Autenticación
En una implementación de Citrix Endpoint Management, entran varias consideraciones en juego a la hora de decidir cómo configurar la autenticación. En esta sección se describen los diversos factores que afectan a la autenticación:
- Las principales directivas MDX, las propiedades del cliente de Citrix Endpoint Management y las configuraciones de NetScaler Gateway relacionadas con la autenticación.
- Las formas en que interactúan estas directivas, parámetros y propiedades de cliente.
- Los pros y contras de cada elección.
Este artículo también contiene tres ejemplos de configuraciones recomendadas para aumentar los grados de seguridad.
En términos generales, una seguridad más alta empobrece la experiencia del usuario, ya que los usuarios deben autenticarse más a menudo. La forma de equilibrar estos aspectos, la seguridad y la fluidez de la experiencia del usuario depende de las necesidades y las prioridades de su organización. Revise las tres configuraciones recomendadas para comprender la interacción de las distintas opciones de autenticación.
Modos de autenticación
Autenticación con conexión: Permite a los usuarios conectarse a la red de Citrix Endpoint Management. Requiere una conexión a Internet.
Autenticación sin conexión: Ocurre en el dispositivo. Los usuarios desbloquean la caja fuerte segura y tienen acceso sin conexión a elementos (como el correo descargado, los sitios web almacenados en caché y las notas).
Métodos de autenticación
Factor único
LDAP: En Citrix Endpoint Management, puede configurar una conexión a varios directorios compatibles con el protocolo ligero de acceso a directorios (LDAP). Este es un método frecuente para ofrecer el inicio Single Sign-On (SSO) en entornos de empresa. Puede optar por el PIN de Citrix con almacenamiento en caché de contraseñas de Active Directory para mejorar la experiencia del usuario con LDAP. Al mismo tiempo, puede proporcionar la seguridad de contraseñas complejas en la inscripción, la caducidad de contraseñas y el bloqueo de cuentas.
Para obtener más información detallada, consulte Autenticación con dominio o dominio y token de seguridad.
Certificado de cliente: Citrix Endpoint Management puede integrarse en entidades de certificación estándar del sector para usar certificados como método único de la autenticación en línea. Citrix Endpoint Management ofrece este certificado una vez los usuarios se han inscrito, lo que requiere una contraseña de un solo uso, una URL de invitación o credenciales LDAP. Cuando se usa un certificado de cliente como el método principal de autenticación, se necesita un PIN de Citrix en entornos de solo certificado de cliente para proteger el certificado en el dispositivo.
Citrix Endpoint Management solo admite la lista de revocación de certificados (CRL) cuando se trata de una entidad de certificación (CA) de terceros. Si dispone de una entidad de certificación de Microsoft configurada, Citrix Endpoint Management utiliza NetScaler Gateway para administrar la revocación. Al configurar la autenticación por certificados de cliente, plantéese si es necesario configurar el parámetro de lista de revocación de certificados (CRL) de NetScaler Gateway, Enable CRL Auto Refresh. Este paso garantiza que un dispositivo inscrito en MAM solo no pueda autenticarse mediante un certificado existente en el dispositivo. Citrix Endpoint Management vuelve a emitir un certificado nuevo, porque no impide que un usuario genere otro certificado de usuario si uno se revoca. Este parámetro aumenta la seguridad de las entidades PKI cuando la lista de revocación de certificados comprueba si hay entidades PKI caducadas.
Para obtener un diagrama que muestra la implementación necesaria para la autenticación basada en certificados o el uso de la entidad de certificación (CA) de empresa para emitir certificados de dispositivo, consulte Arquitectura.
Autenticación de dos factores
Certificado de cliente + LDAP: Esta configuración es la mejor combinación de seguridad y experiencia de usuario para Citrix Endpoint Management. Usar LDAP y la autenticación de certificados de cliente:
- Tiene las mejores posibilidades de SSO, junto con la seguridad que proporciona la autenticación de dos factores en NetScaler Gateway.
