citrixsso · iniciodesesiónúnico(sso) paraaplicacionesnativas administradasporcitrix cloud...
TRANSCRIPT
Citrix SSO
Machine translated content
DisclaimerLa versioacuten oficial de este contenido estaacute en ingleacutes Para mayor comodidad parte del contenido de la docu-mentacioacuten de Citrix solo tiene traduccioacuten automaacutetica Citrix no puede controlar el contenido con traduccioacutenautomaacutetica que puede contener errores imprecisiones o un lenguaje inadecuado No se ofrece ninguna garantiacuteani impliacutecita ni expliacutecita en cuanto a la exactitud la fiabilidad la idoneidad o la precisioacuten de las traduccionesrealizadas del original en ingleacutes a cualquier otro idioma o que su producto o servicio de Citrix se ajusten acualquier contenido con traduccioacuten automaacutetica y cualquier garantiacutea provista bajo el contrato de licencia delusuario final o las condiciones de servicio o cualquier otro contrato con Citrix de que el producto o el serviciose ajusten a la documentacioacuten no se aplicaraacute en cuanto dicha documentacioacuten se ha traducido automaacuteticamenteCitrix no se hace responsable de los dantildeos o los problemas que puedan surgir del uso del contenido traducidoautomaacuteticamente
Citrix Product Documentation | docscitrixcom September 15 2020
Citrix SSO
Contents
Citrix SSO para dispositivos iOSmacOS 3
Notas de la versioacuten 4
Configurar Citrix SSO para usuarios de iOS 8
Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico ausuarios de iOS 13
Configurar Citrix SSO para usuarios demacOS 15
Preguntas frecuentes 22
Citrix SSO para dispositivos Android 23
Notas de la versioacuten 23
Configurar la aplicacioacuten Citrix SSO en un entorno MDM 28
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise 28
copy 1999-2020 Citrix Systems Inc All rights reserved 2
Citrix SSO
Citrix SSO para dispositivos iOSmacOS
April 3 2020
El cliente VPN de Citrix heredado se creoacute mediante las API VPN privadas de Apple que ahora estaacutenobsoletas La compatibilidad con VPN en Citrix SSO se vuelve a escribir desde ceromediante elmarcode extensioacuten de red puacuteblica de Apple
Las siguientes son algunas de las principales funciones introducidas con la aplicacioacuten Citrix SSO
bull Tokensde contrasentildea Un tokende contrasentildea es un coacutedigode6diacutegitos que es una alternativaa los Servicios de contrasentildea secundaria como VIP OKTA etc Este coacutedigo utiliza el protocoloTime-based One Time Password (T-OTP) para generar el coacutedigo OTP similar a servicios comoGoogle Authenticator Microsoft Authenticator etc Se solicita a los usuarios dos contrasentildeasdurante la autenticacioacuten en Citrix Gateway para un usuario determinado de Active Directory Elsegundo factor es un coacutedigo cambiante de seis diacutegitos que los usuarios copian desde un servi-cio de terceros registrado comoGoogle oMicrosoftAuthenticator en el explorador de escritorioLos usuarios deben registrarse primero para T-OTP en el dispositivo Citrix ADC Para obtener in-formacioacuten sobre los pasos de registro consulte httpssupportcitrixcomarticleCTX228454En la aplicacioacuten los usuarios puedenagregar la funcioacutenOTPescaneandoel coacutedigoQRgeneradoenCitrix ADCo introduciendomanualmente el secreto TOTP Los tokensOTPuna vez agregadosaparecen en el segmento de tokens de contrasentildea en la interfaz de usuario
Para mejorar la experiencia al agregar un OTP se solicita al usuario que cree un perfil VPN automaacuteti-camente Los usuarios pueden aprovechar este perfil VPN para conectarse a VPN directamente desdesus dispositivos iOS
La aplicacioacuten Citrix SSO se puede utilizar para escanear el coacutedigoQRmientras se registra para obtenercompatibilidad con OTP nativoLa funcionalidad de notificacioacuten Push deCitrix Gateway solo estaacute disponible para los usuarios de la aplicacioacuten Citrix SSO
bull Notificacioacuten push Citrix Gateway enviacutea notificaciones push en su dispositivomoacutevil registradopara obtener una experiencia de autenticacioacuten simplificada de dos factores En lugar de abrirla aplicacioacuten Citrix SSO para escribir el segundo factor OTP en la paacutegina de inicio de sesioacuten deCitrix ADC puede validar su identidad proporcionando el PIN de dispositivoTouch IDID facialpara el dispositivo registrado
Una vez que registre el dispositivo para la notificacioacutenPush tambieacutenpuedeutilizar el dispositivo parala compatibilidad con OTP nativo mediante la aplicacioacuten Citrix SSO El registro para notificacionespush es transparente para el usuario Cuando los usuarios registran TOTP el dispositivo tambieacuten seregistra para Notificaciones Push si Citrix ADC lo admite
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 3
Citrix SSO
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V126
Problemas conocidos
bull VPN a veces se bloquea despueacutes de quemacOS se reactiva del modo de suspensioacuten
[NSHELP-20656 macOS]
V125
Problemas conocidos
bull VPN a veces se bloquea despueacutes de quemacOS se reactiva del modo de suspensioacuten
[NSHELP-20656 macOS]
V124
Problemas conocidos
bull A veces la sesioacuten VPN no responde despueacutes de que el Mac se activa desde el modo de suspen-sioacuten
[NSHELP-20656 macOS]
V123
Novedades
bull Esquema de URL de Citrix SSO Citrix SSO ahora registra un esquema de URL para que otrasaplicaciones puedan determinar si Citrix SSO estaacute instalado en un dispositivo iOS El esquema
copy 1999-2020 Citrix Systems Inc All rights reserved 4
Citrix SSO
de URL es ldquocitrixssordquo
[CGOP-11979 IOS]
Problemas resueltos
bull La aplicacioacuten Citrix SSO se bloquea al enviar traacutefico UDP intenso
[CGOP-11603 macOS]
bull Citrix SSO para iPad se bloquea cuando la aplicacioacuten se inicia desde una notificacioacuten en iOS 13
[NSHELP-21087 IOS]
V122
Problemas resueltos
bull En algunas implementaciones de GSLB Citrix SSO resuelve el nombre de la Gateway varias ve-ces lo que provoca errores de conexioacuten
[CGOP-12013]
bull Citrix SSO para iOS no puede analizar OTPSecret conmaacutes de 16 bytes
[CGOP-11978 IOS]
bull Se pide a los usuarios con perfiles configurados para la autenticacioacuten de solo certificado y unacomprobacioacuten de NAC que introduzcan las credenciales de inicio de sesioacuten y no pueden crearlas conexiones VPN
[CGOP-11925 IOS]
bull Aunque el indicador de tuacutenel dividido por aplicacioacuten solo se comprueba para el traacutefico TCP eltraacutefico ICMP se tuneliza incluso en los casos en que el traacutefico ICMP debe enviarse directamente
[CGOP-11614 IOS]
Problemas conocidos
bull El complemento Citrix Gateway para macOS no admite la funcioacuten que abre la paacutegina de inicioen la aplicacioacuten Citrix Workspace
[NSHELP-7047]
copy 1999-2020 Citrix Systems Inc All rights reserved 5
Citrix SSO
V120
Novedades
bull Compatibilidad con la autenticacioacutennFactor La autenticacioacuten nFactor ahora se admite tantoen iOS como enmacOS
[CGOP-11251]
bull Compatibilidad con la aplicacioacutenCitrix SSO La aplicacioacutenCitrix SSOahora es compatible coniOS 13 y macOS Catalina
[CGOP-11714]
Problemas resueltos
bull La direccioacuten IP del cliente semuestra hacia atraacutes en la paacutegina Conexiones de la aplicacioacuten SSO
[CGOP-11596]
bull Citrix SSO no respeta el bit truncado DNS en el indicador DNS de Citrix ADC versioacuten 130
[CGOP-11777]
bull El tuacutenel dividido por aplicacioacuten no es compatible con Citrix ADC versioacuten 130
[CGOP-11464]
bull Citrix SSO ignora algunos de los mensajes de tiempo de espera de Citrix Gateway
[CGOP-11310]
bull Cuando los usuarios inician sesioacuten en la aplicacioacutenpor primera vez la uacuteltima liacutenea de la descrip-cioacuten de la aplicacioacuten no aparece en la pantalla del usuario
[CGOP-11595 macOS]
bull El tamantildeo de la ventana de inicio de sesioacuten de la aplicacioacuten Citrix SSO sigue aumentando alhacer clic repetidamente en el botoacuten Inicio de sesioacuten
[CGOP-11594 macOS]
bull Cuando se supera el liacutemitemaacuteximo de usuarios con licencia semuestra unmensaje de error enel nivel del sistema y no en la ventana de la aplicacioacuten
[CGOP-11600 macOS]
copy 1999-2020 Citrix Systems Inc All rights reserved 6
Citrix SSO
V1112
Novedades
bull Recopilacioacuten de datos de telemetriacutea paramacOS Citrix SSO recopila eventos de anaacutelisis per-sonalizados relacionados con el uso de VPN en la aplicacioacuten
[CGOP-9789 macOS]
bull Soporte de tuacutenel dividido por aplicacioacuten Los administradores pueden configurar el tuacuteneldividido por aplicacioacuten El traacutefico por aplicacioacuten que coincide con las rutas de intranet de CitrixGateway se canaliza al dispositivo Citrix Gateway
[CGOP-657]
bull FQDNTuacutenel Split Tuacutenel traacuteficobasadoenel FQDNdel sistema FQDNTuacutenel Split Tuacutenel traacuteficobasado en el FQDN del sistema en lugar de la IP resuelta por los servidores DNS
[CGOP-316]
Problemas resueltos
bull Los elementos de la interfaz de usuario como botones campos de texto etiquetas etc estaacutendesalineados en las pantallas del iPad
[CGOP-10141 IOS]
bull Los usuarios no reciben notificacioacuten de un inicio de sesioacuten remoto si no tienen un perfil VPNagregado
[CGOP-9731 IOS]
V1110
Problemas resueltos
bull LaaplicacioacutenCitrix SSOnomuestraelmensajedeerror adecuadoal alcanzar el nuacutemeromaacuteximode usuarios cuando
[CGOP-231]
bull La casilla de verificacioacuten EULA no estaacute desactivada de forma predeterminada
[CGOP-245]
bull No se admite la funcionalidad de adicioacuten para el anaacutelisis ldquohabilitadordquo de antiphishing en End-point Analysis
[CGOP-249]
copy 1999-2020 Citrix Systems Inc All rights reserved 7
Citrix SSO
bull La seleccioacuten automaacutetica del certificado clientedispositivo para la autenticacioacuten no ocurre in-cluso si solo hay un clientedispositivo presente en el llavero
[CGOP-251]
bull No se puede agregar un lsquoregistro de conexioacutenrsquo despueacutes de modificar uno en la aplicacioacuten CitrixSSO
[CGOP-7256]
iexclCopiadoFailed
Configurar Citrix SSO para usuarios de iOS
April 3 2020
IMPORTANTE Citrix VPN no se puede utilizar en iOS 12 y versiones posteriores Para continuarcon VPN use la aplicacioacuten Citrix SSO
En la siguiente tabla se compara la disponibilidad de diversas funciones entre Citrix VPN y Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
VPN a nivel de dispositivo Se admite Se admite
VPN por aplicacioacuten (soloMDM)
Se admite Se admite
Tuacutenel dividido por aplicacioacuten No se admite Se admite
Perfiles VPN configurados porMDM
Se admite Se admite
VPN a demanda Se admite Se admite
Tokens de contrasentildea(basados en T-OTP)
No se admite Se admite
Inicio de sesioacuten basado ennotificaciones push (segundofactor desde el teleacutefonoregistrado)
No se admite Se admite
Autenticacioacuten basada encertificados
Se admite Se admite
Autenticacioacuten de nombre deusuariocontrasentildea
Se admite Se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 8
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Comprobacioacuten del control deacceso a redes con CitrixEndpoint Management(anteriormente XenMobile)
No se admite Se admite
Comprobacioacuten del control deacceso a la red con MicrosoftIntune
Se admite Se admite
Compatibilidad con DTLS No se admite Se admite
Bloquear perfiles VPNcreados por el usuario
Se admite Se admite
Inicio de sesioacuten uacutenico (SSO)para aplicaciones nativasadministradas por CitrixCloud
No se admite Se admite
Versioacuten de SO compatible iOS 9 10 11 (no funciona apartir de iOS 12+)
iOS 9+
Compatibilidad con productos MDM
Citrix SSO es compatible con la mayoriacutea de los proveedores de MDM como Citrix Endpoint Manage-ment (anteriormente XenMobile) Microsoft Intune etc
Citrix SSO tambieacuten admite una funcioacuten denominada Control de acceso a redes (NAC) Para obtenermaacutes informacioacuten sobre NAC haga clic en aquiacute Con NAC los administradores de MDM pueden exigirel cumplimiento de los dispositivos del usuario final antes de conectarse a Citrix ADC NAC en CitrixSSO requiere un servidor MDM como Citrix Endpoint Management o Intune y Citrix ADC
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-On
copy 1999-2020 Citrix Systems Inc All rights reserved 9
Citrix SSO
siguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o laconfiguracioacuten de carga uacutetil de MDM VPN de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo en Citrix Endpoint Manage-ment
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 Seleccione iOS en el panel de la izquierda Plataforma de directivas Seleccione VPN en el panelderecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina Directiva de VPN para iOS escriba un nombre de conexioacuten vaacutelido y elija SSL person-alizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewayiosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO en iOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewayiosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSO iOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN (nombre de dominiocompleto) de Citrix ADC asociado a esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
copy 1999-2020 Citrix Systems Inc All rights reserved 10
Citrix SSO
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
Realice los siguientes pasos para configurar una VPN por aplicacioacuten
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
4 En Tipo de proveedor seleccione Tuacutenel de paquetes
Nota En la carga uacutetil MDM VPN este campo corresponde al tipo de proveedorclave
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
14 Haga clic en Siguiente
15 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
copy 1999-2020 Citrix Systems Inc All rights reserved 11
Citrix SSO
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Key = rdquoPerAppSplitTunnelrdquo2 - Value = rdquotrue or 1 or yesrdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Key = rdquodisableUserProfilesrdquo2 - Value = rdquotrue or 1 or yesrdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
copy 1999-2020 Citrix Systems Inc All rights reserved 12
Citrix SSO
Problemas conocidos
Descripcioacuten del problema Tunelizacioacuten para direcciones FQDN que contienen un dominio ldquolocalrdquoen configuraciones VPN por aplicacioacuten o VPN bajo demanda Hay un error en el marco de extensioacutende red de Apple que impide que las direcciones FQDN que contienen local en la parte del dominio(por ejemplo httpwwwwabclocal) pasen a ser de tuacutenel a traveacutes de la interfaz TUN del sistema Eltraacutefico de esta direccioacuten se enviacutea a traveacutes de la interfaz fiacutesica del dispositivo en su lugar El problemase observa solo con las configuraciones VPN por aplicacioacuten o VPN bajo demanda y no se ve con lasconfiguraciones VPN de todo el sistema Citrix ha presentado un informe de error de radar a Apple yApple habiacutea sentildealado que de acuerdo con RFC-6762httpstoolsietforghtmlrfc6762local es unaconsulta DNS de multidifusioacuten (MDN) y por lo tanto no es un error Sin embargo Apple auacuten no hacerrado el error y no estaacute claro si el problema se resolveraacute en futuras versiones de iOS
Solucioacuten alternativa Asigne un nombre de dominiolocal para direcciones como la solucioacuten alterna-tiva
Limitaciones
bull La tunelizacioacuten dividida basada en FQDN auacuten no es totalmente compatiblebull El anaacutelisis de punto final (EPA) no es compatible con iOSbull No se admite el tuacutenel dividido basado en puertosprotocolos
iexclCopiadoFailed
Enviar identidad de certificado de usuario como datos adjuntos decorreo electroacutenico a usuarios de iOS
April 3 2020
Citrix SSO en iOS admite la autenticacioacuten de certificados de cliente con Citrix Gateway En iOS loscertificados se pueden entregar a la aplicacioacuten Citrix SSO de una de las siguientes maneras
bull Servidor MDM Este es el enfoque preferido para los clientes de MDM Los certificados se con-figuran directamente en el perfil VPN administrado MDM Los perfiles VPN y los certificados seenviacuteana continuacioacutena losdispositivos inscritos cuandoel dispositivo se inscribe enel servidorMDM Siga los documentos especiacuteficos del proveedor de MDM para este enfoque
bull Correo electroacutenico uacutenico enfoque para clientes que no sean MDM En este enfoque los admin-istradores enviacutean un correo electroacutenico con la identidad del certificado de usuario (certificadoy clave privada) adjunta como un archivo PCKS 12 a los usuarios Los usuarios deben tener
copy 1999-2020 Citrix Systems Inc All rights reserved 13
Citrix SSO
sus cuentas de correo electroacutenico configuradas en su dispositivo iOS para recibir el correo elec-troacutenico con datos adjuntos El archivo se puede importar a la aplicacioacuten Citrix SSO en iOS En lasiguiente seccioacuten se explican los pasos de configuracioacuten para este enfoque
Requisitos previos
bull Certificado de usuario Archivo de identidad PKCS 12 con una extensioacutenpfx op12 para unusuario determinado Este archivo contiene tanto el certificado como la clave privada
bull Cuenta de correo electroacutenico configurada en el dispositivo iOS
bull Aplicacioacuten Citrix SSO instalada en el dispositivo iOS
Pasos de configuracioacuten
1 Cambie el nombre del tipo de extensioacuten o MIME del certificado de usuario
Las extensiones de archivomaacutes utilizadas para el certificado de usuario son ldquopfxrdquo ldquop12rdquo etc Estas ex-tensiones de archivo no son estaacutendar para la plataforma iOS a diferencia de formatos comopdfdocTanto ldquopfxrdquo como ldquop12rdquo son reclamados por el sistema iOS y no pueden ser reclamados por aplica-ciones de terceros como Citrix SSO Por lo tanto Citrix SSO ha definido un nuevo tipo de extensioacuten oMIME llamado ldquocitrixsso-pfxrdquo y ldquocitrixsso-p12rdquo Los administradores deben cambiar el tipo de exten-sioacuten o MIME del certificado de usuario de ldquopfxrdquo estaacutendar o ldquop12rdquo a ldquocitrixsso-pfxrdquo o ldquocitrixsso-p12rdquorespectivamente Para cambiar el nombre de la extensioacuten los administradores pueden ejecutar elsiguiente comando en el siacutembolo del sistema o terminal
Windows 10
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 rename ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-
pfx
macOS
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 mv ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-pfx
2 Enviar el archivo como un archivo adjunto de correo electroacutenicoEl archivo de certificado de usuario con la nueva extensioacuten se puede enviar como un archivo adjuntode correo electroacutenico al usuario
Al recibir el correo electroacutenico los usuarios deben instalar el certificado en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 14
Citrix SSO
iexclCopiadoFailed
Configurar Citrix SSO para usuarios demacOS
April 3 2020
La aplicacioacuten Citrix SSO paramacOS proporciona lamejor solucioacuten de proteccioacuten de datos y acceso aaplicaciones que ofrece Citrix Gateway Ahora puede acceder de forma segura a las aplicaciones criacuteti-cas para el negocio los escritorios virtuales y los datos corporativos en cualquier momento y desdecualquier lugarCitrix SSO es el cliente VPNde proacutexima generacioacuten para Citrix Gateway para crear y administrar conex-iones VPN desde dispositivos macOS Citrix SSO se crea mediante el marco de extensioacuten de red (NE)de Apple NE framework de Apple es una biblioteca moderna que contiene API que se pueden uti-lizar para personalizar y ampliar las funciones principales de red de macOS La extensioacuten de red consoporte para SSL VPN estaacute disponible en dispositivos que ejecutanmacOS 1011+
La aplicacioacuten Citrix SSO reemplaza el complemento heredado de Citrix Gateway basado en Exten-siones de nuacutecleo (KE) que Apple va a dejar de utilizar pronto Citrix SSO App admite funciones avan-zadas como Conexiones iniciadas por el servidor y DTLS
La aplicacioacuten Citrix SSO proporciona compatibilidad completa con la administracioacuten de dispositivosmoacuteviles (MDM) en macOS Con un servidor MDM un administrador ahora puede configurar y admin-istrar de forma remota perfiles VPN a nivel de dispositivo y por aplicacioacutenLa aplicacioacuten Citrix SSO para macOS se puede instalar desde una almaceacuten de aplicaciones Mac
Comparacioacuten de funciones entre Citrix VPN y Citrix SSO
En la siguiente tabla se compara la disponibilidad de diversas funciones entre Citrix VPN y Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Meacutetodo de distribucioacuten deaplicaciones
paacutegina Descargas de Citrix App Store
Nuacutemero de conexiones entuacutenel
128 128
Acceso desde explorador Se admite No se admite
Acceso desde aplicacioacutennativa
Se admite Se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 15
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Tuacutenel dividido (DESACTI-VADOACTIVADOINVERSO)
Se admite Se admite
DNS dividido(LOCALREMOTOAMBOS)
REMOTO REMOTO
Acceso a LAN local Habilitar o inhabilitar Siempre habilitado
Compatibilidad conconexiones iniciadas por elservidor (SIC)
No se admite Se admite
Transferir el inicio de sesioacuten Se admite Se admite
Proxy del lado del cliente Se admite No se admite
Compatibilidad con EPAcaacutesicoOpswat
Se admite Se admite
Compatibilidad concertificados de dispositivo
Se admite Se admite
Compatibilidad con tiempode espera de sesioacuten
Se admite Se admite
Compatibilidad con tiempode espera forzado
Se admite Se admite
Compatibilidad con tiempode espera inactivo
Se admite No se admite
IPV6 No se admite Se admite
Itinerancia de red(conmutacioacuten entre Wi-FiEthernet etc)
Se admite Se admite
Compatibilidad conaplicaciones de intranet
Se admite Se admite
Compatibilidad con DTLSpara UDP
No se admite Se admite
Compatibilidad con contratode licencia de usuario final
Se admite Se admite
Integracioacuten de aplicaciones +Receiver
Se admite No se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 16
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Autenticacioacuten Local LDAPRADIUS
Se admite Se admite
Autenticacioacuten de certificadosde cliente
Se admite Se admite
Compatibilidad con TLS(TLS1 TLS11 y TLS12)
Se admite Se admite
Autenticacioacuten de dos factores Se admite Se admite
Compatibilidad con productos MDM
Citrix SSO para macOS es compatible con la mayoriacutea de los proveedores de MDM como Citrix Xen-Mobile Microsoft Intune etc Es compatible con una funcioacuten denominada Control de acceso a redes(NAC) mediante la cual los administradores de MDM pueden imponer el cumplimiento de los dispos-itivos del usuario final antes de conectarse a Citrix Gateway NAC en Citrix SSO requiere un servidorMDM como XenMobile o Intune y Citrix Gateway Para obtener maacutes informacioacuten sobre NAC haga clicen aquiacute
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-Onsiguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o la deConfiguracioacuten de carga uacutetil VPN MDM de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 17
Citrix SSO
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 SeleccionemacOS en el panel de la izquierda Plataforma de directivas Seleccione Directiva VPNen el panel derecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina de detalles de directiva para macOS escriba un nombre de conexioacuten vaacutelido y elijaSSL personalizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewaymacosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO enmacOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewaymacosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSOmacOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN de Citrix ADC asociadoa esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se encuentran en la documentacioacuten de Citrix Endpoint Management
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 18
Citrix SSO
Realice los siguientes pasos para configurar una VPN por aplicacioacuten en Citrix Endpoint Management
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
13 Haga clic en Siguiente
14 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Clave = rdquoPerAppsPlitTunnelrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
copy 1999-2020 Citrix Systems Inc All rights reserved 19
Citrix SSO
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Clave = rdquoDisableUserProfilesrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Problemas conocidos
Los siguientes son los problemas conocidos actualmente
bull El inicio de sesioacuten de EPA falla si el usuario se coloca en el grupo de cuarentenabull No se muestra el mensaje de advertencia de tiempo de espera forzadobull La aplicacioacuten SSO permite iniciar sesioacuten si el tuacutenel dividido estaacute activado y no hay aplicacionesde intranet configuradas
Limitaciones
Las siguientes son las limitaciones actuales
bull Algunos de los anaacutelisis EPA (por ejemplo anaacutelisis de administracioacuten de parches exploracioacutendel explorador web proceso de eliminacioacuten) podriacutean fallar debido al acceso restringido a laaplicacioacuten SSO debido al espacio limitado
copy 1999-2020 Citrix Systems Inc All rights reserved 20
Citrix SSO
bull No se admite el tuacutenel dividido basado en puertosprotocolos
Preguntas frecuentes
En esta seccioacuten se recogen las preguntas frecuentes de la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplica principalmente a los clientes que no son MDM que no utilizan un servi-dor MDM para distribuir certificados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSOa traveacutes de correo electroacutenicordquo para poder distribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM deMicrosoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradores pueden protegersu red interna empresarial agregando una capa adicional de autenticacioacuten para dispositivos moacutevilesadministrados por un servidor MDM Los administradores pueden aplicar una comprobacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlace
copy 1999-2020 Citrix Systems Inc All rights reserved 21
Citrix SSO
bull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Preguntas frecuentes
April 3 2020
En esta seccioacuten se recogen las preguntas maacutes frecuentes en la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplicaprincipalmente a los clientes que no son MDM que no utilizan un servidor MDM para distribuir certifi-cados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSO a traveacutes de correo electroacutenicordquopara poderdistribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM de
copy 1999-2020 Citrix Systems Inc All rights reserved 22
Citrix SSO
Microsoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradorespueden proteger su red interna empresarial agregando una capa adicional de autenticacioacuten para dis-positivos moacuteviles administrados por un servidor MDM Los administradores pueden aplicar una com-probacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlacebull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Citrix SSO para dispositivos Android
April 3 2020
Citrix SSO ofrece la mejor solucioacuten de proteccioacuten de datos y acceso a las aplicaciones con Citrix Gate-way Ahora puede acceder de forma segura a las aplicaciones criacuteticas para el negocio los escritoriosvirtuales y los datos corporativos en cualquier momento y desde cualquier lugar
iexclCopiadoFailed
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
copy 1999-2020 Citrix Systems Inc All rights reserved 23
Citrix SSO
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V2314
Problemas resueltos
bull Citrix SSO ahora maneja correctamente el mensaje final de establecimiento de sesioacuten VPN
[CGOP-12488]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2313
Problemas resueltos
bull La direccioacuten IP de Citrix Gateway se resuelve solo una vez
Anteriormente la direccioacuten IP de Citrix Gateway se resolvioacute varias veces lo que ocasionaba er-rores de conexioacuten a veces
