Citrix Endpoint Management

SmartAccess para aplicaciones HDX

Esta funcionalidad permite controlar el acceso a aplicaciones HDX en función de las propiedades del dispositivo, las propiedades de un usuario o las aplicaciones instaladas en un dispositivo. Puede usar esta función mediante acciones automatizadas que marcan el dispositivo como no conforme para denegarle el acceso a las aplicaciones. Las aplicaciones HDX utilizadas con esta función se configuran en Citrix Virtual Apps and Desktops mediante una directiva de SmartAccess que deniega el acceso a los dispositivos no conformes. Citrix Endpoint Management comunica el estado del dispositivo a StoreFront mediante una etiqueta firmada y cifrada. A continuación, StoreFront permite o deniega el acceso en función de la directiva del control de acceso de la aplicación.

Para usar esta función, su implementación requiere:

  • Citrix Virtual Apps and Desktops
  • Citrix Endpoint Management
  • Citrix Endpoint Management configurado con un certificado SAML que se utilizará para firmar y cifrar las etiquetas. El mismo certificado sin clave privada se carga en el servidor de StoreFront.

Para empezar a usar esta funcionalidad:

  • Configure el certificado del servidor Citrix Endpoint Management para el almacén de StoreFront
  • Configure al menos un grupo de entrega de Citrix Virtual Apps and Desktops con la directiva de SmartAccess requerida
  • Establezca la acción automatizada en Citrix Endpoint Management

SmartAccess en aplicaciones HDX para dispositivos de punto final

Con esta funcionalidad, puede aplicar un control de acceso basado en directivas para restringir el acceso del dispositivo a las aplicaciones HDX. Puede aplicar los siguientes niveles de acceso a las aplicaciones HDX:

  • Acceso completo. Un dispositivo puede acceder a todas las aplicaciones HDX que proporciona el almacén Citrix Secure Hub.
  • Acceso restringido. Un dispositivo puede acceder a una o varias aplicaciones HDX, pero no a todas.
  • Sin acceso. Un dispositivo no puede acceder a ninguna aplicación HDX.

El siguiente gráfico ilustra cómo funciona el control de acceso. Al intentar iniciar una aplicación HDX en Citrix Secure Hub, se desencadena una solicitud a un Delivery Controller. A continuación, el Delivery Controller reenvía la solicitud al servidor de Citrix Endpoint Management para su validación. El resultado de la validación determina el nivel de acceso que tiene el dispositivo. Por ejemplo, si el dispositivo está liberado por jailbreak, se deniega el acceso a una aplicación HDX.

Control de acceso SmartAccess

Exportar, configurar el certificado de Citrix Endpoint Management y cargarlo en el almacén de StoreFront

SmartAccess usa etiquetas cifradas y firmadas para la comunicación entre los servidores Citrix Endpoint Management y StoreFront. Para habilitar esta comunicación, agregue el certificado del servidor Citrix Endpoint Management al almacén de StoreFront.

Para obtener más información sobre la integración de StoreFront y Citrix Endpoint Management cuando Citrix Endpoint Management tiende habilitada la autenticación basada en certificados y dominios, consulte los artículos de Knowledge Center.

Exportar el certificado SAML desde Citrix Endpoint Management

  1. En la consola de Citrix Endpoint Management, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros. Haga clic en Certificados.

  2. Busque el certificado SAML para el servidor Citrix Endpoint Management.

    Configuración de SmartAccess

  3. Compruebe que Exportar clave privada está establecido en No. Haga clic en Exportar para exportar el certificado al directorio de descargas.

    Configuración de SmartAccess

  4. Busque el certificado en el directorio de descargas. El certificado raíz tiene el formato PEM.

    Configuración de SmartAccess

Convertir el certificado de PEM a CER

  1. Abra Microsoft Management Console (MMC) y haga clic con el botón secundario en Certificados > Todas las tareas > Importar.

    Configuración de SmartAccess

  2. Cuando aparezca el asistente para la importación de certificados, haga clic en Siguiente.

    Configuración de SmartAccess

  3. Vaya al certificado ubicado en el directorio de descargas.

    Configuración de SmartAccess

  4. Seleccione Colocar todos los certificados en el siguiente almacén y, a continuación, seleccione Personal como almacén de certificados. Haga clic en Siguiente.

