-
-
Configurar los tipos de autenticación global predeterminados
-
Configuración de la autenticación con certificados del cliente
-
Configurar NetScaler Gateway para usar la autenticación RADIUS y LDAP con dispositivos móviles
-
Restringir el acceso a NetScaler Gateway para los miembros de un grupo de Active Directory
-
-
Compatibilidad de configuración para el atributo de cookie SameSite
-
Optimización del túnel dividido VPN de NetScaler Gateway para Office365
-
Configurar la experiencia de usuario VPN
-
Cómo funcionan las conexiones de usuario con el plug-in de NetScaler Gateway
-
Cómo configurar la configuración completa de VPN en un dispositivo Citrix Gateway
-
Implementar plug-ins de NetScaler Gateway para el acceso de usuarios
-
Integración del plug-in de NetScaler Gateway con Citrix Receiver
-
Configuración de conexiones para el plug-in de NetScaler Gateway
-
AlwaysOn VPN antes del inicio de sesión en Windows (formalmente servicio AlwaysOn)
-
-
Implementación en una DMZ de doble salto
-
Implementación de NetScaler Gateway en una DMZ de doble salto
-
Flujo de comunicación en una implementación DMZ de doble salto
-
Instalar y configurar NetScaler Gateway en una DMZ de doble salto
-
-
Mantener y supervisar el sistema
-
Cómo se conectan los usuarios a las aplicaciones, los escritorios y ShareFile
-
Implementación con Citrix Endpoint Management, Citrix Virtual Apps y Citrix Virtual Desktops
-
Acceder a los recursos de Citrix Virtual Apps and Desktops con la Interfaz Web
-
Integrar NetScaler Gateway en Citrix Virtual Apps and Desktops
-
Establecimiento de una conexión segura a la comunidad de servidores
-
Configurar opciones adicionales de la Interfaz Web en NetScaler Gateway
-
Configurar el acceso a aplicaciones y escritorios virtuales en la Interfaz Web
-
Configurar Single Sign-On en la Interfaz Web
-
Para configurar el inicio de sesión único en aplicaciones web globalmente
-
Para configurar el inicio de sesión único en aplicaciones web mediante una directiva de sesión
-
Para definir el puerto HTTP para Single Sign-On en aplicaciones web
-
Configurar Single Sign-On en la Interfaz Web mediante una tarjeta inteligente
-
Para configurar Single Sign-On para Citrix Virtual Apps y recursos compartidos de archivos
-
-
-
Integrar NetScaler Gateway en Citrix Virtual Apps and Desktops
-
Configurar parámetros para el entorno de Citrix Endpoint Management
-
Configurar servidores de equilibrio de carga para Citrix Endpoint Management
-
Configurar el filtrado ActiveSync de NetScaler Connector (XNC) de Citrix Endpoint Management
-
Permitir el acceso desde dispositivos móviles con aplicaciones móviles de productividad de Citrix
-
Configurar la autenticación de token de dominio y seguridad para Citrix Endpoint Management
-
Configurar el certificado de cliente o el certificado de cliente y la autenticación de dominio
-
-
RfWebUI Persona en la configuración de la experiencia de usuario de NetScaler Gateway
-
Compatibilidad con proxy PCoIP habilitado para NetScaler Gateway para VMware Horizon View
-
Integración de Microsoft Intune
-
Descripción de la integración de MDM en NetScaler Gateway-Intune
-
Configurar la comprobación de dispositivos de Control de acceso a redes para el servidor virtual de NetScaler Gateway para la implementación de la autenticación de un solo factor
-
Configuración de una aplicación NetScaler Gateway en el portal de Azure
-
Configurar el servidor virtual de NetScaler Gateway para la autenticación de token ADAL de Microsoft
-
Configuración automática de proxy para proxy saliente compatible con NetScaler Gateway
-
Integrar NetScaler Gateway en Citrix Virtual Apps and Desktops
-
Validar el certificado del servidor durante un protocolo de enlace SSL
-
Configuración simplificada de aplicaciones SaaS mediante una plantilla
-
Configurar el certificado de dispositivo en nFactor como un componente EPA
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Configurar la comprobación del dispositivo de control de acceso a la red para el servidor virtual Citrix Gateway para la implementación de la autenticación de un solo factor
En este tema se proporciona información sobre cómo configurar NetScaler Gateway para conectarse a una red interna desde un dispositivo móvil (iOS y Android) con la seguridad de conformidad de acceso a la red (NAC) que ofrece Microsoft Intune. Cuando un usuario intenta conectarse a NetScaler Gateway desde un cliente VPN para iOS o Android, la puerta de enlace comprueba primero con el servicio Intune si el dispositivo es un dispositivo administrado y que cumple los requisitos.
