Acceso adaptable en función de la ubicación de red del usuario
La función de acceso adaptable de Citrix Workspace usa una infraestructura de directivas avanzada para habilitar el acceso a Citrix DaaS en función de la ubicación de red del usuario. La ubicación se define mediante el rango de direcciones IP o las direcciones de subred.
Los administradores pueden definir directivas para enumerar, o no, aplicaciones y escritorios virtuales en función de la ubicación de red del usuario. También pueden controlar las acciones de usuario al habilitar o inhabilitar el acceso al portapapeles, las impresoras, la asignación de unidades del cliente, etc., en función de la ubicación de red del usuario. Por ejemplo, los administradores pueden configurar directivas para que los usuarios que accedan a los recursos desde casa tengan acceso limitado a aplicaciones y los usuarios que accedan a los recursos desde las sucursales tengan acceso total.
Un administrador puede implementar estas directivas para acceder a las aplicaciones:
- Enumerar algunas aplicaciones de carácter confidencial solo desde la ubicación corporativa o desde sus sucursales.
- No enumerar las aplicaciones de carácter confidencial si los empleados acceden al espacio de trabajo desde una red externa.
- Inhabilitar el acceso a las impresoras desde las sucursales.
- Inhabilitar el acceso al portapapeles y a las impresoras cuando los usuarios están fuera de la red corporativa.
Derechos de uso
La función Acceso adaptable está disponible para los clientes con cualquiera de estas licencias.
- DaaS Premium / Premium Plus
- Secure Private Access Advanced
Requisitos previos
-
Asegúrese de que la función Acceso adaptable esté habilitada (Citrix Workspace > Acceso > Acceso adaptable). Para obtener detalles, consulte Habilitar la función Acceso adaptable.
Al habilitar el acceso adaptable, las directivas de acceso de DaaS se actualizan para utilizar la opción Conexiones a través de Citrix Gateway.
Nota:
NetScaler Gateway es necesario para agregar etiquetas de Smart Access en las directivas de acceso de DaaS. Sin embargo, dado que DaaS consume etiquetas de los servicios de Device Posture, Acceso adaptable y Autenticación adaptable, no es necesario tener un dispositivo NetScaler Gateway configurado en su entorno.
-
Comprensión de las etiquetas de ubicación. Para obtener más información, consulte Etiquetas de ubicación de red.
Puntos que tener en cuenta
Estos puntos solo son aplicables si quiere restringir la enumeración de aplicaciones en función de la ubicación. Si piensa utilizar el acceso adaptable para restringir controles de usuario, como inhabilitar el acceso al portapapeles, la redirección de impresoras o la asignación de unidades del cliente, en función de la ubicación de red, puede ignorar estas directrices.
- Si piensa enumerar de forma selectiva Citrix DaaS en función de la ubicación de la red, la administración de usuarios para esos grupos de entrega debe realizarse mediante directivas de Citrix Studio, en lugar de hacerlo con espacios de trabajo. Al crear un grupo de entrega, en Configuración de usuarios, elija Restringir el uso de este grupo de entrega a los usuarios siguientes o Permitir que cualquier usuario no autenticado use este grupo de entrega. Esto le permite configurar el acceso adaptable en la ficha Directiva de acceso de Grupo de entrega.
-
Cambia a la conexión directa de carga de trabajo cuando se habilita el acceso adaptable.
- El campo Etiquetas de ubicación se puede ver en Citrix Cloud > Ubicaciones de red > Agregar una ubicación de red > Etiquetas de ubicación.
- Las directivas de conexión directa de carga de trabajo existentes funcionan según lo previsto.
- Se deben crear otras directivas en el servicio de ubicaciones de red (sin definir etiquetas) y también en el grupo de entrega. Además, el tipo de conectividad de red debe ser interno.
- En el caso de nuevas directivas de conexión directa de carga de trabajo con etiquetas, las etiquetas deben definirse en el servicio de ubicaciones de red y, también, deben definirse las mismas etiquetas en el grupo de entrega o en la directiva de acceso de DaaS Studio. Además, el tipo de conectividad de red debe ser interno. Las etiquetas de ubicación no son relevantes para la conexión directa de carga de trabajo.
-
A continuación, se recomienda probar la implementación de Citrix DaaS.
- Identifique un grupo de entrega de prueba o cree un grupo de entrega para implementar esta funcionalidad.
- Cree o identifique una directiva que pueda utilizarse con un grupo de entrega de prueba.
Habilitar la función Acceso adaptable
- Inicie sesión en Citrix Cloud.
- Seleccione Configuración de Workspace en el menú desplegable.