- Ofrece seguridad con algo que los usuarios conocen (sus contraseñas de Active Directory) y algo que poseen (certificados de cliente en sus dispositivos).
Citrix Secure Mail puede configurar automáticamente y ofrecer una primera experiencia de usuario fluida con la autenticación de certificados de cliente. Esta función requiere un entorno de servidor de acceso de cliente Exchange configurado correctamente.
Para una experiencia de uso óptima, puede combinar la autenticación por certificado y dominio, junto con el PIN de Citrix y el almacenamiento en caché de contraseñas de Active Directory.
LDAP + token: Esta configuración permite la configuración clásica de credenciales LDAP y una contraseña de un solo uso, mediante el protocolo RADIUS. Para una experiencia de uso óptima, puede combinar esta opción con el PIN de Citrix y el almacenamiento en caché de contraseñas de Active Directory.
Directivas, configuraciones y propiedades de cliente importantes para la autenticación
Las siguientes propiedades de cliente, configuraciones y directivas intervienen en las tres configuraciones recomendadas indicadas más adelante:
Directivas MDX
Código de acceso de aplicación: Cuando se establece en Sí, se requiere un PIN o un código de acceso de Citrix para desbloquear la aplicación cuando ésta se inicia o se reanuda después de un período de inactividad. De forma predeterminada, está activado.
Para configurar el temporizador de inactividad para todas las aplicaciones, establezca el valor de INACTIVITY_TIMER en minutos, en la consola de Citrix Endpoint Management, desde la ficha Parámetros, en Propiedades de cliente. El valor predeterminado es 15 minutos. Para inhabilitar el temporizador de inactividad, de modo que la petición de PIN o código de acceso aparezca solo cuando se inicie la aplicación, establezca un valor de cero.
Sesión Micro VPN requerida: Cuando se activa, el usuario debe contar con una sesión activa y una conexión a la red de la empresa para poder acceder a la aplicación presente en el dispositivo. Cuando se establece en No, no se requiere una sesión activa para poder acceder a la aplicación presente en el dispositivo. El valor predeterminado es Desactivado.
Período máximo sin conexión (horas): Define el período de tiempo máximo que una aplicación puede ejecutarse sin tener que volver a confirmar los derechos a utilizarla ni actualizar las directivas desde Citrix Endpoint Management. Una aplicación de iOS recupera nuevas directivas para aplicaciones MDX desde Citrix Endpoint Management sin interrupciones para los usuarios cuando se cumplen estas condiciones:
- Se establece el período máximo sin conexión y
- Citrix Secure Hub para iOS tiene un token de NetScaler Gateway válido.
En cambio, si Citrix Secure Hub no tiene un token válido de NetScaler Gateway, los usuarios deben autenticarse en Citrix Secure Hub para que se actualicen las directivas de las aplicaciones. El token de NetScaler Gateway puede dejar de ser válido debido a la inactividad en la sesión de NetScaler Gateway o a alguna directiva de tiempo de espera forzado para la sesión. Cuando los usuarios vuelvan a iniciar sesión en Citrix Secure Hub, podrán continuar ejecutando la aplicación.
Los usuarios reciben un recordatorio para que inicien sesión 30, 15 y 5 minutos antes de que acabe el período. Una vez se acabe el período, la aplicación se bloquea hasta que los usuarios inicien sesión. El valor predeterminado es 72 horas (3 días). El período mínimo de tiempo es 1 hora.
Nota:
Tenga en cuenta que, cuando los usuarios viajan con frecuencia y usan la itinerancia internacional, el valor predeterminado de 72 horas (3 días) puede ser demasiado corto.
