Guía de PoC: Acceso seguro a aplicaciones SaaS administradas por Azure y Citrix Secure Private Access

Información general

A medida que los usuarios acceden al contenido confidencial dentro de las aplicaciones SaaS, las organizaciones deben poder simplificar las operaciones de inicio de sesión de los usuarios mientras siguen aplicando los estándares de autenticación. Las organizaciones deben poder proteger las aplicaciones SaaS aunque existan más allá de los límites del centro de datos. Citrix Workspace proporciona a las organizaciones controles de seguridad mejorados para aplicaciones SaaS.

En este caso, un usuario se autentica en Citrix Workspace mediante Active Directory como directorio de usuario principal e inicia una aplicación SaaS administrada por Azure.

Si Citrix Secure Private Access Service está asignado a la suscripción de Citrix, se aplican directivas de seguridad mejoradas, que van desde la aplicación de marcas de agua basadas en la pantalla, la restricción de las acciones de impresión y descarga, las restricciones de captura de pantalla, la ofuscación del teclado y la protección de los usuarios de los enlaces poco fiables, se aplican a parte superior de las aplicaciones SaaS.

La siguiente animación muestra a un usuario que accede a una aplicación SaaS con SSO proporcionado por Azure y protegido con Citrix Secure Private Access.

Esta demostración muestra un flujo de inicio de sesión inicio de sesión iniciado por el IDP en el que el usuario inicia la aplicación desde Citrix Workspace. Esta guía de PoC también admite un flujo de SSO iniciado por el SP en el que el usuario intenta acceder a la aplicación SaaS directamente desde su navegador preferido.

Supuestos:

• Azure ya está configurado para proporcionar el SSO a una aplicación SaaS
• Los usuarios pueden iniciar sesión correctamente en el portal de aplicaciones de Azure e iniciar la aplicación SaaS

Esta guía de prueba de concepto demuestra cómo:

1. Configuración de Citrix Workspace
2. Integrar联合国directorio de usuario本金
3. Incorporar inicio de sesión único para aplicaciones SaaS
4. Definir directivas de filtrado de sitios web
5. Validar la configuración

Configuración de Citrix Workspace

Los pasos iniciales para configurar el entorno son preparar Citrix Workspace para la organización, que incluye

1. Configuración de la URL del espacio de trabajo
2. Habilitación de los servicios apropiados

Establecer dirección URL de espacio

1. Conéctese aCitrix Cloude inicie sesión como su cuenta de administrador
2. En Citrix Workspace, acceda aConfiguración de Workspacedesde el menú superior izquierdo
3. En la fichaAcceso, introduzca una URL única para la organización y seleccione Habilitado

Habilitar servicios

Desde la fichaIntegración de servicios, habilite los siguientes servicios para permitir el acceso seguro a las aplicaciones SaaS.

1. Secure Private Access
2. Secure Browser

Verificar

Citrix Workspace tarda unos minutos en actualizar los servicios y la configuración de URL. Desde un explorador web, compruebe que la URL personalizada del espacio de trabajo esté activa. Sin embargo, el inicio de sesión estará disponible una vez que se defina y configure un directorio de usuario principal.

Integración de un directorio de usuario principal

Para que los usuarios puedan autenticarse en Workspace, se debe configurar undirectorio de usuarios principal。El directorio de usuarios principal es la única identidad que necesita el usuario, ya que todas las solicitudes de aplicaciones dentro de Workspace utilizan el inicio de sesión único para identidades secundarias.

Una organización puede usar cualquiera de los siguientes directorios de usuarios principales:

• Active Directory: para habilitar la autenticación de Active Directory, se debe implementar un conector de nube en el mismo centro de datos que un controlador de dominio de Active Directory siguiendo la guía deinstalación de Cloud Connector。
• Active Directory con contraseña de un solo uso basada en tiempo: la autenticación basada en Active Directory también puede incluir autenticación multifactor con una contraseña de un solo uso basada en tiempo (TOTP). Estaguíadetalla los pasos necesarios para habilitar esta opción de autenticación.
• Azure Active Directory: los usuarios pueden autenticarse en Citrix Workspace con una identidad de Azure Active Directory. Estaguíadetalla los pasos necesarios para habilitar esta opción de autenticación.

