Servicio de autenticación adaptable de Citrix
La autenticación adaptable es un servicio de Citrix Cloud que permite la autenticación avanzada para clientes y usuarios que inician sesión en Citrix Workspace. El servicio de autenticación adaptable verifica la identidad del usuario y los niveles de autorización en función de factores como la ubicación, el estado del dispositivo y el contexto del usuario final. Al utilizar estos factores, el servicio de autenticación adaptativa elige de forma inteligente los métodos de autenticación adecuados y permite el acceso a los recursos autorizados.
Además, un administrador también puede habilitar el acceso contextual para que estos usuarios accedan a sus aplicaciones y escritorios. Los clientes de Citrix Secure Private Access y Citrix DaaS pueden utilizar el servicio de autenticación adaptativa.
Capacidades de autenticación avanzadas
El servicio de autenticación adaptativa es un ADC administrado por Citrix y hospedado en Citrix Cloud que proporciona todas las capacidades de autenticación avanzadas, como las siguientes:
Autenticación multifactor: la autenticación multifactor mejora la seguridad de una aplicación al exigir a los usuarios que proporcionen múltiples pruebas de identidad para obtener acceso. Los clientes pueden configurar varias combinaciones de factores en el mecanismo de autenticación multifactor en función de los requisitos empresariales. Para obtener más información, consulte Ejemplos de configuraciones de autenticación.
Análisis deDevice Posture: los usuarios pueden autenticarse en función de la Device Posture. El análisis de Device Posture, también conocido como análisis de punto final, compruebe si el dispositivo cumple con los requisitos. Por ejemplo, si el dispositivo ejecuta la última versión del sistema operativo, se configuran los service packs y las claves de registro. El cumplimiento de la seguridad implica escaneos para comprobar si hay un antivirus instalado o si el firewall está activado, etc. La Device Posture también puede comprobar si el dispositivo está administrado o no, si es propiedad de la empresa o si es BYOL.
Device Posture Service: Device Posture Service aplica los principios de confianza cero en su red al comprobar que los dispositivos finales cumplen con los requisitos antes de permitir que un usuario final inicie sesión. Para usar el servicio de autenticación adaptativa y Device Posture Service juntos, puede configurar Device Posture Service y seguir utilizando el método de autenticación como autenticación adaptativa (Citrix Cloud > Identity and Access Management). Para obtener más información sobre Device Posture Service, consulte Device Posture.
Nota:
Si está configurando la Device Posture con autenticación adaptativa, no configure las directivas de la EPA en las instancias de autenticación adaptativa.
Autenticación condicional: según los parámetros del usuario, como la ubicación de la red, la Device Posture, el grupo de usuarios, la hora del día, se puede habilitar la autenticación condicional. Puede usar uno de estos parámetros o una combinación de estos parámetros para realizar la autenticación condicional.
Ejemplo de autenticación basada en la posición de un dispositivo: puede realizar un análisis de Device Posture para comprobar si el dispositivo es administrado por la empresa o BYOD.
- Si el dispositivo es un dispositivo administrado por la empresa, puede desafiar al usuario con el AD simple (nombre de usuario y contraseña).
- Si el dispositivo es un dispositivo BYOD, puede desafiar al usuario con la autenticación de AD más RADIUS.
Si planea enumerar de forma selectiva aplicaciones y escritorios virtuales en función de la ubicación de la red, la administración de usuarios debe realizarse para esos grupos de entrega mediante directivas de Citrix Studio en lugar de Workspace. Al crear un grupo de entrega, en la configuración de usuarios, seleccione Restringir el uso de este grupo de entrega a los siguientes usuarios o Permitir que los usuarios autenticados usen este grupo de entrega. Así, se habilita la ficha Directiva de acceso en Grupo de entrega para configurar el acceso adaptable.
Acceso contextual a Citrix DaaS: la autenticación adaptable permite el acceso contextual a Citrix DaaS. Autenticación adaptable muestra toda la información de directiva sobre el usuario a Citrix DaaS. Los administradores pueden usar esta información en sus configuraciones de directivas para controlar las acciones de los usuarios que se pueden realizar en Citrix DaaS. La acción del usuario, por ejemplo, puede ser habilitar o inhabilitar el acceso al portapapeles y la redirección de la impresora de mapeo de unidades del cliente.
El acceso contextual a Secure Private Access y a otros servicios de Citrix Cloud mediante la autenticación adaptativa está previsto en las próximas versiones.
Personalización de la página de inicio de sesión: la autenticación adaptable ayuda al usuario a personalizar en gran medida la página de inicio de sesión de Citrix Cloud
Capacidades adicionales de autenticación adaptativa
Las siguientes son las funciones admitidas en Citrix Workspace con autenticación adaptable.
- Compatibilidad con LDAP (Active Directory)
- Compatibilidad con LDAPS (Active Directory)
- Soporte de directorios para AD, Azure AD, Okta
- Soporte de RADIUS (Duo, Symantec)
- MFA incorporado de token AD +
- SAML 2.0
- Soporte de OAuth, OIDC
- Autenticación de
- Evaluación de Device Posture (análisis de puntos finales)
- Device Posture Service
- Integración con proveedores de autenticación de terceros
- Notificación push a través de la aplicación
- Soporte de reCAPTCHA
- Autenticación condicional/basada
- Directivas de autenticación para el acceso inteligente (acceso contextual)
- Personalización de la página de inicio
- Autoservicio de restablecimiento de contraseñas
Actualización y mantenimiento de instancias de autenticación adaptable
El equipo de Citrix Cloud administra todas las actualizaciones y el mantenimiento de las instancias de autenticación adaptable. Se recomienda no actualizar ni degradar las instancias de Autenticación adaptable a compilaciones de RTM aleatorias. Puede programar las actualizaciones de acuerdo con el tráfico de sus clientes. Programe la actualización de sus instancias de autenticación adaptable. A continuación, el equipo de Citrix Cloud actualiza las instancias en consecuencia.
