Configurar Citrix SSO para usuarios de macOS

La aplicación Citrix SSO para macOS proporciona la mejor solución de protección de datos y acceso a aplicaciones que ofrece Citrix Gateway. Ahora puede acceder de forma segura a las aplicaciones críticas para el negocio, los escritorios virtuales y los datos corporativos en cualquier momento y desde cualquier lugar. Citrix SSO es el cliente VPN de próxima generación para Citrix Gateway para crear y administrar conexiones VPN desde dispositivos macOS. Citrix SSO se crea mediante el marco de extensión de red (NE) de Apple. NE framework de Apple es una biblioteca moderna que contiene API que se pueden utilizar para personalizar y ampliar las funciones principales de red de macOS. La extensión de red con soporte para SSL VPN está disponible en dispositivos que ejecutan macOS 10.11+.

La aplicación Citrix SSO reemplaza el complemento heredado de Citrix Gateway basado en Extensiones de núcleo (KE) que Apple va a dejar de utilizar pronto. Citrix SSO App admite funciones avanzadas como Conexiones iniciadas por el servidor y DTLS.

La aplicación Citrix SSO proporciona compatibilidad completa con la administración de dispositivos móviles (MDM) en macOS. Con un servidor MDM, un administrador ahora puede configurar y administrar de forma remota perfiles VPN a nivel de dispositivo y por aplicación. La aplicación Citrix SSO para macOS se puede instalar desde una almacén de aplicaciones Mac.

Comparación de funciones entre Citrix VPN y Citrix SSO

En la siguiente tabla, se compara la disponibilidad de diversas funciones entre Citrix VPN y Citrix SSO.

Función Citrix VPN Citrix SSO
Método de distribución de aplicaciones página Descargas de Citrix App Store
Número de conexiones en túnel 128 128
Acceso desde explorador Se admite No se admite
Acceso desde aplicación nativa Se admite Se admite
Túnel dividido (DESACTIVADO/ACTIVADO/INVERSO) Se admite Se admite
DNS dividido (LOCAL/REMOTO/AMBOS) REMOTO REMOTO
Acceso a LAN local Habilitar o inhabilitar Siempre habilitado
Compatibilidad con conexiones iniciadas por el servidor (SIC) No se admite Se admite
Transferir el inicio de sesión Se admite Se admite
Proxy del lado del cliente Se admite No se admite
Compatibilidad con EPA cásico/Opswat Se admite Se admite
Compatibilidad con certificados de dispositivo Se admite Se admite
Compatibilidad con tiempo de espera de sesión Se admite Se admite
Compatibilidad con tiempo de espera forzado Se admite Se admite
Compatibilidad con tiempo de espera inactivo Se admite No se admite
IPV6 No se admite Se admite
Itinerancia de red (conmutación entre Wi-Fi, Ethernet, etc.) Se admite Se admite
Compatibilidad con aplicaciones de intranet Se admite Se admite
Compatibilidad con DTLS para UDP No se admite Se admite
Compatibilidad con contrato de licencia de usuario final Se admite Se admite
Integración de aplicaciones + Receiver Se admite No se admite
Autenticación: Local, LDAP, RADIUS Se admite Se admite
Autenticación de certificados de cliente Se admite Se admite
Compatibilidad con TLS (TLS1, TLS1.1 y TLS1.2) Se admite Se admite
Autenticación de dos factores Se admite Se admite

Compatibilidad con productos MDM

Citrix SSO para macOS es compatible con la mayoría de los proveedores de MDM, como Citrix XenMobile, Microsoft Intune, etc. Es compatible con una función denominada Control de acceso a redes (NAC) mediante la cual, los administradores de MDM pueden imponer el cumplimiento de los dispositivos del usuario final antes de conectarse a Citrix Gateway. NAC en Citrix SSO requiere un servidor MDM como XenMobile o Intune y Citrix Gateway. Para obtener más información sobre NAC, haga clic en aquí.

Configurar un perfil de VPN administrado por MDM para el Citrix SSO

En la siguiente sección se recogen instrucciones paso a paso para configurar perfiles VPN de todo el dispositivo y por aplicación para Citrix SSO mediante Citrix Endpoint Management (anteriormente XenMobile) como ejemplo. Otras soluciones MDM pueden utilizar este documento como referencia cuando se trabaja con Citrix SSO.

Nota: En esta sección se explican los pasos de configuración para un perfil VPN básico para todo el dispositivo y por aplicación. También puede configurar Proxies bajo demanda, Always-On, siguiendo la documentación de Citrix Endpoint Management (anteriormente XenMobile) o la de Configuración de carga útil VPN MDM de Apple.

