-
Compatibilidad de NetScaler Gateway con los productos Citrix
-
Instalación y configuración del dispositivo NetScaler Gateway
-
Implementación de NetScaler Gateway en una DMZ de doble salto
-
Mantener y supervisar los sistemas NetScaler Gateway
-
-
Configurar los tipos de autenticación global predeterminados
-
Configuración de la autenticación con certificados del cliente
-
Configurar NetScaler Gateway para usar la autenticación RADIUS y LDAP con dispositivos móviles
-
Restringir el acceso a NetScaler Gateway para los miembros de un grupo de Active Directory
-
-
Implementación de NetScaler Gateway en configuraciones de clú
-
Configuración de VPN en un dispositivo NetScaler Gateway
-
Cómo se conectan los usuarios con el plug-in de NetScaler Gateway
-
Configuración completa de VPN en un dispositivo NetScaler Gateway
-
Implementación de complementos de NetScaler Gateway para el acceso de los usuarios
-
Seleccione el plug-in de NetScaler Gateway para los usuarios
-
Integre el plug-in de NetScaler Gateway con la aplicación Citrix Workspace
-
Aplicar el indicador HttpOnly en las cookies de autenticación
-
Compatibilidad con directivas avanzadas para marcadores empresariales
-
-
Configurar el servidor virtual de VPN DTLS mediante el servidor virtual de VPN SSL
-
Integración de NetScaler Gateway con productos Citrix
-
Cómo se conectan los usuarios a las aplicaciones, escritorios y ShareFile
-
Integrar NetScaler Gateway en Citrix Virtual Apps and Desktops
-
Configurar los ajustes del entorno de Citrix Endpoint Management
-
Configurar servidores de equilibrio de carga para Citrix Endpoint Management
-
Configurar el filtrado ActiveSync de Citrix Endpoint Management NetScaler Connector (XNC)
-
Permitir el acceso desde dispositivos móviles con Citrix Mobile Productivity Apps
-
Configurar la autenticación de dominios y tokens de seguridad para Citrix Endpoint Management
-
Configurar certificado de cliente o certificado de cliente y autenticación de dominio
-
-
-
Integración de Microsoft Intune
-
Descripción de la integración de MDM de Intune de NetScaler Gateway
-
Configurar la comprobación de dispositivos de Control de acceso a redes para el servidor virtual de NetScaler Gateway para la implementación de la autenticación de un solo factor
-
Configuración de una aplicación NetScaler Gateway en el portal de Azure
-
Configurar el servidor virtual de NetScaler Gateway para la autenticación de token ADAL de Microsoft
-
Configurar NetScaler Gateway para utilizar micro VPN con Microsoft Endpoint Manager
-
Compatibilidad con proxy PCoIP habilitado para NetScaler Gateway para VMware Horizon View
-
Configuración automática de proxy para proxy saliente compatible con NetScaler Gateway
-
Compatibilidad de configuración para el atributo de cookie SameSite
-
RfWebUI Persona en la configuración de la experiencia de usuario de NetScaler Gateway
-
Optimización del túnel dividido VPN de NetScaler Gateway para Office365
-
Validar el certificado del servidor durante un protocolo de enlace SSL
-
Configuración simplificada de aplicaciones SaaS mediante una plantilla
-
Acceda a los recursos de Citrix Virtual Apps and Desktops con la Interfaz Web
-
Configurar opciones adicionales de la Interfaz Web en NetScaler Gateway
-
Configurar el acceso a aplicaciones y escritorios virtuales en la Interfaz Web
-
Configuración del inicio de sesión único en la Interfaz Web
-
Para configurar el inicio de sesión único en aplicaciones web globalmente
-
Para configurar el inicio de sesión único en aplicaciones web mediante una directiva de sesión
-
Para definir el puerto HTTP para Single Sign-On en aplicaciones web
-
Configuración del inicio de sesión único en la Interfaz Web mediante una tarjeta inteligente
-
Para configurar Single Sign-On para Citrix Virtual Apps y recursos compartidos de archivos
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Configurar comprobación de dispositivo de control de acceso a redes para el servidor virtual de NetScaler Gateway para iniciar sesión en un solo
En este tema se proporciona información sobre cómo configurar NetScaler Gateway para conectarse a una red interna desde un dispositivo móvil (iOS y Android) con la seguridad de conformidad de acceso a la red (NAC) que ofrece Microsoft Intune. Cuando un usuario intenta conectarse a NetScaler Gateway desde un cliente VPN para iOS o Android, la puerta de enlace comprueba primero con el servicio Intune si el dispositivo es un dispositivo administrado y que cumple los requisitos.