Caducidad del tíquet de servicios en segundo plano: El período de validez que tiene un tíquet del servicio de red en segundo plano. Cuando Citrix Secure Mail se conecta a través de NetScaler Gateway a un Exchange Server que ejecuta ActiveSync, Citrix Endpoint Management emite un token. Citrix Secure Mail usa ese token para conectarse al servidor interno de Exchange. Esta propiedad determina cuánto tiempo Citrix Secure Mail puede usar el token sin necesidad de uno nuevo para la autenticación y la conexión con Exchange Server. Cuando se alcanza el límite de tiempo, los usuarios deben volver a iniciar sesión para generar un nuevo token. El valor predeterminado es 168 horas (7 días). Cuando se agota este tiempo de espera, se detienen las notificaciones por correo.
Período de gracia para requerir una sesión de micro VPN: Determina cuántos minutos puede un usuario utilizar una aplicación sin conexión hasta de que la sesión con conexión sea validada. El valor predeterminado es 0 (no hay período de gracia).
Para obtener información acerca de las directivas de autenticación, consulte:
- Si utiliza el SDK de MAM: Introducción al SDK de MAM
- Si utiliza MDX Toolkit: Directivas MDX de Citrix Endpoint Management para iOS y Directivas MDX de Citrix Endpoint Management para Android
Propiedades de cliente de Citrix Endpoint Management
Nota:
Las propiedades de cliente son configuraciones globales que se aplican a todos los dispositivos que se conectan a Citrix Endpoint Management.
PIN de Citrix: Para una experiencia sencilla de inicio de sesión, puede optar por habilitar el PIN de Citrix. Con el PIN, los usuarios no tienen que introducir repetidamente otras credenciales (como los nombres de usuario y las contraseñas de Active Directory). Puede configurar el PIN de Citrix como una autenticación independiente que solo funciona sin conexión. También puede combinar el PIN con el almacenamiento en caché de contraseñas de Active Directory para una usabilidad óptima y fluida. Configure el PIN de Citrix en Parámetros > Cliente > Propiedades de cliente en la consola de Citrix Endpoint Management.
A continuación dispone de un resumen con algunas propiedades importantes. Para obtener más información, consulte Propiedades de cliente.
ENABLE_PASSCODE_AUTH
Nombre simplificado: Enable Citrix PIN Authentication
Esta clave permite activar la función de PIN de Citrix. Si se activa la función de PIN o código de acceso de Citrix, se solicita a los usuarios que definan un número PIN que se usará en lugar de su contraseña de Active Directory. Habilite esta configuración si la propiedad ENABLE_PASSWORD_CACHING está habilitada o si Citrix Endpoint Management usa la autenticación por certificado.
Valores posibles: true o false
Valor predeterminado: false
ENABLE_PASSWORD_CACHING
Nombre simplificado: Enable User Password Caching
Esta clave permite que la contraseña de Active Directory de los usuarios se almacene en la memoria caché local del dispositivo móvil. Al establecer esta clave en true, se solicita a los usuarios que establezcan un PIN o un código de acceso de Citrix. El valor de la clave ENABLE_PASSCODE_AUTH debe establecerse en true cuando esta clave se establece en true.
Valores posibles: true o false
Valor predeterminado: false
PASSCODE_STRENGTH
Nombre simplificado: PIN Strength Requirement
Esta clave define la seguridad del PIN o código de acceso de Citrix. Si cambia este parámetro, se solicitará a los usuarios que establezcan un nuevo PIN o código de acceso de Citrix la próxima vez que deban autenticarse.
Valores posibles: Low, Medium o Strong
Valor predeterminado: Medium
INACTIVITY_TIMER
Nombre simplificado: Inactivity Timer
Esta clave define el tiempo en minutos que los usuarios pueden dejar su dispositivo inactivo y luego acceder a una aplicación sin que se solicite un PIN o un código de acceso de Citrix. Si quiere habilitar esta configuración para una aplicación MDX, debe activar la configuración Código de acceso de aplicación. Si el parámetro Código de acceso de aplicación está desactivado, se redirige a los usuarios a Citrix Secure Hub para realizar una autenticación completa. Al cambiar este parámetro, el valor se aplicará la próxima vez que los usuarios deban autenticarse. El valor predeterminado es 15 minutos.
