Integrar e implementar Secure Web

Para integrar y entregar Secure Web, siga estos pasos generales:

  1. Para habilitar el inicio SSO en la red interna, configure Citrix Gateway.

    Para el tráfico HTTP, Citrix ADC puede proporcionar SSO para todos los tipos de autenticación de proxy admitidos en Citrix ADC. Para el tráfico HTTPS, la directiva de caché de contraseñas web permite a Secure Web autenticar y proporcionar SSO al servidor proxy a través de MDX. MDX solo admite autenticación de proxy básica, implícita y NTLM. La contraseña se almacena en caché mediante MDX y se guarda en la caja fuerte compartida de Endpoint Management, que es una zona de almacenamiento segura para datos confidenciales de aplicación. Para obtener más información acerca de la configuración de Citrix Gateway, consulte Citrix Gateway.

  2. Descargue Secure Web.
  3. Determine cómo desea configurar las conexiones de usuario a la red interna.
  4. Agregue Secure Web a Endpoint Management siguiendo los mismos pasos que se siguen para agregar otras aplicaciones MDX y después configure las directivas MDX. Para obtener más información acerca de las directivas específicas de Secure Web, consulte Acerca de las directivas de Secure Web.

Configurar conexiones de usuario

Secure Web admite las siguientes configuraciones para las conexiones de usuario:

  • Túnel - SSO web: Las conexiones por túnel con la red interna pueden utilizar una variante de VPN sin cliente, conocida como SSO web en túnel. Esta es la configuración predeterminada para la directiva Modo preferido de VPN. SSO web en túnel es la configuración recomendada para conexiones que requieren Single Sign-On (SSO).
  • Túnel VPN completo: Las conexiones por túnel a la red interna pueden usar un túnel VPN completo, configurado en la directiva Modo preferido de VPN. Se recomienda la opción “Túnel VPN completo” para conexiones que usan certificados de cliente o SSL de extremo a extremo con un recurso de la red interna. El túnel VPN completo gestiona cualquier protocolo por TCP y se puede usar con equipos con Windows y Mac, así como con dispositivos iOS y Android.

Nota:

La tecnología de empaquetado MDX está programada para alcanzar el final de su vida útil (EOL) en septiembre de 2021. Para seguir administrando sus aplicaciones empresariales, debe incorporar el SDK de MAM. En el modo MDX antiguo, no se admite el túnel VPN completo.

  • La directiva Permitir cambio de modo VPN permite cambiar automáticamente entre el modo “Túnel VPN completo” y el modo “SSO web en túnel”, según sea necesario. De manera predeterminada, esta directiva está desactivada. Si la directiva está activada, las solicitudes de red que no llegan a realizarse debido a una solicitud de autenticación que no se puede resolver en el modo preferido de VPN se vuelven a intentar en el modo alternativo. Por ejemplo, el modo “Túnel VPN completo”, pero no el modo “SSO web en túnel”, admite desafíos de servidor ante certificados de cliente. Del mismo modo, los desafíos de autenticación HTTP son más propensos a resolverse con SSO cuando se utiliza el modo SSO web en túnel.
  • Revertir túnel dividido: En el modo revertido, el tráfico de las aplicaciones de intranet pasa por alto el túnel VPN, mientras que el tráfico restante pasa por el túnel VPN. Esta directiva se puede usar para registrar todo el tráfico de LAN no local.

Pasos de configuración para revertir túnel dividido

Para configurar el modo de túnel dividido revertido en Citrix Gateway, haga lo siguiente:

  1. Vaya a Policies > Session.
  2. Seleccione la directiva de Secure Hub y vaya a Client Experience > Split Tunnel.
  3. Seleccione Reverse.

La directiva MDX “Lista de exclusión para revertir túnel dividido”

Puede configurar la directiva Modo de túnel dividido revertido con el intervalo “Exclusión” de Citrix Endpoint Management. El intervalo se basa en una lista, separada por comas, de sufijos DNS y FQDN. Esa lista define las URL para las cuales el tráfico debe enviarse por la red de área local (LAN) del dispositivo y no se enviará a Citrix ADC.