Perfiles VPN a nivel de dispositivo

Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema. El tráfico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en función de las directivas VPN (como túnel completo, túnel dividido, túnel inverso) definidas en Citrix ADC.

Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management

Realice los siguientes pasos para configurar una VPN a nivel de dispositivo.

1. En la consola de Citrix Endpoint Management MDM, vaya a Configurar > Directivas de dispositivo > Agregar nueva directiva.

2. Seleccione macOS en el panel de la izquierda Plataforma de directivas. Seleccione Directiva VPN en el panel derecho.

3. En la página Información de directiva, introduzca un nombre y una descripción de directiva válidos y haga clic en Siguiente.

4. En la página de detalles de directiva para macOS, escriba un nombre de conexión válido y elija SSL personalizado en Tipo de conexión.

Nota: En la carga útil MDM VPN, el nombre de la conexión corresponde a la clave UserDefinedName y la clave de tipo VPNdebe establecerse en VPN.

5. En Identificador SSL personalizado (formato DNS inverso), escriba com.citrix.NetScalerGateway.macos.app. Este es el identificador de paquete para la aplicación Citrix SSO en macOS.

Nota: En la carga útil de MDM VPN, el identificador SSL personalizado corresponde a la clave VPNSubtype.

6. En el identificador del paquete del proveedor, escriba com.citrix.NetScalerGateway.macos.app.vpnPlugin. Este es el identificador de paquete de la extensión de red contenida en el binario de la aplicación Citrix SSO macOS.

Nota: En MDM VPN payload, el identificador del paquete del proveedor corresponde a la clave ProviderBundleIdentifier.

7. En Nombre del servidor o dirección IP, introduzca la dirección IP o FQDN de Citrix ADC asociado a esta instancia de Citrix Endpoint Management.

Los campos restantes de la página de configuración son opcionales. Las configuraciones para estos campos se encuentran en la documentación de Citrix Endpoint Management.

8. Haga clic en Siguiente.

Imagen localizada

9. Haga clic en Save.

Perfiles VPN por aplicación

Los perfiles VPN por aplicación se utilizan para configurar VPN para una aplicación específica. El tráfico de la aplicación específica se canaliza a Citrix Gateway. La carga útil de VPN por aplicación admite todas las claves para VPN en todo el dispositivo, además de algunas claves adicionales.

Para configurar una VPN a nivel de aplicación en Citrix Endpoint Management

Realice los siguientes pasos para configurar una VPN por aplicación en Citrix Endpoint Management:

1. Complete la configuración de VPN a nivel de dispositivo en Citrix Endpoint Management.

2. Activa el conmutador Habilitar VPN por aplicación en la sección VPN por aplicación.

3. Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automáticamente cuando se inicie la aplicación Match. Esto se recomienda para la mayoría de los casos por aplicación.

Nota: En la carga útil de MDM VPN, este campo corresponde a la clave OnDemandMatchOpenabled.

5. La configuración de Safari Domain es opcional. Cuando se configura el dominio Safari, Citrix SSO se inicia automáticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida con la del campo Dominio. Esto no se recomienda si quiere restringir VPN para una aplicación específica.

Nota: En la carga útil MDM VPN, este campo corresponde a la clave SafariDomains.

Los campos restantes de la página de configuración son opcionales. Las configuraciones para estos campos se pueden encontrar en la documentación de Citrix Endpoint Management (anteriormente XenMobile).

Configuración de CEM

13. Haga clic en Siguiente.

14. Haga clic en Save.

Para asociar este perfil VPN a una aplicación específica en el dispositivo, debe crear una directiva de inventario de aplicaciones y una directiva de proveedor de credenciales siguiendo esta guía: https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/

Configuración del túnel dividido en VPN por aplicación

Los clientes de MDM pueden configurar el túnel dividido en VPN por aplicación para Citrix SSO. Para ello, se debe agregar el siguiente par clave/valor a la sección de configuración del proveedor del perfil VPN creado en el servidor MDM.

-  Clave = "PerAppsPlitTunnel"
-  Valor = "verdadero o 1 o sí"

La clave distingue entre mayúsculas y minúsculas y debe ser una coincidencia exacta mientras que el valor no distingue entre mayúsculas y minúsculas.

Nota: La interfaz de usuario para configurar la configuración del proveedor no es estándar entre los proveedores de MDM. Debe ponerse en contacto con el proveedor de MDM para encontrar la sección de configuración del proveedor en la consola de usuario de MDM.

