim Não Não Não
VPN completa http Não Sim Não Não Não
VPN completa https Sim. Se a política Secure Web MDX Enable web password caching está definida como On. Não Sim. É necessário para armazenar em cache as credenciais no Secure Web. Não Sim

Túnel VPN completo com PAC

Importante:

Se o Secure Web estiver configurado com um arquivo PAC e o NetScaler estiver configurado para operação de proxy, o Secure Web atingirá o tempo limite. Remova as políticas de tráfego do NetScaler Gateway configuradas para proxy antes de usar túnel VPN completo com PAC.

Quando você configura o Secure Web para um túnel VPN completo com seu arquivo PAC ou servidor proxy, o Secure Web envia todo o tráfego para o proxy através do NetScaler Gateway. O NetScaler Gateway então roteia o tráfego de acordo com as regras de configuração do proxy. Nessa configuração, o NetScaler Gateway não reconhece o arquivo PAC nem o servidor proxy. O fluxo de tráfego é o mesmo que túnel completo de VPN sem PAC.

O seguinte diagrama mostra o fluxo do tráfego quando os usuários do Secure Web usuários navegam para um site da web:

Imagem do tráfego do Secure Web para um site

Neste exemplo, as regras de tráfego especificam que:

  • O NetScaler Gateway se conecta diretamente ao site de intranet example1.net.
  • O tráfego para o site de intranet example2.net tem proxy por meio de servidores proxy internos.
  • O tráfego externo está com proxy por meio de servidores proxy internos. As regras de proxy bloqueiam tráfego externo para Facebook.com.

Para configurar o túnel VPN completo com PAC

  1. Valide e teste o arquivo PAC.

    Nota:

    Para obter detalhes sobre como criar e usar arquivos PAC, consulte https://findproxyforurl.com/.

    Valide o arquivo PAC com uma ferramenta de validação de PAC como Pacparser. Quando você lê seu arquivo PAC, verifique se os resultados do Pacparser são os esperados. Se o arquivo de PAC tiver um erro de sintaxe, os dispositivos móveis vão ignorar o arquivo PAC de modo silencioso. (Um arquivo PAC é armazenado somente na memória em dispositivos móveis.)

    Um arquivo PAC é processado de cima para baixo e o processamento para quando uma regra corresponde à solicitação atual.

    Teste a URL do arquivo PAC com um navegador da Web antes de inserir no campo de PAC/Proxy do Endpoint Management. Certifique-se de que o computador pode acessar a rede onde o arquivo PAC está localizado.

    https://webserver.local/GenericPAC.pac https://webserver.local/GenericPAC.pac

    As extensões de arquivos PAC testados são .txt ou .pac.

    O arquivo de PAC deve mostrar seu conteúdo dentro do navegador da Web.

    Importante:

    Cada vez que você atualizar o arquivo PAC usado com o Secure Web, informe os usuários de que eles devem fechar e reabrir o Secure Web.

  2. Configurar o NetScaler Gateway:

    • Desativar o encapsulamento dividido do NetScaler Gateway. Se encapsulamento dividido estiver ativado e estiver configurado um arquivo PAC, o arquivo de regras PAC substitui as regras de encapsulamento dividido NetScaler. Um proxy não substitui as regras de encapsulamento dividido do NetScaler.
    • Remova as políticas de tráfego configuradas para o NetScaler Gateway. Esse passo é necessário para que o Secure Web funcione corretamente. A figura a seguir mostra um exemplo de regras de política para remover.

    Imagem da tela de configuração de políticas de tráfego do NetScaler Gateway

  3. Defina as políticas do Secure Web:

    • Definir a política de modo Preferred VPN para Full VPN tunnel.
    • Definir a política Permit VPN mode switching como Off.
    • Configurar a URL do arquivo PAC ou a política de servidor proxy. O Secure Web dá suporte a HTTP e HTTPS, bem como a portas padrão e não padrão. No caso do HTTPS, a autoridade de certificação de raiz deve ser instalada no dispositivo se o certificado for autoassinado ou não confiável.

