SmartAccess para aplicativos HDX

Esse recurso permite controlar o acesso a aplicativos HDX com base nas propriedades do dispositivo, nas propriedades do usuário de um dispositivo ou nos aplicativos instalados em um dispositivo. Use esse recurso definindo ações automatizadas para marcar o dispositivo como fora de conformidade, para negar acesso a esse dispositivo. Os aplicativos HDX usados com esse recurso são configurados no XenApp e no XenDesktop usando uma política SmartAccess que nega acesso a dispositivos fora de conformidade. O XenMobile comunica o status do dispositivo ao StoreFront usando uma marca assinada e criptografada. Em seguida, o StoreFront permite ou nega o acesso com base na política de controle de acesso do aplicativo.

Para usar esse recurso, a implantação requer:

  • XenApp e XenDesktop 7.6
  • StoreFront 3.7 ou 3.8
  • O XenMobile Server configurado reúne os aplicativos HDX a partir de um servidor StoreFront
  • XenMobile Server configurado com um certificado SAML a ser usado para assinar e criptografar marcas. O mesmo certificado sem a chave privada é carregado no servidor StoreFront.

Para começar a usar este recurso:

  • Configure o certificado do XenMobile Server para o repositório do StoreFront
  • Configure pelo menos um grupo de entrega do XenApp e do XenDesktop com a política SmartAccess necessária
  • Defina a ação automatizada no XenMobile

Exporte e configure o certificado do XenMobile Server e carregue-o no repositório do StoreFront

O SmartAccess usa marcas assinadas e criptografadas para se comunicar entre os servidores XenMobile e StoreFront. Para ativar essa comunicação, adicione o certificado do XenMobile Server ao repositório do StoreFront.

Para obter mais informações sobre como integrar o StoreFront e o XenMobile quando o XenMobile estiver ativado com autenticação baseada em domínio e em certificado, consulte o Support Knowledge Center.

Exportar o certificado SAML do XenMobile Server

  1. No console XenMobile, clique no ícone de engrenagem no canto superior direito. A página Configurações é exibida. Clique em Certificados.

  2. Localize o certificado SAML do XenMobile Server.

    Imagem da configuração do Smart Access

  3. Verifique se a opção Exportar chave privada está definida como O. Clique em Exportar para exportar o certificado para o diretório de download.

    Imagem da configuração do Smart Access

  4. Localize o certificado no diretório de download. O certificado está no formato PEM.

    Imagem da configuração do Smart Access

Converter o certificado de PEM para CER

  1. Abra o Console de Gerenciamento Microsoft (MMC) e clique com o botão direito do mouse em Certificados > Todas as tarefas > Importar.

    Imagem da configuração do Smart Access

  2. Quando o assistente de importação de certificado for exibido, clique em Avançar.

    Imagem da configuração do Smart Access

  3. Navegue até o certificado no diretório de download.

    Imagem da configuração do Smart Access

  4. Selecione Colocar todos os certificados no repositório a seguir e selecione Pessoal como o repositório de certificados. Clique em Avançar.

    Imagem da configuração do Smart Access

  5. Revise suas seleções e clique em Concluir. Clique em OK na janela de confirmação.

  6. No MMC, clique com o botão direito do mouse no certificado e escolha Todas as tarefas > Exportar.

    Imagem da configuração do Smart Access

  7. Quando o assistente de exportação de certificado for exibido, clique em Avançar.

    Imagem da configuração do Smart Access

  8. Escolha o formato x.509 binário codificado por DER (.CER). Clique em Avançar.

    Imagem da configuração do Smart Access

  9. Procure o certificado. Digite um nome para o certificado e clique em Avançar.

    Imagem da configuração do Smart Access

  10. Salve o certificado.

    Imagem da configuração do Smart Access

  11. Procure o certificado e clique em Avançar.

    Imagem da configuração do Smart Access

  12. Revise suas seleções e clique em Concluir. Clique em OK na janela de confirmação.

    Imagem da configuração do Smart Access

  13. Localize o certificado no diretório de download. Observe que o certificado está no formato CER.

    Imagem da configuração do Smart Access

Copie o certificado para o Servidor StoreFront

  1. No servidor StoreFront, crie uma pasta chamada SmartCert.

  2. Copie o certificado para a pasta SmartCert.

    Imagem da configuração do Smart Access

Configure o certificado no repositório do StoreFront

No servidor StoreFront, execute este comando do PowerShell para configurar o certificado do XenMobile Server convertido no repositório:

