Integração e implantação do Secure Web

Para integrar e fornecer o Secure Web, siga estas etapas gerais:

  1. Para ativar o SSO na rede interna, configure Citrix Gateway.

    Para o tráfego HTTP, o Citrix ADC pode fornecer SSO para todos os tipos de autenticação proxy com suporte pelo Citrix ADC. Para o tráfego HTTPS, a política de cache de senha da Web permite ao Secure Web autenticar e fornecer SSO para o servidor proxy por meio de MDX. O MDX dá suporte apenas a autenticação basic, digest e NTLM proxy. A senha é armazenada em cache usando MDX e armazenada no cofre compartilhado do Endpoint Management, uma área de armazenamento segura para os dados confidenciais de aplicativo. Para obter detalhes sobre a configuração do Citrix Gateway, consulte Citrix Gateway.

  2. Baixar o Secure Web.
  3. Determine como você deseja configurar conexões de usuário para a rede interna.
  4. Adicione o Secure Web ao Endpoint Management usando as mesmas etapas que para outros aplicativos MDX e configure as políticas de MDX. Para obter detalhes sobre as políticas específicas para o Secure Web, veja Sobre as políticas do Secure Web.

Configurando conexões de usuário

O Secure Web oferece suporte para as seguintes configurações para conexões de usuário:

  • Com túnel — SSO de Web: As conexões que fazem túnel para a rede interna podem usar uma variação de uma VPN sem cliente, conhecida como Com túnel — SSO de Web. Esta é a configuração padrão especificada para a política de modo VPN preferencial. Com túnel — SSO de Web é recomendado para conexões que exigem logon único (SSO).
  • Túnel VPN completo: Conexões que fazem túnel para a rede interna podem usar um túnel VPN, configurado pela política de modo VPN preferencial. Túnel VPN completo é recomendado para conexões que usam certificados de cliente ou SSL de ponta a ponta a um recurso na rede interna. O túnel VPN completo manipula qualquer protocolo por TCP e pode ser usado com computadores Windows e Mac, além de dispositivos iOS e Android.

Nota:

A tecnologia de preparação MDX está programada para atingir o fim da vida útil (EOL) em setembro de 2021. Para continuar gerenciando seus aplicativos empresariais, você deve incorporar o SDK MAM. O túnel VPN completo não é suportado no modo MDX herdado.

  • A política Permitir comutação de modo VPN permite a comutação automática entre os modos Túnel VPN completo e Com túnel – SSO de Web, conforme necessário. Como padrão, esta política está Desativada. Quando esta política está ativada, uma solicitação de rede que falhar devido a uma solicitação de autenticação que não possa ser processada no modo VPN preferido é repetida no modo alternativo. Por exemplo, o modo de Túnel VPN completo, mas não o modo Com túnel — SSO de Web, pode acomodar desafios do servidor para certificados de cliente. Da mesma forma, os desafios de autenticação HTTP têm maior probabilidade de serem atendidos pelo SSO ao usar o modo Com túnel — SSO de Web.
  • Reverse Split Tunnel: no modo REVERSE, o tráfego para aplicativos de intranet ignora o túnel VPN enquanto outro tráfego passa pelo túnel VPN. Essa política pode ser usada para criar o log de todo o tráfego de LAN não local.

Etapas de configuração de reversão do túnel dividido

Para configurar o modo Reverse de túnel dividido no Citrix Gateway:

  1. Navegue até a política em Políticas > Sessão.
  2. Selecione a política do Secure Hub e navegue até Client Experience > Túnel dividido.
  3. Selecione REVERSE.

A política do MDX da Lista de exclusão de reverse split tunnel

Você configura a política de Modo Reverse de túnel dividido com o intervalo de exclusão Exclusion de dentro do Citrix Endpoint Management. O intervalo é baseado em uma lista de sufixos DNS e FQDN separados por vírgulas. Essa lista define as URLs para as quais o tráfego na rede local (LAN) do dispositivo deve ser enviado e não para o Citrix ADC.

