Autenticación
En una implementación de XenMobile, entran varias consideraciones en juego a la hora de decidir cómo configurar la autenticación. Esta sección ofrece una guía para comprender los diversos factores que afectan a la autenticación porque se analiza lo siguiente:
- Las principales directivas MDX, las propiedades del cliente XenMobile y las configuraciones de Citrix Gateway relacionadas con la autenticación.
- Las formas en que interactúan estas directivas, parámetros y propiedades de cliente.
- Los pros y contras de cada elección.
Este artículo también contiene tres ejemplos de configuraciones recomendadas para aumentar los grados de seguridad.
En términos generales, una seguridad más alta empobrece la experiencia del usuario, ya que los usuarios deben autenticarse más a menudo. La forma de equilibrar estos aspectos, la seguridad y la fluidez de la experiencia del usuario depende de las necesidades y las prioridades de su organización. El objetivo de ofrecer esas tres configuraciones recomendadas es conferirle una mayor comprensión de la interacción de las medidas de autenticación disponibles y orientarle a comprender cómo implementar mejor su propio entorno de XenMobile.
Modos de autenticación
Autenticación con conexión: Permite a los usuarios conectarse a la red de XenMobile. Requiere una conexión a Internet.
Autenticación sin conexión: Ocurre en el dispositivo. Los usuarios desbloquean la caja fuerte segura y tienen acceso sin conexión a elementos (como el correo descargado, los sitios web almacenados en caché y las notas).
Métodos de autenticación
Factor único
LDAP: En XenMobile, puede configurar una conexión a uno o varios directorios (como Active Directory) compatibles con el Protocolo ligero de acceso a directorios (LDAP). Este es un método frecuente para ofrecer el inicio Single Sign-On (SSO) en entornos de empresa. Puede optar por el PIN de Citrix con el almacenamiento en caché de la contraseña de Active Directory para mejorar la experiencia del usuario con LDAP al mismo tiempo que proporciona la seguridad de contraseñas complejas en la inscripción, la caducidad de contraseñas y el bloqueo de la cuenta.
Para obtener más información, consulte Dominio o dominio + STA.
Certificado de cliente: XenMobile puede integrarse con entidades de certificación estándar del sector para usar certificados como método único de la autenticación en línea. XenMobile ofrece este certificado una vez los usuarios se han inscrito, por lo que requiere una contraseña de un solo uso, una URL de invitación o credenciales LDAP. Cuando se usa un certificado de cliente como el método principal de autenticación, se necesita un PIN de Citrix en entornos de solo certificado de cliente para proteger el certificado en el dispositivo.
XenMobile solo admite la lista de revocación de certificados (CRL) cuando se trata de una entidad de certificación (CA) de terceros. Si dispone de una entidad de certificación de Microsoft configurada, XenMobile utiliza Citrix ADC para administrar la revocación. Al configurar la autenticación por certificados de cliente, plantéese si debe configurar el parámetro de lista de revocación de certificados (CRL) de Citrix ADC, Enable CRL Auto Refresh. Este paso garantiza que el usuario de un dispositivo en modo solo MAM no pueda autenticarse con un certificado existente en el dispositivo. XenMobile vuelve a emitir un certificado nuevo, porque no impide que un usuario genere un certificado de usuario si uno se revoca. Este parámetro aumenta la seguridad de las entidades PKI cuando la lista de revocación de certificados comprueba si hay entidades PKI caducadas.
Para ver un diagrama que muestre la implementación necesaria si va a usar la autenticación basada en certificados para los usuarios o si necesita usar la entidad de certificación (CA) de su empresa para emitir los certificados de dispositivo, consulte Arquitectura de referencia para implementaciones locales.
Dos factores
LDAP + Certificado de cliente: En el entorno de XenMobile, esta configuración es la mejor combinación de seguridad y experiencia de usuario, con las posibilidades óptimas del inicio de sesión SSO, ligadas a la seguridad que ofrece la autenticación de dos factores en Citrix ADC. Al usar certificados de cliente y LDAP conjuntamente, la seguridad se basa en algo que los usuarios conocen (sus contraseñas de Active Directory) y en algo que poseen (certificados de cliente en sus dispositivos). Secure Mail (y otras aplicaciones móviles de productividad) puede configurar y proporcionar automáticamente una experiencia de primer uso perfecta junto con la autenticación de certificados de cliente, con un entorno de acceso al servidor Exchange configurado correctamente. Para una experiencia de uso óptima, puede combinar esta opción con el PIN de Citrix y el almacenamiento en caché de contraseñas de Active Directory.