  Nota

  Si utiliza AAD como directorio de autenticación principal, no puede federar el dominio principal (dominio de inicio de sesión del usuario) porque esto crea un bucle. En esos casos,debe federar un dominio nuevo。

  Las cuentas de usuario de AAD deben tener el atributoimmutableIDestablecido; de lo contrario, la autenticación fallará y aparecerá el mensaje de error: las cuentas sincronizadas de Azure AD Connect deAADSTS51004
  obtienen este atributo establecido automáticamente.

• Citrix Gateway: las organizaciones pueden utilizar un Citrix Gateway local para que actúe como proveedor de identidad para Citrix Workspace. Estaguíaproporciona detalles sobre la integración.
• Okta: Las organizaciones pueden usar Okta como directorio de usuarios principal de Citrix Workspace. En estaguíase proporcionan instrucciones para configurar esta opción.

Crear aplicación SaaS

Para crear correctamente el SaaS con Citrix Workspace, el administrador debe hacer lo siguiente:

• Configurar la aplicación SaaS
• Autorizar la aplicación SaaS

Configurar la aplicación SaaS

Con la aplicación SaaS configurada en Azure, la aplicación SaaS se puede configurar en Citrix Workspace.

• En Azure, seleccioneAzure Active Directory
• Seleccionaraplicaciones empresariales

• Dentro de la lista, seleccione la aplicación SaaS, que muestra la descripción general de la aplicación
• Seleccionarpropiedades

• Copie laURL de acceso de usuarioy recuerde para su uso posterior
• En Citrix Cloud, seleccioneAdministraren el mosaico de Secure Private Access.

• En el menú de Secure Private Access, seleccioneAplicaciones
• En la sección Aplicación, seleccioneAgregar una aplicación

Aplicaciones: Plantilla

• En el asistente Elegir una plantilla, busque la plantilla correcta. En este ejemplo, seleccioneHumanity

• SeleccionarSiguiente

Aplicaciones: Detalles de la aplicación

• En la pantallaDetalles de la aplicación, reemplace ladirección URLpor laURL de acceso de usuariocopiada de Azure.
• Al final de ladirección URL, agregue lo siguiente:&whr=federated_domainreemplazandofederated_domainpor el dominio asociado con la identidad del usuario (información después del inicio de sesión @ en el correo electrónico del usuario). La entrada de dominio federado informa a Azure para redirigir a la configuración correcta del dominio federado. La información del dominio federado se configura en Azure en una próxima sección.

*Nota: También puede redirigir el tráfico a través del Connector Appliance implementado en su centro de datos. Por lo tanto, debe cambiar de “Fuera de mi red corporativa” a “Dentro de mi red corporativa”.*

• SeleccionarSiguiente

Aplicaciones: Single Sign-On

• En la ventanade inicio de sesión único, definala URL de afirmacióncomohttps://login.microsoftonline.com/login.srf(1)
• Establecer laaudienciaque seva a urn:Federation: Microsoft Online(2)
• Compruebe elformato del identificador del nombre = persistente y el IDdel nombre = GUID de Active Directory(3)
• Seleccione la casilla denominadaIniciar la aplicacion con la URL especificada (iniciada por SP)。(4)
  Una vez autenticado, el usuario es redirigido automáticamente a la aplicación SaaS en lugar del portal de aplicaciones de Azure.
• En Atributos avanzados, compruebe elnombre del atributo = IDPEmail, elformato del atributo =罪especificary elvalor del atributo = correo electrónico(5)

Nota

La segunda opción de atributo avanzado se agrega automáticamente para suprimir la solicitud de autenticación de MFA cuando el usuario ya ha introducido la MFA durante la autenticación de usuario en Citrix Workspace.

Nombre de atributo:http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
Formato de atributo:Unspecified
Valor de atributo:Custom value
Valor personalizado:http://schemas.microsoft.com/claims/multipleauthn

Para que Azure AD acepte esta afirmación, debemos agregar un parámetro-SupportsMfa $trueal configurar la federación de dominios.

Nota:Los pasos (6), (7) y (8) solo son necesarios para la primera aplicación.