ENABLE_TOUCH_ID_AUTH
Nombre simplificado: Enable Touch ID Authentication
Permite el uso del lector de huellas dactilares (solo en iOS) para la autenticación sin conexión. La autenticación en línea aún requerirá el método de autenticación principal.
ENCRYPT_SECRETS_USING_PASSCODE
Nombre simplificado: Encrypt secrets using Passcode
Esta clave permite que los datos confidenciales se almacenen en el dispositivo móvil, en un almacén secreto, en lugar de guardarse en un almacén nativo basado en la plataforma, como el llavero de iOS. Esta clave de configuración permite un cifrado seguro de los objetos clave, pero también agrega la entropía de usuario (un código PIN aleatorio generado por el usuario y que solo el usuario conoce).
Valores posibles: true o false
Valor predeterminado: false
Parámetros de NetScaler Gateway
Tiempo de desconexión de la sesión: Si se habilita esta configuración, NetScaler Gateway desconecta la sesión si no detecta ninguna actividad de red durante un intervalo especificado. Esta configuración se aplica a los usuarios que se conectan con NetScaler Gateway Plug-in, Citrix Secure Hub o mediante un explorador web. El valor predeterminado es 1440 minutos. Si se establece este valor en cero, el parámetro queda inhabilitado.
Tiempo de espera forzado: Si habilita esta configuración, NetScaler Gateway desconecta la sesión una vez transcurrido el intervalo del tiempo de espera, independientemente de la actividad del usuario. No existe ninguna acción que el usuario pueda realizar para evitar que se produzca la desconexión cuando se agota el tiempo de espera. Esta configuración se aplica a los usuarios que se conectan con NetScaler Gateway Plug-in, Citrix Secure Hub o mediante un explorador web. Si Citrix Secure Mail usa STA, un modo especial de NetScaler Gateway, este parámetro no se aplica a las sesiones de Citrix Secure Mail. El valor predeterminado no es ningún valor, lo que significa que las sesiones se extienden si hay alguna actividad.
Para obtener más información acerca de los tiempos de espera para NetScaler Gateway, consulte la documentación de NetScaler Gateway.
Para obtener más información acerca de los casos en que se solicita a los usuarios que se autentiquen en Citrix Endpoint Management con credenciales en sus dispositivos, consulte Situaciones de petición de credenciales.
Parámetros predeterminados de configuración
Estos parámetros son los valores predeterminados proporcionados por:
- Asistente de NetScaler para XenMobile
- SDK de MAM o MDX Toolkit
- Consola de Citrix Endpoint Management
Parámetro | Dónde encontrar el parámetro | Configuración predeterminada |
---|---|---|
Tiempo de desconexión de la sesión | NetScaler Gateway | 1440 minutos |
Tiempo de espera forzado | NetScaler Gateway | Sin valor (desactivado) |
Período máximo sin conexión | Directivas MDX | 72 horas |
Caducidad del tíquet de servicios en segundo plano | Directivas MDX | 168 horas (7 días) |
Sesión de micro VPN requerida | Directivas MDX | No |
Período de gracia de sesión de Micro VPN requerida | Directivas MDX | 0 |
Código de acceso de aplicación | Directivas MDX | Sí |
Cifrar secretos mediante un código de acceso | Propiedades de cliente de Citrix Endpoint Management | false |
Enable Citrix PIN Authentication | Propiedades de cliente de Citrix Endpoint Management | false |
Requisito de seguridad de código PIN | Propiedades de cliente de Citrix Endpoint Management | Medio |
Tipo de código PIN | Propiedades de cliente de Citrix Endpoint Management | Numérico |
Enable User Password Caching (Habilitar almacenamiento en caché de la contraseña del usuario) | Propiedades de cliente de Citrix Endpoint Management | false |
Inactivity Timer (Temporizador de inactividad) | Propiedades de cliente de Citrix Endpoint Management | 15 |
Enable Touch ID Authentication | Propiedades de cliente de Citrix Endpoint Management | false |
Configuraciones recomendadas
En esta sección, se ofrecen ejemplos de tres configuraciones de Citrix Endpoint Management: desde la configuración de seguridad más baja y la experiencia de usuario óptima, hasta la configuración de mayor seguridad y experiencia de usuario más intrusiva. El objetivo de estos ejemplos es proporcionarle puntos de referencia para decidir a qué altura de la escala quiere colocar su propia configuración. Tenga en cuenta que modificar estas configuraciones puede requerir que modifique otras configuraciones también. Por ejemplo, el período máximo sin conexión no debe exceder el tiempo de espera de la sesión.
