Gateway

Configurar comprobación de dispositivo de control de acceso a redes para el servidor virtual de NetScaler Gateway para iniciar sesión en un solo

En este tema se proporciona información sobre cómo configurar NetScaler Gateway para conectarse a una red interna desde un dispositivo móvil (iOS y Android) con la seguridad de conformidad de acceso a la red (NAC) que ofrece Microsoft Intune. Cuando un usuario intenta conectarse a NetScaler Gateway desde un cliente VPN para iOS o Android, la puerta de enlace comprueba primero con el servicio Intune si el dispositivo es un dispositivo administrado y que cumple los requisitos.

  • Administrado: El dispositivo se inscribe mediante el cliente del portal de empresa de Intune.
  • Cumple con los requisitos: se aplican las directivas necesarias enviadas desde el servidor MDM de Intune.

Solo si el dispositivo está administrado y es compatible, se establece la sesión VPN y se proporciona acceso al usuario a los recursos internos.

Nota:

  • En esta configuración, NetScaler Gateway en el back-end habla con el servicio Intune. Los perfiles SSL gestionan las conexiones entrantes a NetScaler Gateway. La comunicación back-end de NetScaler Gateway gestiona todos los requisitos de SNI de los servicios en la nube de back-end (Intune).

  • El servidor virtual de puerta de enlace SNI para DTLS se admite en NetScaler Gateway versión 13.0 compilación 64.x y posteriores.

  • La comprobación de NAC de Intune, para la VPN por aplicación o incluso para la VPN de todo el dispositivo, solo se admite cuando el portal de administración de Intune aprovisiona el perfil de VPN (ahora conocido como Microsoft Endpoint Manager). Estas funciones no son compatibles con los perfiles VPN agregados por el usuario final. El administrador de Intune debe implementar el perfil VPN en su dispositivo desde Microsoft Endpoint Manager para utilizar la comprobación de NAC en el dispositivo del usuario final.

Licencias

Se requiere una licencia de Citrix Enterprise Edition para esta funcionalidad.

Requisitos del sistema

  • NetScaler Gateway versión 11.1 compilación 51.21 o posterior
  • VPN para iOS: 10.6 o posterior
  • VPN para Android: 2.0.13 o posterior
  • Microsoft
    • Acceso a Azure AD (con privilegios de arrendatario y administrador)
    • Tenant habilitado para Intune
  • Firewall: Habilite reglas de firewall para todo el tráfico DNS y SSL desde la dirección IP de subred a https://login.microsoftonline.com y https://graph.windows.net (puerto 53 y puerto 443)

Requisitos previos

  • Todas las directivas de autenticación existentes deben convertirse de directivas clásicas a directivas avanzadas. Para obtener información sobre cómo convertir de directivas clásicas a directivas avanzadas, consulte https://support.citrix.com/article/CTX131024.
  • Cree una aplicación NetScaler Gateway en el portal de Azure. Para obtener más información, consulte Configuración de una aplicación NetScaler Gateway en el portal de Azure.
  • Configure la directiva OAuth en la aplicación NetScaler Gateway que creó mediante la siguiente información específica de la aplicación.
    • ID de cliente/ ID de aplicación
    • Secreto de cliente/clave de aplicación
    • ID de arrendatario Azure

Referencias

Para agregar un servidor virtual de NetScaler Gateway con nFactor para la implementación de gateway

  1. Vaya a NetScaler Gateway> Servidores virtuales.

    Página Servidores virtuales

  2. Haga clic en Agregar.

  3. Proporcione la información necesaria en el área Configuración básica y haga clic en Aceptar.

    Configurar ajustes básicos

  4. Seleccione Certificado de servidor.

    Seleccione un certificado de servidor

  5. Seleccione el certificado de servidor necesario y haga clic en Vincular.

    Vincular certificado de servidor

  6. Como parte de la compatibilidad con la API de Intune NAC v2, debe vincular un archivo de entidad de certificación (certificado de CA) para garantizar que el dispositivo NetScaler obtenga un certificado válido de los dispositivos móviles. En Intune NAC v2, los dispositivos móviles envían ID de dispositivo como parte del certificado de cliente. El certificado de CA enlazado aquí debe ser el que se utilice para emitir certificados de cliente para los dispositivos iOS y Android de los usuarios finales. Si hay certificados intermedios, también deben vincularse aquí. Para obtener más información sobre la configuración de Intune, consulte Configuración de una aplicación NetScaler Gateway en el portal de Azure. Para admitir la API de Intune NAC v2, seleccione el certificado de CA requerido y haga clic en Vincular.