[CGOP-12101]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2312
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
Contents
Citrix SSO para dispositivos iOSmacOS 3
Notas de la versioacuten 4
Configurar Citrix SSO para usuarios de iOS 8
Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico ausuarios de iOS 13
Configurar Citrix SSO para usuarios demacOS 15
Preguntas frecuentes 22
Citrix SSO para dispositivos Android 23
Notas de la versioacuten 23
Configurar la aplicacioacuten Citrix SSO en un entorno MDM 28
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise 28
copy 1999-2020 Citrix Systems Inc All rights reserved 2
Citrix SSO
Citrix SSO para dispositivos iOSmacOS
April 3 2020
El cliente VPN de Citrix heredado se creoacute mediante las API VPN privadas de Apple que ahora estaacutenobsoletas La compatibilidad con VPN en Citrix SSO se vuelve a escribir desde ceromediante elmarcode extensioacuten de red puacuteblica de Apple
Las siguientes son algunas de las principales funciones introducidas con la aplicacioacuten Citrix SSO
bull Tokensde contrasentildea Un tokende contrasentildea es un coacutedigode6diacutegitos que es una alternativaa los Servicios de contrasentildea secundaria como VIP OKTA etc Este coacutedigo utiliza el protocoloTime-based One Time Password (T-OTP) para generar el coacutedigo OTP similar a servicios comoGoogle Authenticator Microsoft Authenticator etc Se solicita a los usuarios dos contrasentildeasdurante la autenticacioacuten en Citrix Gateway para un usuario determinado de Active Directory Elsegundo factor es un coacutedigo cambiante de seis diacutegitos que los usuarios copian desde un servi-cio de terceros registrado comoGoogle oMicrosoftAuthenticator en el explorador de escritorioLos usuarios deben registrarse primero para T-OTP en el dispositivo Citrix ADC Para obtener in-formacioacuten sobre los pasos de registro consulte httpssupportcitrixcomarticleCTX228454En la aplicacioacuten los usuarios puedenagregar la funcioacutenOTPescaneandoel coacutedigoQRgeneradoenCitrix ADCo introduciendomanualmente el secreto TOTP Los tokensOTPuna vez agregadosaparecen en el segmento de tokens de contrasentildea en la interfaz de usuario
Para mejorar la experiencia al agregar un OTP se solicita al usuario que cree un perfil VPN automaacuteti-camente Los usuarios pueden aprovechar este perfil VPN para conectarse a VPN directamente desdesus dispositivos iOS
La aplicacioacuten Citrix SSO se puede utilizar para escanear el coacutedigoQRmientras se registra para obtenercompatibilidad con OTP nativoLa funcionalidad de notificacioacuten Push deCitrix Gateway solo estaacute disponible para los usuarios de la aplicacioacuten Citrix SSO
bull Notificacioacuten push Citrix Gateway enviacutea notificaciones push en su dispositivomoacutevil registradopara obtener una experiencia de autenticacioacuten simplificada de dos factores En lugar de abrirla aplicacioacuten Citrix SSO para escribir el segundo factor OTP en la paacutegina de inicio de sesioacuten deCitrix ADC puede validar su identidad proporcionando el PIN de dispositivoTouch IDID facialpara el dispositivo registrado
Una vez que registre el dispositivo para la notificacioacutenPush tambieacutenpuedeutilizar el dispositivo parala compatibilidad con OTP nativo mediante la aplicacioacuten Citrix SSO El registro para notificacionespush es transparente para el usuario Cuando los usuarios registran TOTP el dispositivo tambieacuten seregistra para Notificaciones Push si Citrix ADC lo admite
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 3
Citrix SSO
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V126
Problemas conocidos
bull VPN a veces se bloquea despueacutes de quemacOS se reactiva del modo de suspensioacuten
[NSHELP-20656 macOS]
V125
Problemas conocidos
bull VPN a veces se bloquea despueacutes de quemacOS se reactiva del modo de suspensioacuten
[NSHELP-20656 macOS]
V124
Problemas conocidos
bull A veces la sesioacuten VPN no responde despueacutes de que el Mac se activa desde el modo de suspen-sioacuten
[NSHELP-20656 macOS]
V123
Novedades
bull Esquema de URL de Citrix SSO Citrix SSO ahora registra un esquema de URL para que otrasaplicaciones puedan determinar si Citrix SSO estaacute instalado en un dispositivo iOS El esquema
copy 1999-2020 Citrix Systems Inc All rights reserved 4
Citrix SSO
de URL es ldquocitrixssordquo
[CGOP-11979 IOS]
Problemas resueltos
bull La aplicacioacuten Citrix SSO se bloquea al enviar traacutefico UDP intenso
[CGOP-11603 macOS]
bull Citrix SSO para iPad se bloquea cuando la aplicacioacuten se inicia desde una notificacioacuten en iOS 13
[NSHELP-21087 IOS]
V122
Problemas resueltos
bull En algunas implementaciones de GSLB Citrix SSO resuelve el nombre de la Gateway varias ve-ces lo que provoca errores de conexioacuten
[CGOP-12013]
bull Citrix SSO para iOS no puede analizar OTPSecret conmaacutes de 16 bytes
[CGOP-11978 IOS]
bull Se pide a los usuarios con perfiles configurados para la autenticacioacuten de solo certificado y unacomprobacioacuten de NAC que introduzcan las credenciales de inicio de sesioacuten y no pueden crearlas conexiones VPN
[CGOP-11925 IOS]
bull Aunque el indicador de tuacutenel dividido por aplicacioacuten solo se comprueba para el traacutefico TCP eltraacutefico ICMP se tuneliza incluso en los casos en que el traacutefico ICMP debe enviarse directamente
[CGOP-11614 IOS]
Problemas conocidos
bull El complemento Citrix Gateway para macOS no admite la funcioacuten que abre la paacutegina de inicioen la aplicacioacuten Citrix Workspace
[NSHELP-7047]
copy 1999-2020 Citrix Systems Inc All rights reserved 5
Citrix SSO
V120
Novedades
bull Compatibilidad con la autenticacioacutennFactor La autenticacioacuten nFactor ahora se admite tantoen iOS como enmacOS
[CGOP-11251]
bull Compatibilidad con la aplicacioacutenCitrix SSO La aplicacioacutenCitrix SSOahora es compatible coniOS 13 y macOS Catalina
[CGOP-11714]
Problemas resueltos
bull La direccioacuten IP del cliente semuestra hacia atraacutes en la paacutegina Conexiones de la aplicacioacuten SSO
[CGOP-11596]
bull Citrix SSO no respeta el bit truncado DNS en el indicador DNS de Citrix ADC versioacuten 130
[CGOP-11777]
bull El tuacutenel dividido por aplicacioacuten no es compatible con Citrix ADC versioacuten 130
[CGOP-11464]
bull Citrix SSO ignora algunos de los mensajes de tiempo de espera de Citrix Gateway
[CGOP-11310]
bull Cuando los usuarios inician sesioacuten en la aplicacioacutenpor primera vez la uacuteltima liacutenea de la descrip-cioacuten de la aplicacioacuten no aparece en la pantalla del usuario
[CGOP-11595 macOS]
bull El tamantildeo de la ventana de inicio de sesioacuten de la aplicacioacuten Citrix SSO sigue aumentando alhacer clic repetidamente en el botoacuten Inicio de sesioacuten
[CGOP-11594 macOS]
bull Cuando se supera el liacutemitemaacuteximo de usuarios con licencia semuestra unmensaje de error enel nivel del sistema y no en la ventana de la aplicacioacuten
[CGOP-11600 macOS]
copy 1999-2020 Citrix Systems Inc All rights reserved 6
Citrix SSO
V1112
Novedades
bull Recopilacioacuten de datos de telemetriacutea paramacOS Citrix SSO recopila eventos de anaacutelisis per-sonalizados relacionados con el uso de VPN en la aplicacioacuten
[CGOP-9789 macOS]
bull Soporte de tuacutenel dividido por aplicacioacuten Los administradores pueden configurar el tuacuteneldividido por aplicacioacuten El traacutefico por aplicacioacuten que coincide con las rutas de intranet de CitrixGateway se canaliza al dispositivo Citrix Gateway
[CGOP-657]
bull FQDNTuacutenel Split Tuacutenel traacuteficobasadoenel FQDNdel sistema FQDNTuacutenel Split Tuacutenel traacuteficobasado en el FQDN del sistema en lugar de la IP resuelta por los servidores DNS
[CGOP-316]
Problemas resueltos
bull Los elementos de la interfaz de usuario como botones campos de texto etiquetas etc estaacutendesalineados en las pantallas del iPad
[CGOP-10141 IOS]
bull Los usuarios no reciben notificacioacuten de un inicio de sesioacuten remoto si no tienen un perfil VPNagregado
[CGOP-9731 IOS]
V1110
Problemas resueltos
bull LaaplicacioacutenCitrix SSOnomuestraelmensajedeerror adecuadoal alcanzar el nuacutemeromaacuteximode usuarios cuando
[CGOP-231]
bull La casilla de verificacioacuten EULA no estaacute desactivada de forma predeterminada
[CGOP-245]
bull No se admite la funcionalidad de adicioacuten para el anaacutelisis ldquohabilitadordquo de antiphishing en End-point Analysis
[CGOP-249]
copy 1999-2020 Citrix Systems Inc All rights reserved 7
Citrix SSO
bull La seleccioacuten automaacutetica del certificado clientedispositivo para la autenticacioacuten no ocurre in-cluso si solo hay un clientedispositivo presente en el llavero
[CGOP-251]
bull No se puede agregar un lsquoregistro de conexioacutenrsquo despueacutes de modificar uno en la aplicacioacuten CitrixSSO
[CGOP-7256]
iexclCopiadoFailed
Configurar Citrix SSO para usuarios de iOS
April 3 2020
IMPORTANTE Citrix VPN no se puede utilizar en iOS 12 y versiones posteriores Para continuarcon VPN use la aplicacioacuten Citrix SSO
En la siguiente tabla se compara la disponibilidad de diversas funciones entre Citrix VPN y Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
VPN a nivel de dispositivo Se admite Se admite
VPN por aplicacioacuten (soloMDM)
Se admite Se admite
Tuacutenel dividido por aplicacioacuten No se admite Se admite
Perfiles VPN configurados porMDM
Se admite Se admite
VPN a demanda Se admite Se admite
Tokens de contrasentildea(basados en T-OTP)
No se admite Se admite
Inicio de sesioacuten basado ennotificaciones push (segundofactor desde el teleacutefonoregistrado)
No se admite Se admite
Autenticacioacuten basada encertificados
Se admite Se admite
Autenticacioacuten de nombre deusuariocontrasentildea
Se admite Se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 8
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Comprobacioacuten del control deacceso a redes con CitrixEndpoint Management(anteriormente XenMobile)
No se admite Se admite
Comprobacioacuten del control deacceso a la red con MicrosoftIntune
Se admite Se admite
Compatibilidad con DTLS No se admite Se admite
Bloquear perfiles VPNcreados por el usuario
Se admite Se admite
Inicio de sesioacuten uacutenico (SSO)para aplicaciones nativasadministradas por CitrixCloud
No se admite Se admite
Versioacuten de SO compatible iOS 9 10 11 (no funciona apartir de iOS 12+)
iOS 9+
Compatibilidad con productos MDM
Citrix SSO es compatible con la mayoriacutea de los proveedores de MDM como Citrix Endpoint Manage-ment (anteriormente XenMobile) Microsoft Intune etc
Citrix SSO tambieacuten admite una funcioacuten denominada Control de acceso a redes (NAC) Para obtenermaacutes informacioacuten sobre NAC haga clic en aquiacute Con NAC los administradores de MDM pueden exigirel cumplimiento de los dispositivos del usuario final antes de conectarse a Citrix ADC NAC en CitrixSSO requiere un servidor MDM como Citrix Endpoint Management o Intune y Citrix ADC
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-On
copy 1999-2020 Citrix Systems Inc All rights reserved 9
Citrix SSO
siguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o laconfiguracioacuten de carga uacutetil de MDM VPN de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo en Citrix Endpoint Manage-ment
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 Seleccione iOS en el panel de la izquierda Plataforma de directivas Seleccione VPN en el panelderecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina Directiva de VPN para iOS escriba un nombre de conexioacuten vaacutelido y elija SSL person-alizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewayiosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO en iOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewayiosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSO iOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN (nombre de dominiocompleto) de Citrix ADC asociado a esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
copy 1999-2020 Citrix Systems Inc All rights reserved 10
Citrix SSO
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
Realice los siguientes pasos para configurar una VPN por aplicacioacuten
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
4 En Tipo de proveedor seleccione Tuacutenel de paquetes
Nota En la carga uacutetil MDM VPN este campo corresponde al tipo de proveedorclave
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
14 Haga clic en Siguiente
15 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
copy 1999-2020 Citrix Systems Inc All rights reserved 11
Citrix SSO
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Key = rdquoPerAppSplitTunnelrdquo2 - Value = rdquotrue or 1 or yesrdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Key = rdquodisableUserProfilesrdquo2 - Value = rdquotrue or 1 or yesrdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
copy 1999-2020 Citrix Systems Inc All rights reserved 12
Citrix SSO
Problemas conocidos
Descripcioacuten del problema Tunelizacioacuten para direcciones FQDN que contienen un dominio ldquolocalrdquoen configuraciones VPN por aplicacioacuten o VPN bajo demanda Hay un error en el marco de extensioacutende red de Apple que impide que las direcciones FQDN que contienen local en la parte del dominio(por ejemplo httpwwwwabclocal) pasen a ser de tuacutenel a traveacutes de la interfaz TUN del sistema Eltraacutefico de esta direccioacuten se enviacutea a traveacutes de la interfaz fiacutesica del dispositivo en su lugar El problemase observa solo con las configuraciones VPN por aplicacioacuten o VPN bajo demanda y no se ve con lasconfiguraciones VPN de todo el sistema Citrix ha presentado un informe de error de radar a Apple yApple habiacutea sentildealado que de acuerdo con RFC-6762httpstoolsietforghtmlrfc6762local es unaconsulta DNS de multidifusioacuten (MDN) y por lo tanto no es un error Sin embargo Apple auacuten no hacerrado el error y no estaacute claro si el problema se resolveraacute en futuras versiones de iOS
Solucioacuten alternativa Asigne un nombre de dominiolocal para direcciones como la solucioacuten alterna-tiva
Limitaciones
bull La tunelizacioacuten dividida basada en FQDN auacuten no es totalmente compatiblebull El anaacutelisis de punto final (EPA) no es compatible con iOSbull No se admite el tuacutenel dividido basado en puertosprotocolos
iexclCopiadoFailed
Enviar identidad de certificado de usuario como datos adjuntos decorreo electroacutenico a usuarios de iOS
April 3 2020
Citrix SSO en iOS admite la autenticacioacuten de certificados de cliente con Citrix Gateway En iOS loscertificados se pueden entregar a la aplicacioacuten Citrix SSO de una de las siguientes maneras
bull Servidor MDM Este es el enfoque preferido para los clientes de MDM Los certificados se con-figuran directamente en el perfil VPN administrado MDM Los perfiles VPN y los certificados seenviacuteana continuacioacutena losdispositivos inscritos cuandoel dispositivo se inscribe enel servidorMDM Siga los documentos especiacuteficos del proveedor de MDM para este enfoque
bull Correo electroacutenico uacutenico enfoque para clientes que no sean MDM En este enfoque los admin-istradores enviacutean un correo electroacutenico con la identidad del certificado de usuario (certificadoy clave privada) adjunta como un archivo PCKS 12 a los usuarios Los usuarios deben tener
copy 1999-2020 Citrix Systems Inc All rights reserved 13
Citrix SSO
sus cuentas de correo electroacutenico configuradas en su dispositivo iOS para recibir el correo elec-troacutenico con datos adjuntos El archivo se puede importar a la aplicacioacuten Citrix SSO en iOS En lasiguiente seccioacuten se explican los pasos de configuracioacuten para este enfoque
Requisitos previos
bull Certificado de usuario Archivo de identidad PKCS 12 con una extensioacutenpfx op12 para unusuario determinado Este archivo contiene tanto el certificado como la clave privada
bull Cuenta de correo electroacutenico configurada en el dispositivo iOS
bull Aplicacioacuten Citrix SSO instalada en el dispositivo iOS
Pasos de configuracioacuten
1 Cambie el nombre del tipo de extensioacuten o MIME del certificado de usuario
Las extensiones de archivomaacutes utilizadas para el certificado de usuario son ldquopfxrdquo ldquop12rdquo etc Estas ex-tensiones de archivo no son estaacutendar para la plataforma iOS a diferencia de formatos comopdfdocTanto ldquopfxrdquo como ldquop12rdquo son reclamados por el sistema iOS y no pueden ser reclamados por aplica-ciones de terceros como Citrix SSO Por lo tanto Citrix SSO ha definido un nuevo tipo de extensioacuten oMIME llamado ldquocitrixsso-pfxrdquo y ldquocitrixsso-p12rdquo Los administradores deben cambiar el tipo de exten-sioacuten o MIME del certificado de usuario de ldquopfxrdquo estaacutendar o ldquop12rdquo a ldquocitrixsso-pfxrdquo o ldquocitrixsso-p12rdquorespectivamente Para cambiar el nombre de la extensioacuten los administradores pueden ejecutar elsiguiente comando en el siacutembolo del sistema o terminal
Windows 10
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 rename ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-
pfx
macOS
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 mv ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-pfx
2 Enviar el archivo como un archivo adjunto de correo electroacutenicoEl archivo de certificado de usuario con la nueva extensioacuten se puede enviar como un archivo adjuntode correo electroacutenico al usuario
Al recibir el correo electroacutenico los usuarios deben instalar el certificado en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 14
Citrix SSO
iexclCopiadoFailed
Configurar Citrix SSO para usuarios demacOS
April 3 2020
La aplicacioacuten Citrix SSO paramacOS proporciona lamejor solucioacuten de proteccioacuten de datos y acceso aaplicaciones que ofrece Citrix Gateway Ahora puede acceder de forma segura a las aplicaciones criacuteti-cas para el negocio los escritorios virtuales y los datos corporativos en cualquier momento y desdecualquier lugarCitrix SSO es el cliente VPNde proacutexima generacioacuten para Citrix Gateway para crear y administrar conex-iones VPN desde dispositivos macOS Citrix SSO se crea mediante el marco de extensioacuten de red (NE)de Apple NE framework de Apple es una biblioteca moderna que contiene API que se pueden uti-lizar para personalizar y ampliar las funciones principales de red de macOS La extensioacuten de red consoporte para SSL VPN estaacute disponible en dispositivos que ejecutanmacOS 1011+
La aplicacioacuten Citrix SSO reemplaza el complemento heredado de Citrix Gateway basado en Exten-siones de nuacutecleo (KE) que Apple va a dejar de utilizar pronto Citrix SSO App admite funciones avan-zadas como Conexiones iniciadas por el servidor y DTLS
La aplicacioacuten Citrix SSO proporciona compatibilidad completa con la administracioacuten de dispositivosmoacuteviles (MDM) en macOS Con un servidor MDM un administrador ahora puede configurar y admin-istrar de forma remota perfiles VPN a nivel de dispositivo y por aplicacioacutenLa aplicacioacuten Citrix SSO para macOS se puede instalar desde una almaceacuten de aplicaciones Mac
Comparacioacuten de funciones entre Citrix VPN y Citrix SSO
En la siguiente tabla se compara la disponibilidad de diversas funciones entre Citrix VPN y Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Meacutetodo de distribucioacuten deaplicaciones
paacutegina Descargas de Citrix App Store
Nuacutemero de conexiones entuacutenel
128 128
Acceso desde explorador Se admite No se admite
Acceso desde aplicacioacutennativa
Se admite Se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 15
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Tuacutenel dividido (DESACTI-VADOACTIVADOINVERSO)
Se admite Se admite
DNS dividido(LOCALREMOTOAMBOS)
REMOTO REMOTO
Acceso a LAN local Habilitar o inhabilitar Siempre habilitado
Compatibilidad conconexiones iniciadas por elservidor (SIC)
No se admite Se admite
Transferir el inicio de sesioacuten Se admite Se admite
Proxy del lado del cliente Se admite No se admite
Compatibilidad con EPAcaacutesicoOpswat
Se admite Se admite
Compatibilidad concertificados de dispositivo
Se admite Se admite
Compatibilidad con tiempode espera de sesioacuten
Se admite Se admite
Compatibilidad con tiempode espera forzado
Se admite Se admite
Compatibilidad con tiempode espera inactivo
Se admite No se admite
IPV6 No se admite Se admite
Itinerancia de red(conmutacioacuten entre Wi-FiEthernet etc)
Se admite Se admite
Compatibilidad conaplicaciones de intranet
Se admite Se admite
Compatibilidad con DTLSpara UDP
No se admite Se admite
Compatibilidad con contratode licencia de usuario final
Se admite Se admite
Integracioacuten de aplicaciones +Receiver
Se admite No se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 16
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Autenticacioacuten Local LDAPRADIUS
Se admite Se admite
Autenticacioacuten de certificadosde cliente
Se admite Se admite
Compatibilidad con TLS(TLS1 TLS11 y TLS12)
Se admite Se admite
Autenticacioacuten de dos factores Se admite Se admite
Compatibilidad con productos MDM
Citrix SSO para macOS es compatible con la mayoriacutea de los proveedores de MDM como Citrix Xen-Mobile Microsoft Intune etc Es compatible con una funcioacuten denominada Control de acceso a redes(NAC) mediante la cual los administradores de MDM pueden imponer el cumplimiento de los dispos-itivos del usuario final antes de conectarse a Citrix Gateway NAC en Citrix SSO requiere un servidorMDM como XenMobile o Intune y Citrix Gateway Para obtener maacutes informacioacuten sobre NAC haga clicen aquiacute
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-Onsiguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o la deConfiguracioacuten de carga uacutetil VPN MDM de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 17
Citrix SSO
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 SeleccionemacOS en el panel de la izquierda Plataforma de directivas Seleccione Directiva VPNen el panel derecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina de detalles de directiva para macOS escriba un nombre de conexioacuten vaacutelido y elijaSSL personalizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewaymacosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO enmacOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewaymacosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSOmacOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN de Citrix ADC asociadoa esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se encuentran en la documentacioacuten de Citrix Endpoint Management
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 18
Citrix SSO
Realice los siguientes pasos para configurar una VPN por aplicacioacuten en Citrix Endpoint Management
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
13 Haga clic en Siguiente
14 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Clave = rdquoPerAppsPlitTunnelrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
copy 1999-2020 Citrix Systems Inc All rights reserved 19
Citrix SSO
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Clave = rdquoDisableUserProfilesrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Problemas conocidos
Los siguientes son los problemas conocidos actualmente
bull El inicio de sesioacuten de EPA falla si el usuario se coloca en el grupo de cuarentenabull No se muestra el mensaje de advertencia de tiempo de espera forzadobull La aplicacioacuten SSO permite iniciar sesioacuten si el tuacutenel dividido estaacute activado y no hay aplicacionesde intranet configuradas
Limitaciones
Las siguientes son las limitaciones actuales
bull Algunos de los anaacutelisis EPA (por ejemplo anaacutelisis de administracioacuten de parches exploracioacutendel explorador web proceso de eliminacioacuten) podriacutean fallar debido al acceso restringido a laaplicacioacuten SSO debido al espacio limitado
copy 1999-2020 Citrix Systems Inc All rights reserved 20
Citrix SSO
bull No se admite el tuacutenel dividido basado en puertosprotocolos
Preguntas frecuentes
En esta seccioacuten se recogen las preguntas frecuentes de la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplica principalmente a los clientes que no son MDM que no utilizan un servi-dor MDM para distribuir certificados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSOa traveacutes de correo electroacutenicordquo para poder distribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM deMicrosoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradores pueden protegersu red interna empresarial agregando una capa adicional de autenticacioacuten para dispositivos moacutevilesadministrados por un servidor MDM Los administradores pueden aplicar una comprobacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlace
copy 1999-2020 Citrix Systems Inc All rights reserved 21
Citrix SSO
bull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Preguntas frecuentes
April 3 2020
En esta seccioacuten se recogen las preguntas maacutes frecuentes en la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplicaprincipalmente a los clientes que no son MDM que no utilizan un servidor MDM para distribuir certifi-cados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSO a traveacutes de correo electroacutenicordquopara poderdistribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM de
copy 1999-2020 Citrix Systems Inc All rights reserved 22
Citrix SSO
Microsoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradorespueden proteger su red interna empresarial agregando una capa adicional de autenticacioacuten para dis-positivos moacuteviles administrados por un servidor MDM Los administradores pueden aplicar una com-probacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlacebull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Citrix SSO para dispositivos Android
April 3 2020
Citrix SSO ofrece la mejor solucioacuten de proteccioacuten de datos y acceso a las aplicaciones con Citrix Gate-way Ahora puede acceder de forma segura a las aplicaciones criacuteticas para el negocio los escritoriosvirtuales y los datos corporativos en cualquier momento y desde cualquier lugar
iexclCopiadoFailed
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
copy 1999-2020 Citrix Systems Inc All rights reserved 23
Citrix SSO
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V2314
Problemas resueltos
bull Citrix SSO ahora maneja correctamente el mensaje final de establecimiento de sesioacuten VPN
[CGOP-12488]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2313
Problemas resueltos
bull La direccioacuten IP de Citrix Gateway se resuelve solo una vez
Anteriormente la direccioacuten IP de Citrix Gateway se resolvioacute varias veces lo que ocasionaba er-rores de conexioacuten a veces
[CGOP-12101]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2312
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
Citrix SSO para dispositivos iOSmacOS
April 3 2020
El cliente VPN de Citrix heredado se creoacute mediante las API VPN privadas de Apple que ahora estaacutenobsoletas La compatibilidad con VPN en Citrix SSO se vuelve a escribir desde ceromediante elmarcode extensioacuten de red puacuteblica de Apple
Las siguientes son algunas de las principales funciones introducidas con la aplicacioacuten Citrix SSO
bull Tokensde contrasentildea Un tokende contrasentildea es un coacutedigode6diacutegitos que es una alternativaa los Servicios de contrasentildea secundaria como VIP OKTA etc Este coacutedigo utiliza el protocoloTime-based One Time Password (T-OTP) para generar el coacutedigo OTP similar a servicios comoGoogle Authenticator Microsoft Authenticator etc Se solicita a los usuarios dos contrasentildeasdurante la autenticacioacuten en Citrix Gateway para un usuario determinado de Active Directory Elsegundo factor es un coacutedigo cambiante de seis diacutegitos que los usuarios copian desde un servi-cio de terceros registrado comoGoogle oMicrosoftAuthenticator en el explorador de escritorioLos usuarios deben registrarse primero para T-OTP en el dispositivo Citrix ADC Para obtener in-formacioacuten sobre los pasos de registro consulte httpssupportcitrixcomarticleCTX228454En la aplicacioacuten los usuarios puedenagregar la funcioacutenOTPescaneandoel coacutedigoQRgeneradoenCitrix ADCo introduciendomanualmente el secreto TOTP Los tokensOTPuna vez agregadosaparecen en el segmento de tokens de contrasentildea en la interfaz de usuario