Highest Security (El mayor nivel de seguridad)
Esta configuración ofrece el nivel más alto de seguridad, pero tiene inconvenientes significativos para la facilidad de uso.
Parámetro | Dónde encontrar el parámetro | Configuración recomendada | Impacto en el comportamiento |
Tiempo de desconexión de la sesión | NetScaler Gateway | 1440 | Los usuarios introducen sus credenciales de Citrix Secure Hub solo cuando se necesita la autenticación en línea (cada 24 horas) |
Tiempo de espera forzado | NetScaler Gateway | Ningún valor | Las sesiones se extienden si hay alguna actividad. |
Período máximo sin conexión | Directivas MDX | 23 | Requiere la actualización de la directiva cada día. |
Caducidad del tíquet de servicios en segundo plano | Directivas MDX | 72 horas | Tiempo de espera para STA, lo que permite sesiones duraderas sin token de sesión de NetScaler Gateway. Para Citrix Secure Mail, hacer que el tiempo de espera de STA sea más largo que el tiempo de espera de la sesión evita que se detengan las notificaciones de correo. En ese caso, Citrix Secure Mail no preguntará al usuario si este no abre la aplicación antes de que caduque la sesión. |
Sesión de micro VPN requerida | Directivas MDX | No | Ofrece una conexión de red válida y una sesión de NetScaler Gateway para usar aplicaciones. |
Período de gracia de sesión de Micro VPN requerida | Directivas MDX | 0 | Sin período de gracia (si habilitó “Sesión de Micro VPN requerida”). |
Código de acceso de aplicación | Directivas MDX | Sí | Requerir código de acceso para una aplicación. |
Cifrar secretos mediante un código de acceso | Propiedades de cliente de Citrix Endpoint Management | true | Una clave derivada de la entropía del usuario protege la caja fuerte. |
Enable Citrix PIN Authentication | Propiedades de cliente de Citrix Endpoint Management | true | El PIN de Citrix simplifica la experiencia de autenticación del usuario. |
Requisito de seguridad de código PIN | Propiedades de cliente de Citrix Endpoint Management | Fuerte | Altos requisitos de complejidad para la contraseña. |
Tipo de código PIN | Propiedades de cliente de Citrix Endpoint Management | Alfanumérico | El PIN es una secuencia alfanumérica. |
Habilitar | Propiedades de cliente de Citrix Endpoint Management | false | La contraseña de Active Directory no se almacena en caché y el PIN de Citrix se usará para las autenticaciones sin conexión. |
Inactivity Timer (Temporizador de inactividad) | Propiedades de cliente de Citrix Endpoint Management | 15 | Si el usuario no usa Citrix Secure Hub o las aplicaciones MDX durante este período de tiempo, se pide la autenticación sin conexión. |
Enable Touch ID Authentication | Propiedades de cliente de Citrix Endpoint Management | false | Inhabilita Touch ID para casos de autenticación sin conexión en iOS. |
Higher Security (Mayor nivel de seguridad)
Con un enfoque más intermedio, esta configuración requiere que los usuarios se autentiquen más a menudo, cada 3 días a lo sumo (en lugar de 7), y ofrece una mayor seguridad. Esta mayor cantidad de autenticaciones bloquea el contenedor de datos más a menudo, lo que ofrece la seguridad de los datos cuando los dispositivos no se están usando.