- La opción Acceso adaptable está desactivada de forma predeterminada. Active el interruptor Acceso adaptable.
- Haga clic en Sí, habilitar el acceso adaptable en el mensaje de confirmación.
Cuando el acceso adaptable está habilitado, puede definir las etiquetas de ubicación para el acceso adaptable (Citrix Cloud > Ubicaciones de red > Agregar una ubicación de red > Etiquetas de ubicación).
Cuando el acceso adaptable está inhabilitado, no puede agregar una ubicación de red. Las etiquetas de ubicación no son aplicables en este caso.
Importante:
Cuando intenta inhabilitar la función Acceso adaptable, aparece este mensaje. Tenga en cuenta que Workspace no envía las etiquetas a DaaS para su acceso adaptable cuando la función está inhabilitada.
Configurar el acceso adaptable
La configuración del acceso adaptable en función de las ubicaciones de red implica estos pasos de alto nivel.
- Definir las directivas de ubicación de red
- Definir las etiquetas en DaaS Studio
Como ejemplos de configuración, se seleccionan dos tipos de usuarios (usuarios de BranchOffice y usuarios de WorkFromHome) para lograr el siguiente caso de uso.
- Los usuarios de BranchOffice deben poder acceder a las aplicaciones con todos los accesos.
- Los usuarios de WorkFromHome no deben tener acceso al portapapeles.
En este ejemplo de configuración, se utilizan Home y Office como etiquetas en los ejemplos.
Configurar directivas de ubicación de red
- Inicie sesión en Citrix Cloud.
- Seleccione Ubicaciones de red en el menú desplegable. Asegúrese de que la opción de acceso adaptable esté habilitada. De lo contrario, se mostrará la interfaz de usuario de la conexión directa de carga de trabajo.
-
Haga clic en Agregar ubicación de red.
-
Nombre de la ubicación: Introduzca un nombre apropiado para la directiva.
Ejemplo: BranchOffice o WorkFromHome
-
Intervalo de direcciones IP públicas: Defina el intervalo de direcciones IP públicas de la red.
Ejemplo: 172.9.2.1-172.9.2.30
-
Etiquetas de ubicación: Defina etiquetas para su ubicación. Puede ser un nombre que haga referencia a su ubicación. Estas etiquetas sirven para configurar las directivas de acceso adaptable en Citrix Studio. Para obtener detalles, consulte Definir etiquetas en Citrix Studio.
Ejemplo: BranchOffice o WorkFromHome
-
Tipo de conectividad: Defina el tipo de inicio de la aplicación.
Interno: Omite la puerta de enlace para iniciar la aplicación. Externo: Usa Citrix Gateway Service o la puerta de enlace tradicional para iniciar la aplicación.
-
- Haga clic en Guardar.
Ahora puede usar estas etiquetas en DaaS Studio para habilitar el acceso adaptable.
Nota:
Al definir las etiquetas de ubicación, asegúrese de introducir únicamente el nombre de etiqueta preferido sin el prefijo “LOCATION_TAG”, por ejemplo, “BranchOffice”. No obstante, al definir etiquetas en Citrix Studio, debe anteponer “LOCATION_TAG” al nombre de la etiqueta. Por ejemplo, “LOCATION_TAG_BRANCHOFFICE”.
Definir etiquetas en Citrix Studio mediante la GUI
En este ejemplo, las etiquetas se definen en los grupos de entrega para restringir la enumeración de aplicaciones para los usuarios. Se crean dos grupos de entrega.
- Grupo de entrega de acceso adaptable: Para los usuarios de la ubicación BranchOffice. Estos usuarios deben ver todas las aplicaciones de este grupo de entrega.
- Grupo de entrega en teletrabajo: Para los usuarios de la ubicación WorkFromHome. Estos usuarios deben ver las aplicaciones de este grupo de entrega.
- Inicie sesión en Citrix Cloud.
- En el mosaico de Citrix DaaS, haga clic en Administrar.
- Cree un grupo de entrega. Para obtener información detallada, consulte Crear grupos de entrega.
- Seleccione el grupo de entrega que ha creado y haga clic en Modificar grupo de entrega.
- Haga clic en Directiva de acceso.
-
Para los clientes que usan el acceso adaptable en la plataforma de Citrix Workspace, siga estos pasos para restringir el acceso de un grupo de entrega a las redes internas solamente:
- Haga clic con el botón derecho en el grupo de entrega y seleccione Modificar.
- Seleccione la directiva de acceso en el panel de la izquierda.
-
Haga clic en el icono de modificación para modificar la directiva de conexiones predeterminada de Citrix Gateway.