LDAP + token: Esta configuración permite la configuración clásica de credenciales LDAP y una contraseña de un solo uso, mediante el protocolo RADIUS. Para una experiencia de uso óptima, puede combinar esta opción con el PIN de Citrix y el almacenamiento en caché de contraseñas de Active Directory.
Directivas, configuraciones y propiedades de cliente importantes necesarias para la autenticación
Las siguientes propiedades de cliente, configuraciones y directivas intervienen en las tres configuraciones recomendadas indicadas más adelante:
Directivas MDX
Código de acceso de aplicación: Cuando se establece en Sí, se requiere un PIN o un código de acceso de Citrix para desbloquear la aplicación cuando ésta se inicia o se reanuda después de un período de inactividad. De forma predeterminada, está activado.
Para configurar el temporizador de inactividad para todas las aplicaciones, establezca el valor de INACTIVITY_TIMER en minutos, en la consola de XenMobile, desde la ficha Parámetros, en Propiedades de cliente. El valor predeterminado es 15 minutos. Para inhabilitar el temporizador de inactividad, de modo que la petición de PIN o código de acceso aparezca solo cuando se inicie la aplicación, establezca un valor de cero.
Nota:
Si selecciona Acceso seguro sin conexión para la directiva Claves de cifrado, esta directiva se habilita automáticamente.
Sesión con conexión requerida: Cuando se establece en Sí, el usuario debe contar con una sesión activa y una conexión a la red de la empresa para poder acceder a la aplicación presente en el dispositivo. Cuando se establece en No, no se requiere una sesión activa para poder acceder a la aplicación presente en el dispositivo. El valor predeterminado es Desactivado.
Período máximo sin conexión (horas): Define el período de tiempo máximo que una aplicación puede ejecutarse sin tener que volver a confirmar los derechos a utilizarla ni actualizar las directivas desde XenMobile. Cuando establece la directiva MDX “Período máximo sin conexión”, si Secure Hub para iOS tiene un token válido de Citrix Gateway, la aplicación obtiene de XenMobile directivas nuevas para aplicaciones MDX sin interrupciones para los usuarios. En cambio, si Secure Hub no tiene un token válido de Citrix ADC, los usuarios deben autenticarse en Secure Hub para que se actualicen las directivas de las aplicaciones. El token de Citrix ADC puede dejar de ser válido debido a la inactividad en la sesión de Citrix Gateway o a alguna directiva de tiempo de espera forzado para la sesión. Cuando los usuarios vuelvan a iniciar sesión en Secure Hub, podrán continuar ejecutando la aplicación.
Los usuarios reciben un recordatorio para que inicien sesión 30, 15 y 5 minutos antes de que acabe el período. Una vez se acabe el período, la aplicación se bloquea hasta que los usuarios inicien sesión. El valor predeterminado es 72 horas (3 días). El período mínimo de tiempo es 1 hora.
Nota:
Tenga en cuenta que, cuando los usuarios viajan con frecuencia y usan la itinerancia internacional, el valor predeterminado de 72 horas (3 días) puede ser demasiado corto.
Caducidad del tíquet de servicios en segundo plano: El período de validez que tiene un tíquet del servicio de red en segundo plano. Cuando Secure Mail se conecta a través de Citrix Gateway a un servidor de Exchange con ActiveSync, XenMobile emite un token que Secure Mail usa para conectarse al servidor de Exchange interno. Esta propiedad determina cuánto tiempo Secure Mail puede usar el token sin necesidad de uno nuevo para la autenticación y la conexión con Exchange Server. Cuando se alcanza el límite de tiempo, los usuarios deben volver a iniciar sesión para generar un nuevo token. El valor predeterminado es 168 horas (7 días). Cuando se agota este tiempo de espera, se interrumpen las notificaciones por correo.
Período de gracia para requerir sesión con conexión: Determina cuántos minutos puede un usuario utilizar una aplicación sin conexión, antes de que la directiva “Sesión con conexión requerida” le impida seguir utilizándola (hasta que la sesión con conexión sea validada). El valor predeterminado es 0 (no hay período de gracia).
Para obtener información acerca de las directivas de autenticación, consulte:
- Si utiliza el SDK de MAM: Introducción al SDK de MAM
- Si usa MDX Toolkit: Directivas MDX para iOS y Directivas MDX para Android
Propiedades de cliente XenMobile
Nota:
Las propiedades de cliente son una configuración global que se aplica a todos los dispositivos que se conectan a XenMobile.
