Consideraciones sobre SSO y proxies para aplicaciones MDX
La integración de XenMobile con Citrix ADC le permite ofrecer Single Sign-On (SSO) a los usuarios a todos los recursos back-end HTTP o HTTPS. Según los requisitos de autenticación de SSO, puede configurar las conexiones de usuario para que una aplicación MDX use cualquiera de estas opciones:
- Secure Browse (un tipo de VPN sin cliente)
- Túnel VPN completo
Si Citrix ADC no es el mejor medio para ofrecer SSO en el entorno, puede configurar directivas para que las aplicaciones MDX almacenen las contraseñas en caché local. En este artículo se exploran las diversas opciones SSO y proxy, centrándose sobre todo en Secure Web. Los conceptos se aplican a otras aplicaciones MDX.
En el siguiente diagrama de flujo, se resume el recorrido de decisiones para SSO y las conexiones de usuario.
Métodos de autenticación de Citrix ADC
En esta sección se ofrece información general sobre los métodos de autenticación que admite Citrix ADC.
Autenticación SAML
Cuando configura Citrix ADC para SAML (Security Assertion Markup Language), los usuarios pueden conectarse a las aplicaciones web que admiten el protocolo SAML para Single Sign-On. Citrix Gateway admite Single Sign-On del proveedor de identidades (IdP) para aplicaciones web SAML.
Configuración requerida:
- Configure SSO con SAML en el perfil de tráfico de Citrix ADC.
- Configure un proveedor de identidades con SAML para el servicio solicitado.
Autenticación NTLM
Si Single Sign-On en aplicaciones web está habilitado en el perfil de la sesión, Citrix ADC realiza automáticamente la autenticación NTLM.
Configuración requerida:
- Habilite SSO en la sesión o el perfil de tráfico de Citrix ADC.
Suplantación Kerberos
XenMobile solo admite Kerberos para Secure Web. Al configurar Citrix ADC para Single Sign-On de Kerberos, Citrix ADC utiliza suplantación cuando una contraseña de usuario está disponible para Citrix ADC. La suplantación significa que Citrix ADC usa credenciales de usuario para obtener el tíquet necesario y acceder a servicios como Secure Web.
Configuración requerida:
- Configure la directiva de sesión “Worx” de Citrix ADC para que pueda identificar el territorio Kerberos en la conexión.
- Configure una cuenta de delegación limitada de Kerberos (KCD) en Citrix ADC. Configure esa cuenta sin contraseña y vincúlela a una directiva de tráfico en la puerta de enlace de XenMobile.
- Para conocer esos y otros detalles de configuración, consulte el blog de Citrix: WorxWeb and Kerberos Impersonation SSO.
Delegación limitada de Kerberos
XenMobile solo admite Kerberos para Secure Web. Al configurar Citrix ADC para Single Sign-On de Kerberos, Citrix ADC utiliza la delegación limitada cuando una contraseña de usuario no está disponible para Citrix ADC.
Con la delegación limitada, Citrix ADC usa una cuenta de administrador específica para obtener tíquets en nombre de los usuarios y los servicios.
Configuración requerida:
- Configure una cuenta KCD en Active Directory con los permisos necesarios y una cuenta KCD en Citrix ADC.
- Habilite SSO en el perfil de tráfico de Citrix ADC.
- Configure el sitio web back-end para la autenticación Kerberos.
Autenticación con rellenado de formularios
Cuando configura Citrix ADC para Single Sign-On basado en formularios, los usuarios pueden iniciar sesión una vez para acceder a todas las aplicaciones protegidas de la red. Este método de autenticación se aplica a las aplicaciones que usan los modos Secure Browse o Túnel VPN completo.
Configuración requerida:
- Configure el inicio SSO basado en formularios en el perfil de tráfico de Citrix ADC.
Autenticación HTTP implícita
Si habilita Single Sign-On para las aplicaciones web en el perfil de la sesión, Citrix ADC realiza automáticamente la autenticación HTTP implícita. Este método de autenticación se aplica a las aplicaciones que usan los modos Secure Browse o Túnel VPN completo.
Configuración requerida:
- Habilite SSO en la sesión o el perfil de tráfico de Citrix ADC.
Autenticación HTTP básica
Si habilita Single Sign-On para las aplicaciones web en el perfil de la sesión, Citrix ADC realiza automáticamente la autenticación HTTP básica. Este método de autenticación se aplica a las aplicaciones que usan los modos Secure Browse o Túnel VPN completo.
Configuración requerida:
- Habilite SSO en la sesión o el perfil de tráfico de Citrix ADC.
Secure Browse, Túnel VPN completo o Túnel VPN completo con archivo PAC
En las secciones siguientes, se describen los tipos de conexión de usuario para Secure Web. Para obtener más información, consulte este artículo de Secure Web en Configuración de conexiones de usuario de la documentación de Citrix.