      Não deixe de testar a URL ou o endereço do servidor proxy em um navegador da Web antes de configurar a política.

      Exemplo de URLs de arquivo PAC:

      http[s]://example.com/proxy.pac http[s]://10.10.0.100/proxy.txt

      Exemplo de servidores proxy (a porta é obrigatória):

      myhost.example.com:port

      10.10.0.100:port

      Nota:

      Se você configurar um arquivo PAC ou servidor proxy, não configure PAC nas configurações de sistema proxy para WiFi.

    • Defina a política Enable web password caching como On. O armazenamento de senha Web lida com SSO para sites HTTPS.

      O NetScaler pode executar SSO para proxies internos se o proxy der suporte à mesma infraestrutura de autenticação.

Limitações de suporte a arquivos PAC

O Secure Web não oferece suporte a:

  • Failover de um servidor proxy para outro. A avaliação de arquivo PAC arquivo avaliação pode retornar vários servidores proxy para um nome de host. O Secure Web usa apenas o primeiro servidor proxy retornado.
  • Protocolos como ftp e gopher em um arquivo PAC.
  • Servidores proxy SOCKS em um arquivo PAC
  • Web Proxy Autodiscovery Protocol (WPAD).

O Secure Web ignora o alerta de função do arquivo PAC de modo que o Secure Web pode analisar um arquivo PAC que não inclui essas chamadas.

Políticas do Secure Web

Ao adicionar o Secure Web, leve em consideração essas políticas de MDX que são específicas para o Secure Web. Para todos os dispositivos móveis com suporte:

Websites permitidos ou bloqueados

O Secure Web normalmente não filtra links da Web. Você pode usar essa política para configurar uma lista específica de sites permitidos ou bloqueados. Você pode configurar padrões de URL para restringir os sites que o navegador pode abrir, formatado como uma lista de itens separados por vírgula. Um sinal de mais (+) ou menos (-) precede cada padrão na lista. O navegador compara uma URL conforme com os padrões na ordem listada antes que uma correspondência seja encontrada. Quando uma ocorrência é encontrada, o prefixo determina a ação executada da seguinte maneira:

  • Um prefixo menos instrui o navegador para bloquear o URL. Nesse caso, o URL é tratado como se o endereço do servidor não pudesse ser resolvido.
  • Um prefixo de mais (+) permite que o URL seja processado normalmente.
  • Se nem + ou - for fornecido com o padrão, fica presumido + (permitir).
  • Se o URL não corresponder a nenhum padrão na lista, o URL é permitido

Para bloquear todas as outras URLs, encerre a lista com sinal de menos seguido por um asterisco (-*). Por exemplo:

  • O valor da política +http://*.mycorp.com/*,-http://*,+https://*,+ftp://*,-* permite URLs de HTTP no domínio mycorp.com, mas os bloqueia nos demais lugares, permite URLs de HTTPS e FTP em qualquer lugar, e bloqueia todos os outros URLs.
  • O valor da política +http://*.training.lab/*,+https://*.training.lab/*,-* permite que os usuários abram qualquer site no domínio Training.lab (intranet) via HTTP ou HTTPS. O valor da política não permite que os usuários abram URLs públicas, como Facebook, Google, Hotmail etc., independentemente do protocolo.

O valor padrão é vazia (todas os URLs são permitidos).

Bloquear pop-ups

Os pop-ups são novas guias que os sites abrem sem a sua permissão. Esta política determina se o Secure Web permite pop-ups. Se o valor for Ativado, o Secure Web impedirá que os sites abram pop-ups. O valor padrão é Desativado.