En la tabla siguiente, se indica si Secure Web pide credenciales al usuario en función de la configuración y del tipo de sitio:

Modo de conexión Tipo de sitio Caché de contraseñas Single Sign-On configurado para Citrix Gateway Secure Web pide credenciales en el primer acceso a un sitio web Secure Web pide credenciales en un acceso posterior al sitio web Secure Web pide credenciales después de un cambio de contraseña
SSO web en túnel HTTP No No No No
SSO web en túnel HTTPS No No No No
VPN completo HTTP No No No No
VPN completo HTTPS Sí. Si la directiva MDX “Habilitar caché de contraseñas web” de Secure Web está activada. No Sí. Necesario para almacenar la credencial en caché de Secure Web. No

Directivas de Secure Web

Al agregar Secure Web, tenga en cuenta las directivas MDX que son específicas de Secure Web. Para todos los dispositivos móviles admitidos:

Sitios web permitidos o bloqueados

Secure Web normalmente no filtra enlaces web. Puede usar esta directiva para configurar una lista de sitios permitidos o bloqueados específicos. Puede configurar patrones de dirección URL para restringir los sitios web que el explorador puede abrir, mediante un formato de lista separada por comas. Cada patrón de la lista va precedido del signo Más (+) o del signo Menos (-). El explorador web coteja las direcciones URL con estos patrones en el orden indicado hasta que se produce una coincidencia. Cuando se encuentra una coincidencia, el prefijo determina de la siguiente forma la acción a tomar:

  • Un signo Menos (-) como prefijo indica al explorador web que bloquee la URL. En este caso, la URL se trata como si la dirección del servidor web no pudiera resolverse.
  • Un signo Más (+) como prefijo permite que la URL se procese normalmente.
  • Si no figura ningún signo delante del patrón, se considera que va precedido del signo Más (+).
  • Si una dirección URL no coincide con ningún patrón de la lista, la dirección URL se considera permitida

Para bloquear todas las demás URL, termine la lista con un signo menos seguido de un asterisco (-*). Por ejemplo:

  • El valor de directiva +http://*.mycorp.com/*,-http://*,+https://*,+ftp://*,-* permite direcciones URL con HTTP dentro del dominio mycorp.com, pero las bloquea en cualquier otro sitio; permite direcciones URL con HTTPS y FTP en cualquier lugar, pero bloquea todas las demás URL.
  • El valor de directiva +http://*.training.lab/*,+https://*.training.lab/*,-* permite a los usuarios abrir cualquier sitio en el dominio Training.lab (intranet) a través de HTTP o HTTPS. El valor de directiva no permite a los usuarios abrir direcciones URL públicas, como Facebook, Google y Hotmail, independientemente del protocolo.

Está vacío de forma predeterminada (se permiten todas las URL).

Bloquear ventanas emergentes

Las ventanas emergentes son fichas nuevas que algunos sitios web abren sin su permiso. Esta directiva determina si Secure Web permite las ventanas emergentes. Cuando se activa, Secure Web impide que los sitios web abran ventanas emergentes. El valor predeterminado es Desactivado.

Marcadores precargados

Define un conjunto de marcadores precargados para el explorador Secure Web. La directiva es una lista de tuplas separadas por comas que incluyen el nombre de la carpeta, el nombre descriptivo y la dirección web. Cada triplo debe seguir el formato carpeta, nombre, URL. El nombre y la carpeta pueden ir entre comillas dobles (“).

Por ejemplo, los valores de directiva ,"Mycorp, Inc. home page",https://www.mycorp.com, "MyCorp Links",Account logon,https://www.mycorp.com/Accounts "MyCorp Links/Investor Relations","Contact us",https://www.mycorp.com/IR/Contactus.aspx definen tres marcadores. El primero es un enlace primario (sin nombre de carpeta), titulado “Mycorp, Inc. home page”. El segundo enlace se colocará en una carpeta llamada “MyCorp Links” y se etiquetará “Account logon”. El tercero se colocará en una subcarpeta llamada “Investor Relations” dentro de la carpeta “MyCorp Links” y se mostrará como “Contact us”.

