Documentación de productos
Citrix Tech Zone
Ver PDF

Guía de implementación: Citrix Secure Private Access On-Premises

June 23, 2023
Author: Rainer Hasenzagl
Special thanks: Akshay Muralidharan, Praveen Kumar V, Santosh Sampath, Vijay Pulipaty, Praveen Raghuraman

Audiencia

Este documento está dirigido a arquitectos, diseñadores de redes, profesionales técnicos, socios y consultores interesados en implementar la solución Citrix Secure Private Access On-Premises. También está diseñado para administradores de redes, administradores de Citrix, proveedores de servicios gestionados o cualquier persona que desee implementar esta solución.

Resumen de la solución

CitrixSecure Private AccessOn-Premises es una solución de acceso a la red Zero Trust (ZTNA) administrada por el cliente que proporciona acceso sin VPN a aplicaciones web y SaaS internas con el principio de mínimos privilegios, inicio de sesión único (SSO), autenticación multifactorial y evaluación de la postura del dispositivo, controles de seguridad a nivel de aplicación y funciones de protección de aplicaciones, además de una experiencia perfecta para el usuario final. La solución aprovecha la aplicación local StoreFront y Citrix Workspace para permitir una experiencia de acceso segura y sin problemas para acceder a las aplicaciones web y de SaaS en Citrix Enterprise Browser. Esta solución también aprovecha NetScaler Gateway para aplicar los controles de autenticación y autorización.

La solución Citrix Secure Private Access On-Premises mejora la postura general de seguridad y cumplimiento de una organización al ofrecer fácilmente un acceso Zero Trust a los navegadores (aplicaciones web internas y aplicaciones SaaS) mediante el portal local StoreFront como portal de acceso unificado a aplicaciones web y SaaS, junto con aplicaciones virtuales y escritorios como parte integrada de Citrix Workspace.

Citrix Secure Private Access combina elementos de NetScaler Gateway y StoreFront para ofrecer una experiencia integrada a los usuarios finales y los administradores.

Funcionalidad Servicio/componente que proporciona la funcionalidad
IU coherente para acceder a las aplicaciones Aplicación StoreFront On-Premies/Citrix Workspace
SSO a aplicaciones SaaS y web NetScaler Gateway
Autenticación multifactorial (MFA) y postura del dispositivo (también conocido como análisis de punto final) NetScaler Gateway
Controles de seguridad y controles de protección de aplicaciones para aplicaciones web y SaaS Citrix Enterprise Browser
Directivas de autorización NetScaler Gateway
Configuración y administración Interfaz de usuario de Citrix Studio, interfaz de usuario de NetScaler, ADM
Visibilidad, supervisión y solución de problemas NetScaler Gateway, ADM y Citrix Director

Casos de uso

La solución Citrix Secure Private Access (SPA) On-Premises con Citrix Virtual Apps and Desktops (CVAD) On-Premises proporciona una experiencia de usuario final unificada y segura tanto a los recursos virtualizados como a las aplicaciones basadas en navegadores (aplicaciones web y aplicaciones SaaS) con una seguridad uniforme.

La solución SPA On-Premises está diseñada para abordar los siguientes casos de uso mediante una solución gestionada por el cliente.

Caso de uso #1:Acceso seguro para empleados y contratistas a aplicaciones web y SaaS internas desde dispositivos gestionados o no gestionados sin publicar un navegador ni utilizar una VPN.

Caso de uso #2:Ofrezca una aplicación integral de Zero Trust de última milla con controles de seguridad del navegador configurables por el administrador para aplicaciones web y SaaS internas desde dispositivos gestionados o no administrados sin publicar un navegador ni utilizar una VPN.

Caso de uso #3:Acelere el acceso de los usuarios de fusiones y adquisiciones (M&A) en varios proveedores de identidad, garantice una seguridad uniforme y proporcione un acceso fluido a los usuarios finales en varios grupos de usuarios.