    Configuración de SmartAccess

  5. Revise los cambios y haga clic en Finalizar. Haga clic en Aceptar en la ventana de confirmación.

  6. En la MMC, haga clic con el botón secundario en el certificado y seleccione Todas las tareas > Exportar.

    Configuración de SmartAccess

  7. Cuando aparezca el asistente para la exportación de certificados, haga clic en Siguiente.

    Configuración de SmartAccess

  8. Seleccione el formato DER binario codificado X.509 (.CER). Haga clic en Siguiente.

    Configuración de SmartAccess

  9. Vaya al certificado. Escriba un nombre para el certificado y haga clic en Siguiente.

    Configuración de SmartAccess

  10. Guarde el certificado.

    Configuración de SmartAccess

  11. Vaya al certificado y haga clic en Siguiente.

    Configuración de SmartAccess

  12. Revise los cambios y haga clic en Finalizar. Haga clic en Aceptar en la ventana de confirmación.

    Configuración de SmartAccess

  13. Busque el certificado en el directorio de descargas. El certificado está en formato CER.

    Configuración de SmartAccess

Copiar el certificado al servidor de StoreFront

  1. En el servidor de StoreFront, cree una carpeta llamada SmartCert.

  2. Copie el certificado a la carpeta SmartCert.

    Configuración de SmartAccess

Configurar el certificado en el almacén de StoreFront

En el servidor de StoreFront, ejecute el siguiente comando de PowerShell para configurar el certificado del servidor Citrix Endpoint Management convertido que se encuentra en el almacén:

    Grant-STFStorePnaSmartAccess –StoreService $store –CertificatePath  “C:\xms\xms.cer” –ServerName “XMS server”
<!--NeedCopy-->

Configuración de SmartAccess

Si ya hay certificados existentes en el almacén de StoreFront, ejecute este comando de PowerShell para revocarlos:

    Revoke-STFStorePnaSmartAccess –StoreService $store –All
<!--NeedCopy-->

Configuración de SmartAccess

También puede ejecutar cualquiera de estos comandos de PowerShell en el servidor de StoreFront para revocar los certificados existentes en el almacén de StoreFront:

  • Revocar por nombre:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –ServerName “My XM Server"
<!--NeedCopy-->
  • Revocar por huella digital:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –CertificateThumbprint "[Thumbprint]
<!--NeedCopy-->
  • Revocar por objeto de servidor:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    $access = Get-STFStorePnaSmartAccess –StoreService $store

    Revoke-STFStorePnaSmartAccess –StoreService $store –SmartAccess $access.AccessConditionsTrusts[0]
<!--NeedCopy-->

Configurar la directiva de SmartAccess para Citrix Virtual Apps and Desktops

Para agregar la directiva de SmartAccess requerida al grupo que entrega la aplicación HDX:

  1. Abra Citrix Studio desde la consola de Citrix Cloud.

  2. Seleccione Grupos de entrega en el panel de navegación de Studio.

  3. Seleccione el grupo que entrega las aplicaciones a las que quiere controlar el acceso. Seleccione Modificar grupo de entrega en el panel Acciones.

  4. En la página Directiva de acceso, seleccione Conexiones a través de NetScaler Gateway y Conexiones que cumplan cualquiera de estos filtros.

  5. Haga clic en Agregar.

  6. Agregue una directiva de acceso donde Comunidad es XM y Filtro es XMCompliantDevice.

    Configuración de SmartAccess

  7. Haga clic en Aplicar para aplicar los cambios que haya hecho y dejar la ventana abierta, o bien haga clic en Aceptar para aplicar los cambios y cerrar la ventana.

Establecer acciones automatizadas en Citrix Endpoint Management

La directiva de SmartAccess que se estableció en el grupo de entrega para una aplicación HDX deniega el acceso a un dispositivo cuando el dispositivo no es conforme. Puede utilizar acciones automatizadas para marcar el dispositivo como no conforme.

Configuración de SmartAccess

  1. En la consola de Citrix Endpoint Management, haga clic en Configurar > Acciones. Aparecerá la página Acciones.

  2. Haga clic en Agregar para agregar una acción. Aparecerá la página Información de la acción.

  3. En la página Información de la acción, escriba un nombre y una descripción para la acción.

  4. Haga clic en Siguiente. Aparecerá la página Detalles de la acción. En el siguiente ejemplo, se crea un desencadenador que marca inmediatamente los dispositivos como no conformes si tienen el nombre de la propiedad de usuario eng5 o eng6.