    Vincular certificado de servidor para la integración de Intune

    Vincular certificado de servidor para la integración de Intune

  7. Haga clic en Continuar.

  8. Haga clic en Continuar.

  9. Haga clic en Continuar.

  10. Haga clic en el icono del signo más [+] junto a Directivas y seleccione Sesión en la lista Elegir directiva, seleccione Solicitud en la lista Elegir tipo y haga clic en Continuar.

  11. Haga clic en el icono del signo más [+] junto a Seleccionar directiva.

  12. En la página Crear directiva de sesión de NetScaler Gateway, proporcione un nombre para la directiva de sesión.

  13. Haga clic en el icono más [+] junto a Perfil y, en la página Crear perfil de sesión de NetScaler Gateway, proporcione un nombre para el perfil de sesión.

  14. En la ficha Experiencia del cliente, haga clic en la casilla de verificación situada junto a Acceso sin cliente y seleccione Desactivado en la lista.

  15. Haga clic en la casilla de verificación situada junto a Tipo de complemento y seleccione Windows/Mac OS X en la lista.

  16. Haga clic en Configuración avanzada, seleccione la casilla de verificación situada junto a Opciones del cliente y establezca su valor enACTIVADO.

  17. En la ficha Seguridad, haga clic en la casilla de verificación situada junto a Acción de autorización predeterminada y seleccione Permitir en la lista.

  18. En la ficha Aplicaciones publicadas, haga clic en la casilla de verificación situada junto a Proxy ICA y seleccione DESACTIVADO en la lista.

  19. Haga clic en Crear.

  20. En la página Crear directiva de sesión de NetScaler Gateway, en el área Expresión, configure la expresión calificadora.

  21. Haga clic en Crear.

  22. Haga clic en Bind.

  23. Seleccione Perfil de autenticación en Configuración avanzada.

    Seleccionar perfil de autenticación

  24. Haga clic en el icono más [+] y proporcione un nombre para el perfil de autenticación.

    Nombre del perfil de autenticación

  25. Haga clic en el icono más [+] para crear un servidor virtual de autenticación.

    Agregar servidor virtual de autenticación

  26. Especifique el nombre y el tipo de dirección IP del servidor virtual de autenticación en el área Configuración básica y haga clic en Aceptar.El tipo de dirección IP también puede ser No direccionable.

    Configurar ajustes básicos

  27. Haga clic en Directiva de autenticación.

    Directiva de autenticación

  28. En la vista Vinculación de directivas, haga clic en el icono más [+] para crear una directiva de autenticación.

    Crear directiva de autenticación

  29. Seleccione OAUTH como tipo de acción y haga clic en el icono más [+] para crear una acción de OAuth para NAC.

    Seleccionar tipo de acción de OAuth

  30. Cree una acción de OAuth mediante ID de cliente, secreto de clientee ID de arrendatario.

    Nota:

    • ElIDde cliente, el secreto del cliente y el ID de inquilino se generan después de configurar la aplicación NetScaler Gateway en el portal de Azure.
    • Anote la información de ID de cliente/ID de aplicación, secreto de cliente/secreto de aplicación e ID de arrendatario de Azure, tal como se requiere para crear una acción de OAuth en NetScaler Gateway más adelante.

    Asegúrese de que tiene un servidor de nombres DNS adecuado configurado en el dispositivo para resolverlo y alcanzarlo; https://login.microsoftonline.com/, - - https://graph.windows.net/, - *.manage.microsoft.com.

