Acceso inteligente mediante autenticación adaptable

Los clientes de Citrix Cloud pueden proporcionar acceso inteligente (acceso adaptable) a los recursos de Citrix DaaS (aplicaciones y escritorios virtuales) mediante la autenticación adaptable como IdP de Citrix Workspace.

La función Smart Access permite que el servicio de autenticación adaptable muestre toda la información de directiva sobre el usuario a Citrix Workspace o Citrix DaaS. El servicio de Autenticación adaptable puede proporcionar la postura del dispositivo (EPA), la ubicación de la red (dentro o fuera de la red corporativa, la ubicación geográfica), los atributos de usuario como grupos de usuarios, la hora del día o una combinación de estos parámetros como parte de la información de la directiva. A continuación, el administrador de Citrix DaaS puede usar esta información de directiva para configurar el acceso contextual a las aplicaciones y escritorios virtuales. Las aplicaciones y escritorios virtuales se pueden enumerar o no en función de los parámetros anteriores (directiva de acceso). También se pueden controlar algunas acciones del usuario, como el acceso al portapapeles, la redirección de la impresora, la unidad cliente o la asignación de USB.

Ejemplo de casos de uso:

1. El administrador puede configurar el grupo de aplicaciones para que se muestren o accedan solo desde ubicaciones de red específicas, como la red corporativa.
2. El administrador puede configurar el grupo de aplicaciones para que se muestren o accedan solo desde los dispositivos administrados de la empresa. Por ejemplo, los análisis de la EPA pueden verificar si el dispositivo es administrado por la empresa o BYOD. Según el resultado del análisis de la EPA, se pueden enumerar las aplicaciones relevantes para el usuario.

Requisitos previos

• La autenticación adaptable como proveedor de identidad debe estar configurada para Citrix Workspace. Para obtener más información, consulte Servicio de autenticación adaptable.

  

• El servicio de autenticación adaptable con Citrix DaaS está en funcionamiento.

Comprender el flujo de eventos para un acceso inteligente

1. El usuario inicia sesión en Citrix Workspace.
2. Se redirige al usuario al servicio de autenticación adaptable configurado como IdP.
3. El servicio de autenticación adaptable realiza una verificación de la EPA junto con otras comprobaciones.
4. El servicio de autenticación adaptable configurado como IdP realiza la autenticación.
5. El servicio de autenticación adaptable inserta las etiquetas en el servicio Citrix Graph. Se redirige al usuario a la página de inicio de Citrix Workspace.
6. Citrix Workspace obtiene la información de la directiva de esta sesión de usuario, coincide con el filtro y evalúa las aplicaciones o escritorios que se deben enumerar.
7. El administrador configura la directiva de acceso en Citrix DaaS para restringir el acceso ICA a los usuarios.

Caso de configuración: Enumeración de aplicaciones basada en análisis de postura del dispositivo

Paso 1: Configure las directivas de acceso inteligente en la instancia de autenticación adaptable de Citrix:

En la siguiente configuración de ejemplo, se enumera un conjunto diferente de aplicaciones según el inicio de sesión domain-joined o non-domain joined.

1. Vaya a Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Acceso inteligente > Perfiles.

2. En la ficha Perfiles, haga clic en Agregar para crear un perfil denominado Domainjoined-SmartAccessProfile con la etiqueta como DomainJoined. Del mismo modo, cree otra directiva llamada NonDomainJoined-SmartAccessProfile con la etiqueta como NonDomainJoined.

   

3. Vaya a Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Smart Access > Directivas.

4. En la página Configurar la directiva de Smart Access de autenticación, haga clic en Agregar para crear una directiva denominada Domainjoined-SmartAccessPol.

5. En la página Configurar la directiva de Smart Access de autenticación, en Acción, seleccione el DomainJoined-SmartAccessProfile creado anteriormente y haga clic en Agregar.

   

6. En Expresión, escriba la siguiente expresión y, a continuación, haga clic en Aceptar.

   AAA.USER.GROUPS.CONTAINS("DomainJoinedGroup")
   <!--NeedCopy-->
   

7. Del mismo modo, cree otra directiva denominada NonDomainJoined-SmartAccessPol (en Acción, seleccione perfil NonDomainJoined-SmartAccessProfile).