PIN de Citrix: Para una experiencia sencilla de inicio de sesión, puede optar por habilitar el PIN de Citrix. Con el PIN, los usuarios no tienen que introducir repetidamente otras credenciales (como los nombres de usuario y las contraseñas de Active Directory). Puede configurar el PIN de Citrix como una autenticación independiente que solo funciona sin conexión. También puede combinar el PIN con el almacenamiento en caché de contraseñas de Active Directory para una usabilidad óptima y fluida. Configure el PIN de Citrix en Parámetros > Cliente > Propiedades de cliente en la consola de XenMobile.
A continuación dispone de un resumen con algunas propiedades importantes. Para obtener más información, consulte Propiedades de cliente.
ENABLE_PASSCODE_AUTH
Nombre simplificado: Enable Citrix PIN Authentication
Esta clave permite activar la función de PIN de Citrix. Si se activa la función de PIN o código de acceso de Citrix, se solicita a los usuarios que definan un número PIN que se usará en lugar de su contraseña de Active Directory. Habilite esta configuración si la propiedad ENABLE_PASSWORD_CACHING está habilitada o si XenMobile usa la autenticación por certificado.
Valores posibles: true o false
Valor predeterminado: false
ENABLE_PASSWORD_CACHING
Nombre simplificado: Enable User Password Caching
Esta clave permite que la contraseña de Active Directory de los usuarios se almacene en la memoria caché local del dispositivo móvil. Al establecer esta clave en true, se solicita a los usuarios que establezcan un PIN o un código de acceso de Citrix. El valor de la clave ENABLE_PASSCODE_AUTH debe establecerse en true cuando esta clave se establece en true.
Valores posibles: true o false
Valor predeterminado: false
PASSCODE_STRENGTH
Nombre simplificado: PIN Strength Requirement
Esta clave define la seguridad del PIN o código de acceso de Citrix. Si cambia este parámetro, se solicitará a los usuarios que establezcan un nuevo PIN o código de acceso de Citrix la próxima vez que deban autenticarse.
Valores posibles: Low, Medium o Strong
Valor predeterminado: Medium
INACTIVITY_TIMER
Nombre simplificado: Inactivity Timer
Esta clave define el tiempo en minutos que los usuarios pueden dejar su dispositivo inactivo y luego acceder a una aplicación sin que se solicite un PIN o un código de acceso de Citrix. Si quiere habilitar esta configuración para una aplicación MDX, debe activar la configuración Código de acceso de aplicación. Si el parámetro Código de acceso de aplicación está desactivado, se redirige a los usuarios a Secure Hub para realizar una autenticación completa. Al cambiar este parámetro, el valor se aplicará la próxima vez que los usuarios deban autenticarse. El valor predeterminado es 15 minutos.
ENABLE_TOUCH_ID_AUTH
Nombre simplificado: Enable Touch ID Authentication
Permite el uso del lector de huellas dactilares (solo en iOS) para la autenticación sin conexión. La autenticación en línea aún requerirá el método de autenticación principal.
ENCRYPT_SECRETS_USING_PASSCODE
Nombre simplificado: Encrypt secrets using Passcode
Esta clave permite que los datos confidenciales se almacenen en el dispositivo móvil, en un almacén secreto, en lugar de guardarse en un almacén nativo basado en la plataforma, como el llavero de iOS. Esta clave de configuración permite un cifrado seguro de los objetos clave, pero también agrega la entropía de usuario (un código PIN aleatorio generado por el usuario y que solo el usuario conoce).
Valores posibles: true o false
Valor predeterminado: false
Configuración de Citrix ADC
Tiempo de desconexión de la sesión: Si se habilita esta configuración, Citrix Gateway desconecta la sesión si Citrix ADC no detecta ninguna actividad de red durante un intervalo especificado. Esta configuración se aplica a los usuarios que se conectan con Citrix Gateway Plug-in, Citrix Receiver, Secure Hub o mediante un explorador web. El valor predeterminado es 1440 minutos. Si se establece este valor en cero, el parámetro queda inhabilitado.