Está vacío de forma predeterminada.

URL de página de inicio

Define el sitio web que Secure Web carga al iniciarse. Está vacío de forma predeterminada (página de inicio predeterminada).

Solo para dispositivos Android e iOS admitidos:

Interfaz de usuario del explorador web

Establece el comportamiento y la visibilidad de los controles de la interfaz de usuario del explorador para Secure Web. Normalmente están disponibles todos los controles del explorador. Estos incluyen los controles para avanzar, retroceder, barra de dirección y actualizar/detener la carga de la página. Esta directiva se puede configurar para restringir el uso y la visibilidad de algunos de estos controles. El valor predeterminado es Todos los controles visibles.

Opciones:

  • Todos los controles visibles. Todos los controles están visibles y no se restringe su uso para los usuarios.
  • Barra de direcciones de solo lectura. Todos los controles están visibles, pero los usuarios no pueden modificar el campo de dirección del explorador web.
  • Ocultar barra de direcciones. Oculta la barra de direcciones, pero no los demás controles.
  • Ocultar todos los controles. Oculta toda la barra de herramientas para proporcionar una experiencia de exploración sin marcos.

Habilitar caché de contraseñas web

Cuando los usuarios de Secure Web introducen sus credenciales al abrir o solicitar un recurso Web, esta directiva determina si Secure Web guarda la contraseña en caché silenciosamente en el dispositivo. Esta directiva se aplica a las contraseñas introducidas en diálogos de autenticación y no a las contraseñas introducidas en formularios Web.

Si está activada, Secure Web guarda todas las contraseñas que los usuarios introducen cuando solicitan un recurso Web. Si está desactivada, Secure Web no guarda en caché las contraseñas y elimina las contraseñas que se hayan guardado previamente. El valor predeterminado es Desactivado.

Esta directiva solo se habilita cuando la directiva “Modo preferido de VPN” se establece en “Túnel VPN completo” para esta aplicación.

Servidores proxy

También puede configurar los servidores proxy de Secure Web cuando se usa el modo SSO web en túnel. Para obtener detalles, consulte esta entrada de blog.

Sufijos DNS

En Android, si los sufijos DNS no están configurados, es posible que la VPN falle. Para obtener información sobre cómo configurar sufijos DNS, consulte Compatibilidad con consultas DNS mediante sufijos DNS para dispositivos Android.

Preparar sitios de intranet para Secure Web

Esta sección está dirigida a desarrolladores de sitios web que necesitan preparar un sitio de intranet para usarlo con Secure Web para Android y para iOS. Los sitios de intranet diseñados para exploradores de escritorio requieren ciertos cambios para que funcionen correctamente en dispositivos Android e iOS.

Secure Web se basa en Android WebView e iOS WkWebView para ofrecer tecnologías web. Algunas de las tecnologías web que admite Secure Web son:

  • AngularJS
  • ASP .NET
  • JavaScript
  • jQuery
  • WebGL
  • WebSockets (solo en modo no restringido)

Algunas de las tecnologías web que no admite Secure Web son:

  • Flash
  • Java

En la siguiente tabla, se muestran las funcionalidades y las tecnologías de generación de HTML que admite Secure Web. X indica que la función está disponible para una combinación de plataforma, explorador web y componente.

Tecnología Secure Web para iOS Secure Web para Android
Motor de JavaScript JavaScriptCore V8
Almacenamiento local X X
AppCache X X
IndexedDB   X
SPDY X  
WebP   X
srcet X X
WebGL   X
API de requestAnimationFrame   X
API de Navigation Timing   X
API de Resource Timing   X

Las tecnologías funcionan del mismo modo en todos los dispositivos. No obstante, Secure Web devuelve distintas cadenas de agente de usuario en los distintos dispositivos. Para determinar la versión del explorador usada para Secure Web, puede ver la cadena del agente de usuario. Puede comprobar el agente de usuario en los registros de Secure Web. Para obtener los registros de Secure Web, vaya a Secure Hub > Ayuda > Notificar problema. Seleccione Secure Web en la lista de aplicaciones. Recibirá un correo electrónico con un adjunto que contiene los archivos de registro comprimidos.