Para mejorar la experiencia al agregar un OTP se solicita al usuario que cree un perfil VPN automaacuteti-camente Los usuarios pueden aprovechar este perfil VPN para conectarse a VPN directamente desdesus dispositivos iOS
La aplicacioacuten Citrix SSO se puede utilizar para escanear el coacutedigoQRmientras se registra para obtenercompatibilidad con OTP nativoLa funcionalidad de notificacioacuten Push deCitrix Gateway solo estaacute disponible para los usuarios de la aplicacioacuten Citrix SSO
bull Notificacioacuten push Citrix Gateway enviacutea notificaciones push en su dispositivomoacutevil registradopara obtener una experiencia de autenticacioacuten simplificada de dos factores En lugar de abrirla aplicacioacuten Citrix SSO para escribir el segundo factor OTP en la paacutegina de inicio de sesioacuten deCitrix ADC puede validar su identidad proporcionando el PIN de dispositivoTouch IDID facialpara el dispositivo registrado
Una vez que registre el dispositivo para la notificacioacutenPush tambieacutenpuedeutilizar el dispositivo parala compatibilidad con OTP nativo mediante la aplicacioacuten Citrix SSO El registro para notificacionespush es transparente para el usuario Cuando los usuarios registran TOTP el dispositivo tambieacuten seregistra para Notificaciones Push si Citrix ADC lo admite
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 3
Citrix SSO
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V126
Problemas conocidos
bull VPN a veces se bloquea despueacutes de quemacOS se reactiva del modo de suspensioacuten
[NSHELP-20656 macOS]
V125
Problemas conocidos
bull VPN a veces se bloquea despueacutes de quemacOS se reactiva del modo de suspensioacuten
[NSHELP-20656 macOS]
V124
Problemas conocidos
bull A veces la sesioacuten VPN no responde despueacutes de que el Mac se activa desde el modo de suspen-sioacuten
[NSHELP-20656 macOS]
V123
Novedades
bull Esquema de URL de Citrix SSO Citrix SSO ahora registra un esquema de URL para que otrasaplicaciones puedan determinar si Citrix SSO estaacute instalado en un dispositivo iOS El esquema
copy 1999-2020 Citrix Systems Inc All rights reserved 4
Citrix SSO
de URL es ldquocitrixssordquo
[CGOP-11979 IOS]
Problemas resueltos
bull La aplicacioacuten Citrix SSO se bloquea al enviar traacutefico UDP intenso
[CGOP-11603 macOS]
bull Citrix SSO para iPad se bloquea cuando la aplicacioacuten se inicia desde una notificacioacuten en iOS 13
[NSHELP-21087 IOS]
V122
Problemas resueltos
bull En algunas implementaciones de GSLB Citrix SSO resuelve el nombre de la Gateway varias ve-ces lo que provoca errores de conexioacuten
[CGOP-12013]
bull Citrix SSO para iOS no puede analizar OTPSecret conmaacutes de 16 bytes
[CGOP-11978 IOS]
bull Se pide a los usuarios con perfiles configurados para la autenticacioacuten de solo certificado y unacomprobacioacuten de NAC que introduzcan las credenciales de inicio de sesioacuten y no pueden crearlas conexiones VPN
[CGOP-11925 IOS]
bull Aunque el indicador de tuacutenel dividido por aplicacioacuten solo se comprueba para el traacutefico TCP eltraacutefico ICMP se tuneliza incluso en los casos en que el traacutefico ICMP debe enviarse directamente
[CGOP-11614 IOS]
Problemas conocidos
bull El complemento Citrix Gateway para macOS no admite la funcioacuten que abre la paacutegina de inicioen la aplicacioacuten Citrix Workspace
[NSHELP-7047]
copy 1999-2020 Citrix Systems Inc All rights reserved 5
Citrix SSO
V120
Novedades
bull Compatibilidad con la autenticacioacutennFactor La autenticacioacuten nFactor ahora se admite tantoen iOS como enmacOS
[CGOP-11251]
bull Compatibilidad con la aplicacioacutenCitrix SSO La aplicacioacutenCitrix SSOahora es compatible coniOS 13 y macOS Catalina
[CGOP-11714]
Problemas resueltos
bull La direccioacuten IP del cliente semuestra hacia atraacutes en la paacutegina Conexiones de la aplicacioacuten SSO
[CGOP-11596]
bull Citrix SSO no respeta el bit truncado DNS en el indicador DNS de Citrix ADC versioacuten 130
[CGOP-11777]
bull El tuacutenel dividido por aplicacioacuten no es compatible con Citrix ADC versioacuten 130
[CGOP-11464]
bull Citrix SSO ignora algunos de los mensajes de tiempo de espera de Citrix Gateway
[CGOP-11310]
bull Cuando los usuarios inician sesioacuten en la aplicacioacutenpor primera vez la uacuteltima liacutenea de la descrip-cioacuten de la aplicacioacuten no aparece en la pantalla del usuario
[CGOP-11595 macOS]
bull El tamantildeo de la ventana de inicio de sesioacuten de la aplicacioacuten Citrix SSO sigue aumentando alhacer clic repetidamente en el botoacuten Inicio de sesioacuten
[CGOP-11594 macOS]
bull Cuando se supera el liacutemitemaacuteximo de usuarios con licencia semuestra unmensaje de error enel nivel del sistema y no en la ventana de la aplicacioacuten
[CGOP-11600 macOS]
copy 1999-2020 Citrix Systems Inc All rights reserved 6
Citrix SSO
V1112
Novedades
bull Recopilacioacuten de datos de telemetriacutea paramacOS Citrix SSO recopila eventos de anaacutelisis per-sonalizados relacionados con el uso de VPN en la aplicacioacuten
[CGOP-9789 macOS]
bull Soporte de tuacutenel dividido por aplicacioacuten Los administradores pueden configurar el tuacuteneldividido por aplicacioacuten El traacutefico por aplicacioacuten que coincide con las rutas de intranet de CitrixGateway se canaliza al dispositivo Citrix Gateway
[CGOP-657]
bull FQDNTuacutenel Split Tuacutenel traacuteficobasadoenel FQDNdel sistema FQDNTuacutenel Split Tuacutenel traacuteficobasado en el FQDN del sistema en lugar de la IP resuelta por los servidores DNS
[CGOP-316]
Problemas resueltos
bull Los elementos de la interfaz de usuario como botones campos de texto etiquetas etc estaacutendesalineados en las pantallas del iPad
[CGOP-10141 IOS]
bull Los usuarios no reciben notificacioacuten de un inicio de sesioacuten remoto si no tienen un perfil VPNagregado
[CGOP-9731 IOS]
V1110
Problemas resueltos
bull LaaplicacioacutenCitrix SSOnomuestraelmensajedeerror adecuadoal alcanzar el nuacutemeromaacuteximode usuarios cuando
[CGOP-231]
bull La casilla de verificacioacuten EULA no estaacute desactivada de forma predeterminada
[CGOP-245]
bull No se admite la funcionalidad de adicioacuten para el anaacutelisis ldquohabilitadordquo de antiphishing en End-point Analysis
[CGOP-249]
copy 1999-2020 Citrix Systems Inc All rights reserved 7
Citrix SSO
bull La seleccioacuten automaacutetica del certificado clientedispositivo para la autenticacioacuten no ocurre in-cluso si solo hay un clientedispositivo presente en el llavero
[CGOP-251]
bull No se puede agregar un lsquoregistro de conexioacutenrsquo despueacutes de modificar uno en la aplicacioacuten CitrixSSO
[CGOP-7256]
iexclCopiadoFailed
Configurar Citrix SSO para usuarios de iOS
April 3 2020
IMPORTANTE Citrix VPN no se puede utilizar en iOS 12 y versiones posteriores Para continuarcon VPN use la aplicacioacuten Citrix SSO
En la siguiente tabla se compara la disponibilidad de diversas funciones entre Citrix VPN y Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
VPN a nivel de dispositivo Se admite Se admite
VPN por aplicacioacuten (soloMDM)
Se admite Se admite
Tuacutenel dividido por aplicacioacuten No se admite Se admite
Perfiles VPN configurados porMDM
Se admite Se admite
VPN a demanda Se admite Se admite
Tokens de contrasentildea(basados en T-OTP)
No se admite Se admite
Inicio de sesioacuten basado ennotificaciones push (segundofactor desde el teleacutefonoregistrado)
No se admite Se admite
Autenticacioacuten basada encertificados
Se admite Se admite
Autenticacioacuten de nombre deusuariocontrasentildea
Se admite Se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 8
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Comprobacioacuten del control deacceso a redes con CitrixEndpoint Management(anteriormente XenMobile)
No se admite Se admite
Comprobacioacuten del control deacceso a la red con MicrosoftIntune
Se admite Se admite
Compatibilidad con DTLS No se admite Se admite
Bloquear perfiles VPNcreados por el usuario
Se admite Se admite
Inicio de sesioacuten uacutenico (SSO)para aplicaciones nativasadministradas por CitrixCloud
No se admite Se admite
Versioacuten de SO compatible iOS 9 10 11 (no funciona apartir de iOS 12+)
iOS 9+
Compatibilidad con productos MDM
Citrix SSO es compatible con la mayoriacutea de los proveedores de MDM como Citrix Endpoint Manage-ment (anteriormente XenMobile) Microsoft Intune etc
Citrix SSO tambieacuten admite una funcioacuten denominada Control de acceso a redes (NAC) Para obtenermaacutes informacioacuten sobre NAC haga clic en aquiacute Con NAC los administradores de MDM pueden exigirel cumplimiento de los dispositivos del usuario final antes de conectarse a Citrix ADC NAC en CitrixSSO requiere un servidor MDM como Citrix Endpoint Management o Intune y Citrix ADC
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-On
copy 1999-2020 Citrix Systems Inc All rights reserved 9
Citrix SSO
siguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o laconfiguracioacuten de carga uacutetil de MDM VPN de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo en Citrix Endpoint Manage-ment
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 Seleccione iOS en el panel de la izquierda Plataforma de directivas Seleccione VPN en el panelderecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina Directiva de VPN para iOS escriba un nombre de conexioacuten vaacutelido y elija SSL person-alizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewayiosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO en iOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewayiosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSO iOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN (nombre de dominiocompleto) de Citrix ADC asociado a esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
copy 1999-2020 Citrix Systems Inc All rights reserved 10
Citrix SSO
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
Realice los siguientes pasos para configurar una VPN por aplicacioacuten
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
4 En Tipo de proveedor seleccione Tuacutenel de paquetes
Nota En la carga uacutetil MDM VPN este campo corresponde al tipo de proveedorclave
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
14 Haga clic en Siguiente
15 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
copy 1999-2020 Citrix Systems Inc All rights reserved 11
Citrix SSO
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Key = rdquoPerAppSplitTunnelrdquo2 - Value = rdquotrue or 1 or yesrdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Key = rdquodisableUserProfilesrdquo2 - Value = rdquotrue or 1 or yesrdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
copy 1999-2020 Citrix Systems Inc All rights reserved 12
Citrix SSO
Problemas conocidos
Descripcioacuten del problema Tunelizacioacuten para direcciones FQDN que contienen un dominio ldquolocalrdquoen configuraciones VPN por aplicacioacuten o VPN bajo demanda Hay un error en el marco de extensioacutende red de Apple que impide que las direcciones FQDN que contienen local en la parte del dominio(por ejemplo httpwwwwabclocal) pasen a ser de tuacutenel a traveacutes de la interfaz TUN del sistema Eltraacutefico de esta direccioacuten se enviacutea a traveacutes de la interfaz fiacutesica del dispositivo en su lugar El problemase observa solo con las configuraciones VPN por aplicacioacuten o VPN bajo demanda y no se ve con lasconfiguraciones VPN de todo el sistema Citrix ha presentado un informe de error de radar a Apple yApple habiacutea sentildealado que de acuerdo con RFC-6762httpstoolsietforghtmlrfc6762local es unaconsulta DNS de multidifusioacuten (MDN) y por lo tanto no es un error Sin embargo Apple auacuten no hacerrado el error y no estaacute claro si el problema se resolveraacute en futuras versiones de iOS
Solucioacuten alternativa Asigne un nombre de dominiolocal para direcciones como la solucioacuten alterna-tiva
Limitaciones
bull La tunelizacioacuten dividida basada en FQDN auacuten no es totalmente compatiblebull El anaacutelisis de punto final (EPA) no es compatible con iOSbull No se admite el tuacutenel dividido basado en puertosprotocolos
iexclCopiadoFailed
Enviar identidad de certificado de usuario como datos adjuntos decorreo electroacutenico a usuarios de iOS
April 3 2020
Citrix SSO en iOS admite la autenticacioacuten de certificados de cliente con Citrix Gateway En iOS loscertificados se pueden entregar a la aplicacioacuten Citrix SSO de una de las siguientes maneras
bull Servidor MDM Este es el enfoque preferido para los clientes de MDM Los certificados se con-figuran directamente en el perfil VPN administrado MDM Los perfiles VPN y los certificados seenviacuteana continuacioacutena losdispositivos inscritos cuandoel dispositivo se inscribe enel servidorMDM Siga los documentos especiacuteficos del proveedor de MDM para este enfoque
bull Correo electroacutenico uacutenico enfoque para clientes que no sean MDM En este enfoque los admin-istradores enviacutean un correo electroacutenico con la identidad del certificado de usuario (certificadoy clave privada) adjunta como un archivo PCKS 12 a los usuarios Los usuarios deben tener
copy 1999-2020 Citrix Systems Inc All rights reserved 13
Citrix SSO
sus cuentas de correo electroacutenico configuradas en su dispositivo iOS para recibir el correo elec-troacutenico con datos adjuntos El archivo se puede importar a la aplicacioacuten Citrix SSO en iOS En lasiguiente seccioacuten se explican los pasos de configuracioacuten para este enfoque
Requisitos previos
bull Certificado de usuario Archivo de identidad PKCS 12 con una extensioacutenpfx op12 para unusuario determinado Este archivo contiene tanto el certificado como la clave privada
bull Cuenta de correo electroacutenico configurada en el dispositivo iOS
bull Aplicacioacuten Citrix SSO instalada en el dispositivo iOS
Pasos de configuracioacuten
1 Cambie el nombre del tipo de extensioacuten o MIME del certificado de usuario
Las extensiones de archivomaacutes utilizadas para el certificado de usuario son ldquopfxrdquo ldquop12rdquo etc Estas ex-tensiones de archivo no son estaacutendar para la plataforma iOS a diferencia de formatos comopdfdocTanto ldquopfxrdquo como ldquop12rdquo son reclamados por el sistema iOS y no pueden ser reclamados por aplica-ciones de terceros como Citrix SSO Por lo tanto Citrix SSO ha definido un nuevo tipo de extensioacuten oMIME llamado ldquocitrixsso-pfxrdquo y ldquocitrixsso-p12rdquo Los administradores deben cambiar el tipo de exten-sioacuten o MIME del certificado de usuario de ldquopfxrdquo estaacutendar o ldquop12rdquo a ldquocitrixsso-pfxrdquo o ldquocitrixsso-p12rdquorespectivamente Para cambiar el nombre de la extensioacuten los administradores pueden ejecutar elsiguiente comando en el siacutembolo del sistema o terminal
Windows 10
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 rename ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-
pfx
macOS
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 mv ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-pfx
2 Enviar el archivo como un archivo adjunto de correo electroacutenicoEl archivo de certificado de usuario con la nueva extensioacuten se puede enviar como un archivo adjuntode correo electroacutenico al usuario
Al recibir el correo electroacutenico los usuarios deben instalar el certificado en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 14
Citrix SSO
iexclCopiadoFailed
Configurar Citrix SSO para usuarios demacOS
April 3 2020
La aplicacioacuten Citrix SSO paramacOS proporciona lamejor solucioacuten de proteccioacuten de datos y acceso aaplicaciones que ofrece Citrix Gateway Ahora puede acceder de forma segura a las aplicaciones criacuteti-cas para el negocio los escritorios virtuales y los datos corporativos en cualquier momento y desdecualquier lugarCitrix SSO es el cliente VPNde proacutexima generacioacuten para Citrix Gateway para crear y administrar conex-iones VPN desde dispositivos macOS Citrix SSO se crea mediante el marco de extensioacuten de red (NE)de Apple NE framework de Apple es una biblioteca moderna que contiene API que se pueden uti-lizar para personalizar y ampliar las funciones principales de red de macOS La extensioacuten de red consoporte para SSL VPN estaacute disponible en dispositivos que ejecutanmacOS 1011+
La aplicacioacuten Citrix SSO reemplaza el complemento heredado de Citrix Gateway basado en Exten-siones de nuacutecleo (KE) que Apple va a dejar de utilizar pronto Citrix SSO App admite funciones avan-zadas como Conexiones iniciadas por el servidor y DTLS
La aplicacioacuten Citrix SSO proporciona compatibilidad completa con la administracioacuten de dispositivosmoacuteviles (MDM) en macOS Con un servidor MDM un administrador ahora puede configurar y admin-istrar de forma remota perfiles VPN a nivel de dispositivo y por aplicacioacutenLa aplicacioacuten Citrix SSO para macOS se puede instalar desde una almaceacuten de aplicaciones Mac
Comparacioacuten de funciones entre Citrix VPN y Citrix SSO
En la siguiente tabla se compara la disponibilidad de diversas funciones entre Citrix VPN y Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Meacutetodo de distribucioacuten deaplicaciones
paacutegina Descargas de Citrix App Store
Nuacutemero de conexiones entuacutenel
128 128
Acceso desde explorador Se admite No se admite
Acceso desde aplicacioacutennativa
Se admite Se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 15
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Tuacutenel dividido (DESACTI-VADOACTIVADOINVERSO)
Se admite Se admite
DNS dividido(LOCALREMOTOAMBOS)
REMOTO REMOTO
Acceso a LAN local Habilitar o inhabilitar Siempre habilitado
Compatibilidad conconexiones iniciadas por elservidor (SIC)
No se admite Se admite
Transferir el inicio de sesioacuten Se admite Se admite
Proxy del lado del cliente Se admite No se admite
Compatibilidad con EPAcaacutesicoOpswat
Se admite Se admite
Compatibilidad concertificados de dispositivo
Se admite Se admite
Compatibilidad con tiempode espera de sesioacuten
Se admite Se admite
Compatibilidad con tiempode espera forzado
Se admite Se admite
Compatibilidad con tiempode espera inactivo
Se admite No se admite
IPV6 No se admite Se admite
Itinerancia de red(conmutacioacuten entre Wi-FiEthernet etc)
Se admite Se admite
Compatibilidad conaplicaciones de intranet
Se admite Se admite
Compatibilidad con DTLSpara UDP
No se admite Se admite
Compatibilidad con contratode licencia de usuario final
Se admite Se admite
Integracioacuten de aplicaciones +Receiver
Se admite No se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 16
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Autenticacioacuten Local LDAPRADIUS
Se admite Se admite
Autenticacioacuten de certificadosde cliente
Se admite Se admite
Compatibilidad con TLS(TLS1 TLS11 y TLS12)
Se admite Se admite
Autenticacioacuten de dos factores Se admite Se admite
Compatibilidad con productos MDM
Citrix SSO para macOS es compatible con la mayoriacutea de los proveedores de MDM como Citrix Xen-Mobile Microsoft Intune etc Es compatible con una funcioacuten denominada Control de acceso a redes(NAC) mediante la cual los administradores de MDM pueden imponer el cumplimiento de los dispos-itivos del usuario final antes de conectarse a Citrix Gateway NAC en Citrix SSO requiere un servidorMDM como XenMobile o Intune y Citrix Gateway Para obtener maacutes informacioacuten sobre NAC haga clicen aquiacute
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-Onsiguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o la deConfiguracioacuten de carga uacutetil VPN MDM de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 17
Citrix SSO
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 SeleccionemacOS en el panel de la izquierda Plataforma de directivas Seleccione Directiva VPNen el panel derecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina de detalles de directiva para macOS escriba un nombre de conexioacuten vaacutelido y elijaSSL personalizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewaymacosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO enmacOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewaymacosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSOmacOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN de Citrix ADC asociadoa esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se encuentran en la documentacioacuten de Citrix Endpoint Management
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 18
Citrix SSO
Realice los siguientes pasos para configurar una VPN por aplicacioacuten en Citrix Endpoint Management
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
13 Haga clic en Siguiente
14 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Clave = rdquoPerAppsPlitTunnelrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
copy 1999-2020 Citrix Systems Inc All rights reserved 19
Citrix SSO
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Clave = rdquoDisableUserProfilesrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Problemas conocidos
Los siguientes son los problemas conocidos actualmente
bull El inicio de sesioacuten de EPA falla si el usuario se coloca en el grupo de cuarentenabull No se muestra el mensaje de advertencia de tiempo de espera forzadobull La aplicacioacuten SSO permite iniciar sesioacuten si el tuacutenel dividido estaacute activado y no hay aplicacionesde intranet configuradas
Limitaciones
Las siguientes son las limitaciones actuales
bull Algunos de los anaacutelisis EPA (por ejemplo anaacutelisis de administracioacuten de parches exploracioacutendel explorador web proceso de eliminacioacuten) podriacutean fallar debido al acceso restringido a laaplicacioacuten SSO debido al espacio limitado
copy 1999-2020 Citrix Systems Inc All rights reserved 20
Citrix SSO
bull No se admite el tuacutenel dividido basado en puertosprotocolos
Preguntas frecuentes
En esta seccioacuten se recogen las preguntas frecuentes de la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplica principalmente a los clientes que no son MDM que no utilizan un servi-dor MDM para distribuir certificados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSOa traveacutes de correo electroacutenicordquo para poder distribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM deMicrosoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradores pueden protegersu red interna empresarial agregando una capa adicional de autenticacioacuten para dispositivos moacutevilesadministrados por un servidor MDM Los administradores pueden aplicar una comprobacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlace
copy 1999-2020 Citrix Systems Inc All rights reserved 21
Citrix SSO
bull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Preguntas frecuentes
April 3 2020
En esta seccioacuten se recogen las preguntas maacutes frecuentes en la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplicaprincipalmente a los clientes que no son MDM que no utilizan un servidor MDM para distribuir certifi-cados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSO a traveacutes de correo electroacutenicordquopara poderdistribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM de
copy 1999-2020 Citrix Systems Inc All rights reserved 22
Citrix SSO
Microsoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradorespueden proteger su red interna empresarial agregando una capa adicional de autenticacioacuten para dis-positivos moacuteviles administrados por un servidor MDM Los administradores pueden aplicar una com-probacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlacebull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Citrix SSO para dispositivos Android
April 3 2020
Citrix SSO ofrece la mejor solucioacuten de proteccioacuten de datos y acceso a las aplicaciones con Citrix Gate-way Ahora puede acceder de forma segura a las aplicaciones criacuteticas para el negocio los escritoriosvirtuales y los datos corporativos en cualquier momento y desde cualquier lugar
iexclCopiadoFailed
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
copy 1999-2020 Citrix Systems Inc All rights reserved 23
Citrix SSO
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V2314
Problemas resueltos
bull Citrix SSO ahora maneja correctamente el mensaje final de establecimiento de sesioacuten VPN
[CGOP-12488]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2313
Problemas resueltos
bull La direccioacuten IP de Citrix Gateway se resuelve solo una vez
Anteriormente la direccioacuten IP de Citrix Gateway se resolvioacute varias veces lo que ocasionaba er-rores de conexioacuten a veces
[CGOP-12101]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2312
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V126
Problemas conocidos
bull VPN a veces se bloquea despueacutes de quemacOS se reactiva del modo de suspensioacuten
[NSHELP-20656 macOS]
V125
Problemas conocidos
bull VPN a veces se bloquea despueacutes de quemacOS se reactiva del modo de suspensioacuten
[NSHELP-20656 macOS]
V124
Problemas conocidos
bull A veces la sesioacuten VPN no responde despueacutes de que el Mac se activa desde el modo de suspen-sioacuten
[NSHELP-20656 macOS]
V123
Novedades
bull Esquema de URL de Citrix SSO Citrix SSO ahora registra un esquema de URL para que otrasaplicaciones puedan determinar si Citrix SSO estaacute instalado en un dispositivo iOS El esquema
copy 1999-2020 Citrix Systems Inc All rights reserved 4
Citrix SSO
de URL es ldquocitrixssordquo
[CGOP-11979 IOS]
Problemas resueltos
bull La aplicacioacuten Citrix SSO se bloquea al enviar traacutefico UDP intenso
[CGOP-11603 macOS]
bull Citrix SSO para iPad se bloquea cuando la aplicacioacuten se inicia desde una notificacioacuten en iOS 13
[NSHELP-21087 IOS]
V122
Problemas resueltos
bull En algunas implementaciones de GSLB Citrix SSO resuelve el nombre de la Gateway varias ve-ces lo que provoca errores de conexioacuten
[CGOP-12013]
bull Citrix SSO para iOS no puede analizar OTPSecret conmaacutes de 16 bytes
[CGOP-11978 IOS]
bull Se pide a los usuarios con perfiles configurados para la autenticacioacuten de solo certificado y unacomprobacioacuten de NAC que introduzcan las credenciales de inicio de sesioacuten y no pueden crearlas conexiones VPN
[CGOP-11925 IOS]
bull Aunque el indicador de tuacutenel dividido por aplicacioacuten solo se comprueba para el traacutefico TCP eltraacutefico ICMP se tuneliza incluso en los casos en que el traacutefico ICMP debe enviarse directamente
[CGOP-11614 IOS]
Problemas conocidos
bull El complemento Citrix Gateway para macOS no admite la funcioacuten que abre la paacutegina de inicioen la aplicacioacuten Citrix Workspace
[NSHELP-7047]
copy 1999-2020 Citrix Systems Inc All rights reserved 5
Citrix SSO
V120
Novedades
bull Compatibilidad con la autenticacioacutennFactor La autenticacioacuten nFactor ahora se admite tantoen iOS como enmacOS
[CGOP-11251]
bull Compatibilidad con la aplicacioacutenCitrix SSO La aplicacioacutenCitrix SSOahora es compatible coniOS 13 y macOS Catalina
[CGOP-11714]
Problemas resueltos
bull La direccioacuten IP del cliente semuestra hacia atraacutes en la paacutegina Conexiones de la aplicacioacuten SSO
[CGOP-11596]
bull Citrix SSO no respeta el bit truncado DNS en el indicador DNS de Citrix ADC versioacuten 130
[CGOP-11777]
bull El tuacutenel dividido por aplicacioacuten no es compatible con Citrix ADC versioacuten 130
[CGOP-11464]