A continuación se muestra una captura de pantalla de ejemplo de la configuración (configuración específica del proveedor) en Citrix Endpoint Management.

split-tunnel-per-app-CEM

A continuación se muestra una captura de pantalla de ejemplo de la configuración (configuración específica del proveedor) en Microsoft Intune.

split-tunnel-per-app-Intune

Inhabilitar los perfiles VPN creados por el usuario

Los clientes de MDM pueden impedir que los usuarios creen manualmente perfiles VPN desde la aplicación Citrix SSO. Para ello, se debe agregar el siguiente par clave/valor a la sección de configuración del proveedor del perfil VPN creado en el servidor MDM.

-  Clave = "DisableUserProfiles"
-  Valor = "verdadero o 1 o sí"

La clave distingue entre mayúsculas y minúsculas y debe ser una coincidencia exacta mientras que el valor no distingue entre mayúsculas y minúsculas.

Nota: La interfaz de usuario para configurar la configuración del proveedor no es estándar entre los proveedores de MDM. Debe ponerse en contacto con el proveedor de MDM para encontrar la sección de configuración del proveedor en la consola de usuario de MDM.

A continuación se muestra una captura de pantalla de ejemplo de la configuración (configuración específica del proveedor) en Citrix Endpoint Management.

Inhabilitar-VPN-CEM

A continuación se muestra una captura de pantalla de ejemplo de la configuración (configuración específica del proveedor) en Microsoft Intune.

Disable_VPN_Intune

Problemas conocidos

Los siguientes son los problemas conocidos actualmente.

  • El inicio de sesión de EPA falla si el usuario se coloca en el grupo de cuarentena.
  • No se muestra el mensaje de advertencia de tiempo de espera forzado.
  • La aplicación SSO permite iniciar sesión si el túnel dividido está activado y no hay aplicaciones de intranet configuradas.

Limitaciones

Las siguientes son las limitaciones actuales.

  • Algunos de los análisis EPA (por ejemplo, análisis de administración de parches, exploración del explorador web, proceso de eliminación) podrían fallar debido al acceso restringido a la aplicación SSO debido al espacio limitado.
  • No se admite el túnel dividido basado en puertos/protocolos.

Preguntas frecuentes

En esta sección se recogen las preguntas frecuentes de la aplicación Citrix SSO.

¿En qué se diferencia la aplicación Citrix SSO de la aplicación VPN? Citrix SSO es el cliente SSL VPN de última generación para Citrix ADC. La aplicación utiliza el marco de extensión de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOS. Citrix VPN es el cliente VPN heredado que utilizó las API VPN privadas de Apple, que ahora están obsoletas. La compatibilidad con Citrix VPN se eliminará de la App Store en los próximos meses.

¿Qué es NE? El marco de extensión de red (NE) de Apple es una biblioteca moderna que contiene API que se pueden utilizar para personalizar y ampliar las funciones principales de red de iOS y macOS. La extensión de red con soporte para SSL VPN está disponible en dispositivos con iOS 9+ y macOS 10.11+.

¿Para qué versiones de Citrix ADC es compatible con Citrix SSO? Las funciones VPN de Citrix SSO son compatibles con las versiones 10.5 y superiores de Citrix ADC. El TOTP está disponible en Citrix ADC versión 12.0 y superior. Aún no se ha anunciado públicamente la notificación Push en Citrix ADC. La aplicación requiere iOS 9+ y macOS 10.11+ versiones.

¿Cómo funciona la autenticación basada en certificados para clientes que no son MDM? Los clientes que previamente distribuyeron certificados por correo electrónico o explorador para realizar la autenticación de certificados de cliente en Citrix VPN deben tener en cuenta este cambio al usar Citrix SSO. Esto se aplica principalmente a los clientes que no son MDM que no utilizan un servidor MDM para distribuir certificados de usuario. Consulte “Importación de certificados en Citrix SSO a través de correo electrónico” para poder distribuir certificados.

¿Qué es el Control de acceso a la red (NAC)? ¿Cómo configuro NAC con Citrix SSO y Citrix Gateway? Los clientes de MDM de Microsoft Intune y Citrix Endpoint Management (anteriormente XenMobile) pueden aprovechar la función de Control de acceso a redes (NAC) en Citrix SSO. Con NAC, los administradores pueden proteger su red interna empresarial agregando una capa adicional de autenticación para dispositivos móviles administrados por un servidor MDM. Los administradores pueden aplicar una comprobación de conformidad de dispositivos en el momento de la autenticación en Citrix SSO.

Para usar NAC con Citrix SSO, debe habilitarlo tanto en Citrix Gateway como en el servidor MDM.

  • Para habilitar NAC en Citrix ADC, consulte este enlace.
  • Si el proveedor MDM es Intune, consulte este enlace.
  • Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile), consulte este enlace.

Nota: La versión mínima de Citrix SSO admitida es 1.1.6 y superior.

Configurar Citrix SSO para usuarios de macOS