Requisitos

Este artículo proporciona instrucciones paso a paso para implementar Secure Private Access con StoreFront y NetScaler Gateway. Citrix Enterprise Browser (incluido en la aplicación Citrix Workspace) es el software cliente que se utiliza para interactuar de forma segura con sus aplicaciones web internas o de SaaS.
Global App Configuration Service (GACS) es un requisito para la administración de navegadores de Citrix Enterprise Browser.
Esta guía asume que el lector tiene un conocimiento básico de las siguientes ofertas de Citrix y NetScaler y una experiencia administrativa general de Windows:

  • Citrix Virtual Apps and Desktops
  • StoreFront
  • NetScaler Gateway
  • Global App Configuration Service

Versiones:

  • Aplicación Citrix Workspace
    • Windows: 2303 y superior
    • macOS: 2304 y versiones posteriores
  • Citrix Virtual Apps and Desktops: versiones LTSR compatibles y actuales
  • StoreFront: LTSR 2203 o no LTSR 2212 y superior
  • NetScaler Gateway — 12.1 y versiones posteriores

Consulte la siguiente documentación para obtener más detalles, según sea necesario:

Información técnica general

Se puede acceder a las aplicaciones web internas desde cualquier ubicación con cualquier dispositivo y en cualquier momento a través de NetScaler Gateway con Citrix Enterprise Browser (incluida la aplicación Citrix Workspace) instalado. Lo mismo se aplica a las aplicaciones SaaS, con la diferencia de que el acceso puede ser directo o indirecto a través de NetScaler Gateway.

Arquitectura Conceptual

Citrix Enterprise Browser y la aplicación Citrix Workspace se comunican con NetScaler Gateway mediante una conexión cifrada con TLS. NetScaler Gateway proporciona un acceso sin confianza mediante la evaluación del dispositivo del usuario, la autenticación de usuario sólida de nFactor, la autorización de aplicaciones y el inicio de sesión único (SSO).
Citrix Enterprise Browser utiliza el protocolo Citrix Secure Browse para permitir el acceso a nombres de dominio internos(por ejemplohttps://website.company.local)sin necesidad de un nombre DNS público.
Citrix Secure Private Access con Citrix Enterprise Browser permite configurar controles de seguridad adicionales para las aplicaciones web, como las restricciones de creación de marcas de agua, copiar/pegar, subir/descargar e imprimir. Estas restricciones se configuran en un archivo denominado “policy.json”.

Proceso de configuración

IMPORTANTE

Hay disponible una herramienta de configuración para incorporar rápidamente aplicaciones y directivas para las aplicaciones y también configurar los ajustes de NetScaler Gateway y StoreFront.
罪禁运,一种东西瞧siguiente都utilizar la herramienta.

  • Lea las seccionesPublicar una aplicación webyCrear y publicar el archivo de directivaspara asegurarse de que comprende completamente los requisitos de configuración para la configuración de la solución local.
  • Esta herramienta solo se puede utilizar como complemento de los procedimientos existentes documentados en este tema y no reemplaza la configuración que debe realizarse manualmente.

Para obtener información completa sobre la herramienta, consulteConfigurar aplicaciones y directivas mediante la herramienta de configuración de Secure Private Access.

Paso 1: Publicar una aplicación web

作为初步治疗La publicacion una nueva aplicacion网络utiliza un cmdlet de Windows PowerShell instalado con Citrix Virtual Apps and Desktops. Tan pronto como se cree la aplicación web, la edición futura se puede realizar mediante la consola de Citrix Studio.

  • Abra un Windows PowerShell en un equipo con el SDK de PowerShell instalado.
  • Ejecute el siguiente comando para cargar los cmdlets de Citrix:
    Add-PSSnapIn citrix*
  • Defina las variables necesarias para la aplicación web:
    Antes de ejecutar los comandos, sustituya los marcadores marcados con corchetes angulares. (< >)
$deliveryGroupName = "" $appURL = "" $appName = "" $appIconFilePath = "" $appDescription = "KEYWORDS:SPAENABLED"

Ejemplo

$deliveryGroupName = "CVAD-On-Prem" $appURL = "https://finance.training.local" $appName = "Finance-Portal" $appIconFilePath = "C:\temp\Icon\finance.ico" $appDescription = "KEYWORDS:SPAENABLED"
  • Ejecute los siguientes comandos para publicar la nueva aplicación web:
$deliveryGroupUid = (Get-BrokerDesktopGroup -Name $deliveryGroupName).Uid New-BrokerApplication -ApplicationType PublishedContent -CommandLineExecutable $appURL -Name $appName -DesktopGroup $deliveryGroupUid -Description $appDescription
  • (Opcional)Ejecute los siguientes comandos para cambiar el icono de la aplicación web:
$encodedIconData = [convert]::ToBase64String((Get-Content $appIconFilePath -Encoding byte)) New-BrokerIcon -EncodedIconData $encodedIconData $UidEncode = Get-BrokerIcon | Select-Object Uid $testUid = $UidEncode[-1].Uid $IconUid = [int]$testUid Set-BrokerApplication -name $appName -IconUid $IconUid
  • Ejecute el siguiente comando para verificar la aplicación web:
Get-BrokerApplication -ApplicationType PublishedContent | Format-Table @{Label="Type"; Expression={$\_.ApplicationType}},Name,@{Label="URL"; Expression={$\_.CommandLineExecutable}},@{Label="Delivery group"; Expression={(Get-BrokerDesktopGroup -Uid $_.AssociatedDesktopGroupUids[0]).Name}},Description

