Certificado de dispositivo en nFactor como componente EPA
Importante:
El objetivo de Endpoint Analysis es analizar el dispositivo del usuario según criterios de cumplimiento predeterminados y no hace cumplir ni validar la seguridad de los dispositivos de los usuarios finales. Se recomienda utilizar sistemas de seguridad de dispositivos de punto final para proteger los dispositivos de los ataques de los administradores locales.
El certificado de dispositivo se puede configurar en nFactor como componente EPA. El certificado de dispositivo puede aparecer como cualquier factor como parte de la EPA.
A continuación se presentan las ventajas de configurar el certificado de dispositivo en nFactor como componente de la EPA.
-
El error en la validación del certificado de dispositivo no provoca un error de inicio de sesión. Según la configuración, el inicio de sesión puede continuar y el usuario se puede colocar en grupos con acceso limitado.
-
Dado que la comprobación del certificado de dispositivo se basa en directivas, puede permitir o bloquear de forma selectiva el acceso a los recursos de la intranet corporativa en función de la autenticación del certificado de dispositivo. Por ejemplo, la autenticación de certificado de dispositivo se puede utilizar para proporcionar acceso condicional a la aplicación de Office 365 solo en los portátiles administrados corporativos.
La validación de certificados de dispositivo no puede formar parte de un análisis periódico de la EPA.
Importante:
- De forma predeterminada, Windows exige privilegios de administrador para acceder a los certificados de dispositivo. Para agregar la comprobación del certificado del dispositivo para usuarios que no son administradores, debe instalar el plug-in VPN de la misma versión que el plug-in EPA en el dispositivo.
- Puede agregar varios certificados de CA a la puerta de enlace y validar el certificado de dispositivo.
- Si instala dos o más certificados de dispositivo en los equipos cliente, los usuarios deben seleccionar el certificado correcto al iniciar sesión en NetScaler Gateway o antes de que se ejecute el análisis de endpoint.
- Al crear el certificado de dispositivo, debe ser un certificado X.509.
- Si tiene un certificado de dispositivo emitido por una CA intermedia, los certificados de CA intermedia y raíz deben estar vinculados.
- También debe enlazar el certificado de CA al servidor virtual VPN.
Configurar el certificado de dispositivo en nFactor como componente EPA
Para configurar el certificado de dispositivo en nFactor como componente EPA mediante la CLI:
En la línea de comandos, escriba;
add authentication epaAction epa-act -csecexpr sys.client_expr("device-cert_0_0") -defaultgroup epa_pass -quarantine_group epa_fail
<!--NeedCopy-->
Para configurar el certificado de dispositivo en nFactor como componente EPA para el servidor virtual VPN mediante la GUI:
- En la GUI de NetScaler, vaya a Configuración > NetScaler Gateway > Servidores virtuales.
- En la página Servidores virtuales de NetScaler Gateway, seleccione el servidor virtual que desea modificar y haga clic en Modificar.
-
En la página Servidor virtual VPN, haga clic en el icono Modificar.
-
Haga clic en Más.
-
Haga clic en el signo + en la sección CA para certificado de dispositivo y, a continuación, haga clic en Aceptar.
Nota:
No active la casilla de verificación Habilitar certificado de dispositivo. Habilitarlo habilita la validación del certificado de dispositivo en la clásica EPA.
-
En la GUI de NetScaler, vaya a Configuración > Seguridad > AAA — Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Acciones > EPA.
-
En la página Acción de autenticación EPA, haga clic en Agregar. Puede hacer clic en Modificar para modificar una acción de la EPA existente.
-
En la página Crear acción de EPA de autenticación, proporcione los valores de los campos obligatorios para crear una acción de EPA de autenticación y haga clic en el enlace Editor de EPA.
-
Seleccione Común en el menú Editor de expresiones.
-
Seleccione Certificado de dispositivo en el menú siguiente que aparece y haga clic en Listo para completar la configuración.
Para configurar el certificado de dispositivo en nFactor como un componente de la EPA para el servidor virtual de autenticación mediante la GUI:
-
En la GUI de NetScaler, vaya a Seguridad > Tráfico de aplicaciones AAA > Servidores virtuales.
-
En la página Servidores virtuales de NetScaler Gateway , seleccione el servidor virtual que desea modificar y haga clic en Editar.
-
En la página Servidor virtual de autenticación, haga clic en el icono Modificar.
-
Haga clic en Más.
-
Haga clic en Agregar junto a la sección CA para certificado de dispositivo.
-
Seleccione el certificado que se va a agregar y haga clic en Aceptar para completar la configuración.
-
Repita los pasos 6-10 para completar la configuración.