Solucionar problemas en sitios de intranet

Para solucionar problemas de representación cuando el sitio de intranet se ve en Secure Web, compare cómo se genera el sitio web en Secure Web y en un explorador web de terceros compatible.

Para iOS, los exploradores de terceros compatibles para realizar pruebas son Chrome y Dolphin.

Para Android, el explorador de terceros compatible para realizar pruebas es Dolphin.

Nota:

Chrome es un explorador nativo en Android. No lo utilice para la comparación.

En iOS, asegúrese de que los marcadores admiten VPN en el nivel de dispositivo. Esto se puede configurar en los parámetros del dispositivo, en Ajustes > VPN > Agregar configuración VPN.

También puede usar aplicaciones cliente VPN disponibles en App Store, tales como Citrix Secure Access, Cisco AnyConnect o Pulse Secure.

  • Si una página web aparece igual en los dos exploradores, el problema reside en el sitio web. Actualice el sitio y asegúrese de que funciona bien para el sistema operativo.
  • Si el problema en la página web solo aparece cuando se abre en Secure Web, póngase en contacto con el equipo de asistencia de Citrix para abrir un tíquet de asistencia. Proporcione los pasos detallados del problema, incluida la información de qué tipos de explorador web y sistema operativo ha utilizado. Si tiene problemas al generar páginas en Secure Web para iOS, incluya un archivo web de la página según se describe en los pasos siguientes. Esto ayudará a Citrix a resolver el problema más rápidamente.

Verificar la conectividad SSL

Asegúrese de que la cadena de certificados SSL está configurada correctamente. Puede comprobar si faltan certificados de CA raíz o intermedios que no están vinculados o instalados en dispositivos móviles con el verificador de certificados SSL.

Muchos certificados de servidor están firmados por varias entidades de certificación (CA) jerárquicas, lo que significa que los certificados forman una cadena. Debe vincular estos certificados. Para obtener información sobre cómo instalar o vincular certificados, consulte Instalar, vincular y actualizar certificados.

Para crear un archivo web

Con Safari en macOS 10.9 o posterior, puede guardar una página web como archivo web (denominado Lista de lectura). El archivo web incluye todos los archivos vinculados, como imágenes, CSS y JavaScript.

  1. En Safari, vacíe la carpeta Lista de lectura. En el Finder, haga clic en el menú Ir de la barra Menú, elija Ir a la carpeta, introduzca la ruta ~/Library/Safari/ReadingListArchives/. A continuación, elimine todas las carpetas de esa ubicación.

  2. En la barra Menú, vaya a Safari > Preferencias > Avanzado y habilite la opción Mostrar el menú Desarrollo en la barra de menú.

  3. En la barra Menú, vaya a Desarrollo > Agente de usuario e introduzca el agente de usuario de Secure Web: (Mozilla/5.0 (iPad; CPU OS 8_3 como macOS) AppleWebKit/600.1.4 (KHTML, como Gecko) Mobile/12F69 Secure Web/ 10.1.0 (compilación 1.4.0) Safari/8536.25).

  4. En Safari, abra el sitio web que quiere guardar como una lista de lectura (archivo web).

  5. En la barra Menú, vaya a Marcadores > Agregar a la lista de lectura. Esta operación puede tardar varios minutos. El archivado se ejecuta en el segundo plano.

  6. Busque la lista de lectura archivada: en la barra Menú, vaya a Visualización > Mostrar barra lateral de lista de lectura.

  7. Verifique el archivado:

    • Desactive la conectividad de red en el Mac.
    • Abra el sitio web desde la lista de lectura.

      El sitio web se genera al completo.