A tabela a seguir indica se o Secure Web pede as credenciais de um usuário, com base na configuração de site e tipo:

Modo de conexão Tipo de Site Senha em cache SSO configurado para o Citrix Gateway Secure Web solicita credenciais no primeiro acesso de um site Secure Web solicita credenciais no acesso subsequente do site Secure Web solicita credenciais após a alteração da senha
Com túnel – SSO de Web HTTP Não Sim Não Não Não
Com túnel – SSO de Web HTTPS Não Sim Não Não Não
VPN completa HTTP Não Sim Não Não Não
VPN completa HTTPS Sim, se a política Secure Web MDX Enable web password caching está definida como On. Não Sim. É necessário para armazenar em cache as credenciais no Secure Web. Não Sim

Políticas do Secure Web

Ao adicionar o Secure Web, leve em consideração essas políticas de MDX que são específicas para o Secure Web. Para todos os dispositivos móveis com suporte:

Websites permitidos ou bloqueados

O Secure Web normalmente não filtra links da Web. Você pode usar essa política para configurar uma lista específica de sites permitidos ou bloqueados. Você pode configurar padrões de URL para restringir os sites que o navegador pode abrir, formatado como uma lista de itens separados por vírgula. Um sinal de mais (+) ou menos (-) precede cada padrão na lista. O navegador compara uma URL conforme com os padrões na ordem listada antes que uma correspondência seja encontrada. Quando uma ocorrência é encontrada, o prefixo determina a ação executada da seguinte maneira:

  • Um prefixo menos instrui o navegador para bloquear o URL. Nesse caso, o URL é tratado como se o endereço do servidor não pudesse ser resolvido.
  • Um prefixo de mais (+) permite que o URL seja processado normalmente.
  • Se nem + ou - for fornecido com o padrão, fica presumido + (permitir).
  • Se o URL não corresponder a nenhum padrão na lista, o URL é permitido

Para bloquear todas as outras URLs, encerre a lista com sinal de menos seguido por um asterisco (-*). Por exemplo:

  • O valor da política +http://*.mycorp.com/*,-http://*,+https://*,+ftp://*,-* permite URLs de HTTP no domínio mycorp.com, mas os bloqueia nos demais lugares, permite URLs de HTTPS e FTP em qualquer lugar, e bloqueia todos os outros URLs.
  • O valor da política +http://*.training.lab/*,+https://*.training.lab/*,-* permite que os usuários abram qualquer site no domínio Training.lab (intranet) via HTTP ou HTTPS. O valor da política não permite que os usuários abram URLs públicas, como Facebook, Google, Hotmail, independentemente do protocolo.

O valor padrão é vazia (todas os URLs são permitidos).

Bloquear pop-ups

Os pop-ups são novas guias que os sites abrem sem a sua permissão. Esta política determina se o Secure Web permite pop-ups. Se o valor for Ativado, o Secure Web impedirá que os sites abram pop-ups. O valor padrão é Desativado.

Indicadores pré-carregados

Define um conjunto de indicadores para o navegador Secure Web. A política é uma lista separada por vírgulas de tuplas que incluem um nome de pasta, o nome amigável e o endereço da Web. Cada tripleto deve ter o formato de pasta, nome, url em que a pasta e o nome podem ser, opcionalmente, colocados entre aspas duplas (“).

Por exemplo, os valores da política,"Mycorp, Inc. home page",https://www.mycorp.com, "MyCorp Links",Account logon,https://www.mycorp.com/Accounts "MyCorp Links/Investor Relations","Contact us",https://www.mycorp.com/IR/Contactus.aspx definem três marcadores. O primeiro é um link primário (sem nome de pasta) intitulado “Mycorp, Inc. home page”. O segundo link é colocado em uma pasta chamada “MyCorp Links” e intitulado “Account logon”. O terceiro é colocado na subpasta “Investor Relations” da pasta “MyCorp Links” e exibido como “Contact us”.