• SeleccioneDescargarpara capturar el certificadobasado en CRT。(6)
• Junto a laURL de iniciode sesión, seleccione el botónCopiarpara capturar la URL de inicio de sesión. Esta URL se utilizará más adelante. (7)
• Seleccione el enlace demetadatos SAML(8)

• En el archivo de metadatos SAML, busqueEntityID。Copia la URL completa y guárdala para usarla más adelante. Una vez capturado, el archivo de metadatos SAML se puede cerrar.

• SeleccionarSiguiente

Aplicaciones: Conectividad de aplicaciones

• En la ventanaConectividad de aplicaciones, verifique cómo debe redirigirse el tráfico (en este caso, directamente del cliente a la aplicación SaaS).

• SeleccionarSiguiente
• SeleccioneFinalizarpara completar la configuración de las aplicaciones SaaS de Humanity.

Autorizar la aplicación SaaS y configura una seguridad mejorada

• En el menú Secure Private Access, seleccioneDirectivas de acceso
• En la sección Directiva de acceso, seleccioneCrear directiva。

• En la lista desplegableAplicaciones, busca «Humanidad» y selecciónela.
• Agregue los usuarios/grupos apropiados que estén autorizados para iniciar la aplicación
• Especifique si se puede acceder a la aplicación con o sin seguridad mejorada.
  La captura de pantalla anterior no tiene configurada ninguna seguridad mejorada.
  Si se necesita una seguridad mejorada, cambie “Permitir acceso” por “Permitir con restricciones” y active todas las opciones que correspondan.

*Nota: Para las pruebas iniciales de SSO, siempre es una buena idea configurar la seguridad mejorada con la opción “Abrir en un explorador web remoto” configurada.*

Federar la autenticación de Azure en Citrix Workspace

Para federar correctamente la aplicación SaaS con Citrix Workspace, el administrador debe hacer lo siguiente:

• Verificar dominio de autenticación
• Configurar federación de dominios

Verificar dominio de autenticación

Azure debe verificar el nombre de dominio completo para federar la autenticación en Citrix Workspace. En Azure Portal, haga lo siguiente:

• Acceder a Azure Active Directory
• Seleccionarnombres de dominio personalizadosen la ventana de navegación
• SeleccioneAgregar dominio personalizado
• Introduzca el nombre de dominio completo

• SeleccioneAgregar dominio
• Azure proporciona registros para incorporarlos al registrador de nombres de dominio. Una vez hecho esto, seleccionaVerificar。

• Una vez completado, el dominio incluye una marca verificada

Configurar federación de dominios

La configuración final consiste en que Azure use Citrix Workspace como autoridad federada para el dominio verificado. La configuración de la federación debe realizarse con PowerShell.

• Iniciar PowerShell
• Agregue los módulos apropiados con los siguientes comandos

Install-ModuleAzureAD-ForceImport-ModuleAzureAD-ForceInstall-ModuleMSOnline-ForceImport-moduleMSOnline-Force<!--NeedCopy-->

• Conéctese a Microsoft Online a través de PowerShell y autéctese mediante una cuenta en la nube de Microsoft (p. ej.,admin.user@onmicrosoft.com)

Connect-MSOLService<!--NeedCopy-->

• Compruebe que el dominio está configurado actualmente enAdministradoen Azure ejecutando el siguiente comando de PowerShell

Get-MsolDomain<!--NeedCopy-->

• Utilice el siguiente código en un script de PowerShell para convertir este dominioFederadocambiando las variables para que se alineen con su entorno