Parámetro | Dónde encontrar el parámetro | Configuración recomendada | Impacto en el comportamiento |
Tiempo de desconexión de la sesión | NetScaler Gateway | 4320 | Los usuarios introducen sus credenciales de Citrix Secure Hub solo cuando se necesita la autenticación en línea (cada 3 días) |
Tiempo de espera forzado | NetScaler Gateway | Ningún valor | Las sesiones se extienden si hay alguna actividad. |
Período máximo sin conexión | Directivas MDX | 71 | Requiere la actualización de la directiva cada 3 días. La diferencia de hora es para permitir la actualización antes de que se agote el Tiempo de desconexión de la sesión (Session time-out). |
Caducidad del tíquet de servicios en segundo plano | Directivas MDX | 168 horas | Tiempo de espera para STA, lo que permite sesiones duraderas sin token de sesión de NetScaler Gateway. Para Citrix Secure Mail, hacer que el tiempo de espera de STA sea más largo que el tiempo de espera de la sesión evita que se detengan las notificaciones de correo sin preguntar al usuario. |
Sesión de micro VPN requerida | Directivas MDX | No | Ofrece una conexión de red válida y una sesión de NetScaler Gateway para usar aplicaciones. |
Período de gracia de sesión de Micro VPN requerida | Directivas MDX | 0 | Sin período de gracia (si habilitó “Sesión de Micro VPN requerida”). |
Código de acceso de aplicación | Directivas MDX | Sí | Requerir código de acceso para una aplicación. |
Cifrar secretos mediante un código de acceso | Propiedades de cliente de Citrix Endpoint Management | false | No se requiere entropía de usuario para cifrar la caja fuerte. |
Enable Citrix PIN Authentication | Propiedades de cliente de Citrix Endpoint Management | true | El PIN de Citrix simplifica la experiencia de autenticación del usuario. |
Requisito de seguridad de código PIN | Propiedades de cliente de Citrix Endpoint Management | Medio | Aplica reglas de complejidad media a la contraseña. |
Tipo de código PIN | Propiedades de cliente de Citrix Endpoint Management | Numérico | Un PIN es una secuencia numérica. |
Habilitar | Propiedades de cliente de Citrix Endpoint Management | true | El PIN del usuario se almacena en caché y protege la contraseña de Active Directory. |
Inactivity Timer (Temporizador de inactividad) | Propiedades de cliente de Citrix Endpoint Management | 30 | Si el usuario no usa Citrix Secure Hub o las aplicaciones MDX durante este período de tiempo, se pide la autenticación sin conexión. |
Enable Touch ID Authentication | Propiedades de cliente de Citrix Endpoint Management | true | Permite Touch ID para casos de autenticación sin conexión en iOS. |
High Security (Nivel alto de seguridad)
Esta configuración, la más conveniente para los usuarios, proporciona una seguridad base.