bull Citrix SSO ignora algunos de los mensajes de tiempo de espera de Citrix Gateway
[CGOP-11310]
bull Cuando los usuarios inician sesioacuten en la aplicacioacutenpor primera vez la uacuteltima liacutenea de la descrip-cioacuten de la aplicacioacuten no aparece en la pantalla del usuario
[CGOP-11595 macOS]
bull El tamantildeo de la ventana de inicio de sesioacuten de la aplicacioacuten Citrix SSO sigue aumentando alhacer clic repetidamente en el botoacuten Inicio de sesioacuten
[CGOP-11594 macOS]
bull Cuando se supera el liacutemitemaacuteximo de usuarios con licencia semuestra unmensaje de error enel nivel del sistema y no en la ventana de la aplicacioacuten
[CGOP-11600 macOS]
copy 1999-2020 Citrix Systems Inc All rights reserved 6
Citrix SSO
V1112
Novedades
bull Recopilacioacuten de datos de telemetriacutea paramacOS Citrix SSO recopila eventos de anaacutelisis per-sonalizados relacionados con el uso de VPN en la aplicacioacuten
[CGOP-9789 macOS]
bull Soporte de tuacutenel dividido por aplicacioacuten Los administradores pueden configurar el tuacuteneldividido por aplicacioacuten El traacutefico por aplicacioacuten que coincide con las rutas de intranet de CitrixGateway se canaliza al dispositivo Citrix Gateway
[CGOP-657]
bull FQDNTuacutenel Split Tuacutenel traacuteficobasadoenel FQDNdel sistema FQDNTuacutenel Split Tuacutenel traacuteficobasado en el FQDN del sistema en lugar de la IP resuelta por los servidores DNS
[CGOP-316]
Problemas resueltos
bull Los elementos de la interfaz de usuario como botones campos de texto etiquetas etc estaacutendesalineados en las pantallas del iPad
[CGOP-10141 IOS]
bull Los usuarios no reciben notificacioacuten de un inicio de sesioacuten remoto si no tienen un perfil VPNagregado
[CGOP-9731 IOS]
V1110
Problemas resueltos
bull LaaplicacioacutenCitrix SSOnomuestraelmensajedeerror adecuadoal alcanzar el nuacutemeromaacuteximode usuarios cuando
[CGOP-231]
bull La casilla de verificacioacuten EULA no estaacute desactivada de forma predeterminada
[CGOP-245]
bull No se admite la funcionalidad de adicioacuten para el anaacutelisis ldquohabilitadordquo de antiphishing en End-point Analysis
[CGOP-249]
copy 1999-2020 Citrix Systems Inc All rights reserved 7
Citrix SSO
bull La seleccioacuten automaacutetica del certificado clientedispositivo para la autenticacioacuten no ocurre in-cluso si solo hay un clientedispositivo presente en el llavero
[CGOP-251]
bull No se puede agregar un lsquoregistro de conexioacutenrsquo despueacutes de modificar uno en la aplicacioacuten CitrixSSO
[CGOP-7256]
iexclCopiadoFailed
Configurar Citrix SSO para usuarios de iOS
April 3 2020
IMPORTANTE Citrix VPN no se puede utilizar en iOS 12 y versiones posteriores Para continuarcon VPN use la aplicacioacuten Citrix SSO
En la siguiente tabla se compara la disponibilidad de diversas funciones entre Citrix VPN y Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
VPN a nivel de dispositivo Se admite Se admite
VPN por aplicacioacuten (soloMDM)
Se admite Se admite
Tuacutenel dividido por aplicacioacuten No se admite Se admite
Perfiles VPN configurados porMDM
Se admite Se admite
VPN a demanda Se admite Se admite
Tokens de contrasentildea(basados en T-OTP)
No se admite Se admite
Inicio de sesioacuten basado ennotificaciones push (segundofactor desde el teleacutefonoregistrado)
No se admite Se admite
Autenticacioacuten basada encertificados
Se admite Se admite
Autenticacioacuten de nombre deusuariocontrasentildea
Se admite Se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 8
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Comprobacioacuten del control deacceso a redes con CitrixEndpoint Management(anteriormente XenMobile)
No se admite Se admite
Comprobacioacuten del control deacceso a la red con MicrosoftIntune
Se admite Se admite
Compatibilidad con DTLS No se admite Se admite
Bloquear perfiles VPNcreados por el usuario
Se admite Se admite
Inicio de sesioacuten uacutenico (SSO)para aplicaciones nativasadministradas por CitrixCloud
No se admite Se admite
Versioacuten de SO compatible iOS 9 10 11 (no funciona apartir de iOS 12+)
iOS 9+
Compatibilidad con productos MDM
Citrix SSO es compatible con la mayoriacutea de los proveedores de MDM como Citrix Endpoint Manage-ment (anteriormente XenMobile) Microsoft Intune etc
Citrix SSO tambieacuten admite una funcioacuten denominada Control de acceso a redes (NAC) Para obtenermaacutes informacioacuten sobre NAC haga clic en aquiacute Con NAC los administradores de MDM pueden exigirel cumplimiento de los dispositivos del usuario final antes de conectarse a Citrix ADC NAC en CitrixSSO requiere un servidor MDM como Citrix Endpoint Management o Intune y Citrix ADC
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-On
copy 1999-2020 Citrix Systems Inc All rights reserved 9
Citrix SSO
siguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o laconfiguracioacuten de carga uacutetil de MDM VPN de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo en Citrix Endpoint Manage-ment
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 Seleccione iOS en el panel de la izquierda Plataforma de directivas Seleccione VPN en el panelderecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina Directiva de VPN para iOS escriba un nombre de conexioacuten vaacutelido y elija SSL person-alizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewayiosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO en iOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewayiosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSO iOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN (nombre de dominiocompleto) de Citrix ADC asociado a esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
copy 1999-2020 Citrix Systems Inc All rights reserved 10
Citrix SSO
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
Realice los siguientes pasos para configurar una VPN por aplicacioacuten
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
4 En Tipo de proveedor seleccione Tuacutenel de paquetes
Nota En la carga uacutetil MDM VPN este campo corresponde al tipo de proveedorclave
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
14 Haga clic en Siguiente
15 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
copy 1999-2020 Citrix Systems Inc All rights reserved 11
Citrix SSO
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Key = rdquoPerAppSplitTunnelrdquo2 - Value = rdquotrue or 1 or yesrdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Key = rdquodisableUserProfilesrdquo2 - Value = rdquotrue or 1 or yesrdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
copy 1999-2020 Citrix Systems Inc All rights reserved 12
Citrix SSO
Problemas conocidos
Descripcioacuten del problema Tunelizacioacuten para direcciones FQDN que contienen un dominio ldquolocalrdquoen configuraciones VPN por aplicacioacuten o VPN bajo demanda Hay un error en el marco de extensioacutende red de Apple que impide que las direcciones FQDN que contienen local en la parte del dominio(por ejemplo httpwwwwabclocal) pasen a ser de tuacutenel a traveacutes de la interfaz TUN del sistema Eltraacutefico de esta direccioacuten se enviacutea a traveacutes de la interfaz fiacutesica del dispositivo en su lugar El problemase observa solo con las configuraciones VPN por aplicacioacuten o VPN bajo demanda y no se ve con lasconfiguraciones VPN de todo el sistema Citrix ha presentado un informe de error de radar a Apple yApple habiacutea sentildealado que de acuerdo con RFC-6762httpstoolsietforghtmlrfc6762local es unaconsulta DNS de multidifusioacuten (MDN) y por lo tanto no es un error Sin embargo Apple auacuten no hacerrado el error y no estaacute claro si el problema se resolveraacute en futuras versiones de iOS
Solucioacuten alternativa Asigne un nombre de dominiolocal para direcciones como la solucioacuten alterna-tiva
Limitaciones
bull La tunelizacioacuten dividida basada en FQDN auacuten no es totalmente compatiblebull El anaacutelisis de punto final (EPA) no es compatible con iOSbull No se admite el tuacutenel dividido basado en puertosprotocolos
iexclCopiadoFailed
Enviar identidad de certificado de usuario como datos adjuntos decorreo electroacutenico a usuarios de iOS
April 3 2020
Citrix SSO en iOS admite la autenticacioacuten de certificados de cliente con Citrix Gateway En iOS loscertificados se pueden entregar a la aplicacioacuten Citrix SSO de una de las siguientes maneras
bull Servidor MDM Este es el enfoque preferido para los clientes de MDM Los certificados se con-figuran directamente en el perfil VPN administrado MDM Los perfiles VPN y los certificados seenviacuteana continuacioacutena losdispositivos inscritos cuandoel dispositivo se inscribe enel servidorMDM Siga los documentos especiacuteficos del proveedor de MDM para este enfoque
bull Correo electroacutenico uacutenico enfoque para clientes que no sean MDM En este enfoque los admin-istradores enviacutean un correo electroacutenico con la identidad del certificado de usuario (certificadoy clave privada) adjunta como un archivo PCKS 12 a los usuarios Los usuarios deben tener
copy 1999-2020 Citrix Systems Inc All rights reserved 13
Citrix SSO
sus cuentas de correo electroacutenico configuradas en su dispositivo iOS para recibir el correo elec-troacutenico con datos adjuntos El archivo se puede importar a la aplicacioacuten Citrix SSO en iOS En lasiguiente seccioacuten se explican los pasos de configuracioacuten para este enfoque
Requisitos previos
bull Certificado de usuario Archivo de identidad PKCS 12 con una extensioacutenpfx op12 para unusuario determinado Este archivo contiene tanto el certificado como la clave privada
bull Cuenta de correo electroacutenico configurada en el dispositivo iOS
bull Aplicacioacuten Citrix SSO instalada en el dispositivo iOS
Pasos de configuracioacuten
1 Cambie el nombre del tipo de extensioacuten o MIME del certificado de usuario
Las extensiones de archivomaacutes utilizadas para el certificado de usuario son ldquopfxrdquo ldquop12rdquo etc Estas ex-tensiones de archivo no son estaacutendar para la plataforma iOS a diferencia de formatos comopdfdocTanto ldquopfxrdquo como ldquop12rdquo son reclamados por el sistema iOS y no pueden ser reclamados por aplica-ciones de terceros como Citrix SSO Por lo tanto Citrix SSO ha definido un nuevo tipo de extensioacuten oMIME llamado ldquocitrixsso-pfxrdquo y ldquocitrixsso-p12rdquo Los administradores deben cambiar el tipo de exten-sioacuten o MIME del certificado de usuario de ldquopfxrdquo estaacutendar o ldquop12rdquo a ldquocitrixsso-pfxrdquo o ldquocitrixsso-p12rdquorespectivamente Para cambiar el nombre de la extensioacuten los administradores pueden ejecutar elsiguiente comando en el siacutembolo del sistema o terminal
Windows 10
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 rename ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-
pfx
macOS
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 mv ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-pfx
2 Enviar el archivo como un archivo adjunto de correo electroacutenicoEl archivo de certificado de usuario con la nueva extensioacuten se puede enviar como un archivo adjuntode correo electroacutenico al usuario
Al recibir el correo electroacutenico los usuarios deben instalar el certificado en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 14
Citrix SSO
iexclCopiadoFailed
Configurar Citrix SSO para usuarios demacOS
April 3 2020
La aplicacioacuten Citrix SSO paramacOS proporciona lamejor solucioacuten de proteccioacuten de datos y acceso aaplicaciones que ofrece Citrix Gateway Ahora puede acceder de forma segura a las aplicaciones criacuteti-cas para el negocio los escritorios virtuales y los datos corporativos en cualquier momento y desdecualquier lugarCitrix SSO es el cliente VPNde proacutexima generacioacuten para Citrix Gateway para crear y administrar conex-iones VPN desde dispositivos macOS Citrix SSO se crea mediante el marco de extensioacuten de red (NE)de Apple NE framework de Apple es una biblioteca moderna que contiene API que se pueden uti-lizar para personalizar y ampliar las funciones principales de red de macOS La extensioacuten de red consoporte para SSL VPN estaacute disponible en dispositivos que ejecutanmacOS 1011+
La aplicacioacuten Citrix SSO reemplaza el complemento heredado de Citrix Gateway basado en Exten-siones de nuacutecleo (KE) que Apple va a dejar de utilizar pronto Citrix SSO App admite funciones avan-zadas como Conexiones iniciadas por el servidor y DTLS
La aplicacioacuten Citrix SSO proporciona compatibilidad completa con la administracioacuten de dispositivosmoacuteviles (MDM) en macOS Con un servidor MDM un administrador ahora puede configurar y admin-istrar de forma remota perfiles VPN a nivel de dispositivo y por aplicacioacutenLa aplicacioacuten Citrix SSO para macOS se puede instalar desde una almaceacuten de aplicaciones Mac
Comparacioacuten de funciones entre Citrix VPN y Citrix SSO
En la siguiente tabla se compara la disponibilidad de diversas funciones entre Citrix VPN y Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Meacutetodo de distribucioacuten deaplicaciones
paacutegina Descargas de Citrix App Store
Nuacutemero de conexiones entuacutenel
128 128
Acceso desde explorador Se admite No se admite
Acceso desde aplicacioacutennativa
Se admite Se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 15
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Tuacutenel dividido (DESACTI-VADOACTIVADOINVERSO)
Se admite Se admite
DNS dividido(LOCALREMOTOAMBOS)
REMOTO REMOTO
Acceso a LAN local Habilitar o inhabilitar Siempre habilitado
Compatibilidad conconexiones iniciadas por elservidor (SIC)
No se admite Se admite
Transferir el inicio de sesioacuten Se admite Se admite
Proxy del lado del cliente Se admite No se admite
Compatibilidad con EPAcaacutesicoOpswat
Se admite Se admite
Compatibilidad concertificados de dispositivo
Se admite Se admite
Compatibilidad con tiempode espera de sesioacuten
Se admite Se admite
Compatibilidad con tiempode espera forzado
Se admite Se admite
Compatibilidad con tiempode espera inactivo
Se admite No se admite
IPV6 No se admite Se admite
Itinerancia de red(conmutacioacuten entre Wi-FiEthernet etc)
Se admite Se admite
Compatibilidad conaplicaciones de intranet
Se admite Se admite
Compatibilidad con DTLSpara UDP
No se admite Se admite
Compatibilidad con contratode licencia de usuario final
Se admite Se admite
Integracioacuten de aplicaciones +Receiver
Se admite No se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 16
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Autenticacioacuten Local LDAPRADIUS
Se admite Se admite
Autenticacioacuten de certificadosde cliente
Se admite Se admite
Compatibilidad con TLS(TLS1 TLS11 y TLS12)
Se admite Se admite
Autenticacioacuten de dos factores Se admite Se admite
Compatibilidad con productos MDM
Citrix SSO para macOS es compatible con la mayoriacutea de los proveedores de MDM como Citrix Xen-Mobile Microsoft Intune etc Es compatible con una funcioacuten denominada Control de acceso a redes(NAC) mediante la cual los administradores de MDM pueden imponer el cumplimiento de los dispos-itivos del usuario final antes de conectarse a Citrix Gateway NAC en Citrix SSO requiere un servidorMDM como XenMobile o Intune y Citrix Gateway Para obtener maacutes informacioacuten sobre NAC haga clicen aquiacute
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-Onsiguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o la deConfiguracioacuten de carga uacutetil VPN MDM de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 17
Citrix SSO
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 SeleccionemacOS en el panel de la izquierda Plataforma de directivas Seleccione Directiva VPNen el panel derecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina de detalles de directiva para macOS escriba un nombre de conexioacuten vaacutelido y elijaSSL personalizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewaymacosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO enmacOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewaymacosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSOmacOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN de Citrix ADC asociadoa esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se encuentran en la documentacioacuten de Citrix Endpoint Management
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 18
Citrix SSO
Realice los siguientes pasos para configurar una VPN por aplicacioacuten en Citrix Endpoint Management
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
13 Haga clic en Siguiente
14 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Clave = rdquoPerAppsPlitTunnelrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
copy 1999-2020 Citrix Systems Inc All rights reserved 19
Citrix SSO
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Clave = rdquoDisableUserProfilesrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Problemas conocidos
Los siguientes son los problemas conocidos actualmente
bull El inicio de sesioacuten de EPA falla si el usuario se coloca en el grupo de cuarentenabull No se muestra el mensaje de advertencia de tiempo de espera forzadobull La aplicacioacuten SSO permite iniciar sesioacuten si el tuacutenel dividido estaacute activado y no hay aplicacionesde intranet configuradas
Limitaciones
Las siguientes son las limitaciones actuales
bull Algunos de los anaacutelisis EPA (por ejemplo anaacutelisis de administracioacuten de parches exploracioacutendel explorador web proceso de eliminacioacuten) podriacutean fallar debido al acceso restringido a laaplicacioacuten SSO debido al espacio limitado
copy 1999-2020 Citrix Systems Inc All rights reserved 20
Citrix SSO
bull No se admite el tuacutenel dividido basado en puertosprotocolos
Preguntas frecuentes
En esta seccioacuten se recogen las preguntas frecuentes de la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplica principalmente a los clientes que no son MDM que no utilizan un servi-dor MDM para distribuir certificados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSOa traveacutes de correo electroacutenicordquo para poder distribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM deMicrosoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradores pueden protegersu red interna empresarial agregando una capa adicional de autenticacioacuten para dispositivos moacutevilesadministrados por un servidor MDM Los administradores pueden aplicar una comprobacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlace
copy 1999-2020 Citrix Systems Inc All rights reserved 21
Citrix SSO
bull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Preguntas frecuentes
April 3 2020
En esta seccioacuten se recogen las preguntas maacutes frecuentes en la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplicaprincipalmente a los clientes que no son MDM que no utilizan un servidor MDM para distribuir certifi-cados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSO a traveacutes de correo electroacutenicordquopara poderdistribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM de
copy 1999-2020 Citrix Systems Inc All rights reserved 22
Citrix SSO
Microsoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradorespueden proteger su red interna empresarial agregando una capa adicional de autenticacioacuten para dis-positivos moacuteviles administrados por un servidor MDM Los administradores pueden aplicar una com-probacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlacebull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Citrix SSO para dispositivos Android
April 3 2020
Citrix SSO ofrece la mejor solucioacuten de proteccioacuten de datos y acceso a las aplicaciones con Citrix Gate-way Ahora puede acceder de forma segura a las aplicaciones criacuteticas para el negocio los escritoriosvirtuales y los datos corporativos en cualquier momento y desde cualquier lugar
iexclCopiadoFailed
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
copy 1999-2020 Citrix Systems Inc All rights reserved 23
Citrix SSO
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V2314
Problemas resueltos
bull Citrix SSO ahora maneja correctamente el mensaje final de establecimiento de sesioacuten VPN
[CGOP-12488]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2313
Problemas resueltos
bull La direccioacuten IP de Citrix Gateway se resuelve solo una vez
Anteriormente la direccioacuten IP de Citrix Gateway se resolvioacute varias veces lo que ocasionaba er-rores de conexioacuten a veces
[CGOP-12101]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2312
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
de URL es ldquocitrixssordquo
[CGOP-11979 IOS]
Problemas resueltos
bull La aplicacioacuten Citrix SSO se bloquea al enviar traacutefico UDP intenso
[CGOP-11603 macOS]
bull Citrix SSO para iPad se bloquea cuando la aplicacioacuten se inicia desde una notificacioacuten en iOS 13
[NSHELP-21087 IOS]
V122
Problemas resueltos
bull En algunas implementaciones de GSLB Citrix SSO resuelve el nombre de la Gateway varias ve-ces lo que provoca errores de conexioacuten
[CGOP-12013]
bull Citrix SSO para iOS no puede analizar OTPSecret conmaacutes de 16 bytes
[CGOP-11978 IOS]
bull Se pide a los usuarios con perfiles configurados para la autenticacioacuten de solo certificado y unacomprobacioacuten de NAC que introduzcan las credenciales de inicio de sesioacuten y no pueden crearlas conexiones VPN
[CGOP-11925 IOS]
bull Aunque el indicador de tuacutenel dividido por aplicacioacuten solo se comprueba para el traacutefico TCP eltraacutefico ICMP se tuneliza incluso en los casos en que el traacutefico ICMP debe enviarse directamente
[CGOP-11614 IOS]
Problemas conocidos
bull El complemento Citrix Gateway para macOS no admite la funcioacuten que abre la paacutegina de inicioen la aplicacioacuten Citrix Workspace
[NSHELP-7047]
copy 1999-2020 Citrix Systems Inc All rights reserved 5
Citrix SSO
V120
Novedades
bull Compatibilidad con la autenticacioacutennFactor La autenticacioacuten nFactor ahora se admite tantoen iOS como enmacOS
[CGOP-11251]
bull Compatibilidad con la aplicacioacutenCitrix SSO La aplicacioacutenCitrix SSOahora es compatible coniOS 13 y macOS Catalina
[CGOP-11714]
Problemas resueltos
bull La direccioacuten IP del cliente semuestra hacia atraacutes en la paacutegina Conexiones de la aplicacioacuten SSO
[CGOP-11596]
bull Citrix SSO no respeta el bit truncado DNS en el indicador DNS de Citrix ADC versioacuten 130
[CGOP-11777]
bull El tuacutenel dividido por aplicacioacuten no es compatible con Citrix ADC versioacuten 130
[CGOP-11464]
bull Citrix SSO ignora algunos de los mensajes de tiempo de espera de Citrix Gateway
[CGOP-11310]
bull Cuando los usuarios inician sesioacuten en la aplicacioacutenpor primera vez la uacuteltima liacutenea de la descrip-cioacuten de la aplicacioacuten no aparece en la pantalla del usuario
[CGOP-11595 macOS]
bull El tamantildeo de la ventana de inicio de sesioacuten de la aplicacioacuten Citrix SSO sigue aumentando alhacer clic repetidamente en el botoacuten Inicio de sesioacuten
[CGOP-11594 macOS]
bull Cuando se supera el liacutemitemaacuteximo de usuarios con licencia semuestra unmensaje de error enel nivel del sistema y no en la ventana de la aplicacioacuten
[CGOP-11600 macOS]
copy 1999-2020 Citrix Systems Inc All rights reserved 6
Citrix SSO
V1112
Novedades
bull Recopilacioacuten de datos de telemetriacutea paramacOS Citrix SSO recopila eventos de anaacutelisis per-sonalizados relacionados con el uso de VPN en la aplicacioacuten
[CGOP-9789 macOS]
bull Soporte de tuacutenel dividido por aplicacioacuten Los administradores pueden configurar el tuacuteneldividido por aplicacioacuten El traacutefico por aplicacioacuten que coincide con las rutas de intranet de CitrixGateway se canaliza al dispositivo Citrix Gateway
[CGOP-657]
bull FQDNTuacutenel Split Tuacutenel traacuteficobasadoenel FQDNdel sistema FQDNTuacutenel Split Tuacutenel traacuteficobasado en el FQDN del sistema en lugar de la IP resuelta por los servidores DNS
[CGOP-316]
Problemas resueltos
bull Los elementos de la interfaz de usuario como botones campos de texto etiquetas etc estaacutendesalineados en las pantallas del iPad
[CGOP-10141 IOS]
bull Los usuarios no reciben notificacioacuten de un inicio de sesioacuten remoto si no tienen un perfil VPNagregado
[CGOP-9731 IOS]
V1110
Problemas resueltos
bull LaaplicacioacutenCitrix SSOnomuestraelmensajedeerror adecuadoal alcanzar el nuacutemeromaacuteximode usuarios cuando
[CGOP-231]
bull La casilla de verificacioacuten EULA no estaacute desactivada de forma predeterminada
[CGOP-245]
bull No se admite la funcionalidad de adicioacuten para el anaacutelisis ldquohabilitadordquo de antiphishing en End-point Analysis
[CGOP-249]
copy 1999-2020 Citrix Systems Inc All rights reserved 7
Citrix SSO
bull La seleccioacuten automaacutetica del certificado clientedispositivo para la autenticacioacuten no ocurre in-cluso si solo hay un clientedispositivo presente en el llavero
[CGOP-251]
bull No se puede agregar un lsquoregistro de conexioacutenrsquo despueacutes de modificar uno en la aplicacioacuten CitrixSSO
[CGOP-7256]
iexclCopiadoFailed
Configurar Citrix SSO para usuarios de iOS
April 3 2020
IMPORTANTE Citrix VPN no se puede utilizar en iOS 12 y versiones posteriores Para continuarcon VPN use la aplicacioacuten Citrix SSO
En la siguiente tabla se compara la disponibilidad de diversas funciones entre Citrix VPN y Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
VPN a nivel de dispositivo Se admite Se admite
VPN por aplicacioacuten (soloMDM)
Se admite Se admite
Tuacutenel dividido por aplicacioacuten No se admite Se admite
Perfiles VPN configurados porMDM
Se admite Se admite
VPN a demanda Se admite Se admite
Tokens de contrasentildea(basados en T-OTP)
No se admite Se admite
Inicio de sesioacuten basado ennotificaciones push (segundofactor desde el teleacutefonoregistrado)
No se admite Se admite
Autenticacioacuten basada encertificados
Se admite Se admite
Autenticacioacuten de nombre deusuariocontrasentildea
Se admite Se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 8
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Comprobacioacuten del control deacceso a redes con CitrixEndpoint Management(anteriormente XenMobile)
No se admite Se admite
Comprobacioacuten del control deacceso a la red con MicrosoftIntune
Se admite Se admite
Compatibilidad con DTLS No se admite Se admite
Bloquear perfiles VPNcreados por el usuario
Se admite Se admite
Inicio de sesioacuten uacutenico (SSO)para aplicaciones nativasadministradas por CitrixCloud
No se admite Se admite
Versioacuten de SO compatible iOS 9 10 11 (no funciona apartir de iOS 12+)
iOS 9+
Compatibilidad con productos MDM
Citrix SSO es compatible con la mayoriacutea de los proveedores de MDM como Citrix Endpoint Manage-ment (anteriormente XenMobile) Microsoft Intune etc
Citrix SSO tambieacuten admite una funcioacuten denominada Control de acceso a redes (NAC) Para obtenermaacutes informacioacuten sobre NAC haga clic en aquiacute Con NAC los administradores de MDM pueden exigirel cumplimiento de los dispositivos del usuario final antes de conectarse a Citrix ADC NAC en CitrixSSO requiere un servidor MDM como Citrix Endpoint Management o Intune y Citrix ADC
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-On
copy 1999-2020 Citrix Systems Inc All rights reserved 9
Citrix SSO
siguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o laconfiguracioacuten de carga uacutetil de MDM VPN de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo en Citrix Endpoint Manage-ment
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 Seleccione iOS en el panel de la izquierda Plataforma de directivas Seleccione VPN en el panelderecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina Directiva de VPN para iOS escriba un nombre de conexioacuten vaacutelido y elija SSL person-alizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewayiosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO en iOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewayiosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSO iOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN (nombre de dominiocompleto) de Citrix ADC asociado a esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