    ID y secreto del portal de Azure

  31. Crear directiva de autenticación para OAuth Action.

    Regla:

    http.req.header("User-Agent").contains("NAC/1.0")&& ((http.req.header("User-Agent").contains("iOS") && http.req.header("User-Agent").contains("NSGiOSplugin")) || (http.req.header("User-Agent").contains("Android") && http.req.header("User-Agent").contains("CitrixVPN")))
    <!--NeedCopy-->
    

    Regla de directiva de autenticación

  32. Haga clic en el icono más [+] para crear una etiqueta de directiva de NextFactor.

    Crear etiqueta de directiva de siguiente factor

  33. Haga clic en el icono más [+] para crear un esquema de inicio de sesión.

    Crear esquema de inicio de sesión

  34. Seleccione noschema como esquema de autenticación y haga clic en Crear.

    Seleccionar esquema de autenticación

  35. Tras seleccionar el esquema de inicio de sesión creado, haga clic en Continuar.

    Haga clic en continuar

  36. En Seleccionar directiva, seleccione una directiva de autenticación existente para el inicio de sesión de usuario o haga clic en el icono más + para crear una directiva de autenticación. Para obtener más información sobre cómo crear una directiva de autenticación, consulte Configuración de directivas de autenticación avanzadas y Configuración de la autenticación LDAP.

    Seleccionar o crear una directiva de autenticación

  37. Haga clic en Bind.

    Haga clic en vincular

  38. Haga clic en Listo.

    Haga clic en Listo

  39. Haga clic en Bind.

    Haga clic en Enlazar

  40. Haga clic en Continuar.

    Haga clic en Continuar

  41. Haga clic en Listo.

    Haga clic en Listo

  42. Haga clic en Crear.

    Haga clic en Crear.

  43. Haga clic en Aceptar.

    Haga clic en Aceptar

  44. Haga clic en Listo.

    Haga clic en Listo

Para enlazar el esquema de inicio de sesión de autenticación al servidor virtual de autenticación para indicar que los complementos VPN deben enviar el ID de dispositivo como parte de la solicitud /cgi/login

  1. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales.

    Página Servidores virtuales

  2. Seleccione el servidor virtual seleccionado previamente y haga clic en Modificar.

    Edición de un servidor virtual

  3. Haga clic en Esquemas de inicio de sesión en Configuración avanzada.

    Seleccionar esquema de inicio de sesión

  4. Haga clic en Esquemas de inicio de sesión para enlazar.

    Esquema de inicio de sesión de enlace

  5. Haga clic en [>] para seleccionar y vincular las directivas de esquema de inicio de sesión integradas existentes para la verificación del dispositivo NAC.

    Vincular directivas de esquema de inicio de sesión

  6. Seleccione la directiva de esquema de inicio de sesión necesaria adecuada para su implementación de autenticación y haga clic en Seleccionar.

    En la implementación explicada anteriormente, se utiliza la autenticación de factor único (LDAP) junto con una directiva NAC OAuth Action. Por lo tanto, se selecciona lschema_single_factor_deviceid.

    Seleccionar directiva de autenticación de factor único

  7. Haga clic en Bind.

    Haga clic en Enlazar

  8. Haga clic en Listo.

    Haga clic en Listo

Compatibilidad con la API Intune NAC v2

Como parte de la compatibilidad con la API de Intune NAC v2, debe vincular un archivo de entidad de certificación (certificado de CA) para garantizar que el dispositivo NetScaler obtenga un certificado válido de los dispositivos móviles. En Intune NAC v2, los dispositivos móviles envían ID de dispositivo como parte del certificado de CA. El certificado de CA enlazado aquí debe ser el que se utilice para emitir certificados de cliente para los dispositivos iOS y Android de los usuarios finales. Si hay certificados intermedios, también deben vincularse aquí.

Puede usar el siguiente comando de ejemplo para vincular su certificado de CA.

bind ssl vserver intune_nac_check_443 -certkeyName clientca -CA -ocspCheck Optional
<!--NeedCopy-->

Importante:

  • La compatibilidad con la API de Intune NAC v2 está disponible en las versiones de NetScaler Gateway 13.1 compilación 12.50 o posterior y 13.0 compilación 84.11 o posterior.

