Notificación push para OTP
NetScaler Gateway admite notificaciones push para OTP. Los usuarios no tienen que introducir manualmente la OTP recibida en sus dispositivos registrados para iniciar sesión en NetScaler Gateway. Los administradores pueden configurar NetScaler Gateway de manera que las notificaciones de inicio de sesión se envíen a los dispositivos registrados de los usuarios mediante los servicios de notificaciones push. Cuando los usuarios reciban la notificación, solo tienen que pulsar Permitir en la notificación para iniciar sesión en NetScaler Gateway. Cuando la puerta de enlace recibe la confirmación del usuario, identifica el origen de la solicitud y envía una respuesta a esa conexión del explorador.
Si la respuesta a la notificación no se recibe dentro del período de tiempo de espera (30 segundos), se redirige a los usuarios a la página de inicio de sesión de NetScaler Gateway. A continuación, los usuarios pueden introducir la OTP manualmente o hacer clic en Reenviar notificación para volver a recibir la notificación en el dispositivo registrado.
Los administradores pueden hacer que la autenticación de notificaciones push sea la autenticación predeterminada mediante los esquemas de inicio de sesión creados para las notificaciones push.
Importante:
La función de notificación push está disponible con una licencia de la edición NetScaler Premium.
Ventajas de las notificaciones push
- Las notificaciones push proporcionan un mecanismo de autenticación multifactor más seguro. La autenticación en NetScaler Gateway no se realiza correctamente hasta que el usuario apruebe el intento de inicio de sesión.
- Las notificaciones push son fáciles de administrar y usar. Los usuarios tienen que descargar e instalar la aplicación móvil Citrix SSO que no requiere asistencia de administrador.
- Los usuarios no tienen que copiar ni recordar el código. Simplemente tienen que tocar el dispositivo para autenticarse.
- Los usuarios pueden registrar varios dispositivos.
Cómo funcionan las notificaciones push
El flujo de trabajo de notificaciones push se puede clasificar en dos categorías:
- Registro de dispositivos
- Inicio de sesión de usuario final
Requisitos previos para utilizar las notificaciones push
-
Complete el proceso de incorporación de Citrix Cloud.
-
Cree una cuenta de empresa de Citrix Cloud o únase a una existente. Para obtener instrucciones y procesos detallados sobre cómo proceder, consulte Registrarse en Citrix Cloud.
-
Inicie sesión en https://citrix.cloud.com y seleccione el cliente.
-
En Menú, seleccione Administración de identidades y accesos y, a continuación, vaya a la ficha Acceso a API para crear un cliente para la cuenta.
-
Copia el ID, el secreto y el ID de cliente. El ID y el secreto son necesarios para configurar el servicio push en NetScaler como “ClientID” y “ClientSecret” respectivamente.
-
Importante:
- Las mismas credenciales de API se pueden usar en varios centros de datos.
- Los dispositivos NetScaler locales deben poder resolver las direcciones de servidor mfa.cloud.com y trust.citrixworkspacesapi.net y se puede acceder a ellos desde el dispositivo. Esto es para garantizar que no existan firewalls ni bloques de direcciones IP para estos servidores a través del puerto 443.
-
Descargue la aplicación móvil Citrix SSO de App Store y Play Store para dispositivos iOS y Android, respectivamente. La notificación push es compatible con iOS desde la compilación 1.1.13 en Android a partir de la versión 2.3.5.
-
Asegúrese de lo siguiente para Active Directory.
- La longitud mínima del atributo debe ser de 256 caracteres como mínimo.
- El tipo de atributo debe ser ‘DirectoryString’, como UserParameters. Estos atributos pueden contener valores de cadena.
- El tipo de cadena de atributos debe ser Unicode, si el nombre del dispositivo no está escrito en inglés.
- El administrador LDAP de NetScaler debe tener acceso de escritura al atributo AD seleccionado.
- NetScaler y el equipo cliente deben estar sincronizados con un servidor horario de red común.
Configuración de notificaciones push
A continuación se indican los pasos de alto nivel que se deben completar para utilizar la funcionalidad de notificaciones push.
-
El administrador de NetScaler Gateway debe configurar la interfaz para administrar y validar a los usuarios.
-
Configure un servicio push.
-
Configure NetScaler Gateway para la administración de OTP y el inicio de sesión del usuario final.