   

8. Vincule la directiva de acceso inteligente al servidor virtual de autenticación.

   1. Vaya a Seguridad > Tráfico de aplicaciones AAA > Servidores virtuales.
   2. Seleccione el servidor virtual de autenticación y haga clic en Modificar.
   3. En Directivas de autenticación avanzadas, haga clic en Directiva de Smart Access, seleccione la directiva y, a continuación, haga clic en Agregar enlace.
   4. Haga clic en Cerrar.

   

Paso 2: Configuración de Citrix DaaS:

1. Haga clic en Administrar en el mosaico de Citrix DaaS.

2. Diríjase a Grupos de entrega y haga clic en Modificar grupo de entrega.

3. Haga clic con el botón derecho del ratón en el grupo de entrega y seleccione Modificar para configurar cuándo deben enumerarse las aplicaciones de ese grupo de entrega y permitir su inicio.
4. Haga clic en Directiva de acceso y agregue las etiquetas necesarias. La comunidad debe estar siempre establecida en Workspace y el filtro debe tener cualquiera de las etiquetas que haya creado, en función de la configuración anterior.
5. Repita los pasos anteriores para agregar más etiquetas. Cuando se utilizan varias etiquetas, si al menos una de las etiquetas está presente, el grupo de entrega está disponible para el cliente.

Para obtener más información, consulte Administrar grupos de entrega.

Nota:

• Asegúrese de que las etiquetas se escriban solo en mayúsculas.
• Si un administrador elimina la configuración de una etiqueta específica en el servicio de autenticación adaptable, la etiqueta se debe quitar de Web Studio y también de los grupos de entrega. El administrador no debe volver a utilizar los nombres de etiqueta eliminados. Los administradores siempre deben usar nombres de etiqueta nuevos.

Tras una configuración correcta, el inicio de sesión unido a un dominio enumera las siguientes aplicaciones.

Tras una configuración correcta, el inicio de sesión no unido a un dominio enumera las siguientes aplicaciones.

Paso 3: Agregue una directiva de acceso para las etiquetas de acceso inteligentes:

1. En Administrar, vaya a Directivasy cree una directiva.
2. Seleccione el control de directivas de ICA adecuado.
3. En Asignar directiva a, seleccione “control de acceso”.

1. Asigne la etiqueta de acceso inteligente (en mayúsculas) en condiciones de acceso.

Solución de problemas

- Qué pasa si no se insertan etiquetas:

• Compruebe si al menos una directiva se evalúa como verdadera. Para obtener información detallada, consulte https://support.citrix.com/article/CTX138840.
• Compruebe la conectividad de Citrix ADC con cas.citrix.com.

Cambios adicionales para la configuración de alta disponibilidad:

En algún momento puede haber un retraso en la sincronización de archivos en una configuración de alta disponibilidad. Como resultado, las claves creadas cuando se produjo el registro de Citrix ADM no se leen a tiempo.

Estamos buscando los siguientes tres archivos en el secundario.

/var/mastools/conf/agent.conf /var/mastools/trust/.ssh/private.pem /var/mastools/trust/.ssh/public.pem

Para solucionar el problema de sincronización de archivos, lleve a cabo los siguientes pasos para volver a ejecutar el comando ‘set cloud’ en el secundario.

> shell cat /var/mastools/conf/agent.conf
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<mps_agent>
<uuid>temp_str</uuid>
<url>fuji.agent.adm.cloud.com</url>
<customerid>customer_id</customerid>
<instanceid>instance_id</instanceid>
<servicename>MAS</servicename>
<download_service_url>download.citrixnetworkapistaging.net</download_service_url>
<abdp_url>fuji.agent.adm.cloud.com</abdp_url>
<msg_router_url>fuji.agent.adm.cloud.com</msg_router_url>
</mps_agent> Done
> set cloud param -CustomerID customer_id -InstanceID instance_id -Deployment Production
<!--NeedCopy-->