- Administrado: El dispositivo se inscribe mediante el cliente del portal de empresa de Intune.
- Cumple con los requisitos: se aplican las directivas necesarias enviadas desde el servidor MDM de Intune.
Solo si el dispositivo está administrado y es compatible, se establece la sesión VPN y se proporciona acceso al usuario a los recursos internos.
Nota:
En esta configuración, NetScaler Gateway en el back-end habla con el servicio Intune. Los perfiles SSL gestionan las conexiones entrantes a NetScaler Gateway. La comunicación back-end de NetScaler Gateway gestiona todos los requisitos de SNI de los servicios en la nube de back-end (Intune).
El servidor virtual de puerta de enlace SNI para DTLS se admite en NetScaler Gateway versión 13.0 compilación 64.x y posteriores.
La comprobación de NAC de Intune, para la VPN por aplicación o incluso para la VPN de todo el dispositivo, solo se admite cuando el portal de administración de Intune aprovisiona el perfil de VPN (ahora conocido como Microsoft Endpoint Manager). Estas funciones no son compatibles con los perfiles VPN agregados por el usuario final. El administrador de Intune debe implementar el perfil VPN en su dispositivo desde Microsoft Endpoint Manager para utilizar la comprobación de NAC en el dispositivo del usuario final.
Licencias
Se requiere una licencia de Citrix Enterprise Edition para esta funcionalidad.
Requisitos del sistema
- NetScaler Gateway versión 11.1 compilación 51.21 o posterior
- VPN para iOS: 10.6 o posterior
- VPN para Android: 2.0.13 o posterior
- Microsoft
- Acceso a Azure AD (con privilegios de arrendatario y administrador)
- Tenant habilitado para Intune
- Firewall:
Habilite reglas de firewall para todo el tráfico DNS y SSL desde la dirección IP de subred a
https://login.microsoftonline.comyhttps://graph.windows.net(puerto 53 y puerto 443)
Requisitos previos
- Todas las directivas de autenticación existentes deben convertirse de directivas clásicas a directivas avanzadas. Para obtener información sobre cómo convertir de directivas clásicas a directivas avanzadas, consulte https://support.citrix.com/article/CTX131024.
- Cree una aplicación NetScaler Gateway en el portal de Azure. Para obtener más información, consulte Configuración de una aplicación NetScaler Gateway en el portal de Azure.
- Configure la directiva OAuth en la aplicación NetScaler Gateway que creó mediante la siguiente información específica de la aplicación.
- ID de cliente/ ID de aplicación
- Secreto de cliente/clave de aplicación
- ID de arrendatario Azure
Referencias
- Este documento captura la configuración de configuración de NetScaler Gateway. La mayor parte de la configuración del cliente de Citrix SSO (iOS/Android) se realiza en el lado de Intune. Para obtener más información sobre la configuración de VPN de Intune para NAC, consulte https://docs.microsoft.com/en-us/mem/intune/protect/network-access-control-integrate.
- Para configurar el perfil VPN de una aplicación iOS, consulte https://docs.microsoft.com/en-us/mem/intune/configuration/vpn-settings-ios.
- Para configurar la aplicación NetScaler Gateway en el portal de Azure, consulte Configuración de una aplicación NetScaler Gateway en el portal de Azure.
Para agregar un servidor virtual de NetScaler Gateway con nFactor para la implementación de gateway
-
Vaya a NetScaler Gateway > Servidores virtuales.
-
Haga clic en Agregar.
-
Proporcione la información necesaria en el área Configuración básica y haga clic en Aceptar.
-
Seleccione Certificado de servidor.
-
Seleccione el certificado de servidor necesario y haga clic en Vincular.
-
Haga clic en Continuar.
-
Haga clic en Continuar.
-
Haga clic en Continuar.