Los usuarios deben registrar sus dispositivos en la puerta de enlace para iniciar sesión en NetScaler Gateway.
-
Registre su dispositivo en NetScaler Gateway.
-
Inicie sesión en NetScaler Gateway.
-
Crear un servicio push
-
Vaya a Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Acciones > Servicio de inserción y haga clic en Agregar.
-
En Nombre, introduzca el nombre del servicio push.
-
En ID de cliente, introduzca la identidad única de la parte que confía para comunicarse con el servidor NetScaler Push en la nube.
-
En Secreto de cliente, introduzca el secreto exclusivo de la parte que confía para comunicarse con el servidor NetScaler Push en la nube.
-
En ID de cliente, introduzca el ID de cliente o el nombre de la cuenta en la nube que se utiliza para crear el par Client ID y Client Secret.
Importante
La versión de TLS 1.2 es necesaria para el servicio push. Para obtener más información, consulte los detalles de configuración de TLS 1.2.
Configurar NetScaler Gateway para la administración de OTP y el inicio de sesión del usuario final
Complete los siguientes pasos para la administración de OTP y el inicio de sesión del usuario final.
- Crear esquema de inicio de sesión para la administración de OTP
- Configurar el servidor virtual de autenticación, autorización y auditoría
- Configurar servidores virtuales de equilibrio de carga o VPN
- Configurar etiqueta de directiva
- Crear esquema de inicio de sesión para el inicio de sesión del usuario final
Para obtener más información sobre la configuración, consulte Compatibilidad con OTP nativa.
Importante: Para la notificación push, los administradores deben configurar explícitamente lo siguiente:
- Crea un servicio push.
- Al crear un esquema de inicio de sesión para la administración de OTP, seleccione el esquema de inicio de sesión SingleAuthManageOTP.xml o su equivalente según sea necesario.
- Al crear un esquema de inicio de sesión para el inicio de sesión del usuario final, seleccione el esquema de inicio de sesión DualAuthOrPush.xml o su equivalente según sea necesario.
Registre su dispositivo con NetScaler Gateway
Los usuarios deben registrar sus dispositivos en NetScaler Gateway para utilizar la función de notificaciones push.
-
En el explorador web, vaya al FQDN de NetScaler Gateway y el sufijo /manageotp al FQDN.
Esto carga la página de autenticación. Ejemplo: https://gateway.company.com/manageotp
-
Inicie sesión con sus credenciales LDAP o los mecanismos de autenticación de dos factores adecuados, según sea necesario.
-
Haga clic en Agregar dispositivo.
-
Introduzca un nombre para el dispositivo y, a continuación, haga clic en Ir.
Se muestra un código QR en la página del explorador de NetScaler Gateway.
-
Escanee este código QR mediante la aplicación Citrix SSO desde el dispositivo que se va a registrar.
Citrix SSO valida el código QR y, a continuación, se registra en la puerta de enlace para notificaciones push. Si no hay errores en el proceso de registro, el token se agrega correctamente a la página de tokens de contraseña.
-
Si no hay dispositivos adicionales para agregar/administrar, cierre la sesión mediante la lista de la esquina superior derecha de la página.
Probar la autenticación de contraseña única
-
Para probar la OTP, haga clic en su dispositivo en la lista y, a continuación, haga clic en Probar.
-
Introduzca la OTP que ha recibido en su dispositivo y haga clic en Ir.
Aparece el mensaje de verificación de OTP satisfactoria.
-
Cierre la sesión mediante la lista situada en la esquina superior derecha de la página.
Nota: Puede utilizar el portal de administración de OTP en cualquier momento para probar la autenticación, eliminar dispositivos registrados o registrar más dispositivos.
Inicie sesión en NetScaler Gateway
Tras registrar sus dispositivos en NetScaler Gateway, los usuarios pueden utilizar la función de notificación push para la autenticación.
-
Vaya a la página de autenticación de NetScaler Gateway (por ejemplo:) https://gateway.company.com
Se le pedirá que introduzca únicamente sus credenciales LDAP en función de la configuración del esquema de inicio de sesión.
-
Introduzca su nombre de usuario y contraseña de LDAP y, a continuación, seleccione Enviar.
Se envía una notificación al dispositivo registrado.
Nota: Si quiere introducir la OTP manualmente, debe seleccionar Haga clic para introducir OTP manualmente e introducir la OTP en el campo TOTP.