Salida de ejemplo

| Tipo | Nombre | URL | Grupo de entrega | Descripción | | —- | —- | — | ————– | ———– | | PublishedContent | Finance-Portal|https://finance.training.local| CVAD-On-Prem | KEYWORDS:SPAENABLED | | PublishedContent | Doctor |https://doctor.training.local| CVAD-On-Prem | KEYWORDS:SPAENABLED |

  • EnCitrix Studio, en la secciónAplicaciones, verá la nueva aplicación web.
    Todos los cambios futuros se realizan en la consola de Citrix Studio.

Nota

Para obtener más información sobre cómo publicar contenido, haga clicaquí.
Para obtener más información sobre cómo cambiar el icono predeterminado, haga clicaquí.

Paso 2: Crear y publicar el archivo de directivas

El archivo de directivas denominadopolicy.jsondefine los controles de redirección y seguridad de cada aplicación web publicada.
Por ejemplo, ¿una aplicación SaaS de Office 365 debe tener los controles de seguridad habilitados y redirigidos a través del centro de datos o el tráfico debe ser directo?

Nota: Si conoce la estructura y los valores del archivo de directivas, continúe con elejemplo del archivo Complete policy.json.

Estructura de archivos de directivas

El archivo de directivas está en formato JSON y contiene las siguientes secciones:

  • directivas
    La sección de directivas define los controles de seguridad y la redirección del tráfico para todas las aplicaciones SaaS/web publicadas. Para los sitios web no publicados, se define una directiva general.
    Nota: Si la aplicación web consta de diferentes nombres de dominio, debe especificarlos todos para aplicar los controles de seguridad correctamente.

La siguiente tabla muestra las opciones de directiva de acceso disponibles y sus valores:

Nombre de la clave Descripción de la directiva Valor
name Nombre de la aplicación SaaS/web publicada Se recomienda utilizar el mismo nombre introducido al publicar la aplicación.
patterns Lista de nombres de dominio relacionados con esta aplicación separados por comas. También puede utilizar caracteres comodín. Citrix Enterprise Browser utiliza estos nombres de dominio para aplicar directivas a las aplicaciones. Ejemplos: “.office.com/”,”.office.net/”,”.microsoft.com/”,”.sharepoint.com/
watermark_v1 Mostrar la marca de agua en la página web enabled o disabled
clipboard_v1 Restringir el portapapeles en la página web enabled o disabled
printing_v1 Restringir la impresión desde la página web enabled o disabled
download_v1 Restrinja las descargas desde la página web enabled o disabled
upload_v1 Restringir las subidas a la página web enabled o disabled
keylogging_v1 Habilitar o inhabilitar la protección contra el registro de tecleo en la página web enabled o disabled
screencapture_v1 Habilitar o inhabilitar la función de protección contra capturas de pantalla de la página web enabled o disabled
proxytraffic_v1 Determina si Citrix Enterprise Browser canaliza el tráfico a la página web a través de NetScaler Gateway mediante el protocolo de navegación segura o permite el acceso directo. secureBrowse o direct

Nota

El valorenabledrepresentaALLOWydisabledrepresentaBLOCK.

La protección contra el registro de tecleoy lascapturas de pantallarequieren la instalación de la función de protección de aplicaciones que viene con la aplicación Citrix Workspace.

Plantilla

"policies": [{ "name": "", "patterns": ["/\*", "/\*"], "policy": { "watermark_v1": "disabled", "clipboard_v1": "disabled", "printing_v1": "disabled", "download_v1": "disabled", "upload_v1": "disabled", "keylogging_v1": "disabled", "screencapture_v1": "disabled", "proxytraffic_v1": "secureBrowse" } }, { "patterns": ["\*/\*"], "policy": { "proxytraffic_v1": "direct", } } ]
  • sistema
    La sección del sistema define la dirección de NetScaler Gateway a la que se dirige el tráfico.