-
Haga clic en el icono del signo más [+] junto a Directivas y seleccione Sesión en la lista Elegir directiva, seleccione Solicitud en la lista Elegir tipo y haga clic en Continuar.
-
Haga clic en el icono del signo más [+] junto a Seleccionar directiva.
-
En la página Crear directiva de sesión de NetScaler Gateway, proporcione un nombre para la directiva de sesión.
-
Haga clic en el icono más [+] junto a Perfil y, en la página Crear perfil de sesión de NetScaler Gateway, proporcione un nombre para el perfil de sesión.
-
En la ficha Experiencia del cliente, haga clic en la casilla de verificación situada junto a Acceso sin cliente y seleccione Desactivado en la lista.
-
Haga clic en la casilla de verificación situada junto a Tipo de complemento y seleccione Windows/Mac OS X en la lista.
-
Haga clic en Configuración avanzada, seleccione la casilla de verificación situada junto a Opciones del cliente y establezca su valor enACTIVADO.
-
En la ficha Seguridad, haga clic en la casilla de verificación situada junto a Acción de autorización predeterminada y seleccione Permitir en la lista.
-
En la ficha Aplicaciones publicadas, haga clic en la casilla de verificación situada junto a Proxy ICA y seleccione DESACTIVADO en la lista.
-
Haga clic en Crear.
-
En la página Crear directiva de sesión de NetScaler Gateway, en el área Expresión, configure la expresión calificadora.
-
Haga clic en Crear.
-
Haga clic en Bind.
-
Seleccione Perfil de autenticación en Configuración avanzada.
-
Haga clic en el icono más [+] y proporcione un nombre para el perfil de autenticación.
-
Haga clic en el icono más [+] para crear un servidor virtual de autenticación.
-
Especifique el nombre y el tipo de dirección IP del servidor virtual de autenticación en el área Configuración básica y haga clic en Aceptar.El tipo de dirección IP también puede ser No direccionable.
-
Haga clic en Directiva de autenticación.
-
En la vista Vinculación de directivas, haga clic en el icono más [+] para crear una directiva de autenticación.
-
Seleccione OAUTH como tipo de acción y haga clic en el icono más [+] para crear una acción de OAuth para NAC.
-
Cree una acción de OAuth mediante ID de cliente, secreto de clientee ID de arrendatario.
Nota:
- El IDde cliente, el secreto del cliente y el ID de arrendatario se generan después de configurar la aplicación NetScaler Gateway en el portal de Azure.
- Anote la información de ID de cliente/ID de aplicación, secreto de cliente/secreto de aplicación e ID de arrendatario de Azure, tal como se requiere para crear una acción de OAuth en NetScaler Gateway más adelante.
Asegúrese de que tiene un servidor de nombres DNS adecuado configurado en el dispositivo para resolverlo y alcanzarlo;
https://login.microsoftonline.com/,- -https://graph.windows.net/, - *.manage.microsoft.com.
-
Crear directiva de autenticación para OAuth Action.
Regla:
http.req.header("User-Agent").contains("NAC/1.0")&& ((http.req.header("User-Agent").contains("iOS") && http.req.header("User-Agent").contains("NSGiOSplugin")) || (http.req.header("User-Agent").contains("Android") && http.req.header("User-Agent").contains("CitrixVPN"))) <!--NeedCopy-->
-
Haga clic en el icono más [+] para crear una etiqueta de directiva de NextFactor.
-
Haga clic en el icono más [+] para crear un esquema de inicio de sesión.
-
Seleccione
noschemacomo esquema de autenticación y haga clic en Crear.
-
Tras seleccionar el esquema de inicio de sesión creado, haga clic en Continuar.
-
En Seleccionar directiva, seleccione una directiva de autenticación existente para el inicio de sesión de usuario o haga clic en el icono más + para crear una directiva de autenticación. Para obtener más información sobre cómo crear una directiva de autenticación, consulte Configuración de directivas de autenticación avanzadas y Configuración de la autenticación LDAP.
-
Haga clic en Bind.
-
Haga clic en Listo.
-
Haga clic en Bind.
-
Haga clic en Continuar.
-
Haga clic en Listo.
-
Haga clic en Crear.
-
Haga clic en Aceptar.
-
Haga clic en Listo.