O valor padrão é vazio.

URL da página inicial

Define o site que o Secure Web carrega quando iniciado. O valor padrão é vazio (página inicial padrão).

Apenas para dispositivos Android e iOS com suporte:

Interface do usuário de navegador

Determina o comportamento dos controles da interface do usuário do navegador para o Secure Web. Normalmente, todos os controles de navegação estão disponíveis. Estes incluem avançar, retroceder, barra de endereços e os controles para atualizar/parar. Você pode configurar esta política para restringir o uso e a visibilidade de alguns desses controles. O valor padrão é Todos os controles visíveis.

Opções:

  • Todos os controles visíveis. Todos os controles estão visíveis e os usuários não são impedidos de usá-los.
  • Barra de endereços de somente leitura. Todos os controles estão visíveis, mas os usuários não podem editar o campo de endereço do navegador.
  • Ocultar barra de endereços. Oculta a barra de endereços, mas não outros controles.
  • Ocultar todos os controles. Suprime toda a barra de ferramentas para fornecer uma experiência de navegação sem molduras.

Ativar armazenamento em cache de senha da web

Quando os usuários do Secure Web digitam credenciais ao acessas ou solicitar um recurso da Web, esta política determina se o Secure Web armazena silenciosamente em cache a senha no dispositivo. Esta política se aplica a senhas inseridas nos diálogos de autenticação e não para senhas inseridas em formulários da Web.

Se o valor for Ativado, o Secure Web armazena em cache todas as senhas que os usuários digitarem ao solicitar um recurso da Web. Se o valor for Desativado, o Secure Web não armazena em cache as senhas e remove as senhas existentes armazenadas em cache. O valor padrão é Desativado.

Esta política é ativada somente quando você também define a política de VPN preferida como Túnel VPN completo para este aplicativo.

Servidores proxy

Você também pode configurar servidores proxy para o Secure Web quando usado no modo Com túnel — SSO de Web. Para obter detalhes, consulte esta postagem no blog.

Sufixos DNS

Em Android, se os sufixos DNS não estiverem configurados, a VPN poderá falhar. Para obter detalhes sobre a configuração de sufixos DNS, consulte Suporte a consultas de DNS usando sufixos DNS para dispositivos Android.

Preparação de sites de intranet para o Secure Web

Esta seção é para desenvolvedores de sites que necessitam preparar um site da intranet para uso com o Secure Web para Android e iOS. Sites de Intranet feitos para navegadores de desktop requerem alterações para funcionar corretamente em dispositivos Android e iOS.

Secure Web utiliza o Android WebView e o iOS WkWebView para oferecer suporte à tecnologia da Web. Algumas das tecnologias com suporte pelo Secure Web são:

  • AngularJS
  • ASP .NET
  • JavaScript
  • jQuery
  • WebGL
  • WebSockets (somente no modo irrestrito)

Algumas das tecnologias sem suporte pelo Secure Web são:

  • Flash
  • Java

A tabela a seguir mostra recursos de renderização HTML e tecnologias com suporte para o Secure Web. X indica que o recurso está disponível para uma plataforma, navegador e combinação de componentes.

Tecnologia Secure Web para iOS Secure Web para Android
Mecanismo de JavaScript JavaScriptCore V8
Armazenamento local X X
AppCache X X
IndexedDB   X
SPDY X  
WebP   X
srcet X X
WebGL   X
requestAnimationFrame API   X
Navigation Timing API   X
Resource Timing API   X

As tecnologias funcionam do mesmo modo nos diferentes dispositivos, no entanto, o Secure Web retorna cadeias de caracteres de agente diferentes para dispositivos diferentes. Para determinar a versão do navegador usada para o Secure Web, você pode ver a sua sequência de caracteres de e agente de usuário. Você pode verificar o agente do usuário nos logs do Secure Web. Para obter os logs do Secure Web, navegue até Secure Hub > Ajuda > Notificar problema. Selecione Secure Web na lista de aplicativos. Você recebe um email que contém os arquivos de log compactados em anexo.