- Administrado: El dispositivo se inscribe mediante el cliente del portal de empresa de Intune.
- Cumple con los requisitos: se aplican las directivas necesarias enviadas desde el servidor MDM de Intune.
Solo si el dispositivo está administrado y es compatible, se establece la sesión VPN y se proporciona acceso al usuario a los recursos internos.
Nota:
En esta configuración, NetScaler Gateway en el back-end habla con el servicio Intune. Los perfiles SSL gestionan las conexiones entrantes a NetScaler Gateway. La comunicación back-end de NetScaler Gateway gestiona todos los requisitos de SNI de los servicios en la nube de back-end (Intune).
La comprobación de NAC de Intune, para la VPN por aplicación o incluso para la VPN de todo el dispositivo, solo se admite cuando el portal de administración de Intune aprovisiona el perfil de VPN (ahora conocido como Microsoft Endpoint Manager). Estas funciones no son compatibles con los perfiles VPN agregados por el usuario final. El administrador de Intune debe implementar el perfil VPN en su dispositivo desde Microsoft Endpoint Manager para utilizar la comprobación de NAC en el dispositivo del usuario final.
Licencias
Se requiere una licencia de Citrix Enterprise Edition para esta funcionalidad.
Requisitos del sistema
- NetScaler Gateway versión 11.1 compilación 51.21 o posterior
- VPN para iOS: 10.6 o posterior
- VPN para Android: 2.0.13 o posterior
- Microsoft
- Acceso a Azure AD (con privilegios de arrendatario y administrador)
- Tenant habilitado para Intune
- Firewall:
Habilite reglas de firewall para todo el tráfico DNS y SSL desde la dirección IP de subred a
https://login.microsoftonline.com
yhttps://graph.windows.net
(puerto 53 y puerto 443)
Requisitos previos
-
Todas las directivas de autenticación existentes deben convertirse de directivas clásicas a directivas avanzadas. Para obtener información sobre cómo convertir de directivas clásicas a directivas avanzadas, consulte https://support.citrix.com/article/CTX131024.
-
Cree una aplicación NetScaler Gateway en el portal de Azure. Para obtener más información, consulte Configuración de una aplicación NetScaler Gateway en el portal de Azure.
-
Configure la directiva OAuth en la aplicación NetScaler Gateway que creó mediante la siguiente información específica de la aplicación.
- ID de cliente/ ID de aplicación
- Secreto de cliente/clave de aplicación
- ID de arrendatario Azure
Referencias
-
Este documento captura la configuración de configuración de NetScaler Gateway. La mayor parte de la configuración del cliente de Citrix SSO (iOS/Android) se realiza en el lado de Intune. Para obtener más información sobre la configuración de VPN de Intune para NAC, consulte https://docs.microsoft.com/en-us/mem/intune/protect/network-access-control-integrate.
-
Para configurar el perfil VPN de una aplicación iOS, consulte https://docs.microsoft.com/en-us/mem/intune/configuration/vpn-settings-ios.
-
Para configurar la aplicación NetScaler Gateway en el portal de Azure, consulte Configuración de una aplicación NetScaler Gateway en el portal de Azure.
Para agregar un servidor virtual Citrix Gateway con nFactor para la implementación de Gateway
-
Navegue hasta los servidores virtuales en el nodo del árbol de Citrix Gateway.
-
Proporcione la información necesaria en el área Configuración básica y haga clic en Aceptar.
-
Seleccione Certificado de servidor.
-
Seleccione el certificado de servidor necesario y haga clic en Vincular.