Tiempo de espera forzado: Si habilita este parámetro, Citrix Gateway desconecta la sesión una vez transcurrido el intervalo del tiempo de espera, independientemente de la actividad del usuario. No existe ninguna acción que el usuario pueda realizar para evitar que se produzca la desconexión cuando se agota el tiempo de espera. Esta configuración se aplica a los usuarios que se conectan con Citrix Gateway Plug-in, Citrix Receiver, Secure Hub o mediante un explorador web. Si Secure Mail usa STA, un modo especial de Citrix ADC, el parámetro Tiempo de espera forzado no se aplica a las sesiones de Secure Mail. El valor predeterminado es 1440 minutos. Si deja este valor en blanco, la configuración se desactiva.
Para obtener más información sobre parámetros de tiempo de espera en Citrix Gateway, consulte la documentación de Citrix ADC.
Para obtener más información acerca de los casos en que se solicita a los usuarios que se autentiquen en XenMobile con credenciales en sus dispositivos, consulte Situaciones de petición de credenciales.
Parámetros predeterminados de configuración
Estos parámetros son los valores predeterminados proporcionados por:
- Asistente de NetScaler para XenMobile
- SDK de MAM o MDX Toolkit
- Consola de XenMobile
Parámetro | Dónde encontrar el parámetro | Configuración predeterminada |
---|---|---|
Tiempo de desconexión de la sesión | Citrix Gateway | 1440 minutos |
Tiempo de espera forzado | Citrix Gateway | 1440 minutos |
Período máximo sin conexión | Directivas MDX | 72 horas |
Caducidad del tíquet de servicios en segundo plano | Directivas MDX | 168 horas (7 días) |
Sesión con conexión requerida | Directivas MDX | No |
Período de gracia para requerir sesión con conexión | Directivas MDX | 0 |
Código de acceso de aplicación | Directivas MDX | Sí |
Cifrar secretos mediante un código de acceso | Propiedades de cliente XenMobile | false |
Enable Citrix PIN Authentication | Propiedades de cliente XenMobile | false |
Requisito de seguridad de código PIN | Propiedades de cliente XenMobile | Medio |
Tipo de código PIN | Propiedades de cliente XenMobile | Numérico |
Enable User Password Caching (Habilitar almacenamiento en caché de la contraseña del usuario) | Propiedades de cliente XenMobile | false |
Inactivity Timer (Temporizador de inactividad) | Propiedades de cliente XenMobile | 15 |
Enable Touch ID Authentication | Propiedades de cliente XenMobile | false |
Configuraciones recomendadas
En esta sección se ofrecen ejemplos de tres configuraciones de XenMobile, desde la configuración de seguridad más baja y la experiencia de usuario óptima, hasta la configuración de mayor seguridad y experiencia de usuario más intrusiva. El objetivo de estos ejemplos es proporcionarle puntos de referencia para decidir a qué altura de la escala quiere colocar su propia configuración. Tenga en cuenta que modificar estas configuraciones puede requerir que modifique otras configuraciones también. Por ejemplo, el “Periodo máximo sin conexión” siempre debe ser menor que “Session time-out” (Tiempo de desconexión de la sesión).
Highest Security (El mayor nivel de seguridad)
Esta configuración ofrece el nivel más alto de seguridad, pero contiene inconvenientes significativos para la facilidad de uso.
Parámetro | Dónde encontrar el parámetro | Configuración recomendada | Impacto en el comportamiento |
Tiempo de desconexión de la sesión | Citrix Gateway | 1440 | Los usuarios introducen sus credenciales de Secure Hub solo cuando se necesita la autenticación en línea (cada 24 horas) |
Tiempo de espera forzado | Citrix Gateway | 1440 | La autenticación en línea se requiere estrictamente cada 24 horas. La actividad no prolonga la vida de la sesión. |
Período máximo sin conexión | Directivas MDX | 23 | Requiere la actualización de la directiva cada día. |
Caducidad del tíquet de servicios en segundo plano | Directivas MDX | 72 horas | Tiempo de espera para STA, lo que permite sesiones duraderas sin token de sesión de Citrix Gateway. En el caso de Secure Mail, aumentar el tiempo de espera de STA más del tiempo de espera de sesión evita que las notificaciones de correo dejen de recibirse sin solicitar al usuario si este no abre la aplicación antes de que se agote el tiempo de espera de la sesión. |
Sesión con conexión requerida | Directivas MDX | No | Garantiza una conexión de red válida y una sesión de Citrix Gateway para usar aplicaciones. |