Túnel VPN completo
Las conexiones por túnel a la red interna pueden usar un túnel VPN completo. Establezca la directiva “Modo preferido de VPN” de Secure Web en el valor “Túnel VPN completo”. Citrix recomienda el valor “Túnel VPN completo” para conexiones que usan certificados de cliente o SSL de extremo a extremo para conectarse a un recurso de la red interna. El túnel VPN completo gestiona cualquier protocolo por TCP. Puede usar el túnel VPN completo con dispositivos Windows, Mac, iOS y Android.
En el modo “Túnel VPN completo”, Citrix ADC no tiene visibilidad dentro de una sesión HTTPS.
Secure Browse
Las conexiones por túnel a la red interna pueden utilizar una variante de VPN sin cliente conocida como “Secure Browse”. Esta es la configuración predeterminada para la directiva Modo preferido de VPN de Secure Web. Citrix recomienda el valor “Secure Browse” para conexiones que requieren Single Sign-On (SSO).
En el modo “Exploración segura”, Citrix ADC divide la sesión HTTPS en dos partes:
- Del cliente a Citrix ADC
- Desde Citrix ADC hasta el servidor back-end del recurso.
De esta manera, Citrix ADC tiene una visibilidad total de todas las transacciones entre el cliente y el servidor, lo que le permite ofrecer SSO.
También puede configurar los servidores proxy de Secure Web cuando se usa el modo “Secure Browse”. Para obtener más información, consulte el blog XenMobile WorxWeb Traffic Through Proxy Server in Secure Browse Mode.
Túnel VPN completo con archivo PAC
Puede usar un archivo de configuración automática de proxy (PAC) con una implementación de túnel VPN completo para un Secure Web presente en dispositivos iOS y Android. XenMobile admite la autenticación de proxy proporcionada por Citrix ADC. Un archivo PAC contiene reglas que definen el modo en que los exploradores web seleccionan un proxy para acceder a una dirección URL especificada. Las reglas del archivo PAC pueden especificar cómo gestionar tanto sitios internos como sitios externos. Secure Web analiza las reglas del archivo PAC y envía la información del servidor proxy a Citrix Gateway. Citrix Gateway no detecta el archivo PAC ni el servidor proxy.
Para la autenticación en sitios web HTTPS, la directiva MDX Habilitar caché de contraseñas Web permite a Secure Web autenticarse y ofrecer SSO en el servidor proxy a través de MDX.
Túnel dividido de Citrix ADC
Cuando planifique la configuración de SSO y proxy, también debe decidir si usar el túnel dividido de Citrix ADC o no. Citrix recomienda que utilice el túnel dividido de Citrix ADC solo si es necesario. En esta sección se ofrece información exhaustiva sobre cómo funciona el túnel dividido. Para empezar, Citrix ADC determina la ruta del tráfico en función de su tabla de enrutamiento. Cuando el túnel dividido de Citrix ADC está activado, Secure Hub distingue el tráfico de red interno (protegido) del tráfico de Internet. Secure Hub realiza esa distinción en función del sufijo DNS y las aplicaciones de la intranet. A continuación, Secure Hub envía por el túnel VPN solo el tráfico de la red interna. Cuando el túnel dividido de Citrix ADC está desactivado, todo el tráfico pasa por el túnel VPN.
- Si, por motivos de seguridad, prefiere supervisar todo el tráfico, inhabilite el túnel dividido de Citrix ADC. Como resultado, todo el tráfico pasará por el túnel VPN.
- Si usa “Túnel VPN completo con archivo PAC”, debe inhabilitar el túnel dividido de Citrix Gateway. Si el túnel dividido está activado y se configura un archivo PAC, las reglas del archivo PAC anulan las reglas del túnel dividido de Citrix ADC. Un servidor proxy configurado en una directiva de tráfico no anula las reglas de túnel dividido de Citrix ADC.
De forma predeterminada, la directiva Acceso de red tiene el valor Túnel a la red interna para Secure Web. Con esa configuración, las aplicaciones MDX utilizan los parámetros del túnel dividido de Citrix ADC. El valor predeterminado de la directiva Acceso de red difiere de una aplicación a otra de las aplicaciones móviles de productividad.
Citrix Gateway también tiene un modo de túnel dividido revertido de micro VPN. Esta configuración admite una lista de exclusión de direcciones IP que no se envían por túnel a Citrix ADC. En vez de ello, esas direcciones se envían mediante la conexión a Internet del dispositivo. Para obtener más información sobre el túnel dividido revertido, consulte la documentación de Citrix Gateway.
XenMobile incluye una Lista de exclusión para revertir túnel dividido. Para impedir que determinados sitios web usen el túnel a través de Citrix Gateway, agregue una lista de nombres de dominio completo (FQDN) o sufijos DNS, separados por comas, para que se conecten a través de la red LAN en lugar del túnel. Esta lista se aplica solamente al modo “Exploración segura” cuando Citrix Gateway está configurado en el modo túnel dividido revertido.