    Grant-STFStorePnaSmartAccess –StoreService $store –CertificatePath  “C:\xms\xms.cer” –ServerName “XMS server”

Imagem da configuração do Smart Access

Se houver algum certificado existente no repositório StoreFront, execute este comando do PowerShell para revogá-lo:

    Revoke-STFStorePnaSmartAccess –StoreService $store –All

Imagem da configuração do Smart Access

Como alternativa, você pode executar qualquer um desses comandos do PowerShell no servidor StoreFront para revogar certificados existentes no repositório do StoreFront:

  • Revogar por nome:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –ServerName “My XM Server"
  • Revogar por impressão digital:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –CertificateThumbprint “1094821dec7834d5d42 bb456329efe4fca86c60b”
  • Revogar por objeto de servidor:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    $access = Get-STFStorePnaSmartAccess –StoreService $store

    Revoke-STFStorePnaSmartAccess –StoreService $store –SmartAccess $access.AccessConditionsTrusts[0]

Configure a política SmartAccess para o XenApp e o XenDesktop

Para adicionar a política SmartAccess necessária ao grupo de entrega que fornecer o aplicativo HDX:

  1. No XenApp e no XenDesktop Server, abra o Citrix Studio.

  2. Selecione Grupos de entrega no painel de navegação do Studio.

  3. Selecione um grupo de entrega para o aplicativo ou os aplicativos aos quais você deseja controlar o acesso. Em seguida, selecione Editar grupo de entrega no painel Ações.

  4. Na página Política de acesso, selecione Conexões por meio do NetScaler Gateway e Conexão que atende a qualquer um dos seguintes.

  5. Clique em Adicionar.

  6. Adicione uma política de acesso em que Farm seja XM e Filtro seja XMCompliantDevice.

    Imagem da configuração do Smart Access

  7. Clique em Aplicar para aplicar as alterações feitas e deixar a janela aberta ou clique em OK para aplicar as alterações e fechar a janela.

Definir ações automatizadas no XenMobile

A política SmartAccess que você define no grupo de entrega de um aplicativo HDX nega o acesso a um dispositivo quando esse dispositivo está fora de conformidade. Use ações automatizadas para marcar o dispositivo como fora de conformidade.

Imagem da configuração do Smart Access

  1. No console XenMobile, clique em Configurar > Ações. A página Ações é exibida.

  2. Clique em Adicionar para adicionar uma ação. A página Informações sobre a ação é exibida.

  3. Na página Informações sobre a ação, digite um nome e uma descrição para a ação.

  4. Clique em Avançar. A página Detalhes da ação é exibida. No exemplo a seguir, é criado um gatilho que marca imediatamente os dispositivos como fora de conformidade quando eles têm o nome de propriedade do usuário eng5 ou eng6.

    Imagem da configuração do Smart Access

  5. Na lista Gatilho, escolha Propriedade do dispositivo, Propriedade do usuário ou Nome do aplicativo instalado. O SmartAccess não dá suporte a gatilhos de evento.

  6. Na lista Ação:

    • Escolha Marcar o dispositivo como fora de conformidade.
    • Escolha Is.
    • Escolha True.
    • Para definir a ação de marcar o dispositivo como fora de conformidade imediatamente quando a condição de gatilho for atendida, defina o período de tempo como 0.
  7. Escolha o grupo ou os grupos de entrega do XenMobile aos quais aplicar essa ação.