Período de gracia para requerir sesión con conexión | Directivas MDX | 0 | Sin período de gracia (si habilitó “Sesión con conexión requerida”). |
Código de acceso de aplicación | Directivas MDX | Sí | Requerir código de acceso para una aplicación. |
Cifrar secretos mediante un código de acceso | Propiedades de cliente XenMobile | true | Una clave derivada de la entropía del usuario protege la caja fuerte. |
Enable Citrix PIN Authentication | Propiedades de cliente XenMobile | true | El PIN de Citrix simplifica la experiencia de autenticación del usuario. |
Requisito de seguridad de código PIN | Propiedades de cliente XenMobile | Fuerte | Altos requisitos de complejidad para la contraseña. |
Tipo de código PIN | Propiedades de cliente XenMobile | Alfanumérico | El PIN es una secuencia alfanumérica. |
Habilitar | Propiedades de cliente XenMobile | false | La contraseña de Active Directory no se almacena en caché y el PIN de Citrix se usará para las autenticaciones sin conexión. |
Inactivity Timer (Temporizador de inactividad) | Propiedades de cliente XenMobile | 15 | Si el usuario no usa Secure Hub o las aplicaciones MDX durante este período de tiempo, se pide la autenticación sin conexión. |
Enable Touch ID Authentication | Propiedades de cliente XenMobile | false | Inhabilita Touch ID para casos de autenticación sin conexión en iOS. |
Higher Security (Mayor nivel de seguridad)
Con un enfoque más intermedio, esta configuración requiere que los usuarios se autentiquen más a menudo, cada 3 días a lo sumo (en lugar de 7), y ofrece una mayor seguridad. Esta mayor cantidad de autenticaciones bloquea el contenedor de datos más a menudo, lo que garantiza la seguridad de los datos cuando los dispositivos no están en uso.
Parámetro | Dónde encontrar el parámetro | Configuración recomendada | Impacto en el comportamiento |
Tiempo de desconexión de la sesión | Citrix Gateway | 4320 | Los usuarios introducen sus credenciales de Secure Hub solo cuando se necesita la autenticación en línea (cada 3 días). |
Tiempo de espera forzado | Citrix Gateway | Ningún valor | Las sesiones se extienden si hay alguna actividad. |
Período máximo sin conexión | Directivas MDX | 71 | Requiere la actualización de la directiva cada 3 días. La diferencia de hora es para permitir la actualización antes de que se agote el Tiempo de desconexión de la sesión (Session time-out). |
Caducidad del tíquet de servicios en segundo plano | Directivas MDX | 168 horas | Tiempo de espera para STA, lo que permite sesiones duraderas sin token de sesión de Citrix Gateway. En el caso de Secure Mail, aumentar el tiempo de espera de STA más del tiempo de espera de sesión evita que las notificaciones de correo dejen de recibirse sin solicitar al usuario si este no abre la aplicación antes de que se agote el tiempo de espera de la sesión. |
Sesión con conexión requerida | Directivas MDX | No | Garantiza una conexión de red válida y una sesión de Citrix Gateway para usar aplicaciones. |
Período de gracia para requerir sesión con conexión | Directivas MDX | 0 | Sin período de gracia (si habilitó “Sesión con conexión requerida”). |
Código de acceso de aplicación | Directivas MDX | Sí | Requerir código de acceso para una aplicación. |
Cifrar secretos mediante un código de acceso | Propiedades de cliente XenMobile | false | No se requiere entropía de usuario para cifrar la caja fuerte. |
Enable Citrix PIN Authentication | Propiedades de cliente XenMobile | true | El PIN de Citrix simplifica la experiencia de autenticación del usuario. |
Requisito de seguridad de código PIN | Propiedades de cliente XenMobile | Medio | Aplica reglas de complejidad media a la contraseña. |
Tipo de código PIN | Propiedades de cliente XenMobile | Numérico | Un PIN es una secuencia numérica. |
Habilitar | Propiedades de cliente XenMobile | true | El PIN del usuario se almacena en caché y protege la contraseña de Active Directory. |
Inactivity Timer (Temporizador de inactividad) | Propiedades de cliente XenMobile | 30 | Si el usuario no usa Secure Hub o las aplicaciones MDX durante este período de tiempo, se pide la autenticación sin conexión. |
Enable Touch ID Authentication | Propiedades de cliente XenMobile | true | Permite Touch ID para casos de autenticación sin conexión en iOS. |
High Security (Nivel alto de seguridad)
Esta configuración, la más conveniente para los usuarios, proporciona una seguridad base.
