Gateway

Configurar reserva de caso de acceso

SmartAccess permite a NetScaler Gateway determinar automáticamente los métodos de acceso permitidos para un dispositivo de usuario en función de los resultados de un análisis de puntos finales. El escenario alternativo de acceso amplía aún más esta capacidad al permitir que un dispositivo de usuario pase del cliente Citrix Secure Access a la interfaz web o StoreFront mediante la aplicación Citrix Workspace si el dispositivo de usuario no supera el análisis inicial de endpoint.

Para habilitar el respaldo de casos de acceso, configure una directiva posterior a la autenticación que determina si los usuarios reciben un método de acceso alternativo al iniciar sesión en NetScaler Gateway. Esta directiva posterior a la autenticación se define como una expresión de seguridad del cliente que se configura de forma global o como parte de un perfil de sesión. Si configura un perfil de sesión, el perfil se asocia a una directiva de sesión que, a continuación, enlaza a usuarios, grupos o servidores virtuales. Al habilitar la opción alternativa de casos de acceso, NetScaler Gateway inicia un análisis de dispositivos de punto final tras la autenticación del usuario. Los resultados de los dispositivos de usuario que no cumplen los requisitos de un análisis posterior a la autenticación de reserva son los siguientes:

  • Si las opciones de cliente están habilitadas, los usuarios pueden iniciar sesión en la Interfaz Web o StoreFront mediante únicamente la aplicación Citrix Workspace.
  • Si el acceso sin cliente y las opciones de cliente están inhabilitadas, los usuarios se pueden poner en cuarentena en un grupo que proporciona acceso solo a la Interfaz Web o a StoreFront.
  • Si el acceso sin cliente y la Interfaz Web o StoreFront están habilitados en NetScaler Gateway y ICA Proxy está inhabilitado, los usuarios recurren al acceso sin cliente.
  • Si la Interfaz Web o StoreFront no están configuradas y el acceso sin cliente está configurado para permitir, los usuarios recurren al acceso sin cliente.

Cuando se inhabilita el acceso sin cliente, se debe configurar la siguiente combinación de opciones para la reserva del caso de acceso:

  • Defina los parámetros de seguridad del cliente para el análisis posterior a la autenticación de reserva.
  • Defina la página de inicio de la Interfaz Web.
  • Inhabilitar las opciones del cliente.
  • Si los dispositivos de usuario fallan en la comprobación de seguridad del cliente, los usuarios se colocan en un grupo de cuarentena que permite el acceso solo a la Interfaz Web o StoreFront y a las aplicaciones publicadas.

Crear directivas para la suplencia de casos de acceso

Para configurar NetScaler Gateway para la suplencia de casos de acceso, debe crear directivas y grupos de las siguientes maneras:

  • Cree un grupo de cuarentena en el que se coloquen los usuarios si se produce un error en la exploración de análisis de dispositivos de punto final.
  • Cree una configuración global de Interfaz Web o StoreFront que se utilice si se produce un error en la exploración de análisis de dispositivos de punto final.
  • Cree una directiva de sesión que anule la configuración global y, a continuación, vincule la directiva de sesión a un grupo.
  • Cree una directiva de seguridad global del cliente que se aplique si se produce un error en el análisis de dispositivos de punto final.

Al configurar el respaldo del caso de acceso, siga las siguientes pautas:

  • El uso de opciones de cliente o de respaldo de casos de acceso requiere el complemento Endpoint Analysis para todos los usuarios. Si el análisis de endpoint no se puede ejecutar o si los usuarios seleccionan Omitir exploración durante el análisis, se deniega el acceso a los usuarios. Nota: La opción de omitir el análisis se elimina en NetScaler Gateway 10.1, compilación 120.1316.e
  • Al habilitar las opciones del cliente, si el dispositivo del usuario no supera el análisis de endpoint, los usuarios se colocan en el grupo de cuarentena. Los usuarios pueden seguir iniciando sesión con el cliente Citrix Secure Access o la aplicación Citrix Workspace en la Interfaz Web o StoreFront. Nota: Citrix recomienda no crear un grupo de cuarentena si habilita las opciones del cliente. Los dispositivos de usuario que no superan el análisis de dispositivos de punto final se ponen en cuarentena se tratan del mismo modo que los dispositivos de usuario que superan el análisis de dispositivos de punto final.
  • Si se produce un error en el análisis de endpoint y el usuario se coloca en el grupo de cuarentena, las directivas enlazadas al grupo de cuarentena solo serán efectivas si no hay directivas vinculadas directamente al usuario que tengan un número de prioridad igual o inferior que las directivas vinculadas al grupo de cuarentena.
  • Puede utilizar distintas direcciones web para la interfaz de acceso y la Interfaz Web o StoreFront. Al configurar las páginas principales, la página principal de la interfaz de acceso tiene prioridad para el cliente Citrix Secure Access y la página principal de la interfaz web tiene prioridad para los usuarios de la interfaz web. La página principal de la aplicación Citrix Workspace tiene prioridad para StoreFront.