-
Haga clic en Continuar.
-
Haga clic en Continuar.
-
Haga clic en Continuar.
-
Haga clic en el icono del signo más [+] junto a Directivas y seleccione Sesión en la lista Elegir directiva, seleccione Solicitud en la lista Elegir tipo y haga clic en Continuar.
-
Haga clic en el icono del signo más [+] junto a Seleccionar directiva.
-
En la página Crear directiva de sesión de NetScaler Gateway, proporcione un nombre para la directiva de sesión.
-
Haga clic en el icono más [+] junto a Perfil y, en la página Crear perfil de sesión de NetScaler Gateway, proporcione un nombre para el perfil de sesión.
-
En la ficha Experiencia del cliente, haga clic en la casilla de verificación situada junto a Acceso sin cliente y seleccione Desactivado en la lista.
-
Haga clic en la casilla de verificación situada junto a Tipo de complemento y seleccione Windows/macOS en la lista.
-
Haga clic en Configuración avanzada, seleccione la casilla de verificación situada junto a Opciones del cliente y establezca su valor enACTIVADO.
-
En la ficha Seguridad, haga clic en la casilla de verificación situada junto a Acción de autorización predeterminada y seleccione Permitir en la lista.
-
En la ficha Aplicaciones publicadas, haga clic en la casilla de verificación situada junto a Proxy ICA y seleccione DESACTIVADO en la lista.
-
Haga clic en Crear.
-
Escriba NS_TRUE en el área Expresión de la página Crear directiva de sesión de NetScaler Gateway.
-
Haga clic en Crear.
-
Haga clic en Bind.
-
Seleccione Perfil de autenticación en Configuración avanzada.
-
Haga clic en el icono más [+] y proporcione un nombre para el perfil de autenticación.
-
Haga clic en el icono más [+] para crear un servidor virtual de autenticación.
-
Especifique el nombre y el tipo de dirección IP del servidor virtual de autenticación en el área Configuración básica y haga clic en Aceptar.El tipo de dirección IP también puede ser No direccionable.
-
Haga clic en Directiva de autenticación.
-
En la vista Vinculación de directivas, haga clic en el icono más [+] para crear una directiva de autenticación.
-
Seleccione OAUTH como tipo de acción y haga clic en el icono más [+] para crear una acción de OAuth para NAC.
-
Cree una acción de OAuth mediante ID de cliente, secreto de clientee ID de arrendatario.
El IDde cliente, el secreto del cliente y el ID de inquilino se generan después de configurar la aplicación NetScaler Gateway en el portal de Azure.
Asegúrese de tener un servidor de nombres DNS adecuado configurado en el dispositivo para resolver y alcanzar
https://login.microsoftonline.com/
,https://graph.windows.net/
y *.manage.microsoft.com. -
Crear directiva de autenticación para OAuth Action.
Regla:
http.req.header("User-Agent").contains("NAC/1.0")&& ((http.req.header("User-Agent").contains("iOS") && http.req.header("User-Agent").contains("NSGiOSplugin")) || (http.req.header("User-Agent").contains("Android") && http.req.header("User-Agent").contains("CitrixVPN"))) <!--NeedCopy-->
-
Haga clic en el icono con el signo más [+] para crear la etiqueta de política NextFactor.
-
Haga clic en el icono más [+] para crear un esquema de inicio de sesión.
-
Seleccione noschema como esquema de autenticación y haga clic en Crear .
-
Tras seleccionar el esquema de inicio de sesión creado, haga clic en Continuar.
-
En Seleccionar directiva, seleccione una directiva de autenticación existente para el inicio de sesión de usuario o haga clic en el icono más + para crear una directiva de autenticación. Para obtener más información sobre la creación de una política de autenticación, consulte Configurar políticas de autenticación avanzadas .
-
Haga clic en Bind.
-
Haga clic en Listo.
-
Haga clic en Bind.
-
Haga clic en Continuar.
-
Haga clic en Listo.
-
Haga clic en Crear.
-
Haga clic en Aceptar.
-
Haga clic en Listo.