Plantilla

"system": { "secureBrowseAddress": "https://" }

Ejemplo completo de archivo policy.json

{ "policies": [{ "name": "Finance-Portal", "patterns": ["\*.finance.training.local/\*"], "policy": { "watermark_v1": "enabled", "clipboard_v1": "enabled", "printing_v1": "disabled", "download_v1": "disabled", "upload_v1": "disabled", "keylogging_v1": "disabled", "screencapture_v1": "disabled", "proxytraffic_v1": "secureBrowse" } }, { "name": "Doctor", "patterns": ["\*.doctor.training.local/\*"], "policy": { "watermark_v1": "disabled", "clipboard_v1": "disabled", "printing_v1": "enabled", "download_v1": "enabled", "upload_v1": "enabled", "keylogging_v1": "disabled", "screencapture_v1": "disabled", "proxytraffic_v1": "secureBrowse" } }, { "patterns": ["\*/\*"], "policy": { "proxytraffic_v1": "direct" } } ], "system": { "secureBrowseAddress": "https://citrix.training.com" } }

Ubicación del archivo de directivas

El archivopolicy.jsondebe colocarse en cada servidor de StoreFront en
C:\inetpub\wwwroot\Citrix\\Resources\SecureBrowser.

Nota: Primero se deben crear las estructuras de carpetas “Resources” y “SecureBrowser”.

Ejemplo

En este ejemplo, utilizamos el almacén predeterminado de StoreFront llamado “Store”.

mkdir C:\inetpub\wwwroot\Citrix\Store\Resources mkdir C:\inetpub\wwwroot\Citrix\Store\Resources\SecureBrowser

Coloque el archivopolicy.jsonen el directorio “SecureBrowser”.

Verificar la descarga del archivo de directivas

  • Abra un explorador web instalado en el servidor de StoreFront.
  • Navegue hasta la siguiente direcciónhttps:///Citrix//Resources/SecureBrowser/policy.jsony descargue el archivo de directivas.
    Antes de ejecutar la descarga, sustituya los marcadores marcados con corchetes angulares. (< >)
    Ejemplo:https://xa02.training.local/Citrix/Store/Resources/SecureBrowser/policy.json
  • El archivo debería descargarse correctamente.

Nota

Siga洛杉矶出来,se糖苷continuacion si美联社arece una página de error de IIS 404.7 que indique que elfiltrado de solicitudesbloquea la descarga.

  • Abra elAdministrador de servicios de información de Internet (IIS).
  • Navegue hasta la carpetaSecureBrowsercreada anteriormente.
  • En la secciónVista de funciones, haga doble clic enFiltrado de solicitudes.
  • En el panelAcciones, haga clic enPermitir extensión de nombre de archivo.
  • Introduzca “.json” y haga clic enAceptar.
  • Vuelva a probar la descarga.

Para obtener más información sobre cómo configurar el filtrado de solicitudes, haga clicaquí.

web.config del almacén de StoreFront

Para que los detalles de la nueva directiva estén disponibles para la aplicación Citrix Workspace y Citrix Enterprise Browser, debemos modificar el archivoweb.configen el directorio de almacenes de StoreFront.
(Por ejemplo, C:\inetpub\wwwroot\Citrix\Store\web.config)

  • Cree una copia de reserva del archivoweb.configactual en elC:\inetpub\wwwroot\Citrix\\
    ejemplo:copy C:\inetpub\wwwroot\Citrix\Store\web.config C:\inetpub\wwwroot\Citrix\Store\web.config.orig
  • Abra el bloc de notas, inserte este código y guarde el archivo comoModifyWebConf.ps1para modificar correctamente el archivoweb.config.
function Editwebconf { param ( [parameter(Mandatory = $true)][String]$Global:webconfigfile ) # Read in the contents of the file $content = Get-Content $Global:webconfigfile # Define the multi-line string you want to replace $oldText = '' # Define the new string you want to replace it with $newText = '           ' # Iterate through each line in the content and replace the old text with the new text for ($i = 0; $i -lt $content.Count; $i++) { if ($content[$i] -match '') { Write-Host "web.config has already been modified" exit } if ($content[$i] -match $oldText) { $content[$i] = $content[$i] -replace $oldText, $newText } } # Write the modified content back to the file Set-Content $Global:webconfigfile $content Write-Host "$newText" } Editwebconf
  • Abra un Windows PowerShell.
  • Cambie al directorio deModifyWebConf.ps1.
  • Ejecute el comando.\ModifyWebConf.ps1.
  • Cuando se le soliciteGlobal:webconfigfile:, inserte la ruta completa, incluido el nombre del archivo web.conf.
    Ejemplo:C:\inetpub\wwwroot\Citrix\Store\web.config

