Gateway

Configurar la comprobación del dispositivo de control de acceso a la red para el servidor virtual Citrix Gateway para la implementación de la autenticación de un solo factor

En este tema se proporciona información sobre cómo configurar NetScaler Gateway para conectarse a una red interna desde un dispositivo móvil (iOS y Android) con la seguridad de conformidad de acceso a la red (NAC) que ofrece Microsoft Intune. Cuando un usuario intenta conectarse a NetScaler Gateway desde un cliente VPN para iOS o Android, la puerta de enlace comprueba primero con el servicio Intune si el dispositivo es un dispositivo administrado y que cumple los requisitos.

  • Administrado: El dispositivo se inscribe mediante el cliente del portal de empresa de Intune.
  • Cumple con los requisitos: se aplican las directivas necesarias enviadas desde el servidor MDM de Intune.

Solo si el dispositivo está administrado y es compatible, se establece la sesión VPN y se proporciona acceso al usuario a los recursos internos.

Nota:

  • En esta configuración, NetScaler Gateway en el back-end habla con el servicio Intune. Los perfiles SSL gestionan las conexiones entrantes a NetScaler Gateway. La comunicación back-end de NetScaler Gateway gestiona todos los requisitos de SNI de los servicios en la nube de back-end (Intune).

  • La comprobación de NAC de Intune, para la VPN por aplicación o incluso para la VPN de todo el dispositivo, solo se admite cuando el portal de administración de Intune aprovisiona el perfil de VPN (ahora conocido como Microsoft Endpoint Manager). Estas funciones no son compatibles con los perfiles VPN agregados por el usuario final. El administrador de Intune debe implementar el perfil VPN en su dispositivo desde Microsoft Endpoint Manager para utilizar la comprobación de NAC en el dispositivo del usuario final.

Licencias

Se requiere una licencia de Citrix Enterprise Edition para esta funcionalidad.

Requisitos del sistema

  • NetScaler Gateway versión 11.1 compilación 51.21 o posterior
  • VPN para iOS: 10.6 o posterior
  • VPN para Android: 2.0.13 o posterior
  • Microsoft
    • Acceso a Azure AD (con privilegios de arrendatario y administrador)
    • Tenant habilitado para Intune
  • Firewall: Habilite reglas de firewall para todo el tráfico DNS y SSL desde la dirección IP de subred a https://login.microsoftonline.com y https://graph.windows.net (puerto 53 y puerto 443)

Requisitos previos

  • Todas las directivas de autenticación existentes deben convertirse de directivas clásicas a directivas avanzadas. Para obtener información sobre cómo convertir de directivas clásicas a directivas avanzadas, consulte https://support.citrix.com/article/CTX131024.

  • Cree una aplicación NetScaler Gateway en el portal de Azure. Para obtener más información, consulte Configuración de una aplicación NetScaler Gateway en el portal de Azure.

  • Configure la directiva OAuth en la aplicación NetScaler Gateway que creó mediante la siguiente información específica de la aplicación.

    • ID de cliente/ ID de aplicación
    • Secreto de cliente/clave de aplicación
    • ID de arrendatario Azure

Referencias

Para agregar un servidor virtual Citrix Gateway con nFactor para la implementación de Gateway

  1. Navegue hasta los servidores virtuales en el nodo del árbol de Citrix Gateway.

    Página Servidores virtuales

  2. Proporcione la información necesaria en el área Configuración básica y haga clic en Aceptar.

    Parámetros básicos

  3. Seleccione Certificado de servidor.

    Agregar certificado de servidor

  4. Seleccione el certificado de servidor necesario y haga clic en Vincular.

    Vincular certificado de servidor

  5. Haga clic en Continuar.

  6. Haga clic en Continuar.

  7. Haga clic en Continuar.

  8. Haga clic en el icono del signo más [+] junto a Directivas y seleccione Sesión en la lista Elegir directiva, seleccione Solicitud en la lista Elegir tipo y haga clic en Continuar.

  9. Haga clic en el icono del signo más [+] junto a Seleccionar directiva.

  10. En la página Crear directiva de sesión de NetScaler Gateway, proporcione un nombre para la directiva de sesión.

  11. Haga clic en el icono más [+] junto a Perfil y, en la página Crear perfil de sesión de NetScaler Gateway, proporcione un nombre para el perfil de sesión.