Indicadores pré-carregados

Define um conjunto de indicadores para o navegador Secure Web. A política é uma lista separada por vírgulas de tuplas que incluem nome de pasta, o nome amigável e endereço da Web. Cada tripleto deve estar no formato pasta,nome,url em que a pasta e o nome pode ser, opcionalmente, colocados entre aspas duplas (“).

Por exemplo, os valores da política,"Mycorp, Inc. home page",https://www.mycorp.com, "MyCorp Links",Account logon,https://www.mycorp.com/Accounts "MyCorp Links/Investor Relations","Contact us",https://www.mycorp.com/IR/Contactus.aspx definem três marcadores. O primeiro é um link primário (sem nome de pasta) intitulado “Mycorp, Inc. home page”. O segundo link é colocado em uma pasta chamada “MyCorp Links” e intitulado “Account logon”. O terceiro é colocado na subpasta “Investor Relations” da pasta “MyCorp Links” e exibido como “Contact us”.

O valor padrão é vazio.

URL da página inicial

Define o site que o Secure Web carrega quando iniciado. O valor padrão é vazio (página inicial padrão).

Apenas para dispositivos Android e iOS com suporte:

Interface do usuário de navegador

Determina o comportamento dos controles da interface do usuário do navegador para o Secure Web. Normalmente, todos os controles de navegação estão disponíveis. Estes incluem avançar, retroceder, barra de endereços e os controles para atualizar/parar. Você pode configurar esta política para restringir o uso e a visibilidade de alguns desses controles. O valor padrão é Todos os controles visíveis.

Opções:

  • Todos os controles visíveis. Todos os controles estão visíveis e os usuários não são impedidos de usá-los.
  • Barra de endereços de somente leitura. Todos os controles estão visíveis, mas os usuários não podem editar o campo de endereço do navegador.
  • Ocultar barra de endereços. Oculta a barra de endereços, mas não outros controles.
  • Ocultar todos os controles. Suprime toda a barra de ferramentas para fornecer uma experiência de navegação sem molduras.

Ativar armazenamento em cache de senha da web

Quando os usuários do Secure Web digitam credenciais ao acessas ou solicitar um recurso da Web, esta política determina se o Secure Web armazena silenciosamente em cache a senha no dispositivo. Esta política se aplica a senhas inseridas nos diálogos de autenticação e não para senhas inseridas em formulários da Web.

Se o valor for Ativado, o Secure Web armazena em todas as senhas que os usuários digitarem ao solicitar um recurso da Web. Se o valor for Desativado, o Secure Web não armazena em cache as senhas e remove as senhas existentes armazenadas em cache. O valor padrão é Desativado.

Esta política é ativada somente quando você também define a política de VPN preferida como Túnel VPN completo para este aplicativo.

Servidores proxy

Você também pode configurar servidores proxy para o WorxWeb quando usado no modo navegação segura. Para obter detalhes, consulte esta postagem no blog.

Sufixos DNS

Em Android, se os sufixos DNS não estiverem configurados, a VPN poderá falhar. Para obter detalhes sobre a configuração de sufixos DNS, consulte Suporte a consultas de DNS usando sufixos DNS para dispositivos Android.

Preparação de sites de intranet para o Secure Web

Esta seção é para desenvolvedores de sites que necessitam preparar um site da intranet para uso com o Secure Web para Android e iOS. Sites de Intranet feitos para navegadores de desktop requerem alterações para funcionar corretamente em dispositivos Android e iOS.

Secure Web utiliza o Android WebView e iOS UIWebView para oferecer suporte à tecnologia da Web. Algumas das tecnologias com suporte pelo Secure Web são:

  • AngularJS
  • ASP .NET
  • JavaScript
  • JQuery
  • WebGL
  • WebSockets

Algumas das tecnologias sem suporte pelo Secure Web são:

  • Flash
  • Java

A tabela a seguir mostra recursos de renderização HTML e tecnologias com suporte para o Secure Web. X indica que o recurso está disponível para uma plataforma, navegador e combinação de componentes.