Resultado

PS C:\temp> .\ModifyWebConf.ps1 cmdlet Editwebconf en la posición 1 del proceso de comandos Indique valores para estos parámetros: Global:webconfigfile: C:\inetpub\wwwroot\Citrix\Store\web.config

Paso 3: Configuración local de NetScaler Gateway

La configuración de NetScaler Gateway incluye cuatro pasos esenciales:

Nota

El acceso sin cliente solo funciona cuandoICA Onlyestá configurado enfalseen el servidor virtual NetScaler Gateway.(Configuración predeterminada en las nuevas implementaciones)

Para acceder sin cliente al trabajo con StoreFront, especifique una URL de devolución de llamada en la configuración de StoreFront.

El acceso a las aplicaciones web publicadas solo es posible mediante la aplicación Citrix Workspace y Citrix Enterprise Browser.

Habilitar el acceso sin cliente

Se requiere acceso sin cliente para que Citrix Enterprise Browser se conecte a las aplicaciones web.

Hay dos opciones para habilitar el acceso sin cliente:

Citrix recomienda habilitar la directiva de TI por sesión para permitir un mejor control del acceso sin cliente.

Acceso sin cliente a nivel mundial

El acceso sin cliente habilitado a nivel mundial se aplica a todos los servidores virtuales NetScaler Gateway configurados.

Puede habilitarlo mediante la GUI o la CLI de NetScaler.

  • GUI de NetScaler

    1. En la ficha Configuración, expandaCitrix Gatewayy, a continuación, haga clic enConfiguración global.
    2. En la página Configuración global, haga clic enCambiar la configuración global.
    3. En la fichaExperiencia del cliente, seleccioneActivadoparaacceso sin cliente.
    4. En la fichaAplicaciones publicadas, seleccioneDESACTIVADOparaICA Proxyy haga clic enAceptar.

  • CLI de NetScaler

    1. Ejecute el siguiente comando:
      set vpn parameter -clientlessVpnMode On -icaProxy OFF
Acceso sin cliente Directiva de sesión

La configuración de la directiva de acceso sin cliente por sesión permite reducir la configuración para usuarios, grupos o servidores virtuales de Gateway. Crear una directiva o una acción de sesión con los mismos parámetros es útil para cambiar fácilmente entre una configuración deicaProxyy una declientless access.

Puede habilitarlo mediante la GUI o la CLI de NetScaler.

  • GUI de NetScaler

    1. En la ficha Configuración, expanda Citrix Gateway, expandaDirectivasy, a continuación, haga clic enSesión.
    2. En la página Sesión, vaya a la fichaPerfiles de sesióny abra el perfil de sesión de la aplicación Citrix Workspace.(por ejemplo, AC_OS_192.168.0.100)
    3. En la fichaExperiencia del cliente, junto aAcceso sin cliente, haga clic enAnular globaly seleccioneActivado.
    4. En la fichaAplicaciones publicadas, junto aICA Proxy, haga clic enAnular global, seleccioneDESACTIVADOy, a continuación, haga clic enAceptar.
  • CLI de NetScaler
    1. Ejecute este comando:Antes de ejecutar el comando, sustituya los marcadores marcados por corchetes angulares (< >).
      set vpn sessionAction -clientlessVpnMode On -icaProxy OFF

Configurar la codificación de direcciones web

Al habilitar el acceso sin cliente, puede codificar las direcciones de las aplicaciones web internas o dejar la dirección como texto sin cifrar.Se recomienda configurar la codificación URL de acceso sin cliente como borrada.

Hay dos opciones para configurar la codificación de URL de acceso sin cliente:

Codificación URL a nivel mundial

El acceso sin cliente habilitado a nivel mundial se aplica a todos los servidores virtuales NetScaler Gateway configurados.

Puede habilitarlo mediante la GUI o la CLI de NetScaler.