$dom="workspaces.wwco.net"# The fully qualified domain name verified within Azure$fedBrandName="CitrixWorkspaceSAMLIdP"# A name to help remember the configuration purpose$uri="https://app.netscalergateway.net/ngs/[entityID]/saml/login?APPID=[APPID]"# The Login URL from the Humanity app configuration$logoffuri="https://app.netscalergateway.net/cgi/logout"# Standard entry for all. Do not change$cert=New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2("")# Path to the downloaded certificate file from Humanity app configuration (e.g., C:\temp\filename.crt)$certData=[system.convert]::tobase64string($cert。rawdata)$IssuerUri="//m.giftsix.com/[entityID]"# The entityID taken from the Office365 app configuration SAML Metadata fileSet-MsolDomainAuthentication`-DomainName$dom`–federationBrandName$fedBrandName`-AuthenticationFederated`-PassiveLogOnUri$uri`-LogOffUri$logoffuri`-SigningCertificate$certData`-IssuerUri$IssuerUri`-PreferredAuthenticationProtocolSAMLPTosuppressanMFAauthenticationrequestwhentheuserhasalreadyenteredtheMFA在userauthenticationtoCitrixWorkspace,usethefollowingcommand:Set-MsolDomainAuthentication`-DomainName$dom`–federationBrandName$fedBrandName`-AuthenticationFederated`-PassiveLogOnUri$uri`-LogOffUri$logoffuri`-SigningCertificate$certData`-IssuerUri$IssuerUri`-PreferredAuthenticationProtocolSAMLP`-SupportsMfa$true<!--NeedCopy-->

• Compruebe que el dominio está configurado actualmente enFederadoen Azure ejecutando el siguiente comando de PowerShell

Get-MsolDomain<!--NeedCopy-->

• Compruebe la configuración de federación en Azure ejecutando el siguiente comando de PowerShell

Get-MsolDomainFederationSettings-DomainName$dom<!--NeedCopy-->

Nota

Si es necesario eliminar la configuración de la federación, ejecute el siguiente comando de PowerShell:
Set-MsolDomainAuthentication -DomainName $dom -Authentication Managed

Validar

Validación iniciada por IDP

• Inicie sesión en Citrix Workspace como usuario
• Seleccione la aplicación SaaS
• Observe la URL para verla redirigirse brevemente a través de Azure
• El portal SaaS se lanza con éxito

Validación iniciada por SP

• Iniciar un explorador
• Vaya a la URL definida por la empresa para la aplicación SaaS
• El explorador web redirige a Azure Active Directory y, a continuación, a Citrix Workspace para la autenticación.
• Una vez que el usuario se autentica con el directorio de usuario principal, la aplicación SaaS se inicia con Citrix proporcionando inicio de sesión único

Definir directivas de filtrado de sitios web

Citrix Secure Private Access ofrece filtros de sitios web en aplicaciones web y SaaS para ayudar a proteger a los usuarios de los ataques de suplantación de identidad. A continuación se muestra cómo configurar directivas de filtrado de sitios web.

• Desde Citrix Cloud,administredentro del mosaico Secure Private Access

• Si se siguió esta guía, los pasosConfigurar la autenticación de usuario finalyConfigurar el acceso del usuario final a SaaS, aplicaciones web y virtualesestán completos. SeleccioneAjustes。
• Cambie a la fichaFiltrado web。
• SeleccioneModificar
• Habilitarla opciónFiltrar categorías de sitios web
• En el cuadroCategorías bloqueadas, seleccionaAgregar
• Seleccione las categorías para impedir que los usuarios accedan

• Cuando se seleccionan todas las categorías aplicables, seleccioneAgregar

• Haga lo mismo para las categorías permitidas
• Haga lo mismo para las categorías redirigidas. Estas categorías se redirigen a una instancia de Secure Browser
• Si es necesario, los administradores pueden filtrar las acciones denegadas, permitidas y redirigidas para URL específicas siguiendo el mismo proceso que se utiliza para definir las categorías. Las URL de sitios web tienen prioridad sobre las categorías.

Validar la configuración

Validación iniciada por IDP

• Inicie sesión en Citrix Workspace como usuario
• Selecciona la aplicación SaaS.
  Si la seguridad mejorada está inhabilitada, la aplicación se inicia en el explorador web local. De lo contrario, se utilizará el navegador empresarial.
• El usuario inicia sesión automáticamente en la aplicación
• Se aplican las directivas de seguridad mejoradas adecuadas
• Si está configurado, seleccione una URL dentro de la aplicación SaaS que se encuentre en las categorías bloqueadas, permitidas y redirigidas
• Si está configurado, seleccione una URL dentro de la aplicación SaaS que esté en las URL bloqueadas, permitidas y redirigidas
• La aplicación SaaS se inicia con éxito

Validación iniciada por SP

• Iniciar un explorador
• Vaya al sitio web de la aplicación SaaS einicie sesión。Si hay una opción para realizar el SSO, seleccione la opción.
• El explorador redirige el explorador a Citrix Workspace para la autenticación
• Introduzca el nombre de usuario.
• Una vez que el usuario se haya autenticado en el directorio de usuarios principal, Office365 se inicia en el explorador web local si la seguridad mejorada está inhabilitada.
  Si se habilita la seguridad mejorada, una instancia de Explorador seguro inicia la aplicación SaaS.