Tecnologia iOS Secure Web Android 5.x/6.x/7.x Secure Web
Mecanismo de JavaScript JavaScriptCore V8
Armazenamento local X X
AppCache X X
IndexedDB   X
SPDY X  
WebP   X
srcet X X
WebGL   X
requestAnimationFrame API   X
Navigation Timing API   X
Resource Timing API   X

As tecnologias funcionam do mesmo modo nos diferentes dispositivos, no entanto, o Secure Web retorna cadeias de caracteres de agente diferentes para dispositivos diferentes. Para determinar a versão do navegador usada para o Secure Web, você pode ver a sua sequência de caracteres de e agente de usuário. No Secure Web, navegue até https://whatsmyuseragent.com/.

Solução de problemas de sites da Intranet

Para solucionar problemas de renderização quando o site de intranet é exibido no Secure Web, compare como o site é exibido no Secure Web e em um navegador compatível de terceiros.

Para iOS, os navegadores de terceiros compatíveis para teste são o Chrome e o Dolphin.

Para o Android, o navegador de terceiro compatível para teste é o Dolphin.

Nota:

Chrome é um navegador nativo no Android. Não o use para a comparação.

No iOS, verifique se os navegadores têm suporte a VPN no nível de dispositivo. Você pode configurar esse suporte no dispositivo em Ajustes > VPN > Adicionar configuração de VPN.

Você também pode usar o aplicativo de cliente VPN disponíveis na App Store, como Citrix VPN, Cisco AnyConnect, or Pulse Secure.

  • Se uma página da Web é exibida do mesmo modo nos dois navegadores, o problema é no seu site. Atualize seu site e verifique se ela funciona bem para o sistema operacional.
  • Se o problema em uma página da Web aparecer somente no Secure Web, entre em contato com o suporte da Citrix para abrir um tíquete de suporte. Forneça as etapas de solução de problemas, incluindo o navegador e os tipos de sistema operacional testados. Se o Secure Web para iOS tiver problemas de exibição, inclua um arquivo da web da página como descrito nas seguintes etapas. Isso ajuda a Citrix resolver o problema de com mais rapidez.

Para criar um arquivo web

Usando o Safari no macOS 10.9 ou posterior, você pode salvar uma página da Web como um arquivo da Web (chamado de lista de leitura) que inclui todos os arquivos vinculados como imagens, CSS e JavaScript.

  1. No Safari, esvazie a pasta de Lista de Leitura: no Finder, clique no menu Ir na barra Menu, selecione Ir para a pasta, digite o nome do caminho ~/Library/Safari/ReadingListArchives/ e, em seguida, exclua todas as pastas contidas nesse local.

  2. Na barra Menu, vá para Safari > Preferências > Avançado e ative Mostrar menu Desenvolvedor na barra de menus.

  3. Na barra Menu, vá para Desenvolvedor > Agente do Usuário e insira o agente de usuário do Secure Web: (Mozilla/5.0 (iPad; CPU OS 8_3, como macOS) AppleWebKit/600.1.4 (KHTML, como Gecko) Mobile/12F69 Secure Web/ 10.1.0(build 1.4.0) Safari/8536.25).

  4. No Safari, abra o site que você vai salvar como lista de leitura (arquivo da Web).

  5. Na barra Menu, vá até Favoritos > Adicionar à lista de leitura. Esse passo pode levar alguns minutos. O arquivamento ocorre em segundo plano.

  6. Localize a lista de leitura arquivada: na barra Menu, vá até Visualizar > Mostrar Barra Lateral da Lista de Leitura.

  7. Verifique o arquivo:

    • Desative a conectividade de rede para o seu Mac.
    • Abrir o site a partir da lista de leitura.

      O site deve ser aberto totalmente.