-
En la página Modificar directiva, seleccione Conexiones que cumplen estos criterios, seleccione Cotejar cualquiera y, a continuación, agregue los criterios.
Para los usuarios de WorkFromHome, introduzca los siguientes valores en el Delivery Controller correspondiente.
Comunidad: Workspace
Filtro: LOCATION_TAG_WORKFROMHOME
Para los usuarios de BranchOffice, introduzca los siguientes valores en el Delivery Controller correspondiente.
Filtro: Workspace
Valor: LOCATION_TAG_BRANCHOFFICE
Ahora puede usar estas etiquetas para restringir el acceso a las aplicaciones.
Nota:
Asegúrese de introducir en el campo Valor el nombre correcto de la etiqueta de ubicación tal como la definió al crear las directivas de ubicación de red con el prefijo “LOCATION_TAG”. Por ejemplo, si ha definido la etiqueta de ubicación como “BranchOffice”, debe introducir “LOCATION_TAG_BRANCHOFFICE” en el campo Valor. Para obtener más información sobre la configuración de las etiquetas de ubicación, consulte Configurar directivas de ubicación de red.
Restringir el acceso a las aplicaciones
En este ejemplo, la redirección del portapapeles del cliente está inhabilitada para usuarios de la ubicación WorkFromHome.
- Inicie sesión en Citrix DaaS.
- Vaya a Directivas y haga clic en Crear directiva.
- Seleccione Redirección del portapapeles del cliente y, a continuación, haga clic en Prohibir.
- Haga clic en Siguiente.
- En Asignar directiva a la página, seleccione Control de acceso.
-
Defina estos valores para la directiva:
- Modo: Permitir
- Tipo de conexión: Con Citrix Gateway
- Nombre de la comunidad de Gateway: Workspace
- Condición de acceso: LOCATION_TAG_WORKFROMHOME (todo en mayúsculas)
- Haga clic en Siguiente.
- Introduzca un nombre para la directiva y agregue una descripción de la directiva.
- Haga clic en Finalizar.
Los usuarios de la ubicación WorkFromHome no pueden acceder al portapapeles desde los recursos iniciados.
Configurar directivas de grabación de sesiones en función de las etiquetas
La grabación de sesiones permite a las organizaciones registrar la actividad de los usuarios en pantalla en las sesiones virtuales. Puede especificar etiquetas, incluidas las etiquetas de ubicación de red, cuando cree directivas personalizadas de grabación de sesiones, de detección de eventos o de respuesta a eventos. Para ver un ejemplo, consulte Crear una directiva de grabación personalizada.
Etiquetas de ubicación de red
El servicio de ubicaciones de red proporciona estas etiquetas.
-
Etiquetas predeterminadas: Estas etiquetas se definen en el servicio de ubicaciones de red. Hay disponibles estas etiquetas predeterminadas.
- Location_internal: Etiqueta que se envía de forma predeterminada cuando el tipo de conectividad de red se establece como INTERNAL.
- Location_external: Etiqueta que se envía de forma predeterminada cuando el tipo de conectividad de red se establece como EXTERNAL.
- Location_undefined: Etiqueta enviada para una dirección IP que no está definida en la directiva, pero que proviene del servicio de ubicaciones de red. Los inicios para estos usuarios son los mismos que los definidos en el grupo de recursos.
- Etiquetas personalizadas: Los administradores pueden definir nombres de etiquetas personalizadas en las directivas. Por ejemplo: office, home, branch
Ejemplos:
Etiquetas predeterminadas: LOCATION_INTERNAL, LOCATION_EXTERNAL, LOCATION_UNDEFINED
Etiquetas personalizadas: LOCATION_TAG_OFFICE, LOCATION_TAG_HOME
Nota:
Al definir etiquetas para el servicio de ubicación de red, asegúrese de lo siguiente:
- Las etiquetas predeterminadas siempre comienzan con el prefijo “LOCATION_
<tag name>
”. Por ejemplo, LOCATION_INTERNAL.- Las etiquetas personalizadas siempre comienzan con el prefijo “LOCATION_TAG
<tag name>
”. Por ejemplo, LOCATION_TAG_OFFICE.
Problemas conocidos
Si inhabilita la función de acceso adaptable después de habilitarla y de establecer las reglas (etiquetas y tipo de conectividad), no se quitarán las ubicaciones de la página Ubicaciones de red, aunque las columnas de etiquetas de ubicación y tipo de conectividad estén ocultas. Sin embargo, estas ubicaciones están inhabilitadas en el back-end. Se trata de una cuestión estética.