copy 1999-2020 Citrix Systems Inc All rights reserved 10
Citrix SSO
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
Realice los siguientes pasos para configurar una VPN por aplicacioacuten
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
4 En Tipo de proveedor seleccione Tuacutenel de paquetes
Nota En la carga uacutetil MDM VPN este campo corresponde al tipo de proveedorclave
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
14 Haga clic en Siguiente
15 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
copy 1999-2020 Citrix Systems Inc All rights reserved 11
Citrix SSO
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Key = rdquoPerAppSplitTunnelrdquo2 - Value = rdquotrue or 1 or yesrdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Key = rdquodisableUserProfilesrdquo2 - Value = rdquotrue or 1 or yesrdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
copy 1999-2020 Citrix Systems Inc All rights reserved 12
Citrix SSO
Problemas conocidos
Descripcioacuten del problema Tunelizacioacuten para direcciones FQDN que contienen un dominio ldquolocalrdquoen configuraciones VPN por aplicacioacuten o VPN bajo demanda Hay un error en el marco de extensioacutende red de Apple que impide que las direcciones FQDN que contienen local en la parte del dominio(por ejemplo httpwwwwabclocal) pasen a ser de tuacutenel a traveacutes de la interfaz TUN del sistema Eltraacutefico de esta direccioacuten se enviacutea a traveacutes de la interfaz fiacutesica del dispositivo en su lugar El problemase observa solo con las configuraciones VPN por aplicacioacuten o VPN bajo demanda y no se ve con lasconfiguraciones VPN de todo el sistema Citrix ha presentado un informe de error de radar a Apple yApple habiacutea sentildealado que de acuerdo con RFC-6762httpstoolsietforghtmlrfc6762local es unaconsulta DNS de multidifusioacuten (MDN) y por lo tanto no es un error Sin embargo Apple auacuten no hacerrado el error y no estaacute claro si el problema se resolveraacute en futuras versiones de iOS
Solucioacuten alternativa Asigne un nombre de dominiolocal para direcciones como la solucioacuten alterna-tiva
Limitaciones
bull La tunelizacioacuten dividida basada en FQDN auacuten no es totalmente compatiblebull El anaacutelisis de punto final (EPA) no es compatible con iOSbull No se admite el tuacutenel dividido basado en puertosprotocolos
iexclCopiadoFailed
Enviar identidad de certificado de usuario como datos adjuntos decorreo electroacutenico a usuarios de iOS
April 3 2020
Citrix SSO en iOS admite la autenticacioacuten de certificados de cliente con Citrix Gateway En iOS loscertificados se pueden entregar a la aplicacioacuten Citrix SSO de una de las siguientes maneras
bull Servidor MDM Este es el enfoque preferido para los clientes de MDM Los certificados se con-figuran directamente en el perfil VPN administrado MDM Los perfiles VPN y los certificados seenviacuteana continuacioacutena losdispositivos inscritos cuandoel dispositivo se inscribe enel servidorMDM Siga los documentos especiacuteficos del proveedor de MDM para este enfoque
bull Correo electroacutenico uacutenico enfoque para clientes que no sean MDM En este enfoque los admin-istradores enviacutean un correo electroacutenico con la identidad del certificado de usuario (certificadoy clave privada) adjunta como un archivo PCKS 12 a los usuarios Los usuarios deben tener
copy 1999-2020 Citrix Systems Inc All rights reserved 13
Citrix SSO
sus cuentas de correo electroacutenico configuradas en su dispositivo iOS para recibir el correo elec-troacutenico con datos adjuntos El archivo se puede importar a la aplicacioacuten Citrix SSO en iOS En lasiguiente seccioacuten se explican los pasos de configuracioacuten para este enfoque
Requisitos previos
bull Certificado de usuario Archivo de identidad PKCS 12 con una extensioacutenpfx op12 para unusuario determinado Este archivo contiene tanto el certificado como la clave privada
bull Cuenta de correo electroacutenico configurada en el dispositivo iOS
bull Aplicacioacuten Citrix SSO instalada en el dispositivo iOS
Pasos de configuracioacuten
1 Cambie el nombre del tipo de extensioacuten o MIME del certificado de usuario
Las extensiones de archivomaacutes utilizadas para el certificado de usuario son ldquopfxrdquo ldquop12rdquo etc Estas ex-tensiones de archivo no son estaacutendar para la plataforma iOS a diferencia de formatos comopdfdocTanto ldquopfxrdquo como ldquop12rdquo son reclamados por el sistema iOS y no pueden ser reclamados por aplica-ciones de terceros como Citrix SSO Por lo tanto Citrix SSO ha definido un nuevo tipo de extensioacuten oMIME llamado ldquocitrixsso-pfxrdquo y ldquocitrixsso-p12rdquo Los administradores deben cambiar el tipo de exten-sioacuten o MIME del certificado de usuario de ldquopfxrdquo estaacutendar o ldquop12rdquo a ldquocitrixsso-pfxrdquo o ldquocitrixsso-p12rdquorespectivamente Para cambiar el nombre de la extensioacuten los administradores pueden ejecutar elsiguiente comando en el siacutembolo del sistema o terminal
Windows 10
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 rename ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-
pfx
macOS
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 mv ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-pfx
2 Enviar el archivo como un archivo adjunto de correo electroacutenicoEl archivo de certificado de usuario con la nueva extensioacuten se puede enviar como un archivo adjuntode correo electroacutenico al usuario
Al recibir el correo electroacutenico los usuarios deben instalar el certificado en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 14
Citrix SSO
iexclCopiadoFailed
Configurar Citrix SSO para usuarios demacOS
April 3 2020
La aplicacioacuten Citrix SSO paramacOS proporciona lamejor solucioacuten de proteccioacuten de datos y acceso aaplicaciones que ofrece Citrix Gateway Ahora puede acceder de forma segura a las aplicaciones criacuteti-cas para el negocio los escritorios virtuales y los datos corporativos en cualquier momento y desdecualquier lugarCitrix SSO es el cliente VPNde proacutexima generacioacuten para Citrix Gateway para crear y administrar conex-iones VPN desde dispositivos macOS Citrix SSO se crea mediante el marco de extensioacuten de red (NE)de Apple NE framework de Apple es una biblioteca moderna que contiene API que se pueden uti-lizar para personalizar y ampliar las funciones principales de red de macOS La extensioacuten de red consoporte para SSL VPN estaacute disponible en dispositivos que ejecutanmacOS 1011+
La aplicacioacuten Citrix SSO reemplaza el complemento heredado de Citrix Gateway basado en Exten-siones de nuacutecleo (KE) que Apple va a dejar de utilizar pronto Citrix SSO App admite funciones avan-zadas como Conexiones iniciadas por el servidor y DTLS
La aplicacioacuten Citrix SSO proporciona compatibilidad completa con la administracioacuten de dispositivosmoacuteviles (MDM) en macOS Con un servidor MDM un administrador ahora puede configurar y admin-istrar de forma remota perfiles VPN a nivel de dispositivo y por aplicacioacutenLa aplicacioacuten Citrix SSO para macOS se puede instalar desde una almaceacuten de aplicaciones Mac
Comparacioacuten de funciones entre Citrix VPN y Citrix SSO
En la siguiente tabla se compara la disponibilidad de diversas funciones entre Citrix VPN y Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Meacutetodo de distribucioacuten deaplicaciones
paacutegina Descargas de Citrix App Store
Nuacutemero de conexiones entuacutenel
128 128
Acceso desde explorador Se admite No se admite
Acceso desde aplicacioacutennativa
Se admite Se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 15
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Tuacutenel dividido (DESACTI-VADOACTIVADOINVERSO)
Se admite Se admite
DNS dividido(LOCALREMOTOAMBOS)
REMOTO REMOTO
Acceso a LAN local Habilitar o inhabilitar Siempre habilitado
Compatibilidad conconexiones iniciadas por elservidor (SIC)
No se admite Se admite
Transferir el inicio de sesioacuten Se admite Se admite
Proxy del lado del cliente Se admite No se admite
Compatibilidad con EPAcaacutesicoOpswat
Se admite Se admite
Compatibilidad concertificados de dispositivo
Se admite Se admite
Compatibilidad con tiempode espera de sesioacuten
Se admite Se admite
Compatibilidad con tiempode espera forzado
Se admite Se admite
Compatibilidad con tiempode espera inactivo
Se admite No se admite
IPV6 No se admite Se admite
Itinerancia de red(conmutacioacuten entre Wi-FiEthernet etc)
Se admite Se admite
Compatibilidad conaplicaciones de intranet
Se admite Se admite
Compatibilidad con DTLSpara UDP
No se admite Se admite
Compatibilidad con contratode licencia de usuario final
Se admite Se admite
Integracioacuten de aplicaciones +Receiver
Se admite No se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 16
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Autenticacioacuten Local LDAPRADIUS
Se admite Se admite
Autenticacioacuten de certificadosde cliente
Se admite Se admite
Compatibilidad con TLS(TLS1 TLS11 y TLS12)
Se admite Se admite
Autenticacioacuten de dos factores Se admite Se admite
Compatibilidad con productos MDM
Citrix SSO para macOS es compatible con la mayoriacutea de los proveedores de MDM como Citrix Xen-Mobile Microsoft Intune etc Es compatible con una funcioacuten denominada Control de acceso a redes(NAC) mediante la cual los administradores de MDM pueden imponer el cumplimiento de los dispos-itivos del usuario final antes de conectarse a Citrix Gateway NAC en Citrix SSO requiere un servidorMDM como XenMobile o Intune y Citrix Gateway Para obtener maacutes informacioacuten sobre NAC haga clicen aquiacute
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-Onsiguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o la deConfiguracioacuten de carga uacutetil VPN MDM de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 17
Citrix SSO
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 SeleccionemacOS en el panel de la izquierda Plataforma de directivas Seleccione Directiva VPNen el panel derecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina de detalles de directiva para macOS escriba un nombre de conexioacuten vaacutelido y elijaSSL personalizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewaymacosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO enmacOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewaymacosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSOmacOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN de Citrix ADC asociadoa esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se encuentran en la documentacioacuten de Citrix Endpoint Management
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 18
Citrix SSO
Realice los siguientes pasos para configurar una VPN por aplicacioacuten en Citrix Endpoint Management
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
13 Haga clic en Siguiente
14 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Clave = rdquoPerAppsPlitTunnelrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
copy 1999-2020 Citrix Systems Inc All rights reserved 19
Citrix SSO
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Clave = rdquoDisableUserProfilesrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Problemas conocidos
Los siguientes son los problemas conocidos actualmente
bull El inicio de sesioacuten de EPA falla si el usuario se coloca en el grupo de cuarentenabull No se muestra el mensaje de advertencia de tiempo de espera forzadobull La aplicacioacuten SSO permite iniciar sesioacuten si el tuacutenel dividido estaacute activado y no hay aplicacionesde intranet configuradas
Limitaciones
Las siguientes son las limitaciones actuales
bull Algunos de los anaacutelisis EPA (por ejemplo anaacutelisis de administracioacuten de parches exploracioacutendel explorador web proceso de eliminacioacuten) podriacutean fallar debido al acceso restringido a laaplicacioacuten SSO debido al espacio limitado
copy 1999-2020 Citrix Systems Inc All rights reserved 20
Citrix SSO
bull No se admite el tuacutenel dividido basado en puertosprotocolos
Preguntas frecuentes
En esta seccioacuten se recogen las preguntas frecuentes de la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplica principalmente a los clientes que no son MDM que no utilizan un servi-dor MDM para distribuir certificados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSOa traveacutes de correo electroacutenicordquo para poder distribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM deMicrosoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradores pueden protegersu red interna empresarial agregando una capa adicional de autenticacioacuten para dispositivos moacutevilesadministrados por un servidor MDM Los administradores pueden aplicar una comprobacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlace
copy 1999-2020 Citrix Systems Inc All rights reserved 21
Citrix SSO
bull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Preguntas frecuentes
April 3 2020
En esta seccioacuten se recogen las preguntas maacutes frecuentes en la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplicaprincipalmente a los clientes que no son MDM que no utilizan un servidor MDM para distribuir certifi-cados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSO a traveacutes de correo electroacutenicordquopara poderdistribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM de
copy 1999-2020 Citrix Systems Inc All rights reserved 22
Citrix SSO
Microsoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradorespueden proteger su red interna empresarial agregando una capa adicional de autenticacioacuten para dis-positivos moacuteviles administrados por un servidor MDM Los administradores pueden aplicar una com-probacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlacebull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Citrix SSO para dispositivos Android
April 3 2020
Citrix SSO ofrece la mejor solucioacuten de proteccioacuten de datos y acceso a las aplicaciones con Citrix Gate-way Ahora puede acceder de forma segura a las aplicaciones criacuteticas para el negocio los escritoriosvirtuales y los datos corporativos en cualquier momento y desde cualquier lugar
iexclCopiadoFailed
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
copy 1999-2020 Citrix Systems Inc All rights reserved 23
Citrix SSO
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V2314
Problemas resueltos
bull Citrix SSO ahora maneja correctamente el mensaje final de establecimiento de sesioacuten VPN
[CGOP-12488]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2313
Problemas resueltos
bull La direccioacuten IP de Citrix Gateway se resuelve solo una vez
Anteriormente la direccioacuten IP de Citrix Gateway se resolvioacute varias veces lo que ocasionaba er-rores de conexioacuten a veces
[CGOP-12101]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2312
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
V120
Novedades
bull Compatibilidad con la autenticacioacutennFactor La autenticacioacuten nFactor ahora se admite tantoen iOS como enmacOS
[CGOP-11251]
bull Compatibilidad con la aplicacioacutenCitrix SSO La aplicacioacutenCitrix SSOahora es compatible coniOS 13 y macOS Catalina
[CGOP-11714]
Problemas resueltos
bull La direccioacuten IP del cliente semuestra hacia atraacutes en la paacutegina Conexiones de la aplicacioacuten SSO
[CGOP-11596]
bull Citrix SSO no respeta el bit truncado DNS en el indicador DNS de Citrix ADC versioacuten 130
[CGOP-11777]
bull El tuacutenel dividido por aplicacioacuten no es compatible con Citrix ADC versioacuten 130
[CGOP-11464]
bull Citrix SSO ignora algunos de los mensajes de tiempo de espera de Citrix Gateway
[CGOP-11310]
bull Cuando los usuarios inician sesioacuten en la aplicacioacutenpor primera vez la uacuteltima liacutenea de la descrip-cioacuten de la aplicacioacuten no aparece en la pantalla del usuario
[CGOP-11595 macOS]
bull El tamantildeo de la ventana de inicio de sesioacuten de la aplicacioacuten Citrix SSO sigue aumentando alhacer clic repetidamente en el botoacuten Inicio de sesioacuten
[CGOP-11594 macOS]
bull Cuando se supera el liacutemitemaacuteximo de usuarios con licencia semuestra unmensaje de error enel nivel del sistema y no en la ventana de la aplicacioacuten
[CGOP-11600 macOS]
copy 1999-2020 Citrix Systems Inc All rights reserved 6
Citrix SSO
V1112
Novedades
bull Recopilacioacuten de datos de telemetriacutea paramacOS Citrix SSO recopila eventos de anaacutelisis per-sonalizados relacionados con el uso de VPN en la aplicacioacuten
[CGOP-9789 macOS]
bull Soporte de tuacutenel dividido por aplicacioacuten Los administradores pueden configurar el tuacuteneldividido por aplicacioacuten El traacutefico por aplicacioacuten que coincide con las rutas de intranet de CitrixGateway se canaliza al dispositivo Citrix Gateway
[CGOP-657]
bull FQDNTuacutenel Split Tuacutenel traacuteficobasadoenel FQDNdel sistema FQDNTuacutenel Split Tuacutenel traacuteficobasado en el FQDN del sistema en lugar de la IP resuelta por los servidores DNS
[CGOP-316]
Problemas resueltos
bull Los elementos de la interfaz de usuario como botones campos de texto etiquetas etc estaacutendesalineados en las pantallas del iPad
[CGOP-10141 IOS]
bull Los usuarios no reciben notificacioacuten de un inicio de sesioacuten remoto si no tienen un perfil VPNagregado
[CGOP-9731 IOS]
V1110
Problemas resueltos
bull LaaplicacioacutenCitrix SSOnomuestraelmensajedeerror adecuadoal alcanzar el nuacutemeromaacuteximode usuarios cuando
[CGOP-231]
bull La casilla de verificacioacuten EULA no estaacute desactivada de forma predeterminada
[CGOP-245]
bull No se admite la funcionalidad de adicioacuten para el anaacutelisis ldquohabilitadordquo de antiphishing en End-point Analysis
[CGOP-249]
copy 1999-2020 Citrix Systems Inc All rights reserved 7
Citrix SSO
bull La seleccioacuten automaacutetica del certificado clientedispositivo para la autenticacioacuten no ocurre in-cluso si solo hay un clientedispositivo presente en el llavero
[CGOP-251]
bull No se puede agregar un lsquoregistro de conexioacutenrsquo despueacutes de modificar uno en la aplicacioacuten CitrixSSO
[CGOP-7256]
iexclCopiadoFailed
Configurar Citrix SSO para usuarios de iOS
April 3 2020
IMPORTANTE Citrix VPN no se puede utilizar en iOS 12 y versiones posteriores Para continuarcon VPN use la aplicacioacuten Citrix SSO
En la siguiente tabla se compara la disponibilidad de diversas funciones entre Citrix VPN y Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
VPN a nivel de dispositivo Se admite Se admite
VPN por aplicacioacuten (soloMDM)
Se admite Se admite
Tuacutenel dividido por aplicacioacuten No se admite Se admite
Perfiles VPN configurados porMDM
Se admite Se admite
VPN a demanda Se admite Se admite
Tokens de contrasentildea(basados en T-OTP)
No se admite Se admite
Inicio de sesioacuten basado ennotificaciones push (segundofactor desde el teleacutefonoregistrado)
No se admite Se admite
Autenticacioacuten basada encertificados
Se admite Se admite
Autenticacioacuten de nombre deusuariocontrasentildea
Se admite Se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 8
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Comprobacioacuten del control deacceso a redes con CitrixEndpoint Management(anteriormente XenMobile)
No se admite Se admite
Comprobacioacuten del control deacceso a la red con MicrosoftIntune
Se admite Se admite
Compatibilidad con DTLS No se admite Se admite
Bloquear perfiles VPNcreados por el usuario
Se admite Se admite
Inicio de sesioacuten uacutenico (SSO)para aplicaciones nativasadministradas por CitrixCloud
No se admite Se admite
Versioacuten de SO compatible iOS 9 10 11 (no funciona apartir de iOS 12+)
iOS 9+
Compatibilidad con productos MDM
Citrix SSO es compatible con la mayoriacutea de los proveedores de MDM como Citrix Endpoint Manage-ment (anteriormente XenMobile) Microsoft Intune etc
Citrix SSO tambieacuten admite una funcioacuten denominada Control de acceso a redes (NAC) Para obtenermaacutes informacioacuten sobre NAC haga clic en aquiacute Con NAC los administradores de MDM pueden exigirel cumplimiento de los dispositivos del usuario final antes de conectarse a Citrix ADC NAC en CitrixSSO requiere un servidor MDM como Citrix Endpoint Management o Intune y Citrix ADC
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-On
copy 1999-2020 Citrix Systems Inc All rights reserved 9
Citrix SSO
siguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o laconfiguracioacuten de carga uacutetil de MDM VPN de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo en Citrix Endpoint Manage-ment
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 Seleccione iOS en el panel de la izquierda Plataforma de directivas Seleccione VPN en el panelderecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina Directiva de VPN para iOS escriba un nombre de conexioacuten vaacutelido y elija SSL person-alizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewayiosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO en iOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewayiosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSO iOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN (nombre de dominiocompleto) de Citrix ADC asociado a esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
copy 1999-2020 Citrix Systems Inc All rights reserved 10
Citrix SSO
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
Realice los siguientes pasos para configurar una VPN por aplicacioacuten
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
4 En Tipo de proveedor seleccione Tuacutenel de paquetes
Nota En la carga uacutetil MDM VPN este campo corresponde al tipo de proveedorclave
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
14 Haga clic en Siguiente
15 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
copy 1999-2020 Citrix Systems Inc All rights reserved 11
Citrix SSO
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Key = rdquoPerAppSplitTunnelrdquo2 - Value = rdquotrue or 1 or yesrdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Key = rdquodisableUserProfilesrdquo2 - Value = rdquotrue or 1 or yesrdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
copy 1999-2020 Citrix Systems Inc All rights reserved 12
Citrix SSO
Problemas conocidos
Descripcioacuten del problema Tunelizacioacuten para direcciones FQDN que contienen un dominio ldquolocalrdquoen configuraciones VPN por aplicacioacuten o VPN bajo demanda Hay un error en el marco de extensioacutende red de Apple que impide que las direcciones FQDN que contienen local en la parte del dominio(por ejemplo httpwwwwabclocal) pasen a ser de tuacutenel a traveacutes de la interfaz TUN del sistema Eltraacutefico de esta direccioacuten se enviacutea a traveacutes de la interfaz fiacutesica del dispositivo en su lugar El problemase observa solo con las configuraciones VPN por aplicacioacuten o VPN bajo demanda y no se ve con lasconfiguraciones VPN de todo el sistema Citrix ha presentado un informe de error de radar a Apple yApple habiacutea sentildealado que de acuerdo con RFC-6762httpstoolsietforghtmlrfc6762local es unaconsulta DNS de multidifusioacuten (MDN) y por lo tanto no es un error Sin embargo Apple auacuten no hacerrado el error y no estaacute claro si el problema se resolveraacute en futuras versiones de iOS
Solucioacuten alternativa Asigne un nombre de dominiolocal para direcciones como la solucioacuten alterna-tiva
Limitaciones
bull La tunelizacioacuten dividida basada en FQDN auacuten no es totalmente compatiblebull El anaacutelisis de punto final (EPA) no es compatible con iOSbull No se admite el tuacutenel dividido basado en puertosprotocolos
iexclCopiadoFailed
Enviar identidad de certificado de usuario como datos adjuntos decorreo electroacutenico a usuarios de iOS
April 3 2020
Citrix SSO en iOS admite la autenticacioacuten de certificados de cliente con Citrix Gateway En iOS loscertificados se pueden entregar a la aplicacioacuten Citrix SSO de una de las siguientes maneras
bull Servidor MDM Este es el enfoque preferido para los clientes de MDM Los certificados se con-figuran directamente en el perfil VPN administrado MDM Los perfiles VPN y los certificados seenviacuteana continuacioacutena losdispositivos inscritos cuandoel dispositivo se inscribe enel servidorMDM Siga los documentos especiacuteficos del proveedor de MDM para este enfoque
bull Correo electroacutenico uacutenico enfoque para clientes que no sean MDM En este enfoque los admin-istradores enviacutean un correo electroacutenico con la identidad del certificado de usuario (certificadoy clave privada) adjunta como un archivo PCKS 12 a los usuarios Los usuarios deben tener
copy 1999-2020 Citrix Systems Inc All rights reserved 13
Citrix SSO
sus cuentas de correo electroacutenico configuradas en su dispositivo iOS para recibir el correo elec-troacutenico con datos adjuntos El archivo se puede importar a la aplicacioacuten Citrix SSO en iOS En lasiguiente seccioacuten se explican los pasos de configuracioacuten para este enfoque
Requisitos previos
bull Certificado de usuario Archivo de identidad PKCS 12 con una extensioacutenpfx op12 para unusuario determinado Este archivo contiene tanto el certificado como la clave privada
bull Cuenta de correo electroacutenico configurada en el dispositivo iOS
bull Aplicacioacuten Citrix SSO instalada en el dispositivo iOS
Pasos de configuracioacuten
1 Cambie el nombre del tipo de extensioacuten o MIME del certificado de usuario
Las extensiones de archivomaacutes utilizadas para el certificado de usuario son ldquopfxrdquo ldquop12rdquo etc Estas ex-tensiones de archivo no son estaacutendar para la plataforma iOS a diferencia de formatos comopdfdocTanto ldquopfxrdquo como ldquop12rdquo son reclamados por el sistema iOS y no pueden ser reclamados por aplica-ciones de terceros como Citrix SSO Por lo tanto Citrix SSO ha definido un nuevo tipo de extensioacuten oMIME llamado ldquocitrixsso-pfxrdquo y ldquocitrixsso-p12rdquo Los administradores deben cambiar el tipo de exten-sioacuten o MIME del certificado de usuario de ldquopfxrdquo estaacutendar o ldquop12rdquo a ldquocitrixsso-pfxrdquo o ldquocitrixsso-p12rdquorespectivamente Para cambiar el nombre de la extensioacuten los administradores pueden ejecutar elsiguiente comando en el siacutembolo del sistema o terminal
Windows 10
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 rename ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-
pfx
macOS
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 mv ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-pfx
2 Enviar el archivo como un archivo adjunto de correo electroacutenicoEl archivo de certificado de usuario con la nueva extensioacuten se puede enviar como un archivo adjuntode correo electroacutenico al usuario
Al recibir el correo electroacutenico los usuarios deben instalar el certificado en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 14
Citrix SSO
iexclCopiadoFailed
Configurar Citrix SSO para usuarios demacOS
April 3 2020
La aplicacioacuten Citrix SSO paramacOS proporciona lamejor solucioacuten de proteccioacuten de datos y acceso aaplicaciones que ofrece Citrix Gateway Ahora puede acceder de forma segura a las aplicaciones criacuteti-cas para el negocio los escritorios virtuales y los datos corporativos en cualquier momento y desdecualquier lugarCitrix SSO es el cliente VPNde proacutexima generacioacuten para Citrix Gateway para crear y administrar conex-iones VPN desde dispositivos macOS Citrix SSO se crea mediante el marco de extensioacuten de red (NE)de Apple NE framework de Apple es una biblioteca moderna que contiene API que se pueden uti-lizar para personalizar y ampliar las funciones principales de red de macOS La extensioacuten de red consoporte para SSL VPN estaacute disponible en dispositivos que ejecutanmacOS 1011+