Para enlazar el esquema de inicio de sesión de autenticación al servidor virtual de autenticación para indicar que los complementos VPN deben enviar el ID de dispositivo como parte de la solicitud /cgi/login
-
Vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales.
-
Seleccione el servidor virtual seleccionado previamente y haga clic en Modificar.
-
Haga clic en Esquemas de inicio de sesión en Configuración avanzada.
-
Haga clic en Esquemas de inicio de sesión para enlazar.
-
Haga clic en [>] para seleccionar y vincular las directivas de esquema de inicio de sesión integradas existentes para la verificación del dispositivo NAC.
-
Seleccione la directiva de esquema de inicio de sesión necesaria adecuada para su implementación de autenticación y haga clic en Seleccionar.
En la implementación explicada anteriormente, se utiliza la autenticación de factor único (LDAP) junto con una directiva de acción OAuth de NAC, por lo que se ha seleccionado lschema_single_factor_deviceid.
-
Haga clic en Bind.
-
Haga clic en Listo.
Solución de problemas
Problemas generales
| Problema | La resolución |
|---|---|
| El mensaje “Agregar directiva requerida” aparece cuando abres una aplicación | Agregar directivas en la API de Microsoft Graph |
| Hay conflictos de directivas | Solo se permite una única directiva por aplicación |
| Su aplicación no se puede conectar a los recursos internos | Asegúrese de que los puertos de firewall correctos estén abiertos, corrija el ID de arrendatario, etc. |
Problemas de NetScaler Gateway
| Problema | La resolución |
|---|---|
| Los permisos necesarios para configurar la aplicación de puerta de enlace en Azure no están disponibles. | Compruebe si dispone de una licencia adecuada de Intune. Pruebe a utilizar el portal manage.windowsazure.com para ver si se puede agregar el permiso. Contacte con la asistencia de Microsoft si el problema persiste. |
NetScaler Gateway no puede contactar con login.microsoftonline.comandgraph.windows.net. |
Desde NS Shell, comprueba si puede acceder al siguiente sitio web de Microsoft: cURL -v -k https://login.microsoftonline.com. A continuación, compruebe si el DNS está configurado en NetScaler Gateway. Compruebe también que la configuración del firewall sea correcta (en caso de que las solicitudes DNS estén protegidas por firewall). |
| Aparece un error en ns.log después de configurar OAuthAction. | Compruebe si las licencias de Intune están habilitadas y si la aplicación Azure Gateway tiene establecidos los permisos adecuados. |
| El comando Sh OAuthAction no muestra el estado de OAuth como completo. | Consulte la configuración de DNS y los permisos configurados en la aplicación de Azure Gateway. |
| El dispositivo Android o iOS no muestra la solicitud de autenticación dual. | Compruebe si el ID de dispositivo de factor dual logonSchema está vinculado al servidor virtual de autenticación. |
Estado y condición de error de OAuth de NetScaler Gateway
| Estado | Condición de error |
|---|---|
| AADFORGRAPH | Secreto no válido, URL no resuelta, tiempo de espera de la conexión agotado |
| MDMINFO |
*manage.microsoft.comestá caído o es inalcanzable |
| GRAPH | El punto final del gráfico no está accesible |
| CERTFETCH | No se puede hablar con el token del dispositivo de punto final https://login.microsoftonline.com debido a un error de DNS. Para validar esta configuración, vaya a la solicitud de Shell y escriba cURL https://login.microsoftonline.com. Este comando debe validarse. |
Nota: Cuando el estado de OAuth es correcto, el estado se muestra como COMPLETE.
Comprobación de configuración de Intune
Asegúrese de seleccionar la casilla Acepto en Configuración básica de VPN para iOS para Citrix SSO > Habilitar el control de acceso a la red (NAC). De lo contrario, la comprobación de NAC no funciona.
Compartir
Compartir
En este artículo
- Licencias
- Requisitos del sistema
- Requisitos previos
- Referencias
- Para agregar un servidor virtual de NetScaler Gateway con nFactor para la implementación de gateway
- Para enlazar el esquema de inicio de sesión de autenticación al servidor virtual de autenticación para indicar que los complementos VPN deben enviar el ID de dispositivo como parte de la solicitud /cgi/login
- Solución de problemas
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.