  • GUI de NetScaler
    1. En la ficha Configuración, expandaCitrix Gatewayy, a continuación, haga clic enConfiguración global.
    2. En la página Configuración global, haga clic enCambiar la configuración global.
    3. En la fichaExperiencia del cliente, seleccioneBorrarpara lacodificación URL de acceso sin clientey haga clic enAceptar.
  • CLI de NetScaler
    1. Ejecute el siguiente comando:
      set vpn parameter -clientlessModeUrlEncoding TRANSPARENT
Codificación de URL Directiva de sesión

La configuración de la directiva de codificación URL de acceso sin cliente por sesión permite reducir la configuración para usuarios, grupos o servidores virtuales de Gateway.

Puede habilitarlo mediante la GUI o la CLI de NetScaler.

  • GUI de NetScaler
    1. En la ficha Configuración, expanda Citrix Gateway, expandaDirectivasy, a continuación, haga clic enSesión.
    2. En la página Sesión, vaya a la fichaPerfiles de sesióny abra el perfil de sesión de la aplicación Citrix Workspace.(por ejemplo, AC_OS_192.168.0.100)
    3. En la fichaExperiencia del cliente, junto aCodificación URL de acceso sin cliente, haga clic enAnular global, seleccioneBorrary, a continuación, enAceptar.
  • CLI de NetScaler
    1. Ejecute este comando:Antes de ejecutar el comando, sustituya los marcadores marcados por corchetes angulares (< >).
      set vpn sessionAction -clientlessModeUrlEncoding TRANSPARENT

Habilitar Secure Browse

Citrix Enterprise Browser utiliza el modo de navegación segura para acceder a las aplicaciones sin necesidad de una VPN antigua.

Hay dos opciones para configurar el modo de navegación segura:

Secure Browse a nivel mundial

Secure Browse, habilitado a nivel mundial, se aplica a todos los servidores virtuales NetScaler Gateway configurados.

Puede habilitarlo mediante la GUI o la CLI de NetScaler.

  • GUI de NetScaler
    1. En la ficha Configuración, expandaCitrix Gatewayy, a continuación, haga clic enConfiguración global.
    2. En la página Configuración global, haga clic enCambiar la configuración global.
    3. En la fichaSeguridad, seleccioneACTIVADOpara laSecure Browsey haga clic enAceptar.
  • CLI de NetScaler
    1. Ejecute el siguiente comando:
      set vpn parameter -secureBrowse ENABLED
Directiva de sesión de Secure Browse

La configuracion de La directiva安全浏览几率sesión permite reducir la configuración para usuarios, grupos o servidores virtuales de Gateway.

Puede habilitarlo mediante la GUI o la CLI de NetScaler.

  • GUI de NetScaler
    1. En la ficha Configuración, expanda Citrix Gateway, expandaDirectivasy, a continuación, haga clic enSesión.
    2. En la página Sesión, vaya a la fichaPerfiles de sesióny abra el perfil de sesión de la aplicación Citrix Workspace.(por ejemplo, AC_OS_192.168.0.100)
    3. En la fichaSeguridad, junto aSecure Browse, haga clic enAnular global, seleccioneHABILITADOy, a continuación, haga clic enAceptar.
  • CLI de NetScaler
    1. Ejecute este comando:Antes de ejecutar el comando, sustituya los marcadores marcados por corchetes angulares (< >).
      set vpn sessionAction -secureBrowse ENABLED

Excluir dominios para que no se reescriban en modo de acceso sin cliente

Tras habilitar el modo de acceso sin cliente, NetScaler realizará reescrituras del lado del servidor para las solicitudes “/cvpn”. ExcluyaStoreFront server FQDN(s)oStoreFront Load Balancer FQDNycitrix.com.

Esta configuración solo está disponible en la configuración global de NetScaler Gateway.

Puede configurar la exclusión mediante la GUI o la CLI de NetScaler.

