Documentación de productos
Servicio de autenticación adaptable
Ver PDF

Servicio de autenticación adaptable de Citrix

March 9, 2023
Contribución de: 
C

Los clientes de Citrix Cloud pueden usar Citrix Workspace para proporcionar autenticación adaptable a Citrix DaaS. La autenticación adaptable es un servicio de Citrix Cloud que permite la autenticación avanzada para clientes y usuarios que inician sesión en Citrix Workspace. El servicio de autenticación adaptable es un ADC administrado por Citrix y alojado en Citrix Cloud que proporciona todas las prestaciones de autenticación avanzada, como estas:

Autenticación multifactor: la autenticación multifactor mejora la seguridad de una aplicación al exigir a los usuarios que proporcionen múltiples pruebas de identidad para obtener acceso. Los clientes pueden configurar varias combinaciones de factores en el mecanismo de autenticación multifactor en función de los requisitos empresariales. Para obtener más información, consulte Ejemplos de configuraciones de autenticación.

Análisis depostura del dispositivo: los usuarios pueden autenticarse en función de la postura del dispositivo. El análisis de postura del dispositivo, también conocido como análisis de punto final, comprueba si el dispositivo cumple con los requisitos. Por ejemplo, si el dispositivo ejecuta la última versión del sistema operativo, se configuran los service packs y las claves de registro. El cumplimiento de la seguridad implica escaneos para comprobar si hay un antivirus instalado o si el firewall está activado, etc. La postura del dispositivo también puede comprobar si el dispositivo está administrado o no, si es propiedad de la empresa o si es BYOL.

Autenticación condicional: según los parámetros del usuario, como la ubicación de la red, la postura del dispositivo, el grupo de usuarios, la hora del día, se puede habilitar la autenticación condicional. Puede usar uno de estos parámetros o una combinación de estos parámetros para realizar la autenticación condicional. Ejemplo de autenticación basada en la postura de un dispositivo: puede realizar un análisis de postura del dispositivo para comprobar si el dispositivo es administrado por la empresa o BYOD. Si el dispositivo es un dispositivo gestionado por la empresa, puede desafiar al usuario con el AD simple (nombre de usuario y contraseña). Si el dispositivo es un dispositivo BYOD, puede desafiar al usuario con la autenticación de AD más RADIUS.

Si planea enumerar de forma selectiva aplicaciones y escritorios virtuales en función de la ubicación de la red, la administración de usuarios debe realizarse para esos grupos de entrega mediante directivas de Citrix Studio en lugar de Workspace. Al crear un grupo de entrega, en la configuración de usuarios, seleccione Restringir el uso de este grupo de entrega a los siguientes usuarios o Permitir que los usuarios autenticados usen este grupo de entrega. Así, se habilita la ficha Directiva de acceso en Grupo de entrega para configurar el acceso adaptable.

Acceso contextual a Citrix DaaS: la autenticación adaptable permite el acceso contextual a Citrix DaaS. Adaptive Authentication muestra toda la información de directiva sobre el usuario a Citrix DaaS. Los administradores pueden usar esta información en sus configuraciones de directivas para controlar las acciones de los usuarios que se pueden realizar en Citrix DaaS. La acción del usuario, por ejemplo, puede ser habilitar o inhabilitar el acceso al portapapeles y la redirección de la impresora de mapeo de unidades del cliente.

El acceso contextual a Secure Internet Access y otros servicios de Citrix Cloud a través de la autenticación adaptable está previsto en las próximas versiones.

Personalización de la página de inicio de sesión: la autenticación adaptable ayuda al usuario a personalizar en gran medida la página de inicio de sesión de Citrix Cloud

Funciones de autenticación adaptable

Las siguientes son las funciones admitidas en Citrix Workspace con autenticación adaptable.

  • Compatibilidad con LDAP (Active Directory)
  • Compatibilidad con LDAPS (Active Directory)
  • Soporte de directorios para AD, Azure AD, Okta
  • Soporte de RADIUS (Duo, Symantec)
  • MFA incorporado de token AD +
  • SAML 2.0
  • Soporte de OAuth, OIDC
  • Autenticación de
  • Evaluación de postura del dispositivo (análisis de puntos finales)
  • Integración con proveedores de autenticación de terceros
  • Notificación push a través de la aplicación
  • reCAPTCHA
  • Autenticación condicional/basada
  • Directivas de autenticación para SmartAccess (acceso contextual)
  • Personalización de la página de inicio
  • Autoservicio de restablecimiento de contraseñas

Responsabilidad de seguridad compartida

Acciones necesarias de los clientes

Las siguientes son algunas de las acciones de los clientes como parte de las prácticas recomendadas de seguridad.