    Configuración de SmartAccess

  5. En la lista Desencadenador, elija Propiedad de dispositivo, Propiedad de usuario o Nombre de la aplicación instalada. SmartAccess no admite desencadenadores de eventos.

  6. En la lista Acción:

    • Elija Marcar dispositivo como No conforme.
    • Elija Es.
    • Elija Verdadero.
    • Para que el dispositivo se marque como no conforme en cuanto se cumpla la condición del desencadenador, establezca el marco de tiempo en 0.
  7. Elija el grupo o grupos de entrega de Citrix Endpoint Management a los que aplicar esta acción.

  8. Revise el resumen de la acción.

  9. Haga clic en Siguiente y, a continuación, seleccione Guardar.

Cuando el dispositivo se marca como no conforme, las aplicaciones HDX ya no aparecen en el almacén Citrix Secure Hub. El usuario ya no está suscrito a la aplicación. No se envía ninguna notificación al dispositivo y nada en el almacén Citrix Secure Hub indica que las aplicaciones HDX estaban disponibles anteriormente.

Si quiere que se notifique a los usuarios cuando un dispositivo se marque como no conforme, cree una notificación y luego cree una acción automatizada para enviar esa notificación.

En este ejemplo se crea y se envía esta notificación cuando un dispositivo se marca como no conforme: “El número de serie o el número de teléfono del dispositivo ya no sigue la directiva de dispositivo y las aplicaciones HDX se bloquearán”.

Configuración de SmartAccess

Crear la notificación que ven los usuarios cuando un dispositivo se marca como no conforme

  1. En la consola de Citrix Endpoint Management, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. Aparecerá la página Parámetros.

  2. Haga clic en Plantillas de notificaciones. Aparecerá la página Plantillas de notificaciones.

  3. Haga clic en Agregar para agregar una nueva plantilla de notificaciones en la página Plantillas de notificaciones.

  4. Configure estos parámetros:

    • Nombre: Bloqueo de aplicaciones HDX
    • Descripción: Notificación del agente cuando el dispositivo no es conforme
    • Tipo: Notificación ad hoc
    • Citrix Secure Hub: Activado
    • Mensaje: El dispositivo ${firstnotnull(device.TEL_NUMBER,device.serialNumber)} ya no sigue la directiva de dispositivo. Las aplicaciones HDX se bloquearán.

    Configuración de SmartAccess

  5. Haga clic en Guardar.

Crear la acción que envía la notificación cuando un dispositivo se marca como no conforme

  1. En la consola de Citrix Endpoint Management, haga clic en Configurar > Acciones. Aparecerá la página Acciones.

  2. Haga clic en Agregar para agregar una acción. Aparecerá la página Información de la acción.

  3. En la página Información de la acción, escriba un nombre y una descripción para la acción:

    • Nombre: Notificación de HDX bloqueado
    • Descripción: Notificación de HDX bloqueado porque el dispositivo no es conforme
  4. Haga clic en Siguiente. Aparecerá la página Detalles de la acción.

  5. En la lista Desencadenador:

    • Elija Propiedad de dispositivo.
    • Elija No conforme.
    • Elija Es.
    • Elija Verdadero.

    Configuración de SmartAccess

  6. En la lista Acción, especifique las acciones que se producen cuando se cumple el desencadenador:

    • Elija Enviar notificación.
    • Elija Bloqueo de aplicaciones HDX, la notificación que ha creado.
    • Elija 0. Si este valor es 0, la notificación se enviará cuando se cumpla la condición del desencadenador.
  7. Seleccione el grupo o grupos de entrega de Citrix Endpoint Management a los que aplicar esta acción. En este ejemplo, se ha elegido AllUsers.

  8. Revise el resumen de la acción.

  9. Haga clic en Siguiente y, a continuación, seleccione Guardar.

Para obtener información detallada acerca de la configuración de acciones automatizadas, consulte Acciones automatizadas.

Cómo los usuarios recuperan el acceso a las aplicaciones HDX

Los usuarios pueden volver a obtener el acceso a las aplicaciones HDX después de que el dispositivo vuelva a ser conforme:

  1. En el dispositivo, vaya al almacén Citrix Secure Hub para actualizar las aplicaciones en el almacén.

  2. Vaya a la aplicación y toque Agregar en la aplicación.

Una vez agregada la aplicación, aparece en “Mis aplicaciones” con un punto azul, porque es una aplicación recién instalada.

Configuración de SmartAccess