  8. Reveja o resumo da ação.

  9. Clique em Avançar e em Salvar.

Quando o dispositivo está marcado como fora de conformidade, os aplicativos HDX deixam de ser exibidos no repositório do Secure Hub. O usuário deixa de estar inscrito aos aplicativos. Nenhuma notificação é enviada ao dispositivo e nada no repositório do Secure Hub indica que os aplicativos HDX estavam disponíveis anteriormente.

Se quiser que os usuários sejam notificados quando um dispositivo estiver marcado como fora de conformidade, crie uma notificação e, em seguida, crie uma ação automatizada para enviar essa notificação.

Esse exemplo cria e envia essa notificação quando um dispositivo está marcado como fora de conformidade: “O número de série do dispositivo ou o número de telefone não está mais em conformidade com a política do dispositivo, e os aplicativos HDX serão bloqueados”.

Imagem da configuração do Smart Access

Criar a notificação que os usuários veem quando um dispositivo está marcado como fora de conformidade

  1. No console XenMobile, clique no ícone de engrenagem no canto superior direito do console. A página Configurações é exibida.

  2. Clique em Modelos de notificação. A página Modelos de notificação é exibida.

  3. Clique em Adicionar para acrescentar à página Modelos de notificação.

  4. Quando solicitado a configurar primeiro o servidor SMS, clique em Não, configurar mais tarde.

    Imagem da configuração do Smart Access

  5. Defina estas configurações:

    • Nome: bloqueio de aplicativos HDX
    • Descrição: notificação do agente quando o dispositivo está fora de conformidade
    • Tipo: notificação ad-hoc
    • Secure Hub: ativado
    • Mensagem: o dispositivo ${firstnotnull(device.TEL_NUMBER,device.serialNumber)} não está mais em conformidade com a política de dispositivo, e os aplicativos HDX serão bloqueados.

    Imagem da configuração do Smart Access

  6. Clique em Salvar.

Crie a ação que envia a notificação quando um dispositivo está marcado como fora de conformidade

  1. No console XenMobile, clique em Configurar > Ações. A página Ações é exibida.

  2. Clique em Adicionar para adicionar uma ação. A página Informações sobre a ação é exibida.

  3. Na página Informações sobre a ação, insira um nome e uma descrição para a ação:

    • Nome: notificação de HDX bloqueado
    • Descrição: notificação de HDX bloqueado porque o dispositivo está fora de conformidade
  4. Clique em Avançar. A página Detalhes da ação é exibida.

  5. Na lista Gatilho:

    • Escolha Propriedade do dispositivo.
    • Escolha Fora de conformidade.
    • Escolha Is.
    • Escolha True.

    Imagem da configuração do Smart Access

  6. Na lista Ação, especifique as ações que ocorrem quando o gatilho é atendido:

    • Escolha Enviar notificação
    • Escolha Bloco de aplicativos HDX, a notificação que você criou.
    • Escolha 0. Definir esse valor como 0 faz com que a notificação seja enviada assim que a condição do gatilho é atendida.
  7. Selecione o grupo ou os grupos de entrega do XenMobile aos quais aplicar essa ação. Neste exemplo, escolha AllUsers.

  8. Reveja o resumo da ação.

  9. Clique em Avançar e em Salvar.

Para obter mais informações sobre como definir ações automatizadas, consulte Ações automatizadas.

Como os usuários recuperam o acesso a aplicativos HDX

Os usuários podem acessar aplicativos HDX novamente depois que o dispositivo é recolocado em conformidade:

  1. No dispositivo, vá até a loja do Secure Hub para atualizar os aplicativos na loja.

  2. Vá até o aplicativo e toque em Adicionar ao aplicativo.

Depois que o aplicativo for adicionado, ele aparecerá em Meus aplicativos com um ponto azul ao lado, pois é um aplicativo recém-instalado.

Imagem da configuração do Smart Access