Solução de problemas de sites da Intranet

Para solucionar problemas de renderização quando o site de intranet é exibido no Secure Web, compare como o site é exibido no Secure Web e em um navegador compatível de terceiros.

Para iOS, os navegadores de terceiros compatíveis para teste são o Chrome e o Dolphin.

Para o Android, o navegador de terceiro compatível para teste é o Dolphin.

Nota:

Chrome é um navegador nativo no Android. Não o use para a comparação.

No OS, verifique se os navegadores têm suporte a VPN no nível de dispositivo. Você pode configurar esse suporte no dispositivo em Ajustes > VPN > Adicionar configuração de VPN.

Você também pode usar aplicativos cliente VPN disponíveis na App Store, como Citrix Secure Access, Cisco AnyConnect ou Pulse Secure.

  • Se uma página da Web é renderizada do mesmo modo nos dois navegadores, o problema é no seu site. Atualize seu site e verifique se ela funciona bem para o sistema operacional.
  • Se o problema em uma página da Web aparecer somente no Secure Web, entre em contato com o suporte da Citrix para abrir um tíquete de suporte. Forneça as etapas de solução de problemas, incluindo o navegador e os tipos de sistema operacional testados. Se o Secure Web para iOS tiver problemas de exibição, inclua um arquivo da web da página como descrito nas seguintes etapas. Isso ajuda a Citrix resolver o problema de com mais rapidez.

Verifique a conectividade SSL

Assegure-se de que a cadeia de certificados SSL esteja configurada corretamente. Você pode verificar se há autoridades de certificação raiz ou intermediárias ausentes que não estão vinculadas ou instaladas em dispositivos móveis usando o Verificador de Certificados SSL.

Muitos certificados de servidor são assinados por várias Autoridades de Certificação (CA) hierárquicas, o que significa que os certificados formam uma cadeia. Você deve vincular esses certificados. Para obter informações sobre como instalar ou vincular seus certificados, consulte Instalar, vincular e atualizar certificados.

Para criar um arquivo web

Usando o Safari no macOS 10.9 ou posterior, você pode salvar uma página da Web como um arquivo da Web arquivado (chamado de lista de leitura). O arquivo da Web arquivado inclui todos os arquivos vinculados, como imagens, CSS e JavaScript.

  1. No Safari, esvazie a pasta de Lista de leitura: no Finder, clique no menu Ir na barra Menu, selecione Ir para a pasta e digite o nome do caminho ~/Library/Safari/ReadingListArchives/. Agora exclua todas as pastas nesse local.

  2. Na barra Menu, vá para Safari > Preferências > Avançado e ative Mostrar menu Desenvolvedor na barra de menus.

  3. Na barra Menu, vá para Desenvolvedor > Agente do Usuário e insira o agente de usuário do Secure Web: (Mozilla/5.0 (iPad; CPU OS 8_3, como macOS) AppleWebKit/600.1.4 (KHTML, como Gecko) Mobile/12F69 Secure Web/ 10.1.0(build 1.4.0) Safari/8536.25).

  4. No Safari, abra o site que você deseja salvar como lista de leitura (arquivo da Web arquivado).

  5. Na barra Menu, vá até Favoritos > Adicionar à lista de leitura. Esse passo pode levar alguns minutos. O arquivamento ocorre em segundo plano.

  6. Localize a lista de leitura arquivada: na barra Menu, vá até Visualizar > Mostrar Barra Lateral da Lista de Leitura.

  7. Verifique o arquivo:

    • Desative a conectividade de rede para o seu Mac.
    • Abrir o site a partir da lista de leitura.

      O site renderiza completamente.