  12. En la ficha Experiencia del cliente, haga clic en la casilla de verificación situada junto a Acceso sin cliente y seleccione Desactivado en la lista.

  13. Haga clic en la casilla de verificación situada junto a Tipo de complemento y seleccione Windows/macOS en la lista.

  14. Haga clic en Configuración avanzada, seleccione la casilla de verificación situada junto a Opciones del cliente y establezca su valor enACTIVADO.

  15. En la ficha Seguridad, haga clic en la casilla de verificación situada junto a Acción de autorización predeterminada y seleccione Permitir en la lista.

  16. En la ficha Aplicaciones publicadas, haga clic en la casilla de verificación situada junto a Proxy ICA y seleccione DESACTIVADO en la lista.

  17. Haga clic en Crear.

  18. Escriba NS_TRUE en el área Expresión de la página Crear directiva de sesión de NetScaler Gateway.

  19. Haga clic en Crear.

  20. Haga clic en Bind.

  21. Seleccione Perfil de autenticación en Configuración avanzada.

    Perfil de autenticación

  22. Haga clic en el icono más [+] y proporcione un nombre para el perfil de autenticación.

    Agregar nombre de perfil de autenticación

  23. Haga clic en el icono más [+] para crear un servidor virtual de autenticación.

    Crear servidor virtual de autenticación

  24. Especifique el nombre y el tipo de dirección IP del servidor virtual de autenticación en el área Configuración básica y haga clic en Aceptar.El tipo de dirección IP también puede ser No direccionable.

    Actualizar la configuración básica

  25. Haga clic en Directiva de autenticación.

    Política de autenticación

  26. En la vista Vinculación de directivas, haga clic en el icono más [+] para crear una directiva de autenticación.

    Crear directiva de autenticación

  27. Seleccione OAUTH como tipo de acción y haga clic en el icono más [+] para crear una acción de OAuth para NAC.

    Seleccionar tipo de acción de OAuth

  28. Cree una acción de OAuth mediante ID de cliente, secreto de clientee ID de arrendatario.

    El IDde cliente, el secreto del cliente y el ID de inquilino se generan después de configurar la aplicación NetScaler Gateway en el portal de Azure.

    Asegúrese de tener un servidor de nombres DNS adecuado configurado en el dispositivo para resolver y alcanzar https://login.microsoftonline.com/, https://graph.windows.net/y *.manage.microsoft.com.

    ID y secreto del portal de Azure

  29. Crear directiva de autenticación para OAuth Action.

    Regla:

    http.req.header("User-Agent").contains("NAC/1.0")&& ((http.req.header("User-Agent").contains("iOS") &&    http.req.header("User-Agent").contains("NSGiOSplugin")) || (http.req.header("User-Agent").contains("Android") &&    http.req.header("User-Agent").contains("CitrixVPN")))
    <!--NeedCopy-->
    

    Regla de OAuth

  30. Haga clic en el icono con el signo más [+] para crear la etiqueta de política NextFactor.

    Etiqueta de política Next Factor

  31. Haga clic en el icono más [+] para crear un esquema de inicio de sesión.

    Crear esquema de inicio de sesión

  32. Seleccione noschema como esquema de autenticación y haga clic en Crear .

    Seleccionar esquema de autenticación

  33. Tras seleccionar el esquema de inicio de sesión creado, haga clic en Continuar.

    Haga clic en Continuar

  34. En Seleccionar directiva, seleccione una directiva de autenticación existente para el inicio de sesión de usuario o haga clic en el icono más + para crear una directiva de autenticación. Para obtener más información sobre la creación de una política de autenticación, consulte Configurar políticas de autenticación avanzadas .

    Seleccione una política o cree una

  35. Haga clic en Bind.

    Haga clic en Enlazar

  36. Haga clic en Listo.

    Haga clic en Listo

  37. Haga clic en Bind.

    Haga clic en Enlazar

  38. Haga clic en Continuar.

    Haga clic en Continuar

  39. Haga clic en Listo.

    Haga clic en Listo

  40. Haga clic en Crear.

    Haga clic en Crear.