La aplicacioacuten Citrix SSO reemplaza el complemento heredado de Citrix Gateway basado en Exten-siones de nuacutecleo (KE) que Apple va a dejar de utilizar pronto Citrix SSO App admite funciones avan-zadas como Conexiones iniciadas por el servidor y DTLS
La aplicacioacuten Citrix SSO proporciona compatibilidad completa con la administracioacuten de dispositivosmoacuteviles (MDM) en macOS Con un servidor MDM un administrador ahora puede configurar y admin-istrar de forma remota perfiles VPN a nivel de dispositivo y por aplicacioacutenLa aplicacioacuten Citrix SSO para macOS se puede instalar desde una almaceacuten de aplicaciones Mac
Comparacioacuten de funciones entre Citrix VPN y Citrix SSO
En la siguiente tabla se compara la disponibilidad de diversas funciones entre Citrix VPN y Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Meacutetodo de distribucioacuten deaplicaciones
paacutegina Descargas de Citrix App Store
Nuacutemero de conexiones entuacutenel
128 128
Acceso desde explorador Se admite No se admite
Acceso desde aplicacioacutennativa
Se admite Se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 15
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Tuacutenel dividido (DESACTI-VADOACTIVADOINVERSO)
Se admite Se admite
DNS dividido(LOCALREMOTOAMBOS)
REMOTO REMOTO
Acceso a LAN local Habilitar o inhabilitar Siempre habilitado
Compatibilidad conconexiones iniciadas por elservidor (SIC)
No se admite Se admite
Transferir el inicio de sesioacuten Se admite Se admite
Proxy del lado del cliente Se admite No se admite
Compatibilidad con EPAcaacutesicoOpswat
Se admite Se admite
Compatibilidad concertificados de dispositivo
Se admite Se admite
Compatibilidad con tiempode espera de sesioacuten
Se admite Se admite
Compatibilidad con tiempode espera forzado
Se admite Se admite
Compatibilidad con tiempode espera inactivo
Se admite No se admite
IPV6 No se admite Se admite
Itinerancia de red(conmutacioacuten entre Wi-FiEthernet etc)
Se admite Se admite
Compatibilidad conaplicaciones de intranet
Se admite Se admite
Compatibilidad con DTLSpara UDP
No se admite Se admite
Compatibilidad con contratode licencia de usuario final
Se admite Se admite
Integracioacuten de aplicaciones +Receiver
Se admite No se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 16
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Autenticacioacuten Local LDAPRADIUS
Se admite Se admite
Autenticacioacuten de certificadosde cliente
Se admite Se admite
Compatibilidad con TLS(TLS1 TLS11 y TLS12)
Se admite Se admite
Autenticacioacuten de dos factores Se admite Se admite
Compatibilidad con productos MDM
Citrix SSO para macOS es compatible con la mayoriacutea de los proveedores de MDM como Citrix Xen-Mobile Microsoft Intune etc Es compatible con una funcioacuten denominada Control de acceso a redes(NAC) mediante la cual los administradores de MDM pueden imponer el cumplimiento de los dispos-itivos del usuario final antes de conectarse a Citrix Gateway NAC en Citrix SSO requiere un servidorMDM como XenMobile o Intune y Citrix Gateway Para obtener maacutes informacioacuten sobre NAC haga clicen aquiacute
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-Onsiguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o la deConfiguracioacuten de carga uacutetil VPN MDM de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 17
Citrix SSO
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 SeleccionemacOS en el panel de la izquierda Plataforma de directivas Seleccione Directiva VPNen el panel derecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina de detalles de directiva para macOS escriba un nombre de conexioacuten vaacutelido y elijaSSL personalizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewaymacosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO enmacOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewaymacosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSOmacOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN de Citrix ADC asociadoa esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se encuentran en la documentacioacuten de Citrix Endpoint Management
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 18
Citrix SSO
Realice los siguientes pasos para configurar una VPN por aplicacioacuten en Citrix Endpoint Management
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
13 Haga clic en Siguiente
14 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Clave = rdquoPerAppsPlitTunnelrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
copy 1999-2020 Citrix Systems Inc All rights reserved 19
Citrix SSO
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Clave = rdquoDisableUserProfilesrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Problemas conocidos
Los siguientes son los problemas conocidos actualmente
bull El inicio de sesioacuten de EPA falla si el usuario se coloca en el grupo de cuarentenabull No se muestra el mensaje de advertencia de tiempo de espera forzadobull La aplicacioacuten SSO permite iniciar sesioacuten si el tuacutenel dividido estaacute activado y no hay aplicacionesde intranet configuradas
Limitaciones
Las siguientes son las limitaciones actuales
bull Algunos de los anaacutelisis EPA (por ejemplo anaacutelisis de administracioacuten de parches exploracioacutendel explorador web proceso de eliminacioacuten) podriacutean fallar debido al acceso restringido a laaplicacioacuten SSO debido al espacio limitado
copy 1999-2020 Citrix Systems Inc All rights reserved 20
Citrix SSO
bull No se admite el tuacutenel dividido basado en puertosprotocolos
Preguntas frecuentes
En esta seccioacuten se recogen las preguntas frecuentes de la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplica principalmente a los clientes que no son MDM que no utilizan un servi-dor MDM para distribuir certificados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSOa traveacutes de correo electroacutenicordquo para poder distribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM deMicrosoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradores pueden protegersu red interna empresarial agregando una capa adicional de autenticacioacuten para dispositivos moacutevilesadministrados por un servidor MDM Los administradores pueden aplicar una comprobacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlace
copy 1999-2020 Citrix Systems Inc All rights reserved 21
Citrix SSO
bull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Preguntas frecuentes
April 3 2020
En esta seccioacuten se recogen las preguntas maacutes frecuentes en la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplicaprincipalmente a los clientes que no son MDM que no utilizan un servidor MDM para distribuir certifi-cados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSO a traveacutes de correo electroacutenicordquopara poderdistribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM de
copy 1999-2020 Citrix Systems Inc All rights reserved 22
Citrix SSO
Microsoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradorespueden proteger su red interna empresarial agregando una capa adicional de autenticacioacuten para dis-positivos moacuteviles administrados por un servidor MDM Los administradores pueden aplicar una com-probacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlacebull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Citrix SSO para dispositivos Android
April 3 2020
Citrix SSO ofrece la mejor solucioacuten de proteccioacuten de datos y acceso a las aplicaciones con Citrix Gate-way Ahora puede acceder de forma segura a las aplicaciones criacuteticas para el negocio los escritoriosvirtuales y los datos corporativos en cualquier momento y desde cualquier lugar
iexclCopiadoFailed
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
copy 1999-2020 Citrix Systems Inc All rights reserved 23
Citrix SSO
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V2314
Problemas resueltos
bull Citrix SSO ahora maneja correctamente el mensaje final de establecimiento de sesioacuten VPN
[CGOP-12488]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2313
Problemas resueltos
bull La direccioacuten IP de Citrix Gateway se resuelve solo una vez
Anteriormente la direccioacuten IP de Citrix Gateway se resolvioacute varias veces lo que ocasionaba er-rores de conexioacuten a veces
[CGOP-12101]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2312
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
V1112
Novedades
bull Recopilacioacuten de datos de telemetriacutea paramacOS Citrix SSO recopila eventos de anaacutelisis per-sonalizados relacionados con el uso de VPN en la aplicacioacuten
[CGOP-9789 macOS]
bull Soporte de tuacutenel dividido por aplicacioacuten Los administradores pueden configurar el tuacuteneldividido por aplicacioacuten El traacutefico por aplicacioacuten que coincide con las rutas de intranet de CitrixGateway se canaliza al dispositivo Citrix Gateway
[CGOP-657]
bull FQDNTuacutenel Split Tuacutenel traacuteficobasadoenel FQDNdel sistema FQDNTuacutenel Split Tuacutenel traacuteficobasado en el FQDN del sistema en lugar de la IP resuelta por los servidores DNS
[CGOP-316]
Problemas resueltos
bull Los elementos de la interfaz de usuario como botones campos de texto etiquetas etc estaacutendesalineados en las pantallas del iPad
[CGOP-10141 IOS]
bull Los usuarios no reciben notificacioacuten de un inicio de sesioacuten remoto si no tienen un perfil VPNagregado
[CGOP-9731 IOS]
V1110
Problemas resueltos
bull LaaplicacioacutenCitrix SSOnomuestraelmensajedeerror adecuadoal alcanzar el nuacutemeromaacuteximode usuarios cuando
[CGOP-231]
bull La casilla de verificacioacuten EULA no estaacute desactivada de forma predeterminada
[CGOP-245]
bull No se admite la funcionalidad de adicioacuten para el anaacutelisis ldquohabilitadordquo de antiphishing en End-point Analysis
[CGOP-249]
copy 1999-2020 Citrix Systems Inc All rights reserved 7
Citrix SSO
bull La seleccioacuten automaacutetica del certificado clientedispositivo para la autenticacioacuten no ocurre in-cluso si solo hay un clientedispositivo presente en el llavero
[CGOP-251]
bull No se puede agregar un lsquoregistro de conexioacutenrsquo despueacutes de modificar uno en la aplicacioacuten CitrixSSO
[CGOP-7256]
iexclCopiadoFailed
Configurar Citrix SSO para usuarios de iOS
April 3 2020
IMPORTANTE Citrix VPN no se puede utilizar en iOS 12 y versiones posteriores Para continuarcon VPN use la aplicacioacuten Citrix SSO
En la siguiente tabla se compara la disponibilidad de diversas funciones entre Citrix VPN y Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
VPN a nivel de dispositivo Se admite Se admite
VPN por aplicacioacuten (soloMDM)
Se admite Se admite
Tuacutenel dividido por aplicacioacuten No se admite Se admite
Perfiles VPN configurados porMDM
Se admite Se admite
VPN a demanda Se admite Se admite
Tokens de contrasentildea(basados en T-OTP)
No se admite Se admite
Inicio de sesioacuten basado ennotificaciones push (segundofactor desde el teleacutefonoregistrado)
No se admite Se admite
Autenticacioacuten basada encertificados
Se admite Se admite
Autenticacioacuten de nombre deusuariocontrasentildea
Se admite Se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 8
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Comprobacioacuten del control deacceso a redes con CitrixEndpoint Management(anteriormente XenMobile)
No se admite Se admite
Comprobacioacuten del control deacceso a la red con MicrosoftIntune
Se admite Se admite
Compatibilidad con DTLS No se admite Se admite
Bloquear perfiles VPNcreados por el usuario
Se admite Se admite
Inicio de sesioacuten uacutenico (SSO)para aplicaciones nativasadministradas por CitrixCloud
No se admite Se admite
Versioacuten de SO compatible iOS 9 10 11 (no funciona apartir de iOS 12+)
iOS 9+
Compatibilidad con productos MDM
Citrix SSO es compatible con la mayoriacutea de los proveedores de MDM como Citrix Endpoint Manage-ment (anteriormente XenMobile) Microsoft Intune etc
Citrix SSO tambieacuten admite una funcioacuten denominada Control de acceso a redes (NAC) Para obtenermaacutes informacioacuten sobre NAC haga clic en aquiacute Con NAC los administradores de MDM pueden exigirel cumplimiento de los dispositivos del usuario final antes de conectarse a Citrix ADC NAC en CitrixSSO requiere un servidor MDM como Citrix Endpoint Management o Intune y Citrix ADC
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-On
copy 1999-2020 Citrix Systems Inc All rights reserved 9
Citrix SSO
siguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o laconfiguracioacuten de carga uacutetil de MDM VPN de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo en Citrix Endpoint Manage-ment
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 Seleccione iOS en el panel de la izquierda Plataforma de directivas Seleccione VPN en el panelderecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina Directiva de VPN para iOS escriba un nombre de conexioacuten vaacutelido y elija SSL person-alizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewayiosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO en iOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewayiosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSO iOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN (nombre de dominiocompleto) de Citrix ADC asociado a esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
copy 1999-2020 Citrix Systems Inc All rights reserved 10
Citrix SSO
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
Realice los siguientes pasos para configurar una VPN por aplicacioacuten
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
4 En Tipo de proveedor seleccione Tuacutenel de paquetes
Nota En la carga uacutetil MDM VPN este campo corresponde al tipo de proveedorclave
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
14 Haga clic en Siguiente
15 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
copy 1999-2020 Citrix Systems Inc All rights reserved 11
Citrix SSO
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Key = rdquoPerAppSplitTunnelrdquo2 - Value = rdquotrue or 1 or yesrdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Key = rdquodisableUserProfilesrdquo2 - Value = rdquotrue or 1 or yesrdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
copy 1999-2020 Citrix Systems Inc All rights reserved 12
Citrix SSO
Problemas conocidos
Descripcioacuten del problema Tunelizacioacuten para direcciones FQDN que contienen un dominio ldquolocalrdquoen configuraciones VPN por aplicacioacuten o VPN bajo demanda Hay un error en el marco de extensioacutende red de Apple que impide que las direcciones FQDN que contienen local en la parte del dominio(por ejemplo httpwwwwabclocal) pasen a ser de tuacutenel a traveacutes de la interfaz TUN del sistema Eltraacutefico de esta direccioacuten se enviacutea a traveacutes de la interfaz fiacutesica del dispositivo en su lugar El problemase observa solo con las configuraciones VPN por aplicacioacuten o VPN bajo demanda y no se ve con lasconfiguraciones VPN de todo el sistema Citrix ha presentado un informe de error de radar a Apple yApple habiacutea sentildealado que de acuerdo con RFC-6762httpstoolsietforghtmlrfc6762local es unaconsulta DNS de multidifusioacuten (MDN) y por lo tanto no es un error Sin embargo Apple auacuten no hacerrado el error y no estaacute claro si el problema se resolveraacute en futuras versiones de iOS
Solucioacuten alternativa Asigne un nombre de dominiolocal para direcciones como la solucioacuten alterna-tiva
Limitaciones
bull La tunelizacioacuten dividida basada en FQDN auacuten no es totalmente compatiblebull El anaacutelisis de punto final (EPA) no es compatible con iOSbull No se admite el tuacutenel dividido basado en puertosprotocolos
iexclCopiadoFailed
Enviar identidad de certificado de usuario como datos adjuntos decorreo electroacutenico a usuarios de iOS
April 3 2020
Citrix SSO en iOS admite la autenticacioacuten de certificados de cliente con Citrix Gateway En iOS loscertificados se pueden entregar a la aplicacioacuten Citrix SSO de una de las siguientes maneras
bull Servidor MDM Este es el enfoque preferido para los clientes de MDM Los certificados se con-figuran directamente en el perfil VPN administrado MDM Los perfiles VPN y los certificados seenviacuteana continuacioacutena losdispositivos inscritos cuandoel dispositivo se inscribe enel servidorMDM Siga los documentos especiacuteficos del proveedor de MDM para este enfoque
bull Correo electroacutenico uacutenico enfoque para clientes que no sean MDM En este enfoque los admin-istradores enviacutean un correo electroacutenico con la identidad del certificado de usuario (certificadoy clave privada) adjunta como un archivo PCKS 12 a los usuarios Los usuarios deben tener
copy 1999-2020 Citrix Systems Inc All rights reserved 13
Citrix SSO
sus cuentas de correo electroacutenico configuradas en su dispositivo iOS para recibir el correo elec-troacutenico con datos adjuntos El archivo se puede importar a la aplicacioacuten Citrix SSO en iOS En lasiguiente seccioacuten se explican los pasos de configuracioacuten para este enfoque
Requisitos previos
bull Certificado de usuario Archivo de identidad PKCS 12 con una extensioacutenpfx op12 para unusuario determinado Este archivo contiene tanto el certificado como la clave privada
bull Cuenta de correo electroacutenico configurada en el dispositivo iOS
bull Aplicacioacuten Citrix SSO instalada en el dispositivo iOS
Pasos de configuracioacuten
1 Cambie el nombre del tipo de extensioacuten o MIME del certificado de usuario
Las extensiones de archivomaacutes utilizadas para el certificado de usuario son ldquopfxrdquo ldquop12rdquo etc Estas ex-tensiones de archivo no son estaacutendar para la plataforma iOS a diferencia de formatos comopdfdocTanto ldquopfxrdquo como ldquop12rdquo son reclamados por el sistema iOS y no pueden ser reclamados por aplica-ciones de terceros como Citrix SSO Por lo tanto Citrix SSO ha definido un nuevo tipo de extensioacuten oMIME llamado ldquocitrixsso-pfxrdquo y ldquocitrixsso-p12rdquo Los administradores deben cambiar el tipo de exten-sioacuten o MIME del certificado de usuario de ldquopfxrdquo estaacutendar o ldquop12rdquo a ldquocitrixsso-pfxrdquo o ldquocitrixsso-p12rdquorespectivamente Para cambiar el nombre de la extensioacuten los administradores pueden ejecutar elsiguiente comando en el siacutembolo del sistema o terminal
Windows 10
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 rename ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-
pfx
macOS
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 mv ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-pfx
2 Enviar el archivo como un archivo adjunto de correo electroacutenicoEl archivo de certificado de usuario con la nueva extensioacuten se puede enviar como un archivo adjuntode correo electroacutenico al usuario
Al recibir el correo electroacutenico los usuarios deben instalar el certificado en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 14
Citrix SSO
iexclCopiadoFailed
Configurar Citrix SSO para usuarios demacOS
April 3 2020
La aplicacioacuten Citrix SSO paramacOS proporciona lamejor solucioacuten de proteccioacuten de datos y acceso aaplicaciones que ofrece Citrix Gateway Ahora puede acceder de forma segura a las aplicaciones criacuteti-cas para el negocio los escritorios virtuales y los datos corporativos en cualquier momento y desdecualquier lugarCitrix SSO es el cliente VPNde proacutexima generacioacuten para Citrix Gateway para crear y administrar conex-iones VPN desde dispositivos macOS Citrix SSO se crea mediante el marco de extensioacuten de red (NE)de Apple NE framework de Apple es una biblioteca moderna que contiene API que se pueden uti-lizar para personalizar y ampliar las funciones principales de red de macOS La extensioacuten de red consoporte para SSL VPN estaacute disponible en dispositivos que ejecutanmacOS 1011+
La aplicacioacuten Citrix SSO reemplaza el complemento heredado de Citrix Gateway basado en Exten-siones de nuacutecleo (KE) que Apple va a dejar de utilizar pronto Citrix SSO App admite funciones avan-zadas como Conexiones iniciadas por el servidor y DTLS
La aplicacioacuten Citrix SSO proporciona compatibilidad completa con la administracioacuten de dispositivosmoacuteviles (MDM) en macOS Con un servidor MDM un administrador ahora puede configurar y admin-istrar de forma remota perfiles VPN a nivel de dispositivo y por aplicacioacutenLa aplicacioacuten Citrix SSO para macOS se puede instalar desde una almaceacuten de aplicaciones Mac
Comparacioacuten de funciones entre Citrix VPN y Citrix SSO
En la siguiente tabla se compara la disponibilidad de diversas funciones entre Citrix VPN y Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Meacutetodo de distribucioacuten deaplicaciones
paacutegina Descargas de Citrix App Store
Nuacutemero de conexiones entuacutenel
128 128
Acceso desde explorador Se admite No se admite
Acceso desde aplicacioacutennativa
Se admite Se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 15
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Tuacutenel dividido (DESACTI-VADOACTIVADOINVERSO)
Se admite Se admite
DNS dividido(LOCALREMOTOAMBOS)
REMOTO REMOTO
Acceso a LAN local Habilitar o inhabilitar Siempre habilitado
Compatibilidad conconexiones iniciadas por elservidor (SIC)
No se admite Se admite
Transferir el inicio de sesioacuten Se admite Se admite
Proxy del lado del cliente Se admite No se admite
Compatibilidad con EPAcaacutesicoOpswat
Se admite Se admite
Compatibilidad concertificados de dispositivo
Se admite Se admite
Compatibilidad con tiempode espera de sesioacuten
Se admite Se admite
Compatibilidad con tiempode espera forzado
Se admite Se admite
Compatibilidad con tiempode espera inactivo
Se admite No se admite
IPV6 No se admite Se admite
Itinerancia de red(conmutacioacuten entre Wi-FiEthernet etc)
Se admite Se admite
Compatibilidad conaplicaciones de intranet
Se admite Se admite
Compatibilidad con DTLSpara UDP
No se admite Se admite
Compatibilidad con contratode licencia de usuario final
Se admite Se admite
Integracioacuten de aplicaciones +Receiver
Se admite No se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 16
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Autenticacioacuten Local LDAPRADIUS
Se admite Se admite
Autenticacioacuten de certificadosde cliente
Se admite Se admite
Compatibilidad con TLS(TLS1 TLS11 y TLS12)
Se admite Se admite
Autenticacioacuten de dos factores Se admite Se admite
Compatibilidad con productos MDM
Citrix SSO para macOS es compatible con la mayoriacutea de los proveedores de MDM como Citrix Xen-Mobile Microsoft Intune etc Es compatible con una funcioacuten denominada Control de acceso a redes(NAC) mediante la cual los administradores de MDM pueden imponer el cumplimiento de los dispos-itivos del usuario final antes de conectarse a Citrix Gateway NAC en Citrix SSO requiere un servidorMDM como XenMobile o Intune y Citrix Gateway Para obtener maacutes informacioacuten sobre NAC haga clicen aquiacute
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-Onsiguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o la deConfiguracioacuten de carga uacutetil VPN MDM de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 17
Citrix SSO
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 SeleccionemacOS en el panel de la izquierda Plataforma de directivas Seleccione Directiva VPNen el panel derecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina de detalles de directiva para macOS escriba un nombre de conexioacuten vaacutelido y elijaSSL personalizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewaymacosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO enmacOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewaymacosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSOmacOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN de Citrix ADC asociadoa esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se encuentran en la documentacioacuten de Citrix Endpoint Management
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 18
Citrix SSO
Realice los siguientes pasos para configurar una VPN por aplicacioacuten en Citrix Endpoint Management
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
13 Haga clic en Siguiente
14 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Clave = rdquoPerAppsPlitTunnelrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
copy 1999-2020 Citrix Systems Inc All rights reserved 19
Citrix SSO
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Clave = rdquoDisableUserProfilesrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Problemas conocidos
Los siguientes son los problemas conocidos actualmente
bull El inicio de sesioacuten de EPA falla si el usuario se coloca en el grupo de cuarentenabull No se muestra el mensaje de advertencia de tiempo de espera forzadobull La aplicacioacuten SSO permite iniciar sesioacuten si el tuacutenel dividido estaacute activado y no hay aplicacionesde intranet configuradas
Limitaciones
Las siguientes son las limitaciones actuales
bull Algunos de los anaacutelisis EPA (por ejemplo anaacutelisis de administracioacuten de parches exploracioacutendel explorador web proceso de eliminacioacuten) podriacutean fallar debido al acceso restringido a laaplicacioacuten SSO debido al espacio limitado
copy 1999-2020 Citrix Systems Inc All rights reserved 20
Citrix SSO
bull No se admite el tuacutenel dividido basado en puertosprotocolos
Preguntas frecuentes
En esta seccioacuten se recogen las preguntas frecuentes de la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplica principalmente a los clientes que no son MDM que no utilizan un servi-dor MDM para distribuir certificados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSOa traveacutes de correo electroacutenicordquo para poder distribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM deMicrosoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradores pueden protegersu red interna empresarial agregando una capa adicional de autenticacioacuten para dispositivos moacutevilesadministrados por un servidor MDM Los administradores pueden aplicar una comprobacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlace
copy 1999-2020 Citrix Systems Inc All rights reserved 21
Citrix SSO
bull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Preguntas frecuentes
April 3 2020
En esta seccioacuten se recogen las preguntas maacutes frecuentes en la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplicaprincipalmente a los clientes que no son MDM que no utilizan un servidor MDM para distribuir certifi-cados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSO a traveacutes de correo electroacutenicordquopara poderdistribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM de
copy 1999-2020 Citrix Systems Inc All rights reserved 22
Citrix SSO
Microsoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradorespueden proteger su red interna empresarial agregando una capa adicional de autenticacioacuten para dis-positivos moacuteviles administrados por un servidor MDM Los administradores pueden aplicar una com-probacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlacebull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Citrix SSO para dispositivos Android
April 3 2020
Citrix SSO ofrece la mejor solucioacuten de proteccioacuten de datos y acceso a las aplicaciones con Citrix Gate-way Ahora puede acceder de forma segura a las aplicaciones criacuteticas para el negocio los escritoriosvirtuales y los datos corporativos en cualquier momento y desde cualquier lugar
iexclCopiadoFailed
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
copy 1999-2020 Citrix Systems Inc All rights reserved 23
Citrix SSO
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V2314
Problemas resueltos
