Notificación push para OTP
Citrix Gateway admite notificaciones push para OTP. Los usuarios no tienen que introducir manualmente la OTP recibida en sus dispositivos registrados para iniciar sesión en Citrix Gateway. Los administradores pueden configurar Citrix Gateway para que las notificaciones de inicio de sesión se envíen a los dispositivos registrados de los usuarios mediante los servicios de notificaciones push. Cuando los usuarios reciben la notificación, simplemente tienen que tocar Permitir en la notificación para iniciar sesión en Citrix Gateway. Cuando la puerta de enlace recibe el acuse de recibo del usuario, identifica el origen de la solicitud y envía una respuesta a esa conexión del explorador.
Si la respuesta a la notificación no se recibe dentro del período de tiempo de espera (30 segundos), se redirige a los usuarios a la página de inicio de sesión de Citrix Gateway. A continuación, los usuarios pueden introducir la OTP manualmente o hacer clic en Reenviar notificación para volver a recibir la notificación en el dispositivo registrado.
Los administradores pueden hacer que la autenticación de notificaciones push sea la autenticación predeterminada mediante los esquemas de inicio de sesión creados para las notificaciones push.
Importante:
La función de notificaciones push está disponible con una licencia Citrix ADC Premium edition.
Ventajas de las notificaciones push
- Las notificaciones push proporcionan un mecanismo de autenticación multifactor más seguro. La autenticación en Citrix Gateway no se realiza correctamente hasta que el usuario aprueba el intento de inicio de sesión.
- Las notificaciones push son fáciles de administrar y usar. Los usuarios tienen que descargar e instalar la aplicación móvil Citrix SSO que no requiere asistencia de administrador.
- Los usuarios no tienen que copiar ni recordar el código. Simplemente tienen que tocar el dispositivo para autenticarse.
- Los usuarios pueden registrar varios dispositivos.
Cómo funcionan las notificaciones push
El flujo de trabajo de notificaciones push se puede clasificar en dos categorías:
- Registro de dispositivos
- Inicio de sesión de usuario final
Requisitos previos para utilizar las notificaciones push
-
Complete el proceso de incorporación de Citrix Cloud.
-
Cree una cuenta de empresa de Citrix Cloud o únase a una existente. Para obtener instrucciones y procesos detallados sobre cómo proceder, consulte Registrarse en Citrix Cloud.
-
Inicie sesión en https://citrix.cloud.com y seleccione el cliente.
-
En Menú, seleccione Administración de acceso e identidad y, a continuación, vaya a la ficha Acceso a API para crear un cliente para la cuenta.
-
Copia el ID, el secreto y el ID de cliente. El ID y el secreto son necesarios para configurar el servicio push en Citrix ADC como “ClientID” y “ClientSecret” respectivamente.
-
Importante:
- Las mismas credenciales de API se pueden usar en varios centros de datos.
- Los dispositivos Citrix ADC locales deben poder resolver las direcciones de servidor mfa.cloud.com y trust.citrixworkspacesapi.net y se puede acceder a ellos desde el dispositivo. Esto es para garantizar que no existan firewalls ni bloques de direcciones IP para estos servidores a través del puerto 443.
-
Descargue la aplicación móvil Citrix SSO de App Store y Play Store para dispositivos iOS y Android, respectivamente. La notificación push es compatible con iOS desde la compilación 1.1.13 en Android a partir de la versión 2.3.5.
-
Asegúrese de lo siguiente para Active Directory.
- La longitud mínima del atributo debe ser de 256 caracteres como mínimo.
- El tipo de atributo debe ser ‘DirectoryString’, como UserParameters. Estos atributos pueden contener valores de cadena.
- El tipo de cadena de atributos debe ser Unicode, si el nombre del dispositivo no está escrito en inglés.
- El administrador LDAP de Citrix ADC debe tener acceso de escritura al atributo AD seleccionado.
- Citrix ADC y el equipo cliente deben sincronizarse con un servidor horario de red común.
Configuración de notificaciones push
A continuación se indican los pasos de alto nivel que se deben completar para utilizar la funcionalidad de notificaciones push.
-
El administrador de Citrix Gateway debe configurar la interfaz para administrar y validar usuarios.
-
Configure un servicio push.
-
Configure Citrix Gateway para administración de OTP e inicio de sesión de usuario final.
Los usuarios deben registrar sus dispositivos en la puerta de enlace para iniciar sesión en Citrix Gateway.