  41. Haga clic en Aceptar.

    Haga clic en Aceptar

  42. Haga clic en Listo.

    Haga clic en Listo

Para enlazar el esquema de inicio de sesión de autenticación al servidor virtual de autenticación para indicar que los complementos VPN deben enviar el ID de dispositivo como parte de la solicitud /cgi/login

  1. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales.

    Página Servidor virtual

  2. Seleccione el servidor virtual seleccionado previamente y haga clic en Modificar.

    Edición de un servidor virtual

  3. Haga clic en Esquemas de inicio de sesión en Configuración avanzada.

    Haga clic en configuración avanzada

  4. Haga clic en Esquemas de inicio de sesión para enlazar.

    Seleccionar esquema de inicio de sesión

  5. Haga clic en [>] para seleccionar y vincular las directivas de esquema de inicio de sesión integradas existentes para la verificación del dispositivo NAC.

    Esquema de inicio de sesión de enlace

  6. Seleccione la directiva de esquema de inicio de sesión necesaria adecuada para su implementación de autenticación y haga clic en Seleccionar.

    En la implementación explicada, se utiliza la autenticación de factor único (LDAP) junto con la política de acción OAuth de NAC, por lo que se ha seleccionado lschema_single_factor_deviceid.

    Seleccione la política de inicio de sesión

  7. Haga clic en Bind.

    Haga clic en Enlazar

  8. Haga clic en Listo.

    Haga clic en Listo

Solución de problemas

Problemas generales

Problema La resolución
El mensaje “Agregar directiva requerida” aparece cuando abres una aplicación Agregar directivas en la API de Microsoft Graph
Hay conflictos de directivas Solo se permite una única directiva por aplicación
Su aplicación no se puede conectar a los recursos internos Asegúrese de que los puertos de firewall correctos estén abiertos, corrija el ID de arrendatario, etc.

Problemas de NetScaler Gateway

Problema La resolución
Los permisos necesarios para configurar la aplicación de puerta de enlace en Azure no están disponibles. Compruebe si dispone de una licencia adecuada de Intune. Pruebe a utilizar el portal manage.windowsazure.com para ver si se puede agregar el permiso. Contacte con la asistencia de Microsoft si el problema persiste.
NetScaler Gateway no puede contactar con login.microsoftonline.comandgraph.windows.net. Desde NS Shell, comprueba si puede acceder al siguiente sitio web de Microsoft: cURL -v -k https://login.microsoftonline.com. A continuación, compruebe si el DNS está configurado en NetScaler Gateway. Compruebe también que la configuración del firewall sea correcta (en caso de que las solicitudes DNS estén protegidas por firewall).
Aparece un error en ns.log después de configurar OAuthAction. Compruebe si las licencias de Intune están habilitadas y si la aplicación Azure Gateway tiene establecidos los permisos adecuados.
El comando Sh OAuthAction no muestra el estado de OAuth como completo. Consulte la configuración de DNS y los permisos configurados en la aplicación de Azure Gateway.
El dispositivo Android o iOS no muestra la solicitud de autenticación dual. Compruebe si el ID de dispositivo de factor dual logonSchema está vinculado al servidor virtual de autenticación.

Estado y condición de error de OAuth de NetScaler Gateway

Estado Condición de error
AADFORGRAPH Secreto no válido, URL no resuelta, tiempo de espera de la conexión agotado
MDMINFO *manage.microsoft.comestá caído o es inalcanzable
GRAPH El punto final del gráfico no está accesible
CERTFETCH No se puede hablar con el token del dispositivo de punto final https://login.microsoftonline.com debido a un error de DNS. Para validar esta configuración, vaya a la solicitud de Shell y escriba cURL https://login.microsoftonline.com. Este comando debe validarse.

Nota: Cuando el estado de OAuth es correcto, el estado se muestra como COMPLETE.

Comprobación de configuración de Intune

Asegúrese de seleccionar la casilla Acepto en Configuración básica de VPN para iOS para Citrix SSO > Habilitar el control de acceso a la red (NAC). De lo contrario, la comprobación de NAC no funciona.

Configurar la comprobación del dispositivo de control de acceso a la red para el servidor virtual Citrix Gateway para la implementación de la autenticación de un solo factor