bull Citrix SSO ahora maneja correctamente el mensaje final de establecimiento de sesioacuten VPN
[CGOP-12488]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2313
Problemas resueltos
bull La direccioacuten IP de Citrix Gateway se resuelve solo una vez
Anteriormente la direccioacuten IP de Citrix Gateway se resolvioacute varias veces lo que ocasionaba er-rores de conexioacuten a veces
[CGOP-12101]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2312
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
bull La seleccioacuten automaacutetica del certificado clientedispositivo para la autenticacioacuten no ocurre in-cluso si solo hay un clientedispositivo presente en el llavero
[CGOP-251]
bull No se puede agregar un lsquoregistro de conexioacutenrsquo despueacutes de modificar uno en la aplicacioacuten CitrixSSO
[CGOP-7256]
iexclCopiadoFailed
Configurar Citrix SSO para usuarios de iOS
April 3 2020
IMPORTANTE Citrix VPN no se puede utilizar en iOS 12 y versiones posteriores Para continuarcon VPN use la aplicacioacuten Citrix SSO
En la siguiente tabla se compara la disponibilidad de diversas funciones entre Citrix VPN y Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
VPN a nivel de dispositivo Se admite Se admite
VPN por aplicacioacuten (soloMDM)
Se admite Se admite
Tuacutenel dividido por aplicacioacuten No se admite Se admite
Perfiles VPN configurados porMDM
Se admite Se admite
VPN a demanda Se admite Se admite
Tokens de contrasentildea(basados en T-OTP)
No se admite Se admite
Inicio de sesioacuten basado ennotificaciones push (segundofactor desde el teleacutefonoregistrado)
No se admite Se admite
Autenticacioacuten basada encertificados
Se admite Se admite
Autenticacioacuten de nombre deusuariocontrasentildea
Se admite Se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 8
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Comprobacioacuten del control deacceso a redes con CitrixEndpoint Management(anteriormente XenMobile)
No se admite Se admite
Comprobacioacuten del control deacceso a la red con MicrosoftIntune
Se admite Se admite
Compatibilidad con DTLS No se admite Se admite
Bloquear perfiles VPNcreados por el usuario
Se admite Se admite
Inicio de sesioacuten uacutenico (SSO)para aplicaciones nativasadministradas por CitrixCloud
No se admite Se admite
Versioacuten de SO compatible iOS 9 10 11 (no funciona apartir de iOS 12+)
iOS 9+
Compatibilidad con productos MDM
Citrix SSO es compatible con la mayoriacutea de los proveedores de MDM como Citrix Endpoint Manage-ment (anteriormente XenMobile) Microsoft Intune etc
Citrix SSO tambieacuten admite una funcioacuten denominada Control de acceso a redes (NAC) Para obtenermaacutes informacioacuten sobre NAC haga clic en aquiacute Con NAC los administradores de MDM pueden exigirel cumplimiento de los dispositivos del usuario final antes de conectarse a Citrix ADC NAC en CitrixSSO requiere un servidor MDM como Citrix Endpoint Management o Intune y Citrix ADC
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-On
copy 1999-2020 Citrix Systems Inc All rights reserved 9
Citrix SSO
siguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o laconfiguracioacuten de carga uacutetil de MDM VPN de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo en Citrix Endpoint Manage-ment
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 Seleccione iOS en el panel de la izquierda Plataforma de directivas Seleccione VPN en el panelderecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina Directiva de VPN para iOS escriba un nombre de conexioacuten vaacutelido y elija SSL person-alizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewayiosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO en iOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewayiosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSO iOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN (nombre de dominiocompleto) de Citrix ADC asociado a esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
copy 1999-2020 Citrix Systems Inc All rights reserved 10
Citrix SSO
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
Realice los siguientes pasos para configurar una VPN por aplicacioacuten
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
4 En Tipo de proveedor seleccione Tuacutenel de paquetes
Nota En la carga uacutetil MDM VPN este campo corresponde al tipo de proveedorclave
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
14 Haga clic en Siguiente
15 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
copy 1999-2020 Citrix Systems Inc All rights reserved 11
Citrix SSO
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Key = rdquoPerAppSplitTunnelrdquo2 - Value = rdquotrue or 1 or yesrdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Key = rdquodisableUserProfilesrdquo2 - Value = rdquotrue or 1 or yesrdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
copy 1999-2020 Citrix Systems Inc All rights reserved 12
Citrix SSO
Problemas conocidos
Descripcioacuten del problema Tunelizacioacuten para direcciones FQDN que contienen un dominio ldquolocalrdquoen configuraciones VPN por aplicacioacuten o VPN bajo demanda Hay un error en el marco de extensioacutende red de Apple que impide que las direcciones FQDN que contienen local en la parte del dominio(por ejemplo httpwwwwabclocal) pasen a ser de tuacutenel a traveacutes de la interfaz TUN del sistema Eltraacutefico de esta direccioacuten se enviacutea a traveacutes de la interfaz fiacutesica del dispositivo en su lugar El problemase observa solo con las configuraciones VPN por aplicacioacuten o VPN bajo demanda y no se ve con lasconfiguraciones VPN de todo el sistema Citrix ha presentado un informe de error de radar a Apple yApple habiacutea sentildealado que de acuerdo con RFC-6762httpstoolsietforghtmlrfc6762local es unaconsulta DNS de multidifusioacuten (MDN) y por lo tanto no es un error Sin embargo Apple auacuten no hacerrado el error y no estaacute claro si el problema se resolveraacute en futuras versiones de iOS
Solucioacuten alternativa Asigne un nombre de dominiolocal para direcciones como la solucioacuten alterna-tiva
Limitaciones
bull La tunelizacioacuten dividida basada en FQDN auacuten no es totalmente compatiblebull El anaacutelisis de punto final (EPA) no es compatible con iOSbull No se admite el tuacutenel dividido basado en puertosprotocolos
iexclCopiadoFailed
Enviar identidad de certificado de usuario como datos adjuntos decorreo electroacutenico a usuarios de iOS
April 3 2020
Citrix SSO en iOS admite la autenticacioacuten de certificados de cliente con Citrix Gateway En iOS loscertificados se pueden entregar a la aplicacioacuten Citrix SSO de una de las siguientes maneras
bull Servidor MDM Este es el enfoque preferido para los clientes de MDM Los certificados se con-figuran directamente en el perfil VPN administrado MDM Los perfiles VPN y los certificados seenviacuteana continuacioacutena losdispositivos inscritos cuandoel dispositivo se inscribe enel servidorMDM Siga los documentos especiacuteficos del proveedor de MDM para este enfoque
bull Correo electroacutenico uacutenico enfoque para clientes que no sean MDM En este enfoque los admin-istradores enviacutean un correo electroacutenico con la identidad del certificado de usuario (certificadoy clave privada) adjunta como un archivo PCKS 12 a los usuarios Los usuarios deben tener
copy 1999-2020 Citrix Systems Inc All rights reserved 13
Citrix SSO
sus cuentas de correo electroacutenico configuradas en su dispositivo iOS para recibir el correo elec-troacutenico con datos adjuntos El archivo se puede importar a la aplicacioacuten Citrix SSO en iOS En lasiguiente seccioacuten se explican los pasos de configuracioacuten para este enfoque
Requisitos previos
bull Certificado de usuario Archivo de identidad PKCS 12 con una extensioacutenpfx op12 para unusuario determinado Este archivo contiene tanto el certificado como la clave privada
bull Cuenta de correo electroacutenico configurada en el dispositivo iOS
bull Aplicacioacuten Citrix SSO instalada en el dispositivo iOS
Pasos de configuracioacuten
1 Cambie el nombre del tipo de extensioacuten o MIME del certificado de usuario
Las extensiones de archivomaacutes utilizadas para el certificado de usuario son ldquopfxrdquo ldquop12rdquo etc Estas ex-tensiones de archivo no son estaacutendar para la plataforma iOS a diferencia de formatos comopdfdocTanto ldquopfxrdquo como ldquop12rdquo son reclamados por el sistema iOS y no pueden ser reclamados por aplica-ciones de terceros como Citrix SSO Por lo tanto Citrix SSO ha definido un nuevo tipo de extensioacuten oMIME llamado ldquocitrixsso-pfxrdquo y ldquocitrixsso-p12rdquo Los administradores deben cambiar el tipo de exten-sioacuten o MIME del certificado de usuario de ldquopfxrdquo estaacutendar o ldquop12rdquo a ldquocitrixsso-pfxrdquo o ldquocitrixsso-p12rdquorespectivamente Para cambiar el nombre de la extensioacuten los administradores pueden ejecutar elsiguiente comando en el siacutembolo del sistema o terminal
Windows 10
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 rename ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-
pfx
macOS
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 mv ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-pfx
2 Enviar el archivo como un archivo adjunto de correo electroacutenicoEl archivo de certificado de usuario con la nueva extensioacuten se puede enviar como un archivo adjuntode correo electroacutenico al usuario
Al recibir el correo electroacutenico los usuarios deben instalar el certificado en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 14
Citrix SSO
iexclCopiadoFailed
Configurar Citrix SSO para usuarios demacOS
April 3 2020
La aplicacioacuten Citrix SSO paramacOS proporciona lamejor solucioacuten de proteccioacuten de datos y acceso aaplicaciones que ofrece Citrix Gateway Ahora puede acceder de forma segura a las aplicaciones criacuteti-cas para el negocio los escritorios virtuales y los datos corporativos en cualquier momento y desdecualquier lugarCitrix SSO es el cliente VPNde proacutexima generacioacuten para Citrix Gateway para crear y administrar conex-iones VPN desde dispositivos macOS Citrix SSO se crea mediante el marco de extensioacuten de red (NE)de Apple NE framework de Apple es una biblioteca moderna que contiene API que se pueden uti-lizar para personalizar y ampliar las funciones principales de red de macOS La extensioacuten de red consoporte para SSL VPN estaacute disponible en dispositivos que ejecutanmacOS 1011+
La aplicacioacuten Citrix SSO reemplaza el complemento heredado de Citrix Gateway basado en Exten-siones de nuacutecleo (KE) que Apple va a dejar de utilizar pronto Citrix SSO App admite funciones avan-zadas como Conexiones iniciadas por el servidor y DTLS
La aplicacioacuten Citrix SSO proporciona compatibilidad completa con la administracioacuten de dispositivosmoacuteviles (MDM) en macOS Con un servidor MDM un administrador ahora puede configurar y admin-istrar de forma remota perfiles VPN a nivel de dispositivo y por aplicacioacutenLa aplicacioacuten Citrix SSO para macOS se puede instalar desde una almaceacuten de aplicaciones Mac
Comparacioacuten de funciones entre Citrix VPN y Citrix SSO
En la siguiente tabla se compara la disponibilidad de diversas funciones entre Citrix VPN y Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Meacutetodo de distribucioacuten deaplicaciones
paacutegina Descargas de Citrix App Store
Nuacutemero de conexiones entuacutenel
128 128
Acceso desde explorador Se admite No se admite
Acceso desde aplicacioacutennativa
Se admite Se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 15
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Tuacutenel dividido (DESACTI-VADOACTIVADOINVERSO)
Se admite Se admite
DNS dividido(LOCALREMOTOAMBOS)
REMOTO REMOTO
Acceso a LAN local Habilitar o inhabilitar Siempre habilitado
Compatibilidad conconexiones iniciadas por elservidor (SIC)
No se admite Se admite
Transferir el inicio de sesioacuten Se admite Se admite
Proxy del lado del cliente Se admite No se admite
Compatibilidad con EPAcaacutesicoOpswat
Se admite Se admite
Compatibilidad concertificados de dispositivo
Se admite Se admite
Compatibilidad con tiempode espera de sesioacuten
Se admite Se admite
Compatibilidad con tiempode espera forzado
Se admite Se admite
Compatibilidad con tiempode espera inactivo
Se admite No se admite
IPV6 No se admite Se admite
Itinerancia de red(conmutacioacuten entre Wi-FiEthernet etc)
Se admite Se admite
Compatibilidad conaplicaciones de intranet
Se admite Se admite
Compatibilidad con DTLSpara UDP
No se admite Se admite
Compatibilidad con contratode licencia de usuario final
Se admite Se admite
Integracioacuten de aplicaciones +Receiver
Se admite No se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 16
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Autenticacioacuten Local LDAPRADIUS
Se admite Se admite
Autenticacioacuten de certificadosde cliente
Se admite Se admite
Compatibilidad con TLS(TLS1 TLS11 y TLS12)
Se admite Se admite
Autenticacioacuten de dos factores Se admite Se admite
Compatibilidad con productos MDM
Citrix SSO para macOS es compatible con la mayoriacutea de los proveedores de MDM como Citrix Xen-Mobile Microsoft Intune etc Es compatible con una funcioacuten denominada Control de acceso a redes(NAC) mediante la cual los administradores de MDM pueden imponer el cumplimiento de los dispos-itivos del usuario final antes de conectarse a Citrix Gateway NAC en Citrix SSO requiere un servidorMDM como XenMobile o Intune y Citrix Gateway Para obtener maacutes informacioacuten sobre NAC haga clicen aquiacute
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-Onsiguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o la deConfiguracioacuten de carga uacutetil VPN MDM de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 17
Citrix SSO
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 SeleccionemacOS en el panel de la izquierda Plataforma de directivas Seleccione Directiva VPNen el panel derecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina de detalles de directiva para macOS escriba un nombre de conexioacuten vaacutelido y elijaSSL personalizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewaymacosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO enmacOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewaymacosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSOmacOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN de Citrix ADC asociadoa esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se encuentran en la documentacioacuten de Citrix Endpoint Management
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 18
Citrix SSO
Realice los siguientes pasos para configurar una VPN por aplicacioacuten en Citrix Endpoint Management
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
13 Haga clic en Siguiente
14 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Clave = rdquoPerAppsPlitTunnelrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
copy 1999-2020 Citrix Systems Inc All rights reserved 19
Citrix SSO
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Clave = rdquoDisableUserProfilesrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Problemas conocidos
Los siguientes son los problemas conocidos actualmente
bull El inicio de sesioacuten de EPA falla si el usuario se coloca en el grupo de cuarentenabull No se muestra el mensaje de advertencia de tiempo de espera forzadobull La aplicacioacuten SSO permite iniciar sesioacuten si el tuacutenel dividido estaacute activado y no hay aplicacionesde intranet configuradas
Limitaciones
Las siguientes son las limitaciones actuales
bull Algunos de los anaacutelisis EPA (por ejemplo anaacutelisis de administracioacuten de parches exploracioacutendel explorador web proceso de eliminacioacuten) podriacutean fallar debido al acceso restringido a laaplicacioacuten SSO debido al espacio limitado
copy 1999-2020 Citrix Systems Inc All rights reserved 20
Citrix SSO
bull No se admite el tuacutenel dividido basado en puertosprotocolos
Preguntas frecuentes
En esta seccioacuten se recogen las preguntas frecuentes de la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplica principalmente a los clientes que no son MDM que no utilizan un servi-dor MDM para distribuir certificados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSOa traveacutes de correo electroacutenicordquo para poder distribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM deMicrosoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradores pueden protegersu red interna empresarial agregando una capa adicional de autenticacioacuten para dispositivos moacutevilesadministrados por un servidor MDM Los administradores pueden aplicar una comprobacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlace
copy 1999-2020 Citrix Systems Inc All rights reserved 21
Citrix SSO
bull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Preguntas frecuentes
April 3 2020
En esta seccioacuten se recogen las preguntas maacutes frecuentes en la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplicaprincipalmente a los clientes que no son MDM que no utilizan un servidor MDM para distribuir certifi-cados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSO a traveacutes de correo electroacutenicordquopara poderdistribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM de
copy 1999-2020 Citrix Systems Inc All rights reserved 22
Citrix SSO
Microsoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradorespueden proteger su red interna empresarial agregando una capa adicional de autenticacioacuten para dis-positivos moacuteviles administrados por un servidor MDM Los administradores pueden aplicar una com-probacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlacebull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Citrix SSO para dispositivos Android
April 3 2020
Citrix SSO ofrece la mejor solucioacuten de proteccioacuten de datos y acceso a las aplicaciones con Citrix Gate-way Ahora puede acceder de forma segura a las aplicaciones criacuteticas para el negocio los escritoriosvirtuales y los datos corporativos en cualquier momento y desde cualquier lugar
iexclCopiadoFailed
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
copy 1999-2020 Citrix Systems Inc All rights reserved 23
Citrix SSO
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V2314
Problemas resueltos
bull Citrix SSO ahora maneja correctamente el mensaje final de establecimiento de sesioacuten VPN
[CGOP-12488]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2313
Problemas resueltos
bull La direccioacuten IP de Citrix Gateway se resuelve solo una vez
Anteriormente la direccioacuten IP de Citrix Gateway se resolvioacute varias veces lo que ocasionaba er-rores de conexioacuten a veces
[CGOP-12101]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2312
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Comprobacioacuten del control deacceso a redes con CitrixEndpoint Management(anteriormente XenMobile)
No se admite Se admite
Comprobacioacuten del control deacceso a la red con MicrosoftIntune
Se admite Se admite
Compatibilidad con DTLS No se admite Se admite
Bloquear perfiles VPNcreados por el usuario
Se admite Se admite
Inicio de sesioacuten uacutenico (SSO)para aplicaciones nativasadministradas por CitrixCloud
No se admite Se admite
Versioacuten de SO compatible iOS 9 10 11 (no funciona apartir de iOS 12+)
iOS 9+
Compatibilidad con productos MDM
Citrix SSO es compatible con la mayoriacutea de los proveedores de MDM como Citrix Endpoint Manage-ment (anteriormente XenMobile) Microsoft Intune etc
Citrix SSO tambieacuten admite una funcioacuten denominada Control de acceso a redes (NAC) Para obtenermaacutes informacioacuten sobre NAC haga clic en aquiacute Con NAC los administradores de MDM pueden exigirel cumplimiento de los dispositivos del usuario final antes de conectarse a Citrix ADC NAC en CitrixSSO requiere un servidor MDM como Citrix Endpoint Management o Intune y Citrix ADC
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-On
copy 1999-2020 Citrix Systems Inc All rights reserved 9
Citrix SSO
siguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o laconfiguracioacuten de carga uacutetil de MDM VPN de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo en Citrix Endpoint Manage-ment
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 Seleccione iOS en el panel de la izquierda Plataforma de directivas Seleccione VPN en el panelderecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina Directiva de VPN para iOS escriba un nombre de conexioacuten vaacutelido y elija SSL person-alizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewayiosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO en iOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewayiosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSO iOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN (nombre de dominiocompleto) de Citrix ADC asociado a esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
copy 1999-2020 Citrix Systems Inc All rights reserved 10
Citrix SSO
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
Realice los siguientes pasos para configurar una VPN por aplicacioacuten
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
4 En Tipo de proveedor seleccione Tuacutenel de paquetes
Nota En la carga uacutetil MDM VPN este campo corresponde al tipo de proveedorclave
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
14 Haga clic en Siguiente
15 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
copy 1999-2020 Citrix Systems Inc All rights reserved 11
Citrix SSO
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Key = rdquoPerAppSplitTunnelrdquo2 - Value = rdquotrue or 1 or yesrdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Key = rdquodisableUserProfilesrdquo2 - Value = rdquotrue or 1 or yesrdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
copy 1999-2020 Citrix Systems Inc All rights reserved 12
Citrix SSO
Problemas conocidos
Descripcioacuten del problema Tunelizacioacuten para direcciones FQDN que contienen un dominio ldquolocalrdquoen configuraciones VPN por aplicacioacuten o VPN bajo demanda Hay un error en el marco de extensioacutende red de Apple que impide que las direcciones FQDN que contienen local en la parte del dominio(por ejemplo httpwwwwabclocal) pasen a ser de tuacutenel a traveacutes de la interfaz TUN del sistema Eltraacutefico de esta direccioacuten se enviacutea a traveacutes de la interfaz fiacutesica del dispositivo en su lugar El problemase observa solo con las configuraciones VPN por aplicacioacuten o VPN bajo demanda y no se ve con lasconfiguraciones VPN de todo el sistema Citrix ha presentado un informe de error de radar a Apple yApple habiacutea sentildealado que de acuerdo con RFC-6762httpstoolsietforghtmlrfc6762local es unaconsulta DNS de multidifusioacuten (MDN) y por lo tanto no es un error Sin embargo Apple auacuten no hacerrado el error y no estaacute claro si el problema se resolveraacute en futuras versiones de iOS
Solucioacuten alternativa Asigne un nombre de dominiolocal para direcciones como la solucioacuten alterna-tiva
Limitaciones
bull La tunelizacioacuten dividida basada en FQDN auacuten no es totalmente compatiblebull El anaacutelisis de punto final (EPA) no es compatible con iOSbull No se admite el tuacutenel dividido basado en puertosprotocolos
iexclCopiadoFailed
Enviar identidad de certificado de usuario como datos adjuntos decorreo electroacutenico a usuarios de iOS
April 3 2020
Citrix SSO en iOS admite la autenticacioacuten de certificados de cliente con Citrix Gateway En iOS loscertificados se pueden entregar a la aplicacioacuten Citrix SSO de una de las siguientes maneras
bull Servidor MDM Este es el enfoque preferido para los clientes de MDM Los certificados se con-figuran directamente en el perfil VPN administrado MDM Los perfiles VPN y los certificados seenviacuteana continuacioacutena losdispositivos inscritos cuandoel dispositivo se inscribe enel servidorMDM Siga los documentos especiacuteficos del proveedor de MDM para este enfoque
bull Correo electroacutenico uacutenico enfoque para clientes que no sean MDM En este enfoque los admin-istradores enviacutean un correo electroacutenico con la identidad del certificado de usuario (certificadoy clave privada) adjunta como un archivo PCKS 12 a los usuarios Los usuarios deben tener
copy 1999-2020 Citrix Systems Inc All rights reserved 13
Citrix SSO
sus cuentas de correo electroacutenico configuradas en su dispositivo iOS para recibir el correo elec-troacutenico con datos adjuntos El archivo se puede importar a la aplicacioacuten Citrix SSO en iOS En lasiguiente seccioacuten se explican los pasos de configuracioacuten para este enfoque
Requisitos previos
bull Certificado de usuario Archivo de identidad PKCS 12 con una extensioacutenpfx op12 para unusuario determinado Este archivo contiene tanto el certificado como la clave privada
bull Cuenta de correo electroacutenico configurada en el dispositivo iOS
bull Aplicacioacuten Citrix SSO instalada en el dispositivo iOS
Pasos de configuracioacuten
1 Cambie el nombre del tipo de extensioacuten o MIME del certificado de usuario
Las extensiones de archivomaacutes utilizadas para el certificado de usuario son ldquopfxrdquo ldquop12rdquo etc Estas ex-tensiones de archivo no son estaacutendar para la plataforma iOS a diferencia de formatos comopdfdocTanto ldquopfxrdquo como ldquop12rdquo son reclamados por el sistema iOS y no pueden ser reclamados por aplica-ciones de terceros como Citrix SSO Por lo tanto Citrix SSO ha definido un nuevo tipo de extensioacuten oMIME llamado ldquocitrixsso-pfxrdquo y ldquocitrixsso-p12rdquo Los administradores deben cambiar el tipo de exten-sioacuten o MIME del certificado de usuario de ldquopfxrdquo estaacutendar o ldquop12rdquo a ldquocitrixsso-pfxrdquo o ldquocitrixsso-p12rdquorespectivamente Para cambiar el nombre de la extensioacuten los administradores pueden ejecutar elsiguiente comando en el siacutembolo del sistema o terminal
Windows 10
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 rename ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-
pfx
macOS
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 mv ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-pfx
2 Enviar el archivo como un archivo adjunto de correo electroacutenicoEl archivo de certificado de usuario con la nueva extensioacuten se puede enviar como un archivo adjuntode correo electroacutenico al usuario
Al recibir el correo electroacutenico los usuarios deben instalar el certificado en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 14
Citrix SSO
iexclCopiadoFailed
Configurar Citrix SSO para usuarios demacOS
April 3 2020
La aplicacioacuten Citrix SSO paramacOS proporciona lamejor solucioacuten de proteccioacuten de datos y acceso aaplicaciones que ofrece Citrix Gateway Ahora puede acceder de forma segura a las aplicaciones criacuteti-cas para el negocio los escritorios virtuales y los datos corporativos en cualquier momento y desdecualquier lugarCitrix SSO es el cliente VPNde proacutexima generacioacuten para Citrix Gateway para crear y administrar conex-iones VPN desde dispositivos macOS Citrix SSO se crea mediante el marco de extensioacuten de red (NE)de Apple NE framework de Apple es una biblioteca moderna que contiene API que se pueden uti-lizar para personalizar y ampliar las funciones principales de red de macOS La extensioacuten de red consoporte para SSL VPN estaacute disponible en dispositivos que ejecutanmacOS 1011+
La aplicacioacuten Citrix SSO reemplaza el complemento heredado de Citrix Gateway basado en Exten-siones de nuacutecleo (KE) que Apple va a dejar de utilizar pronto Citrix SSO App admite funciones avan-zadas como Conexiones iniciadas por el servidor y DTLS