  • Debe habilitar la autenticación basada en certificados de cliente estableciendo clientAuth en HABILITADO y clientCert en OPCIONAL en los servidores virtuales de autenticación y VPN. El parámetro clientCert se establece en OPCIONAL para que otros puntos finales que no necesiten la comprobación de NAC de Intune puedan autenticarse a través del mismo servidor virtual sin proporcionar el certificado de cliente. Los dispositivos Android e iOS deben proporcionar el certificado de cliente. De lo contrario, la comprobación NAC de Intune falla
  • Debe asegurarse de que los certificados de cliente aprovisionados a través de Intune en el dispositivo móvil deben tener un identificador de dispositivo de Intune en el campo SAN de tipo URI como se indica en el documento Nuevo servicio de Microsoft Intune para control de acceso a la red. Para obtener información detallada, consulte https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696. El formato del campo de valor de URI debe ser el mismo que se indica en esta ilustración. Además, la aplicación Citrix SSO debe usar el mismo certificado para autenticarse con la puerta de enlace.

Ejemplo de ID de dispositivo de Intune

Solución de problemas

Problemas generales

Problema La resolución
El mensaje “Agregar directiva requerida” aparece cuando abres una aplicación Agregar directivas en la API de Microsoft Graph
Hay conflictos de directivas Solo se permite una única directiva por aplicación
Su aplicación no se puede conectar a los recursos internos Asegúrese de que los puertos de firewall correctos estén abiertos, que se haya utilizado el ID de arrendatario correcto, etc.

Problemas de NetScaler Gateway

Problema La resolución
Los permisos necesarios para configurar la aplicación de puerta de enlace en Azure no están disponibles. Compruebe si dispone de una licencia adecuada de Intune. Pruebe a utilizar el portal manage.windowsazure.com para ver si se puede agregar el permiso. Contacte con la asistencia de Microsoft si el problema persiste.
NetScaler Gateway no puede contactar con login.microsoftonline.comandgraph.windows.net. Desde NS Shell, comprueba si puede acceder al siguiente sitio web de Microsoft: cURL -v -k https://login.microsoftonline.com. A continuación, compruebe si el DNS está configurado en NetScaler Gateway. Compruebe también que la configuración del firewall sea correcta (en caso de que las solicitudes DNS estén protegidas por firewall).
Aparece un error en ns.log después de configurar OAuthAction. Compruebe si las licencias de Intune están habilitadas y si la aplicación Azure Gateway tiene establecidos los permisos adecuados.
Sh OAuthAction no muestra el estado de OAuth como completo. Consulte la configuración de DNS y los permisos configurados en la aplicación de Azure Gateway.
El dispositivo Android o iOS no muestra la solicitud de autenticación dual. Compruebe si el ID de dispositivo de factor dual logonSchema está vinculado al servidor virtual de autenticación.

Estado y condición de error de OAuth de NetScaler Gateway

Estado Condición de error
AADFORGRAPH Secreto no válido, URL no resuelta, tiempo de espera de la conexión agotado
MDMINFO *manage.microsoft.comestá caído o es inalcanzable
GRAPH El punto final del gráfico no está accesible
CERTFETCH No se puede hablar con el token del dispositivo de punto final https://login.microsoftonline.com debido a un error de DNS. Para validar esta configuración, vaya a la solicitud de Shell y escriba cURL https://login.microsoftonline.com. Este comando debe validarse.

Nota: Cuando el estado de OAuth es correcto, el estado se muestra como COMPLETE.

Comprobación de configuración de Intune

Asegúrese de seleccionar la casilla Acepto en Configuración básica de VPN para iOS para Citrix SSO > Habilitar el control de acceso a la red (NAC). De lo contrario, la comprobación de NAC no funciona.

Configurar comprobación de dispositivo de control de acceso a redes para el servidor virtual de NetScaler Gateway para iniciar sesión en un solo