  8. Compactar o arquivo morto: no Finder, clique no menu Ir na barra Menu, escolha Ir para a pasta e digite o nome do caminho ~/Library/Safari/ReadingListArchives/. Em seguida, compacte a pasta que tem uma cadeia de caracteres hexadecimal aleatória como um nome de arquivo. Este é o arquivo que você pode enviar para a Citrix suporte quando abrir um tíquete de suporte.

Recursos do Secure Web

O Secure Web usa tecnologias de troca de dados móveis para criar um túnel VPN para que os usuários acessem sites internos e externos e todos os outros sites, incluindo sites com informações confidenciais, em um ambiente protegido pelas políticas da sua organização.

A integração do Secure Web com o Secure Mail e o Citrix Files oferece uma experiência de usuário excelente no contêiner seguro do Endpoint Management. Veja a seguir alguns exemplos de recursos de integração:

  • Quando os usuários tocam em links mailto, uma nova mensagem de email é aberta no Citrix Secure Mail sem a necessidade de mais nenhuma autenticação.
  • No iOS, os usuários podem abrir um link no Secure Web de um aplicativo de email nativo, inserindo ctxmobilebrowser:// na frente do URL. Por exemplo, para abrir example.com de um aplicativo de email nativo, use o URL ctxmobilebrowser://example.com.
  • Quando os usuários clicam em um link de intranet contido em uma mensagem de email, o Secure Web vai para aquele site sem que seja necessária nenhuma autenticação adicional.
  • Os usuários podem carregar arquivos para o Citrix Files que eles baixam da Web no Secure Web.

Os usuários do Secure Web também podem executar as seguintes ações:

  • Bloquear pop-ups.

    Nota:

    Grande parte da memória do Secure Web é usada para exibir pop-ups, portanto, o desempenho muitas vezes pode ser melhorado com o bloqueio de pop-ups em Configurações.

  • Marcar seus sites favoritos.
  • Baixar arquivos.
  • Salvar páginas offline.
  • Senhas de salvamento automático.
  • Excluir cache/histórico/cookies.
  • Desabilitar cookies e armazenamento local de HTML5.
  • Compartilhar dispositivos com outros usuários de modo seguro.
  • Pesquisar na barra de endereços.
  • Permitir que aplicativos da Web sejam executados com o Secure Web para acessar a respectiva localização.
  • Exportação e importação de configurações.
  • Abrir arquivos diretamente no Citrix Files sem a necessidade de fazer o download de arquivos. Para habilitar esse recurso, adicione ctx-sf: à política URLs permitidas no Endpoint Management.
  • No iOS, use Ações de toque 3D para abrir uma nova guia e acessar páginas offline, sites favoritos e downloads diretamente da tela inicial.
  • No iOS, baixar arquivos de qualquer tamanho e abri-los no Citrix Files ou em outros aplicativos.

    Nota:

    Se o Secure Web for colocado em segundo plano, o download é interrompido.

  • Pesquisar um termo no modo de exibição de página atual usando Find in Page.

    Imagem da opção de localização na página

O Secure Web também dá suporte a texto dinâmico, de modo que ele exibe a fonte que os usuários definem em seus dispositivos.

Formatos de arquivo com suporte

Nota:

O Secure Web não oferece suporte à reprodução de vídeo para nenhuma plataforma.

Os seguintes formatos de arquivo têm suporte no iOS:

Áudio Imagem Documento
.aac .jpeg .txt
.mp3 .png .pdf
.wav .gif .ppt
  gif animado .doc
    .docx
    .xls
    .xlsx

Os seguintes formatos de arquivo têm suporte no Android:

Áudio Imagem Documento. Para visualizar documentos no Android, você precisa que estejam instalados aplicativos do Office, como QuickEdit.
.flac .jpeg .txt
.aac .png .pdf. Download apenas. Abra no QuickEdit ou outro aplicativo para visualização.
.m4a .gif .ppt
.gif animado .doc  
.mp3   .docx
.wav   .xls
    .xlsx