  8. Compactar o arquivo morto: no Finder, clique no menu Ir na barra Menu, escolha Ir para a pasta e digite o nome do caminho ~/Library/Safari/ReadingListArchives/. Em seguida, compacte a pasta que tem uma cadeia de caracteres hexadecimal aleatória como um nome de arquivo. Este é o arquivo que você pode enviar para o suporte Citrix quando abrir um tíquete de suporte.

Recursos do Secure Web

O Secure Web usa tecnologias de troca de dados móveis para criar um túnel VPN para que os usuários acessem sites internos e externos e todos os outros sites. Os sites incluem sites com informações confidenciais em um ambiente protegido pelas políticas da sua organização.

A integração do Secure Web com o Secure Mail e o Citrix Files oferece uma experiência de usuário excelente no contêiner seguro do Endpoint Management. Veja a seguir alguns exemplos de recursos de integração:

  • Quando os usuários tocam em links Mailto, uma nova mensagem de email é aberta no Secure Mail sem a necessidade de mais nenhuma autenticação.
  • Permitir que links sejam abertos no Secure Web mantendo os dados seguros. Com o Secure Web para iOS e Android, um túnel VPN dedicado permite que os usuários acessem sites com informações confidenciais de forma segura. Eles podem clicar em links do Secure Mail, de dentro do Secure Web, ou de um aplicativo de terceiros. O link é aberto no Secure Web e os dados são contidos de forma segura. Os usuários podem abrir um link interno que tenha o esquema ctxmobilebrowser no Secure Web. Ao fazê-lo, o Secure Web transforma o prefixo ctxmobilebrowser:// em http://. Para abrir um link HTTPS, o Secure Web transforma ctxmobilebrowsers:// em https://.

Esse recurso depende de uma política MDX de interação de aplicativos chamada Troca de documentos recebidos. A política é definida como Irrestrito por padrão. Essa configuração permite que URLs sejam abertas no Secure Web. Você pode alterar a configuração da política para que somente aplicativos incluídos em uma lista de permissão possam se comunicar com o Secure Web.

  • Quando os usuários clicam em um link de intranet contido em uma mensagem de email, o Secure Web vai para aquele site sem que seja necessária nenhuma autenticação adicional.
  • Os usuários podem carregar arquivos para o Citrix Files que eles baixam da Web no Secure Web.

Os usuários do Secure Web também podem executar as seguintes ações:

  • Bloquear pop-ups.

    Nota:

    Grande parte da memória do Secure Web é usada para exibir pop-ups, portanto, o desempenho muitas vezes pode ser melhorado com o bloqueio de pop-ups em Configurações.

  • Marcar seus sites favoritos.
  • Baixar arquivos.
  • Salvar páginas offline.
  • Senhas de salvamento automático.
  • Excluir cache/histórico/cookies.
  • Desabilitar cookies e armazenamento local de HTML5.
  • Compartilhar dispositivos com outros usuários de modo seguro.
  • Pesquisar na barra de endereços.
  • Permitir que aplicativos da Web sejam executados com o Secure Web para acessar a respectiva localização.
  • Exportação e importação de configurações.
  • Abrir arquivos diretamente no Citrix Files sem a necessidade de fazer o download de arquivos. Para habilitar esse recurso, adicione ctx-sf: à política URLs permitidas no Endpoint Management.
  • No iOS, use Ações de toque 3D para abrir uma nova guia e acessar páginas offline, sites favoritos e downloads diretamente da tela inicial.
  • No iOS, baixar arquivos de qualquer tamanho e abri-los no Citrix Files ou em outros aplicativos.

    Nota:

    Se o Secure Web for colocado em segundo plano, o download é interrompido.

  • Pesquisar um termo no modo de exibição de página atual usando Find in Page.

    Imagem da opção de localização na página

O Secure Web também dá suporte a texto dinâmico, de modo que ele exibe a fonte que os usuários definem em seus dispositivos.

Nota:

  • O Citrix Files for XenMobile atingiu o EOL em 1º de julho de 2023. Para obter mais informações, consulte EOL e aplicativos obsoletos
Integração e implantação do Secure Web