Crear un grupo de cuarentena

  1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda NetScaler Gateway > Administración de usuariosy, a continuación, haga clic en Grupos AAA.
  2. En el panel de detalles, haga clic en Agregar.
  3. En Nombre del grupo, escriba un nombre para el grupo, haga clic en Crear y, a continuación, en Cerrar. Importante: El nombre del grupo de cuarentena no debe coincidir con el nombre de ningún grupo de dominio al que puedan pertenecer los usuarios. Si el grupo de cuarentena coincide con un nombre de grupo de Active Directory, los usuarios se ponen en cuarentena aunque el dispositivo del usuario supere el análisis de seguridad del análisis de endpoint.

Después de crear el grupo, configure NetScaler Gateway para que vuelva a la Interfaz Web si el dispositivo de usuario no supera la exploración de análisis de endpoint.

Configurar los ajustes para poner en cuarentena las conexiones

  1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda NetScaler Gateway y, a continuación, haga clic en Configuración global.
  2. En el panel de detalles, en Configuración, haga clic en Cambiar la configuración global.
  3. En el cuadro de diálogo Configuración global de NetScaler Gateway, en la ficha Aplicaciones publicadas, junto a Proxy ICA, seleccione DESACTIVADO.
  4. Junto a Dirección de la interfaz web, escriba la dirección web de StoreFront o de la interfaz web.
  5. Junto a Dominio de inicio de sesión único, escriba el nombre de su dominiode Active Directory y, a continuación, haga clic en Aceptar.

Después de configurar la configuración global, cree una directiva de sesión que sustituya la configuración global del proxy ICA y, a continuación, vincule la directiva de sesión al grupo de cuarentena.

Crear una directiva de sesión para la suplencia de casos de acceso

  1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expandaNetScaler Gateway > Directivasy, a continuación, haga clic en Sesión.
  2. En el panel de detalles, haga clic en Agregar.
  3. En Nombre, escriba un nombre para la directiva.
  4. Junto a Solicitar perfil, haga clic en Nuevo.
  5. En la ficha Aplicaciones publicadas, junto a Proxy ICA, haga clic en Sobrescribir global, seleccione Activado y, a continuación, haga clic en Crear.
  6. En el cuadro de diálogo Crear directiva de sesión, junto a Expresiones con nombre, seleccione General, seleccione Valor verdadero, haga clic en Agregar expresión, en Crear y, a continuación, en Cerrar.

Después de crear la directiva de sesión, enlaza la directiva a un grupo de cuarentena.

Enlazar la directiva de sesión al grupo de cuarentena

  1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda NetScaler Gateway > Administración de usuariosy, a continuación, haga clic en Grupos AAA.
  2. En el panel de detalles, seleccione un grupo y, a continuación, haga clic en Abrir.
  3. Haga clic en Sesión.
  4. En la ficha Directivas, seleccione Sesióny, a continuación, haga clic en Insertar directiva.
  5. En Nombre de directiva, seleccione la directiva y, a continuación, haga clic en Aceptar.

Después de crear la directiva de sesión y el perfil que habilita la Interfaz Web o StoreFront en NetScaler Gateway, cree una directiva de seguridad global del cliente.

Crear una directiva de seguridad global para clientes

  1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda NetScaler Gateway y, a continuación, haga clic en Configuración global.
  2. En el panel de detalles, en Configuración, haga clic en Cambiar la configuración global.
  3. En la pestaña Seguridad , haz clic en Configuración avanzada .
  4. En Seguridad del cliente, introduzca la expresión. Para obtener más información sobre la configuración de expresiones del sistema, consulte Configuración de expresiones de sistema y Configuración de expresiones de seguridad de cliente compuestas
  5. En Grupo de cuarentena, seleccione el grupo que configuró en el procedimiento de grupo y, a continuación, haga clic en Aceptar.
Configurar reserva de caso de acceso