  • GUI de NetScaler
    1. En la ficha Configuración, expandaCitrix Gatewayy, a continuación, haga clic enConfiguración global.
    2. En la página de configuración global, haga clic enConfigurar dominios para acceso sin cliente.
    3. SeleccioneExcluir dominios, inserteStoreFront server FQDN(s)oStoreFront Load Balancer FQDNy haga clic en el signomás.
    4. Repita el paso 3 paracitrix.com.
    5. Haga clic enAceptar.
  • CLI de NetScaler

    1. Ejecute este comando:Antes de ejecutar el comando, sustituya los marcadores marcados por corchetes angulares (< >).

      bind policy patset ns_cvpn_default_bypass_domains  bind policy patset ns_cvpn_default_bypass_domains citrix.com

Paso 4: Autorizar a los usuarios a acceder a las aplicaciones web publicadas

La publicacion de aplicaciones web en CVAD没有烫发ite controlar el acceso de los usuarios. Esto debe hacerse en NetScaler Gateway mediante directivas de autorización. Las directivas de autorización están vinculadas a un usuario o grupo.

Es fundamental saber cómo se aplican las directivas:

  • Usuario
  • Grupo

Las directivas de usuario siempre tienen una prioridad más alta que las directivas vinculadas a grupos. Permitir un sitio web a nivel de usuario y denegar este sitio a nivel de grupo permitirá el acceso, independientemente de si la prioridad de la directiva a nivel de grupo es mayor.

Las directivas múltiples vinculadas al mismo usuario o grupo se diferencian por prioridad. Es esencial saber que la prioridad más alta (número bajo) coincide antes que la prioridad más baja (número alto). Asegúrese de que las directivas permitidas tengan mayor prioridad que las directivas denegadas.

Se recomienda crear un grupo por aplicación web publicada para controlar los permisos de acceso.(enfoque de confianza cero)

Directivas de autorización predeterminadas

Se deben crear dos directivas de autorización de forma predeterminada para permitir el acceso al servidor StoreFront y denegar el acceso a todas las aplicaciones web publicadas:

  • Allow_StoreFront
  • Deny_ALL

Directivas de autorización de aplicaciones web

Ahora que tenemos las directivas de autorización predeterminadas, el siguiente paso es crear directivas de autorización para cada aplicación web publicada.

  • Allow_
  • Allow_

Creación de directivas de autorización

喝水可以configurar拉斯维加斯directivas de autorización mediante la GUI o la CLI de NetScaler.

  • GUI de NetScaler
    1. En la ficha Configuración, expandaCitrix Gateway, expandaDirectivasy haga clic enAutorización.
    2. En la página de autorización, haga clic enAgregar.
    3. Introduzca unnombrede directiva de autorización, seleccione laAcción, seleccioneDirectiva avanzaday cree suexpresión.
    4. Haga clic enCreate.
  • CLI de NetScaler
    1. Ejecute este comando:Antes de ejecutar el comando, sustituya los marcadores marcados por corchetes angulares (< >).
      add authorization policy "HTTP.REQ.HOSTNAME.CONTAINS(\"\")" ALLOW

Ejemplo

Directivas de autorización predeterminadas:

add authorization policy Allow_StoreFront "HTTP.REQ.HOSTNAME.CONTAINS("")" ALLOW add authorization policy Deny_ALL true DENY

Directivas de autorización de aplicaciones web:

add authorization policy Allow_Finance "HTTP.REQ.HOSTNAME.CONTAINS("finance.training.local")" ALLOW add authorization policy Allow_Doctor "HTTP.REQ.HOSTNAME.CONTAINS("doctor.training.local")" ALLOW

Directivas de autorización vinculantes

Puede vincular las directivas de autorización mediante la GUI o la CLI de NetScaler.

  • GUI de NetScaler
    1. En la ficha Configuración, expandaCitrix Gateway, expandaAdministración de usuariosy haga clic enGrupos AAAo Grupos AAA.
    2. En la página Grupos AAA o Usuarios AAA, haga clic enAgregar.
    3. Introduzca unnombrede usuario o grupo y pulseAceptar.
    4. EnConfiguración avanzada, haga clic enDirectivas de autorización.
    5. En la páginaVinculación de directivas、seleccione una directiva para vincular establezca laprioridad, como tipo, seleccioneSolicitudy haga clic enVincular.
    6. Repita el paso 5 para cada directiva que desee vincular.
    7. Haga clic enListo.
  • CLI de NetScaler

    1. Ejecute este comando:Antes de ejecutar el comando, sustituya los marcadores marcados por corchetes angulares (< >).

      add aaa group  bind aaa group  -policy  -priority  -gotoPriorityExpression END

Ejemplo

Usuario: permite el acceso a una aplicación web publicada específica:

add aaa user testuser01 bind aaa user testuser01 -policy Allow_Doctor -priority 63000 -gotoPriorityExpression END