Parámetro | Dónde encontrar el parámetro | Configuración recomendada | Impacto en el comportamiento |
Tiempo de desconexión de la sesión | Citrix Gateway | 10080 | Los usuarios introducen sus credenciales de Secure Hub solo cuando se necesita la autenticación en línea (cada 7 días). |
Tiempo de espera forzado | Citrix Gateway | Ningún valor | Las sesiones se extienden si hay alguna actividad. |
Período máximo sin conexión | Directivas MDX | 167 | Requiere una actualización de directivas por semana (cada 7 días). La diferencia de hora es para permitir la actualización antes de que se agote el Tiempo de desconexión de la sesión (Session time-out). |
Caducidad del tíquet de servicios en segundo plano | Directivas MDX | 240 | Tiempo de espera para STA, lo que permite sesiones duraderas sin token de sesión de Citrix Gateway. En el caso de Secure Mail, aumentar el tiempo de espera de STA más del tiempo de espera de sesión evita que las notificaciones de correo dejen de recibirse sin solicitar al usuario si este no abre la aplicación antes de que se agote el tiempo de espera de la sesión. |
Sesión con conexión requerida | Directivas MDX | No | Garantiza una conexión de red válida y una sesión de Citrix Gateway para usar aplicaciones. |
Período de gracia para requerir sesión con conexión | Directivas MDX | 0 | Sin período de gracia (si habilitó “Sesión con conexión requerida”). |
Código de acceso de aplicación | Directivas MDX | Sí | Requerir código de acceso para una aplicación. |
Cifrar secretos mediante un código de acceso | Propiedades de cliente XenMobile | false | No se requiere entropía de usuario para cifrar la caja fuerte. |
Enable Citrix PIN Authentication | Propiedades de cliente XenMobile | true | El PIN de Citrix simplifica la experiencia de autenticación del usuario. |
Requisito de seguridad de código PIN | Propiedades de cliente XenMobile | Bajo | Sin requisitos de complejidad para la contraseña |
Tipo de código PIN | Propiedades de cliente XenMobile | Numérico | Un PIN es una secuencia numérica. |
Habilitar | Propiedades de cliente XenMobile | true | El PIN del usuario se almacena en caché y protege la contraseña de Active Directory. |
Inactivity Timer (Temporizador de inactividad) | Propiedades de cliente XenMobile | 90 | Si el usuario no usa Secure Hub o las aplicaciones MDX durante este período de tiempo, se pide la autenticación sin conexión. |
Enable Touch ID Authentication | Propiedades de cliente XenMobile | true | Permite Touch ID para casos de autenticación sin conexión en iOS. |
Usar una autenticación de nivel superior
Algunas aplicaciones pueden requerir una autenticación mejorada (por ejemplo, un factor secundario de autenticación, como un token, o tiempos agresivos de desconexión de la sesión). Se puede controlar este método de autenticación a través de una directiva MDX. El método también requiere un servidor virtual independiente para controlar los métodos de autenticación (en el mismo dispositivo Citrix ADC o en varios).
Parámetro | Dónde encontrar el parámetro | Configuración recomendada | Impacto en el comportamiento |
---|---|---|---|
Citrix Gateway alternativo | Directivas MDX | Requiere el FQDN y el puerto del dispositivo Citrix ADC secundario. | Permite la autenticación mejorada, controlada por las directivas de sesión y autenticación del dispositivo Citrix ADC secundario. |
Si un usuario abre una aplicación que inicia sesión en la instancia de Citrix Gateway alternativo, todas las demás aplicaciones usarán esa instancia de Citrix Gateway para la comunicación con la red interna. La sesión solo volverá a la instancia de menor seguridad de Citrix Gateway cuando se agote su tiempo de espera en la instancia de Citrix Gateway con seguridad mejorada.
Usar la sesión con conexión requerida
Para ciertas aplicaciones, como Secure Web, puede que le interese asegurarse de que los usuarios ejecuten una aplicación solo cuando tienen una sesión autenticada y mientras el dispositivo está conectado a una red. Esta directiva aplica esa opción y permite un período de gracia para que los usuarios puedan finalizar su trabajo.
Parámetro | Dónde encontrar el parámetro | Configuración recomendada | Impacto en el comportamiento |
---|---|---|---|
Sesión con conexión requerida | Directivas MDX | Sí | Garantiza que el dispositivo está conectado y tiene un token de autenticación válido. |
Período de gracia para requerir sesión con conexión | Directivas MDX | 15 | Permite un período de gracia de 15 minutos antes de que el usuario ya no pueda usar las aplicaciones |