-
Abra la aplicación Citrix SSO en el dispositivo registrado y toque Permitir.
Nota:
-
En el caso de un dispositivo iOS, se le solicitará un identificador táctil, Face ID/código de acceso como factor adicional de autenticación.
-
El servidor de autenticación espera la respuesta de notificación de servidor push hasta que expire el período de tiempo de espera configurado. Una vez transcurrido el tiempo de espera, NetScaler Gateway muestra la página de inicio de sesión. A continuación, los usuarios pueden introducir la OTP manualmente o hacer clic en Reenviar notificación para volver a recibir la notificación en el dispositivo registrado. Según la opción seleccionada, Gateway valida la OTP que ha introducido o reenvía la notificación en su dispositivo registrado.
- No se envía ninguna notificación a su dispositivo registrado en relación con un error de inicio de sesión.
-
Condiciones de fallo
- El registro del dispositivo puede fallar en los siguientes casos.
- Es posible que el dispositivo del usuario final no confíe en el certificado del servidor.
- El cliente no puede acceder a NetScaler Gateway que se utiliza para registrarse en OTP.
- Las notificaciones pueden fallar en los siguientes casos.
- El dispositivo del usuario no está conectado a Internet
- Las notificaciones en el dispositivo del usuario están bloqueadas
- El usuario no aprueba la notificación en el dispositivo
En estos casos, el servidor de autenticación espera hasta que caduque el período de tiempo de espera configurado. Después del tiempo de espera, NetScaler Gateway muestra una página de inicio de sesión con las opciones para introducir manualmente la OTP o volver a enviar la notificación en el dispositivo registrado. En función de la opción seleccionada, se realiza una validación adicional.
Registros de errores
A continuación se muestran los registros esperados cuando no se puede acceder al servicio push OTP.
- Error de notificación push cuando el dispositivo del usuario no está conectado a Internet - Push: no se pudo preparar la solicitud push para “
client name
” para el servicio Push. - Registro de errores de registro de dispositivos - Push: No hay ningún dispositivo registrado para enviar solicitudes push a la nube para “
client name
”. - En caso de que el usuario no acepte el push - Push: No se vaya la respuesta desde el cliente, para “
user name
”, verificando las opciones de reintento.
Comportamiento de la aplicación Citrix SSO en iOS: puntos a tener en cuenta
Accesos directos de notificación
La aplicación Citrix SSO iOS incluye soporte para notificaciones procesables para mejorar la experiencia del usuario. Una vez que se recibe una notificación en un dispositivo iOS y si el dispositivo está bloqueado o la aplicación Citrix SSO no está en primer plano, los usuarios pueden usar los accesos directos integrados en la notificación para aprobar o denegar la solicitud de inicio de sesión.
Para acceder a los accesos directos de notificaciones, los usuarios deben forzar el toque (toque 3D) o presionar la notificación durante un tiempo prolongado en función del hardware del dispositivo. Al seleccionar la acción de acceso directo Permitir, se envía una solicitud de inicio de sesión a NetScaler. Según la configuración de la directiva de autenticación en el servidor virtual de autenticación, autorización y auditoría;
- La solicitud de inicio de sesión puede enviarse en segundo plano sin necesidad de iniciar la aplicación en primer plano o desbloquear el dispositivo.
- Es posible que la aplicación solicite Touch-ID/Face-ID/código de acceso como factor adicional, en cuyo caso la aplicación se inicia en primer plano.
Eliminación de tokens de contraseña del Citrix SSO
-
Para eliminar un token de contraseña registrado para inserción en la aplicación Citrix SSO, los usuarios deben realizar los siguientes pasos:
- Dar de baja (quitar) el dispositivo iOS/Android en la puerta de enlace. Aparece el código QR para eliminar el registro del dispositivo.
- Abra la aplicación Citrix SSO y pulse el botón de información del token de contraseña que quiere eliminar.
- Presiona Eliminar token y escanea el código QR.
Nota:
- Si el código QR es válido, el token se quita correctamente de la aplicación Citrix SSO.
- Los usuarios pueden tocar Forzar eliminación para eliminar un token de contraseña sin tener que escanear el código QR si el dispositivo ya se ha eliminado de la puerta de enlace. La eliminación forzada puede hacer que el dispositivo siga recibiendo notificaciones si el dispositivo no se ha quitado de NetScaler Gateway.