Parámetro | Dónde encontrar el parámetro | Configuración recomendada | Impacto en el comportamiento |
Tiempo de desconexión de la sesión | NetScaler Gateway | 10080 | Los usuarios introducen sus credenciales de Citrix Secure Hub solo cuando se necesita la autenticación en línea (cada 7 días) |
Tiempo de espera forzado | NetScaler Gateway | Ningún valor | Las sesiones se extienden si hay alguna actividad. |
Período máximo sin conexión | Directivas MDX | 167 | Requiere una actualización de directivas por semana (cada 7 días). La diferencia de hora es para permitir la actualización antes de que se agote el Tiempo de desconexión de la sesión (Session time-out). |
Caducidad del tíquet de servicios en segundo plano | Directivas MDX | 240 | Tiempo de espera para STA, lo que permite sesiones duraderas sin token de sesión de NetScaler Gateway. Para Citrix Secure Mail, hacer que el tiempo de espera de STA sea más largo que el tiempo de espera de la sesión evita que se detengan las notificaciones de correo. En ese caso, Citrix Secure Mail no preguntará al usuario si este no abre la aplicación antes de que caduque la sesión. |
Sesión de micro VPN requerida | Directivas MDX | No | Ofrece una conexión de red válida y una sesión de NetScaler Gateway para usar aplicaciones. |
Período de gracia de sesión de Micro VPN requerida | Directivas MDX | 0 | Sin período de gracia (si habilitó “Sesión de Micro VPN requerida”). |
Código de acceso de aplicación | Directivas MDX | Sí | Requerir código de acceso para una aplicación. |
Cifrar secretos mediante un código de acceso | Propiedades de cliente de Citrix Endpoint Management | false | No se requiere entropía de usuario para cifrar la caja fuerte. |
Enable Citrix PIN Authentication | Propiedades de cliente de Citrix Endpoint Management | true | El PIN de Citrix simplifica la experiencia de autenticación del usuario. |
Requisito de seguridad de código PIN | Propiedades de cliente de Citrix Endpoint Management | Bajo | Sin requisitos de complejidad para la contraseña |
Tipo de código PIN | Propiedades de cliente de Citrix Endpoint Management | Numérico | Un PIN es una secuencia numérica. |
Habilitar | Propiedades de cliente de Citrix Endpoint Management | true | El PIN del usuario se almacena en caché y protege la contraseña de Active Directory. |
Inactivity Timer (Temporizador de inactividad) | Propiedades de cliente de Citrix Endpoint Management | 90 | Si el usuario no usa Citrix Secure Hub o las aplicaciones MDX durante este período de tiempo, se pide la autenticación sin conexión. |
Enable Touch ID Authentication | Propiedades de cliente de Citrix Endpoint Management | true | Permite Touch ID para casos de autenticación sin conexión en iOS. |
Usar una autenticación de nivel superior
Puede que algunas aplicaciones requieran una autenticación mejorada. Por ejemplo, un factor de autenticación secundario, como un token o tiempos de espera de sesión agresivos. Se puede controlar este método de autenticación a través de una directiva MDX. El método también requiere un servidor virtual independiente para controlar los métodos de autenticación (en el mismo dispositivo NetScaler Gateway o en varios).
Parámetro | Dónde encontrar el parámetro | Configuración recomendada | Impacto en el comportamiento |
---|---|---|---|
NetScaler Gateway alternativo | Directivas MDX | Requiere el FQDN y el puerto del dispositivo NetScaler Gateway secundario. | Permite la autenticación mejorada, controlada por las directivas de sesión y autenticación del dispositivo secundario de NetScaler Gateway. |
Si un usuario abre una aplicación que utiliza NetScaler Gateway alternativo, todas las demás aplicaciones utilizarán esa instancia de NetScaler Gateway para comunicarse con la red interna. La sesión solo vuelve a la instancia de menor seguridad de NetScaler Gateway cuando se agota su tiempo de espera en la instancia de NetScaler Gateway con seguridad mejorada.
Utilizar “sesión de Micro VPN requerida”
Para determinadas aplicaciones, como Citrix Secure Web, puede asegurarse de que los usuarios ejecuten una aplicación solo cuando tengan una sesión autenticada. Esta directiva aplica esa opción y permite un período de gracia para que los usuarios puedan finalizar su trabajo.
Parámetro | Dónde encontrar el parámetro | Configuración recomendada | Impacto en el comportamiento |
---|---|---|---|
Sesión de micro VPN requerida | Directivas MDX | Sí | Garantiza que el dispositivo está conectado y tiene un token de autenticación válido. |
Período de gracia de sesión de Micro VPN requerida | Directivas MDX | 15 | Permite un período de gracia de 15 minutos antes de que el usuario ya no pueda usar las aplicaciones |