  • Credenciales para acceder a la interfaz de usuario de autenticación adaptable: el cliente es responsable de crear y mantener las credenciales para acceder a la interfaz de usuario de autenticación adaptable. Si el cliente está trabajando con el soporte de Citrix para resolver un problema, es posible que tenga que compartir estas credenciales con el personal de soporte.

  • Seguridad de acceso CLI remoto: Citrix proporciona acceso CLI remoto a los clientes. Sin embargo, los clientes son responsables de mantener la seguridad de la instancia durante el tiempo de ejecución.

  • Claves privadas SSL: dado que Citrix ADC está bajo el control del cliente, Citrix no tiene ningún acceso al sistema de archivos. Los clientes deben asegurarse de proteger los certificados y las claves que alojan en la instancia de Citrix ADC.

  • Respaldo de datos: realice una copia de seguridad de la configuración, los certificados, las claves, las personalizaciones del portal y cualquier otra modificación del sistema de archivos.

  • Imágenes de disco de las instancias de ADC: mantenga y administre el espacio en disco de Citrix ADC y la limpieza del disco. El cliente es responsable de ejecutar estas tareas de forma segura y protegida.

  • Actualización: programe la actualización de las instancias de autenticación adaptable. Para obtener más información, consulta Programar la actualización de sus instancias de autenticación adaptable.

  • No actualice las instancias de autenticación adaptable a compilaciones RTM aleatorias. Citrix Cloud administra todas las actualizaciones.

  • Dado que Citrix administra las actualizaciones de instancias de Autenticación adaptable, los clientes deben asegurarse de que haya suficiente espacio en el directorio VAR para la actualización. Para obtener más información sobre cómo liberar espacio en el directorio VAR, consulte Cómo liberar espacio en el directorio VAR para registrar problemas con un dispositivo Citrix ADC.

  • No cambie el estado de alta disponibilidad de ENABLED a STAY PRIMARY o STAY SECONDARY. El estado de alta disponibilidad debe estar ACTIVADO para la autenticación adaptable.

  • Para ver un ejemplo de configuración de LDAPS con equilibrio de carga, consulte Ejemplo de configuración de LDAPS con equilibrio decarga.

Acciones necesarias tanto del cliente como de Citrix

  • Recuperación ante desastres: en las regiones de Azure compatibles, las instancias de alta disponibilidad de Citrix ADC se aprovisionan en zonas de disponibilidad separadas para evitar la pérdida de datos. En caso de pérdida de datos de Azure, Citrix recupera tantos recursos de la suscripción de Azure administrada por Citrix como sea posible.

    En caso de pérdida de toda una región de Azure, el cliente es responsable de reconstruir su red virtual administrada por el cliente en una nueva región y de crear un nuevo emparejamiento de VNet.

  • Acceso seguro a través de la dirección IP de administración pública:

    Proteja el acceso a las interfaces de administración mediante direcciones IP públicas asignadas y permita la conectividad saliente a Internet.

Limitaciones

  • No se admite la carga de paquetes de certificados.
  • No se admite el balanceo de carga con el servidor RADIUS.
  • La autenticación RADIUS se ve afectada durante unos minutos si el conector que atiende la solicitud RADIUS deja de funcionar. En este caso, el usuario debe volver a autenticarse.

  • No se admite la tunelización de DNS. Se deben agregar registros estáticos en el dispositivo Citrix ADC para los FQDN utilizados en las directivas o perfiles de autenticación (LDAP/RADIUS) para los servidores de autenticación del centro de datos local del cliente. Para obtener más información sobre cómo agregar registros estáticos de DNS, consulte Crear registros de direcciones para un nombre de dominio.

  • Laprueba de conectividad de red en el perfil LDAP puede mostrar un resultado incorrecto como «El servidor está accesible», incluso si no se ha establecido la conectividad con el servidor LDAP. Es posible que se muestren mensajes de error como «el puerto no está abierto» o «el servidor no es LDAP» para indicar el error. Citrix recomienda recopilar los seguimientos en este caso y seguir solucionando problemas.
  • Para que los escaneos de la EPA funcionen en macOS, debe vincular las curvas de ECC predeterminadas al servidor virtual de autenticación y autorización seleccionando la opción Curva de ECC como ALL.

Calidad de servicio

La autenticación adaptable es un servicio de alta disponibilidad (activo-en espera).

Servicio de autenticación adaptable de Citrix
March 9, 2023
Contribución de: 
C
March 9, 2023
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento
© 1999- Cloud Software Group, Inc. All rights reserved.