Importante:
- El equipo de Citrix Cloud comprueba periódicamente la comunicación con las instancias. Si se produce una desconexión, el equipo de soporte de autenticación adaptable podría ponerse en contacto contigo para recuperar la administración de las instancias. Si el problema de administración de instancias no se soluciona, el equipo de autenticación adaptable no podrá administrar las actualizaciones. Esto podría provocar que ejecute una versión vulnerable.
- Se recomienda habilitar las notificaciones por correo electrónico para recibir correos electrónicos sobre la caducidad de los derechos y los detalles sobre el uso del espacio en disco. Para obtener más información, consulte Notificaciones.
- Dado que Citrix administra las actualizaciones de las instancias de autenticación adaptativa, los clientes deben asegurarse de que haya suficiente espacio (un mínimo de 7 GB) en el directorio VAR para la actualización. Para obtener más información sobre cómo liberar espacio en el directorio VAR, consulte Cómo liberar espacio en el directorio VAR.
- No cambie el estado de alta disponibilidad de ENABLED a STAY PRIMARY o STAY SECONDARY. El estado de alta disponibilidad debe estar ACTIVADO para la autenticación adaptable.
- No cambies la contraseña del usuario (authadmin) en las instancias de autenticación adaptativa. El equipo de autenticación adaptable no puede administrar las actualizaciones si se cambia la contraseña.
Responsabilidad de seguridad compartida
Acciones necesarias de los clientes
Las siguientes son algunas de las acciones de los clientes como parte de las prácticas recomendadas de seguridad.
-
Credenciales para acceder a la interfaz de usuario de autenticación adaptativa: el cliente es responsable de crear y mantener las credenciales para acceder a la interfaz de usuario de autenticación adaptativa. Si el cliente está trabajando con Citrix Support para resolver un problema, es posible que tenga que compartir estas credenciales con el personal de soporte.
-
Autenticación multifactorial: como práctica recomendada, los clientes deben configurar directivas de autenticación multifactorial para evitar el acceso no autorizado a los recursos.
-
Credenciales de autenticación: los clientes deben configurar sus credenciales de autenticación según los estándares generales de seguridad y contraseñas.
-
Seguridad de acceso CLI remoto: Citrix proporciona acceso CLI remoto a los clientes. Sin embargo, los clientes son responsables de mantener la seguridad de la instancia durante el tiempo de ejecución.
-
Claves privadas SSL: dado que NetScaler está bajo el control del cliente, Citrix no tiene ningún acceso al sistema de archivos. Los clientes deben asegurarse de proteger los certificados y las claves que alojan en la instancia de NetScaler.
-
Respaldo de datos: realice una copia de seguridad de la configuración, los certificados, las claves, las personalizaciones del portal y cualquier otra modificación del sistema de archivos.
-
Imágenes de disco de las instancias de NetScaler: mantenga y administre el espacio en disco y la limpieza del disco de NetScaler. Para obtener más información, consulte Administración del espacio en disco para instancias.
-
Para ver un ejemplo de configuración de LDAPS con equilibrio de carga, consulte Ejemplo de configuración de LDAPS con equilibrio de carga.
Acciones necesarias tanto del cliente como de Citrix
-
Recuperación ante desastres: en las regiones de Azure compatibles, las instancias de alta disponibilidad de NetScaler se aprovisionan en zonas de disponibilidad separadas para evitar la pérdida de datos. En caso de pérdida de datos de Azure, Citrix recupera tantos recursos de la suscripción de Azure administrada por Citrix como sea posible.
En caso de pérdida de toda una región de Azure, el cliente es responsable de reconstruir su red virtual administrada por el cliente en una nueva región y de crear un nuevo emparejamiento de VNet.
-
Acceso seguro a través de la dirección IP de administración pública:
Proteja el acceso a las interfaces de administración mediante direcciones IP públicas asignadas y permita la conectividad saliente a Internet.
Limitaciones
- El paquete de certificados solo es compatible con los certificados de tipo PEM. Para otros tipos de paquetes, se recomienda instalar los certificados raíz e intermedio y vincularlos al certificado del servidor.
- No se admite el equilibrio de carga con un servidor RADIUS.
- La autenticación RADIUS se ve afectada durante unos minutos si el conector que atiende la solicitud RADIUS deja de funcionar. En este caso, el usuario debe volver a autenticarse.
-
No se admite la tunelización de DNS. Los registros estáticos se deben agregar a NetScaler para los FQDN utilizados en las directivas y perfiles de autenticación (LDAP/RADIUS) de los servidores de autenticación del centro de datos local del cliente.
Para obtener más información sobre cómo agregar registros estáticos de DNS, consulte Crear registros de direcciones para un nombre de dominio.
- La prueba de conectividad de red en el perfil LDAP puede mostrar un resultado incorrecto como “El servidor está accesible”, incluso si no se ha establecido la conectividad con el servidor LDAP. Es posible que se muestren mensajes de error como “el puerto no está abierto” o “el servidor no es LDAP” para indicar el error. En este escenario, se recomienda recopilar los rastros y seguir solucionando los problemas.
- Para que los escaneos de la EPA funcionen en macOS, debe vincular las curvas de ECC predeterminadas al servidor virtual de autenticación y autorización seleccionando la opción Curva de ECC como ALL.
Calidad de servicio
La autenticación adaptable es un servicio de alta disponibilidad (activo-en espera).