-
Registre el dispositivo con Citrix Gateway.
-
Inicie sesión en Citrix Gateway.
-
Crear un servicio push
-
Vaya a Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Acciones > Servicio de inserción y haga clic en Agregar.
-
En Nombre, introduzca el nombre del servicio push.
-
En ID de cliente, introduzca la identidad única de la parte que confía para comunicarse con el servidor Citrix Push en la nube.
-
En Client Secret, introduzca el secreto único de la parte que confía para comunicarse con el servidor Citrix Push en la nube.
-
En ID de cliente, introduzca el ID de cliente o el nombre de la cuenta en la nube que se utiliza para crear el par ID de cliente y secreto de cliente.
Importante
La versión de TLS 1.2 es necesaria para el servicio push. Para obtener más información, consulte los detalles de configuración de TLS 1.2.
Configurar Citrix Gateway para la administración de OTP y el inicio de sesión del usuario final
Complete los siguientes pasos para la administración de OTP y el inicio de sesión del usuario final.
- Crear esquema de inicio de sesión para la administración de OTP
- Configurar el servidor virtual de autenticación, autorización y auditoría
- Configurar servidores virtuales de equilibrio de carga o VPN
- Configurar etiqueta de directiva
- Crear esquema de inicio de sesión para el inicio de sesión del usuario final
Para obtener más información sobre la configuración, consulte Compatibilidad con OTP nativa.
Importante: Para la notificación push, los administradores deben configurar explícitamente lo siguiente:
- Crea un servicio push.
- Al crear un esquema de inicio de sesión para la administración de OTP, seleccione el esquema de inicio de sesión SingleAuthManageOTP.xml o equivalente según sea necesario.
- Al crear un esquema de inicio de sesión para el inicio de sesión del usuario final, seleccione el esquema de inicio de sesión de DualAuthOrPush.xml o equivalente según sea necesario.
Registre su dispositivo con Citrix Gateway
Los usuarios deben registrar sus dispositivos en Citrix Gateway para utilizar la funcionalidad de notificaciones push.
-
En el explorador web, vaya al FQDN de Citrix Gateway y el sufijo /manageotp al FQDN.
Esto carga la página de autenticación. Ejemplo:https://gateway.company.com/manageotp
-
Inicie sesión con sus credenciales LDAP o los mecanismos de autenticación de dos factores adecuados, según sea necesario.
-
Haga clic en Agregar dispositivo.
-
Introduzca un nombre para el dispositivo y, a continuación, haga clic en Ir.
Se muestra un código QR en la página del explorador de Citrix Gateway.
-
Escanee este código QR mediante la aplicación Citrix SSO desde el dispositivo que se va a registrar.
Citrix SSO valida el código QR y, a continuación, se registra en la puerta de enlace para recibir notificaciones push. Si no hay errores en el proceso de registro, el token se agrega correctamente a la página de tokens de contraseña.
Importante:
El inicio de sesión falla si introduce manualmente la clave secreta proporcionada en el código QR.
-
Si no hay dispositivos adicionales para agregar/administrar, cierre la sesión mediante la lista de la esquina superior derecha de la página.
Probar la autenticación de contraseña única
-
Para probar la OTP, haga clic en su dispositivo en la lista y, a continuación, haga clic en Probar.
-
Introduzca la OTP que ha recibido en su dispositivo y haga clic en Ir.
Aparece el mensaje de verificación de OTP satisfactoria.
-
Cierre la sesión mediante la lista situada en la esquina superior derecha de la página.
Nota: Puede utilizar el portal de administración de OTP en cualquier momento para probar la autenticación, eliminar dispositivos registrados o registrar más dispositivos.
Inicie sesión en Citrix Gateway
Después de registrar sus dispositivos en Citrix Gateway, los usuarios pueden utilizar la funcionalidad de notificaciones push para la autenticación.
-
Vaya a la página de autenticación de Citrix Gateway (por ejemplo: https://gateway.company.com)
Se le pedirá que introduzca únicamente sus credenciales LDAP en función de la configuración del esquema de inicio de sesión.
-
Introduzca su nombre de usuario y contraseña de LDAP y, a continuación, seleccione Enviar.
Se envía una notificación al dispositivo registrado.
Nota: Si quiere introducir la OTP manualmente, debe seleccionar Haga clic para introducir OTP manualmente e introducir la OTP en el campo TOTP.