Manténgase conectado

En la configuración predeterminada, Azure Active Directory muestra un cuadro de diálogo durante el proceso de inicio de sesión que permite a los usuarios seguir iniciando sesión.

Esta es una configuración de Azure que se puede cambiar fácilmente haciendo lo siguiente:

• En Azure, seleccioneAzure Active Directory
• Seleccionarmarca de empresa
• Seleccione la configuración regional habilitada
• En el panel Modificar marca de empresa, seleccioneNoen laopción Mostrar para seguir iniciando sesión。

• SeleccioneGuardar

Solución de problemas

La cuenta de usuario no existe en el directorio

Al intentar iniciar Microsoft 365, es posible que el usuario reciba el siguiente error:
AADSTS51004: The user account "account name" does not exist in the "GUID" directory. To sign into this application, the account must be added to the directory.

Las siguientes son sugerencias sobre cómo resolver este problema:

• Compruebe que el usuario esté autorizado a usar la aplicación SaaS en Azure Active Directory
• Compruebe公式correo direccion electronico我dentificada en el error coincida con el directorio de usuarios principal, Azure Active Directory y la aplicación SaaS.

• Compruebe que el atributoimmutableIdesté establecido en el objeto de usuario.(Este no es el caso en entornos de AAD puros)
  immutableIdse puede calcular y configurar fácilmente mediante los siguientes comandos de PowerShell:

  $userUPN="john.doh@company.com" #change the userPricipalName before executing Install-Module AzureAD -Force Import-Module AzureAD -Force Install-Module MSOnline -Force Import-module MSOnline -Force Connect-MsolService $userObjectID=(Get-MsolUser -UserPrincipalName $userUPN).objectId $userImmutableId=[System.Convert]::ToBase64String([System.Guid]::New($userObjectID).ToByteArray()) Set-MsolUser -UserPrincipalName $userUPN -ImmutableId $userImmutableId 

Objeto Dominio de Federación

Durante la validación, un usuario puede recibir el siguiente error:
AADSTS50107: The requested federation realm object 'https:///adfs/services/trust' does not exist.

Esto suele deberse a que el dominio no se verifica o se ha federado correctamente. Revise las siguientes secciones de la guía de PoC:

• Verificar dominio de autenticación
• Configurar federación de dominios

Falla de directivas de seguridad mejoradas

Los usuarios pueden experimentar un error en la directiva de seguridad mejorada (marca de agua, impresión o acceso al portapapeles). Normalmente, esto sucede porque la aplicación SaaS utiliza varios nombres de dominio. Dentro de los ajustes de configuración de la aplicación SaaS, había una entrada paraDominios Relacionados。

Las directivas de seguridad mejoradas se aplican a los dominios relacionados. Para identificar nombres de dominio que faltan, un administrador puede acceder a la aplicación SaaS con un explorador local y hacer lo siguiente:

• Vaya a la sección de la aplicación en la que fallan las directivas
• En Google Chrome y Microsoft Edge (versión Chromium), selecciona los tres puntos en la parte superior derecha del explorador para mostrar una pantalla de menú.
• SeleccioneMás herramientas。
• Seleccionarherramientas de desarrollador
• Dentro de las herramientas de desarrollador, seleccioneFuentes。Proporciona una lista de数量de“dominio”德cceso para esa sección de la aplicación. Para habilitar las directivas de seguridad mejoradas para esta parte de la aplicación, esos nombres de dominio deben introducirse en el campo多米尼os relacionadosdentro de la configuración de la aplicación. Los dominios relacionados se agregan como los siguientes*.domain.com