Grupo: permite el acceso a la aplicación web publicada, StoreFront, y deniega todas las demás solicitudes:

add aaa group Doctor bind aaa group Doctor -policy Allow_Doctor -priority 10 -gotoPriorityExpression END bind aaa group Doctor -policy Allow_StoreFront -priority 999 -gotoPriorityExpression END bind aaa group Doctor -policy Deny_ALL -priority 1000 -gotoPriorityExpression END 
add aaa group Finance bind aaa group Finance -policy Allow_Finance -priority 10 -gotoPriorityExpression END bind aaa group Finance -policy Allow_StoreFront -priority 999 -gotoPriorityExpression END bind aaa group Finance -policy Deny_ALL -priority 1000 -gotoPriorityExpression END

Probando

  • Abra la aplicación Citrix Workspace e inicie sesión en un cliente interno o externo

Aplicación Workspace

Solución de problemas

Si ve un mensaje de error después de iniciar sesión correctamente, consulteNetScaler: No hay IP de intranet disponible.

  • Iniciar la aplicación web
    Nota: El usuario que haya iniciado sesión puede acceder a laDoctoraplicación, pero se le deniega el acceso a.Finance-Portal

DoctorDoctor

Portal de finanzas Portalde finanzas

Solución de problemas

Aparece un código de error en Citrix Enterprise Browser:

Visibilidad, supervisión y solución de problemas

ADM — Gateway Insight
Gateway Insight proporciona visibilidad de los errores que encuentran todos los usuarios, independientemente del modo de acceso, al iniciar sesión en NetScaler Gateway. Vea una lista de todos los usuarios disponibles, el número de usuarios activos, el número de sesiones activas y los bytes y las licencias utilizados por todos los usuarios en un momento dado. Vea los errores de análisis de punto final (EPA), autenticación, inicio de sesión único (SSO) y lanzamiento de aplicaciones de un usuario.

Para obtener más información, consulte ladocumentación de ADM — Gateway Insight.

El panel de solución de problemas deCitrix Director
proporciona una supervisión histórica y en tiempo real del estado del sitio de Citrix Virtual Apps or Desktops. Esto permite ver las fallas en tiempo real, lo que proporciona una mejor idea de lo que están experimentando los usuarios finales.

Para obtener más información, consulte ladocumentación de Citrix Virtual Apps and Desktops — Director.

Resumen

El Citrix Secure Private Access para aplicaciones locales no permite un acceso basado en la confianza a las aplicaciones web internas y de SaaS. Esta guía de implementación describe los pasos específicos necesarios para publicar aplicaciones web y establecer controles de seguridad. El resultado final es una solución integrada con un verdadero inicio de sesión único para que los usuarios accedan al SaaS y a las aplicaciones web internas de la misma manera que a las aplicaciones virtuales.

Solución de problemas de implementación

NetScaler: no hay ninguna IP de intranet disponible

Tras iniciar sesión correctamente en la aplicación Citrix Workspace, el usuario no ve las aplicaciones y se escribe el siguiente mensaje enns.log.
default SSLVPN Message 659106 0 : "Failed to process setclient for id , user due to "

Se trata de un problema conocido (CTX461242) y se puede solucionar al configurarUse Mapped IPenNSyUse Intranet IPenOFFen el perfil de sesión de la aplicación Citrix Workspace.

Interfaz gráfica de usuario de NetScaler:CTX461242

CLI de NetScaler:
set vpn sessionAction AC_OS_192.168.0.100 -useMIP NS -useIIP OFF

CEB — PS1001

Este código de error indica que la aplicación Citrix Workspace no puede obtener el archivo “policy.json” de StoreFront.
Revise las siguientes secciones:

CEB — PS1003

Este código de error indica que hay algún problema con el archivo “policy.json”.
Revise la secciónEjemplo completo de archivo policy.json.

Guía de implementación: Citrix Secure Private Access On-Premises
June 23, 2023
Author: Rainer Hasenzagl
Special thanks: Akshay Muralidharan, Praveen Kumar V, Santosh Sampath, Vijay Pulipaty, Praveen Raghuraman
June 23, 2023
Author: Rainer Hasenzagl
Special thanks: Akshay Muralidharan, Praveen Kumar V, Santosh Sampath, Vijay Pulipaty, Praveen Raghuraman

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999-Cloud Software Group, Inc. All rights reserved.