Para enlazar el esquema de inicio de sesión de autenticación al servidor virtual de autenticación para indicar que los complementos VPN deben enviar el ID de dispositivo como parte de la solicitud /cgi/login
-
Vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales.
-
Seleccione el servidor virtual seleccionado previamente y haga clic en Modificar.
-
Haga clic en Esquemas de inicio de sesión en Configuración avanzada.
-
Haga clic en Esquemas de inicio de sesión para enlazar.
-
Haga clic en [>] para seleccionar y vincular las directivas de esquema de inicio de sesión integradas existentes para la verificación del dispositivo NAC.
-
Seleccione la directiva de esquema de inicio de sesión necesaria adecuada para su implementación de autenticación y haga clic en Seleccionar.
En la implementación explicada, se utiliza la autenticación de factor único (LDAP) junto con la política de acción OAuth de NAC, por lo que se ha seleccionado lschema_single_factor_deviceid.
-
Haga clic en Bind.
-
Haga clic en Listo.
Solución de problemas
Problemas generales
Problema | La resolución |
---|---|
El mensaje “Agregar directiva requerida” aparece cuando abres una aplicación | Agregar directivas en la API de Microsoft Graph |
Hay conflictos de directivas | Solo se permite una única directiva por aplicación |
Su aplicación no se puede conectar a los recursos internos | Asegúrese de que los puertos de firewall correctos estén abiertos, corrija el ID de arrendatario, etc. |
Problemas de NetScaler Gateway
Problema | La resolución |
---|---|
Los permisos necesarios para configurar la aplicación de puerta de enlace en Azure no están disponibles. | Compruebe si dispone de una licencia adecuada de Intune. Pruebe a utilizar el portal manage.windowsazure.com para ver si se puede agregar el permiso. Contacte con la asistencia de Microsoft si el problema persiste. |
NetScaler Gateway no puede contactar con login.microsoftonline.comandgraph.windows.net . |
Desde NS Shell, comprueba si puede acceder al siguiente sitio web de Microsoft: cURL -v -k https://login.microsoftonline.com. A continuación, compruebe si el DNS está configurado en NetScaler Gateway. Compruebe también que la configuración del firewall sea correcta (en caso de que las solicitudes DNS estén protegidas por firewall). |
Aparece un error en ns.log después de configurar OAuthAction. | Compruebe si las licencias de Intune están habilitadas y si la aplicación Azure Gateway tiene establecidos los permisos adecuados. |
El comando Sh OAuthAction no muestra el estado de OAuth como completo. | Consulte la configuración de DNS y los permisos configurados en la aplicación de Azure Gateway. |
El dispositivo Android o iOS no muestra la solicitud de autenticación dual. | Compruebe si el ID de dispositivo de factor dual logonSchema está vinculado al servidor virtual de autenticación. |
Estado y condición de error de OAuth de NetScaler Gateway
Estado | Condición de error |
---|---|
AADFORGRAPH | Secreto no válido, URL no resuelta, tiempo de espera de la conexión agotado |
MDMINFO |
*manage.microsoft.com está caído o es inalcanzable |
GRAPH | El punto final del gráfico no está accesible |
CERTFETCH | No se puede hablar con el token del dispositivo de punto final https://login.microsoftonline.com debido a un error de DNS. Para validar esta configuración, vaya a la solicitud de Shell y escriba cURL https://login.microsoftonline.com. Este comando debe validarse. |
Nota: Cuando el estado de OAuth es correcto, el estado se muestra como COMPLETE.
Comprobación de configuración de Intune
Asegúrese de seleccionar la casilla Acepto en Configuración básica de VPN para iOS para Citrix SSO > Habilitar el control de acceso a la red (NAC). De lo contrario, la comprobación de NAC no funciona.
Compartir
Compartir
En este artículo
- Licencias
- Requisitos del sistema
- Requisitos previos
- Referencias
- Para agregar un servidor virtual Citrix Gateway con nFactor para la implementación de Gateway
- Para enlazar el esquema de inicio de sesión de autenticación al servidor virtual de autenticación para indicar que los complementos VPN deben enviar el ID de dispositivo como parte de la solicitud /cgi/login
- Solución de problemas
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.