  8. Comprima el archivo web: En el Finder, haga clic en el menú Ir en la barra Menú, elija Ir a la carpeta e introduzca la ruta ~/Library/Safari/ReadingListArchives/. Luego, comprima la carpeta que tiene como nombre una cadena hexadecimal aleatoria. Este es el archivo que puede enviar a la asistencia técnica de Citrix cuando abra un tíquet de asistencia.

Funciones de Secure Web

Secure Web utiliza las tecnologías de intercambio de datos móviles para crear un túnel VPN dedicado para el acceso de los usuarios a sitios web internos y externos, y a todos los demás sitios web. Los sitios incluyen sitios con información confidencial en un entorno protegido por las directivas de su organización.

La integración de Secure Web con Secure Mail y Citrix Files ofrece una experiencia de usuario fluida, contenida en el entorno seguro de Endpoint Management. Éstos son algunos ejemplos de las funciones de integración:

  • Cuando los usuarios tocan enlaces mailto, se abre un nuevo mensaje de correo electrónico en Secure Mail sin necesidad de volver a autenticarse.
  • Permitir que los enlaces se abran en Secure Web y, al mismo tiempo, proteger los datos. Con Secure Web para iOS y Android, un túnel VPN dedicado permite a los usuarios acceder a sitios con información confidencial de forma segura. Pueden hacer clic en enlaces desde Secure Mail, desde Secure Web o desde una aplicación de terceros. El vínculo se abre en Secure Web y los datos están contenidos de forma segura. También pueden abrir un enlace interno que tenga el esquema ctxmobilebrowser en Secure Web. Al abrirlo, Secure Web transforma el prefijo ctxmobilebrowser:// en http://. Para abrir un enlace HTTPS, Secure Web transforma ctxmobilebrowsers:// en https://.

Esta función depende de una directiva MDX de Interacción entre aplicaciones denominada Intercambio de documentos entrantes. La directiva se establece en Sin restricciones de forma predeterminada. Esta configuración permite que las URL se abran en Secure Web. Puede cambiar la configuración de directiva para que solo las aplicaciones que incluya en una lista de permitidos puedan comunicarse con Secure Web.

  • Cuando los usuarios hacen clic en un enlace de intranet dentro de un mensaje de correo electrónico, Secure Web va a ese sitio de la intranet sin necesidad de volver a autenticarse.
  • Los usuarios pueden cargar archivos en Citrix Files, que pueden descargar de la Web mediante Secure Web.

Asimismo, los usuarios de Secure Web pueden realizar las siguientes acciones:

  • Bloquear ventanas emergentes.

    Nota:

    Mucha de la carga de memoria de Secure Web se dedica a la generación de ventanas emergentes, de modo que el rendimiento suele mejorar si se selecciona la opción de bloqueo de las ventanas emergentes en los Parámetros.

  • Agregar sus sitios favoritos como Marcadores.
  • Descargar archivos.
  • Guardar páginas sin conexión.
  • Guardado automático de contraseñas.
  • Borrar caché, historial y cookies.
  • Inhabilitar cookies y almacenamiento local de HTML5.
  • Compartir dispositivos de forma segura con otros usuarios.
  • Hacer búsquedas desde la barra de direcciones.
  • Permitir que las aplicaciones web que los usuarios ejecutan dentro de Secure Web accedan a su ubicación.
  • Exportar e importar parámetros.
  • Abrir archivos directamente en Citrix Files, sin necesidad de descargarlos. Para habilitar esta función, agregue ctx-sf: a la directiva “Direcciones URL permitidas” en Endpoint Management.
  • En iOS, puede usar acciones de 3D Touch para abrir una nueva ficha y acceder a páginas sin conexión, sitios favoritos y descargas directamente desde la pantalla inicial.
  • En iOS, puede descargar archivos de cualquier tamaño y abrirlos en Citrix Files y otras aplicaciones.

    Nota:

    Si Secure Web se pone en segundo plano, la descarga se detiene.

  • Buscar un término en la vista de la página actual con la opción Buscar en la página.

    Imagen de la opción Buscar en la página

Secure Web también admite el texto dinámico, por lo que muestra la fuente que los usuarios configuran en sus dispositivos.

Nota:

Integrar e implementar Secure Web