-
Abra la aplicación Citrix SSO en el dispositivo registrado y toque Permitir.
Nota:
-
En un dispositivo iOS, se le solicitará la identificación táctil/ID de cara/código de acceso como factor adicional de autenticación.
-
El servidor de autenticación espera la respuesta de notificación del servidor push hasta que expire el período de tiempo de espera configurado. Tras el tiempo de espera, Citrix Gateway muestra la página de inicio de sesión. A continuación, los usuarios pueden introducir la OTP manualmente o hacer clic en Reenviar notificación para volver a recibir la notificación en el dispositivo registrado. Según la opción seleccionada, la puerta de enlace valida la OTP que ha introducido o vuelve a enviar la notificación en el dispositivo registrado.
- No se envía ninguna notificación a su dispositivo registrado en relación con un error de inicio de sesión.
-
Condiciones de fallo
- El registro del dispositivo puede fallar en los siguientes casos.
- Es posible que el dispositivo del usuario final no confíe en el certificado del servidor.
- El cliente no puede acceder a Citrix Gateway que se utiliza para registrarse en OTP.
- Las notificaciones pueden fallar en los siguientes casos.
- El dispositivo del usuario no está conectado a Internet
- Las notificaciones en el dispositivo del usuario están bloqueadas
- El usuario no aprueba la notificación en el dispositivo
En estos casos, el servidor de autenticación espera hasta que caduque el período de tiempo de espera configurado. Después del tiempo de espera, Citrix Gateway muestra una página de inicio de sesión con las opciones para introducir manualmente la OTP o volver a enviar la notificación en el dispositivo registrado. En función de la opción seleccionada, se realiza una validación adicional.
Registros de errores
A continuación se muestran los registros esperados cuando no se puede acceder al servicio push OTP.
- Error de notificación push cuando el dispositivo del usuario no está conectado a Internet - Push: no se pudo preparar la solicitud push para “
client name
” para el servicio Push. - Registro de errores de registro de dispositivos - Push: No hay ningún dispositivo registrado para enviar solicitudes push a la nube para “
client name
”. - En caso de que el usuario no acepte el push - Push: No se ve la respuesta del cliente, para “
user name
”, comprobando las opciones de reintento.
Comportamiento de la aplicación Citrix SSO en iOS: puntos a tener en cuenta
Accesos directos de notificación
La aplicación Citrix SSO iOS incluye soporte para notificaciones procesables para mejorar la experiencia del usuario. Una vez que se recibe una notificación en un dispositivo iOS, y si el dispositivo está bloqueado o la aplicación Citrix SSO no está en primer plano, los usuarios pueden usar los accesos directos integrados en la notificación para aprobar o denegar la solicitud de inicio de sesión.
Para acceder a los accesos directos de notificaciones, los usuarios deben forzar el toque (toque 3D) o presionar la notificación durante un tiempo prolongado en función del hardware del dispositivo. Al seleccionar la acción de acceso directo Permitir, se envía una solicitud de inicio de sesión a Citrix ADC. Según la configuración de la directiva de autenticación en el servidor virtual de autenticación, autorización y auditoría;
- La solicitud de inicio de sesión puede enviarse en segundo plano sin necesidad de iniciar la aplicación en primer plano ni de desbloquear el dispositivo.
- Es posible que la aplicación solicite ID de contacto, ID de rostro/código de acceso como factor adicional, en cuyo caso la aplicación se inicia en primer plano.
Eliminación de tokens de contraseña del Citrix SSO
-
Para eliminar un token de contraseña registrado para inserción en la aplicación Citrix SSO, los usuarios deben realizar los siguientes pasos:
- Anular el registro (eliminar) del dispositivo iOS/Android en la puerta de enlace. Aparece el código QR para eliminar el registro del dispositivo.
- Abra la aplicación Citrix SSO y pulse el botón de información del token de contraseña que quiere eliminar.
- Presiona Eliminar token y escanea el código QR.
Nota:
- Si el código QR es válido, el token se quita correctamente de la aplicación Citrix SSO.
- Los usuarios pueden pulsar Forzar eliminación para eliminar un token de contraseña sin tener que escanear el código QR si el dispositivo ya se ha eliminado de la puerta de enlace. La eliminación forzada puede hacer que el dispositivo siga recibiendo notificaciones si el dispositivo no se ha quitado de Citrix Gateway.