La aplicacioacuten Citrix SSO proporciona compatibilidad completa con la administracioacuten de dispositivosmoacuteviles (MDM) en macOS Con un servidor MDM un administrador ahora puede configurar y admin-istrar de forma remota perfiles VPN a nivel de dispositivo y por aplicacioacutenLa aplicacioacuten Citrix SSO para macOS se puede instalar desde una almaceacuten de aplicaciones Mac
Comparacioacuten de funciones entre Citrix VPN y Citrix SSO
En la siguiente tabla se compara la disponibilidad de diversas funciones entre Citrix VPN y Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Meacutetodo de distribucioacuten deaplicaciones
paacutegina Descargas de Citrix App Store
Nuacutemero de conexiones entuacutenel
128 128
Acceso desde explorador Se admite No se admite
Acceso desde aplicacioacutennativa
Se admite Se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 15
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Tuacutenel dividido (DESACTI-VADOACTIVADOINVERSO)
Se admite Se admite
DNS dividido(LOCALREMOTOAMBOS)
REMOTO REMOTO
Acceso a LAN local Habilitar o inhabilitar Siempre habilitado
Compatibilidad conconexiones iniciadas por elservidor (SIC)
No se admite Se admite
Transferir el inicio de sesioacuten Se admite Se admite
Proxy del lado del cliente Se admite No se admite
Compatibilidad con EPAcaacutesicoOpswat
Se admite Se admite
Compatibilidad concertificados de dispositivo
Se admite Se admite
Compatibilidad con tiempode espera de sesioacuten
Se admite Se admite
Compatibilidad con tiempode espera forzado
Se admite Se admite
Compatibilidad con tiempode espera inactivo
Se admite No se admite
IPV6 No se admite Se admite
Itinerancia de red(conmutacioacuten entre Wi-FiEthernet etc)
Se admite Se admite
Compatibilidad conaplicaciones de intranet
Se admite Se admite
Compatibilidad con DTLSpara UDP
No se admite Se admite
Compatibilidad con contratode licencia de usuario final
Se admite Se admite
Integracioacuten de aplicaciones +Receiver
Se admite No se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 16
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Autenticacioacuten Local LDAPRADIUS
Se admite Se admite
Autenticacioacuten de certificadosde cliente
Se admite Se admite
Compatibilidad con TLS(TLS1 TLS11 y TLS12)
Se admite Se admite
Autenticacioacuten de dos factores Se admite Se admite
Compatibilidad con productos MDM
Citrix SSO para macOS es compatible con la mayoriacutea de los proveedores de MDM como Citrix Xen-Mobile Microsoft Intune etc Es compatible con una funcioacuten denominada Control de acceso a redes(NAC) mediante la cual los administradores de MDM pueden imponer el cumplimiento de los dispos-itivos del usuario final antes de conectarse a Citrix Gateway NAC en Citrix SSO requiere un servidorMDM como XenMobile o Intune y Citrix Gateway Para obtener maacutes informacioacuten sobre NAC haga clicen aquiacute
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-Onsiguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o la deConfiguracioacuten de carga uacutetil VPN MDM de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 17
Citrix SSO
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 SeleccionemacOS en el panel de la izquierda Plataforma de directivas Seleccione Directiva VPNen el panel derecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina de detalles de directiva para macOS escriba un nombre de conexioacuten vaacutelido y elijaSSL personalizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewaymacosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO enmacOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewaymacosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSOmacOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN de Citrix ADC asociadoa esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se encuentran en la documentacioacuten de Citrix Endpoint Management
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 18
Citrix SSO
Realice los siguientes pasos para configurar una VPN por aplicacioacuten en Citrix Endpoint Management
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
13 Haga clic en Siguiente
14 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Clave = rdquoPerAppsPlitTunnelrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
copy 1999-2020 Citrix Systems Inc All rights reserved 19
Citrix SSO
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Clave = rdquoDisableUserProfilesrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Problemas conocidos
Los siguientes son los problemas conocidos actualmente
bull El inicio de sesioacuten de EPA falla si el usuario se coloca en el grupo de cuarentenabull No se muestra el mensaje de advertencia de tiempo de espera forzadobull La aplicacioacuten SSO permite iniciar sesioacuten si el tuacutenel dividido estaacute activado y no hay aplicacionesde intranet configuradas
Limitaciones
Las siguientes son las limitaciones actuales
bull Algunos de los anaacutelisis EPA (por ejemplo anaacutelisis de administracioacuten de parches exploracioacutendel explorador web proceso de eliminacioacuten) podriacutean fallar debido al acceso restringido a laaplicacioacuten SSO debido al espacio limitado
copy 1999-2020 Citrix Systems Inc All rights reserved 20
Citrix SSO
bull No se admite el tuacutenel dividido basado en puertosprotocolos
Preguntas frecuentes
En esta seccioacuten se recogen las preguntas frecuentes de la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplica principalmente a los clientes que no son MDM que no utilizan un servi-dor MDM para distribuir certificados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSOa traveacutes de correo electroacutenicordquo para poder distribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM deMicrosoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradores pueden protegersu red interna empresarial agregando una capa adicional de autenticacioacuten para dispositivos moacutevilesadministrados por un servidor MDM Los administradores pueden aplicar una comprobacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlace
copy 1999-2020 Citrix Systems Inc All rights reserved 21
Citrix SSO
bull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Preguntas frecuentes
April 3 2020
En esta seccioacuten se recogen las preguntas maacutes frecuentes en la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplicaprincipalmente a los clientes que no son MDM que no utilizan un servidor MDM para distribuir certifi-cados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSO a traveacutes de correo electroacutenicordquopara poderdistribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM de
copy 1999-2020 Citrix Systems Inc All rights reserved 22
Citrix SSO
Microsoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradorespueden proteger su red interna empresarial agregando una capa adicional de autenticacioacuten para dis-positivos moacuteviles administrados por un servidor MDM Los administradores pueden aplicar una com-probacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlacebull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Citrix SSO para dispositivos Android
April 3 2020
Citrix SSO ofrece la mejor solucioacuten de proteccioacuten de datos y acceso a las aplicaciones con Citrix Gate-way Ahora puede acceder de forma segura a las aplicaciones criacuteticas para el negocio los escritoriosvirtuales y los datos corporativos en cualquier momento y desde cualquier lugar
iexclCopiadoFailed
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
copy 1999-2020 Citrix Systems Inc All rights reserved 23
Citrix SSO
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V2314
Problemas resueltos
bull Citrix SSO ahora maneja correctamente el mensaje final de establecimiento de sesioacuten VPN
[CGOP-12488]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2313
Problemas resueltos
bull La direccioacuten IP de Citrix Gateway se resuelve solo una vez
Anteriormente la direccioacuten IP de Citrix Gateway se resolvioacute varias veces lo que ocasionaba er-rores de conexioacuten a veces
[CGOP-12101]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2312
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
siguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o laconfiguracioacuten de carga uacutetil de MDM VPN de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo en Citrix Endpoint Manage-ment
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 Seleccione iOS en el panel de la izquierda Plataforma de directivas Seleccione VPN en el panelderecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina Directiva de VPN para iOS escriba un nombre de conexioacuten vaacutelido y elija SSL person-alizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewayiosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO en iOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewayiosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSO iOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN (nombre de dominiocompleto) de Citrix ADC asociado a esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
copy 1999-2020 Citrix Systems Inc All rights reserved 10
Citrix SSO
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
Realice los siguientes pasos para configurar una VPN por aplicacioacuten
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
4 En Tipo de proveedor seleccione Tuacutenel de paquetes
Nota En la carga uacutetil MDM VPN este campo corresponde al tipo de proveedorclave
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
14 Haga clic en Siguiente
15 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
copy 1999-2020 Citrix Systems Inc All rights reserved 11
Citrix SSO
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Key = rdquoPerAppSplitTunnelrdquo2 - Value = rdquotrue or 1 or yesrdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Key = rdquodisableUserProfilesrdquo2 - Value = rdquotrue or 1 or yesrdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
copy 1999-2020 Citrix Systems Inc All rights reserved 12
Citrix SSO
Problemas conocidos
Descripcioacuten del problema Tunelizacioacuten para direcciones FQDN que contienen un dominio ldquolocalrdquoen configuraciones VPN por aplicacioacuten o VPN bajo demanda Hay un error en el marco de extensioacutende red de Apple que impide que las direcciones FQDN que contienen local en la parte del dominio(por ejemplo httpwwwwabclocal) pasen a ser de tuacutenel a traveacutes de la interfaz TUN del sistema Eltraacutefico de esta direccioacuten se enviacutea a traveacutes de la interfaz fiacutesica del dispositivo en su lugar El problemase observa solo con las configuraciones VPN por aplicacioacuten o VPN bajo demanda y no se ve con lasconfiguraciones VPN de todo el sistema Citrix ha presentado un informe de error de radar a Apple yApple habiacutea sentildealado que de acuerdo con RFC-6762httpstoolsietforghtmlrfc6762local es unaconsulta DNS de multidifusioacuten (MDN) y por lo tanto no es un error Sin embargo Apple auacuten no hacerrado el error y no estaacute claro si el problema se resolveraacute en futuras versiones de iOS
Solucioacuten alternativa Asigne un nombre de dominiolocal para direcciones como la solucioacuten alterna-tiva
Limitaciones
bull La tunelizacioacuten dividida basada en FQDN auacuten no es totalmente compatiblebull El anaacutelisis de punto final (EPA) no es compatible con iOSbull No se admite el tuacutenel dividido basado en puertosprotocolos
iexclCopiadoFailed
Enviar identidad de certificado de usuario como datos adjuntos decorreo electroacutenico a usuarios de iOS
April 3 2020
Citrix SSO en iOS admite la autenticacioacuten de certificados de cliente con Citrix Gateway En iOS loscertificados se pueden entregar a la aplicacioacuten Citrix SSO de una de las siguientes maneras
bull Servidor MDM Este es el enfoque preferido para los clientes de MDM Los certificados se con-figuran directamente en el perfil VPN administrado MDM Los perfiles VPN y los certificados seenviacuteana continuacioacutena losdispositivos inscritos cuandoel dispositivo se inscribe enel servidorMDM Siga los documentos especiacuteficos del proveedor de MDM para este enfoque
bull Correo electroacutenico uacutenico enfoque para clientes que no sean MDM En este enfoque los admin-istradores enviacutean un correo electroacutenico con la identidad del certificado de usuario (certificadoy clave privada) adjunta como un archivo PCKS 12 a los usuarios Los usuarios deben tener
copy 1999-2020 Citrix Systems Inc All rights reserved 13
Citrix SSO
sus cuentas de correo electroacutenico configuradas en su dispositivo iOS para recibir el correo elec-troacutenico con datos adjuntos El archivo se puede importar a la aplicacioacuten Citrix SSO en iOS En lasiguiente seccioacuten se explican los pasos de configuracioacuten para este enfoque
Requisitos previos
bull Certificado de usuario Archivo de identidad PKCS 12 con una extensioacutenpfx op12 para unusuario determinado Este archivo contiene tanto el certificado como la clave privada
bull Cuenta de correo electroacutenico configurada en el dispositivo iOS
bull Aplicacioacuten Citrix SSO instalada en el dispositivo iOS
Pasos de configuracioacuten
1 Cambie el nombre del tipo de extensioacuten o MIME del certificado de usuario
Las extensiones de archivomaacutes utilizadas para el certificado de usuario son ldquopfxrdquo ldquop12rdquo etc Estas ex-tensiones de archivo no son estaacutendar para la plataforma iOS a diferencia de formatos comopdfdocTanto ldquopfxrdquo como ldquop12rdquo son reclamados por el sistema iOS y no pueden ser reclamados por aplica-ciones de terceros como Citrix SSO Por lo tanto Citrix SSO ha definido un nuevo tipo de extensioacuten oMIME llamado ldquocitrixsso-pfxrdquo y ldquocitrixsso-p12rdquo Los administradores deben cambiar el tipo de exten-sioacuten o MIME del certificado de usuario de ldquopfxrdquo estaacutendar o ldquop12rdquo a ldquocitrixsso-pfxrdquo o ldquocitrixsso-p12rdquorespectivamente Para cambiar el nombre de la extensioacuten los administradores pueden ejecutar elsiguiente comando en el siacutembolo del sistema o terminal
Windows 10
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 rename ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-
pfx
macOS
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 mv ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-pfx
2 Enviar el archivo como un archivo adjunto de correo electroacutenicoEl archivo de certificado de usuario con la nueva extensioacuten se puede enviar como un archivo adjuntode correo electroacutenico al usuario
Al recibir el correo electroacutenico los usuarios deben instalar el certificado en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 14
Citrix SSO
iexclCopiadoFailed
Configurar Citrix SSO para usuarios demacOS
April 3 2020
La aplicacioacuten Citrix SSO paramacOS proporciona lamejor solucioacuten de proteccioacuten de datos y acceso aaplicaciones que ofrece Citrix Gateway Ahora puede acceder de forma segura a las aplicaciones criacuteti-cas para el negocio los escritorios virtuales y los datos corporativos en cualquier momento y desdecualquier lugarCitrix SSO es el cliente VPNde proacutexima generacioacuten para Citrix Gateway para crear y administrar conex-iones VPN desde dispositivos macOS Citrix SSO se crea mediante el marco de extensioacuten de red (NE)de Apple NE framework de Apple es una biblioteca moderna que contiene API que se pueden uti-lizar para personalizar y ampliar las funciones principales de red de macOS La extensioacuten de red consoporte para SSL VPN estaacute disponible en dispositivos que ejecutanmacOS 1011+
La aplicacioacuten Citrix SSO reemplaza el complemento heredado de Citrix Gateway basado en Exten-siones de nuacutecleo (KE) que Apple va a dejar de utilizar pronto Citrix SSO App admite funciones avan-zadas como Conexiones iniciadas por el servidor y DTLS
La aplicacioacuten Citrix SSO proporciona compatibilidad completa con la administracioacuten de dispositivosmoacuteviles (MDM) en macOS Con un servidor MDM un administrador ahora puede configurar y admin-istrar de forma remota perfiles VPN a nivel de dispositivo y por aplicacioacutenLa aplicacioacuten Citrix SSO para macOS se puede instalar desde una almaceacuten de aplicaciones Mac
Comparacioacuten de funciones entre Citrix VPN y Citrix SSO
En la siguiente tabla se compara la disponibilidad de diversas funciones entre Citrix VPN y Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Meacutetodo de distribucioacuten deaplicaciones
paacutegina Descargas de Citrix App Store
Nuacutemero de conexiones entuacutenel
128 128
Acceso desde explorador Se admite No se admite
Acceso desde aplicacioacutennativa
Se admite Se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 15
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Tuacutenel dividido (DESACTI-VADOACTIVADOINVERSO)
Se admite Se admite
DNS dividido(LOCALREMOTOAMBOS)
REMOTO REMOTO
Acceso a LAN local Habilitar o inhabilitar Siempre habilitado
Compatibilidad conconexiones iniciadas por elservidor (SIC)
No se admite Se admite
Transferir el inicio de sesioacuten Se admite Se admite
Proxy del lado del cliente Se admite No se admite
Compatibilidad con EPAcaacutesicoOpswat
Se admite Se admite
Compatibilidad concertificados de dispositivo
Se admite Se admite
Compatibilidad con tiempode espera de sesioacuten
Se admite Se admite
Compatibilidad con tiempode espera forzado
Se admite Se admite
Compatibilidad con tiempode espera inactivo
Se admite No se admite
IPV6 No se admite Se admite
Itinerancia de red(conmutacioacuten entre Wi-FiEthernet etc)
Se admite Se admite
Compatibilidad conaplicaciones de intranet
Se admite Se admite
Compatibilidad con DTLSpara UDP
No se admite Se admite
Compatibilidad con contratode licencia de usuario final
Se admite Se admite
Integracioacuten de aplicaciones +Receiver
Se admite No se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 16
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Autenticacioacuten Local LDAPRADIUS
Se admite Se admite
Autenticacioacuten de certificadosde cliente
Se admite Se admite
Compatibilidad con TLS(TLS1 TLS11 y TLS12)
Se admite Se admite
Autenticacioacuten de dos factores Se admite Se admite
Compatibilidad con productos MDM
Citrix SSO para macOS es compatible con la mayoriacutea de los proveedores de MDM como Citrix Xen-Mobile Microsoft Intune etc Es compatible con una funcioacuten denominada Control de acceso a redes(NAC) mediante la cual los administradores de MDM pueden imponer el cumplimiento de los dispos-itivos del usuario final antes de conectarse a Citrix Gateway NAC en Citrix SSO requiere un servidorMDM como XenMobile o Intune y Citrix Gateway Para obtener maacutes informacioacuten sobre NAC haga clicen aquiacute
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-Onsiguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o la deConfiguracioacuten de carga uacutetil VPN MDM de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 17
Citrix SSO
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 SeleccionemacOS en el panel de la izquierda Plataforma de directivas Seleccione Directiva VPNen el panel derecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina de detalles de directiva para macOS escriba un nombre de conexioacuten vaacutelido y elijaSSL personalizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewaymacosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO enmacOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewaymacosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSOmacOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN de Citrix ADC asociadoa esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se encuentran en la documentacioacuten de Citrix Endpoint Management
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 18
Citrix SSO
Realice los siguientes pasos para configurar una VPN por aplicacioacuten en Citrix Endpoint Management
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
13 Haga clic en Siguiente
14 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Clave = rdquoPerAppsPlitTunnelrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
copy 1999-2020 Citrix Systems Inc All rights reserved 19
Citrix SSO
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Clave = rdquoDisableUserProfilesrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Problemas conocidos
Los siguientes son los problemas conocidos actualmente
bull El inicio de sesioacuten de EPA falla si el usuario se coloca en el grupo de cuarentenabull No se muestra el mensaje de advertencia de tiempo de espera forzadobull La aplicacioacuten SSO permite iniciar sesioacuten si el tuacutenel dividido estaacute activado y no hay aplicacionesde intranet configuradas
Limitaciones
Las siguientes son las limitaciones actuales
bull Algunos de los anaacutelisis EPA (por ejemplo anaacutelisis de administracioacuten de parches exploracioacutendel explorador web proceso de eliminacioacuten) podriacutean fallar debido al acceso restringido a laaplicacioacuten SSO debido al espacio limitado
copy 1999-2020 Citrix Systems Inc All rights reserved 20
Citrix SSO
bull No se admite el tuacutenel dividido basado en puertosprotocolos
Preguntas frecuentes
En esta seccioacuten se recogen las preguntas frecuentes de la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplica principalmente a los clientes que no son MDM que no utilizan un servi-dor MDM para distribuir certificados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSOa traveacutes de correo electroacutenicordquo para poder distribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM deMicrosoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradores pueden protegersu red interna empresarial agregando una capa adicional de autenticacioacuten para dispositivos moacutevilesadministrados por un servidor MDM Los administradores pueden aplicar una comprobacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlace
copy 1999-2020 Citrix Systems Inc All rights reserved 21
Citrix SSO
bull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Preguntas frecuentes
April 3 2020
En esta seccioacuten se recogen las preguntas maacutes frecuentes en la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplicaprincipalmente a los clientes que no son MDM que no utilizan un servidor MDM para distribuir certifi-cados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSO a traveacutes de correo electroacutenicordquopara poderdistribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM de
copy 1999-2020 Citrix Systems Inc All rights reserved 22
Citrix SSO
Microsoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradorespueden proteger su red interna empresarial agregando una capa adicional de autenticacioacuten para dis-positivos moacuteviles administrados por un servidor MDM Los administradores pueden aplicar una com-probacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlacebull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Citrix SSO para dispositivos Android
April 3 2020
Citrix SSO ofrece la mejor solucioacuten de proteccioacuten de datos y acceso a las aplicaciones con Citrix Gate-way Ahora puede acceder de forma segura a las aplicaciones criacuteticas para el negocio los escritoriosvirtuales y los datos corporativos en cualquier momento y desde cualquier lugar
iexclCopiadoFailed
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
copy 1999-2020 Citrix Systems Inc All rights reserved 23
Citrix SSO
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V2314
Problemas resueltos
bull Citrix SSO ahora maneja correctamente el mensaje final de establecimiento de sesioacuten VPN
[CGOP-12488]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2313
Problemas resueltos
bull La direccioacuten IP de Citrix Gateway se resuelve solo una vez
Anteriormente la direccioacuten IP de Citrix Gateway se resolvioacute varias veces lo que ocasionaba er-rores de conexioacuten a veces
[CGOP-12101]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2312
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
Realice los siguientes pasos para configurar una VPN por aplicacioacuten
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
4 En Tipo de proveedor seleccione Tuacutenel de paquetes
Nota En la carga uacutetil MDM VPN este campo corresponde al tipo de proveedorclave
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
14 Haga clic en Siguiente
15 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
copy 1999-2020 Citrix Systems Inc All rights reserved 11
Citrix SSO
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Key = rdquoPerAppSplitTunnelrdquo2 - Value = rdquotrue or 1 or yesrdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Key = rdquodisableUserProfilesrdquo2 - Value = rdquotrue or 1 or yesrdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
copy 1999-2020 Citrix Systems Inc All rights reserved 12
Citrix SSO
Problemas conocidos
Descripcioacuten del problema Tunelizacioacuten para direcciones FQDN que contienen un dominio ldquolocalrdquoen configuraciones VPN por aplicacioacuten o VPN bajo demanda Hay un error en el marco de extensioacutende red de Apple que impide que las direcciones FQDN que contienen local en la parte del dominio(por ejemplo httpwwwwabclocal) pasen a ser de tuacutenel a traveacutes de la interfaz TUN del sistema Eltraacutefico de esta direccioacuten se enviacutea a traveacutes de la interfaz fiacutesica del dispositivo en su lugar El problemase observa solo con las configuraciones VPN por aplicacioacuten o VPN bajo demanda y no se ve con lasconfiguraciones VPN de todo el sistema Citrix ha presentado un informe de error de radar a Apple yApple habiacutea sentildealado que de acuerdo con RFC-6762httpstoolsietforghtmlrfc6762local es unaconsulta DNS de multidifusioacuten (MDN) y por lo tanto no es un error Sin embargo Apple auacuten no hacerrado el error y no estaacute claro si el problema se resolveraacute en futuras versiones de iOS
Solucioacuten alternativa Asigne un nombre de dominiolocal para direcciones como la solucioacuten alterna-tiva
Limitaciones
bull La tunelizacioacuten dividida basada en FQDN auacuten no es totalmente compatiblebull El anaacutelisis de punto final (EPA) no es compatible con iOSbull No se admite el tuacutenel dividido basado en puertosprotocolos
iexclCopiadoFailed
Enviar identidad de certificado de usuario como datos adjuntos decorreo electroacutenico a usuarios de iOS
April 3 2020
Citrix SSO en iOS admite la autenticacioacuten de certificados de cliente con Citrix Gateway En iOS loscertificados se pueden entregar a la aplicacioacuten Citrix SSO de una de las siguientes maneras
bull Servidor MDM Este es el enfoque preferido para los clientes de MDM Los certificados se con-figuran directamente en el perfil VPN administrado MDM Los perfiles VPN y los certificados seenviacuteana continuacioacutena losdispositivos inscritos cuandoel dispositivo se inscribe enel servidorMDM Siga los documentos especiacuteficos del proveedor de MDM para este enfoque
bull Correo electroacutenico uacutenico enfoque para clientes que no sean MDM En este enfoque los admin-istradores enviacutean un correo electroacutenico con la identidad del certificado de usuario (certificadoy clave privada) adjunta como un archivo PCKS 12 a los usuarios Los usuarios deben tener
copy 1999-2020 Citrix Systems Inc All rights reserved 13
Citrix SSO
sus cuentas de correo electroacutenico configuradas en su dispositivo iOS para recibir el correo elec-troacutenico con datos adjuntos El archivo se puede importar a la aplicacioacuten Citrix SSO en iOS En lasiguiente seccioacuten se explican los pasos de configuracioacuten para este enfoque
Requisitos previos
bull Certificado de usuario Archivo de identidad PKCS 12 con una extensioacutenpfx op12 para unusuario determinado Este archivo contiene tanto el certificado como la clave privada
bull Cuenta de correo electroacutenico configurada en el dispositivo iOS
bull Aplicacioacuten Citrix SSO instalada en el dispositivo iOS
Pasos de configuracioacuten
1 Cambie el nombre del tipo de extensioacuten o MIME del certificado de usuario
Las extensiones de archivomaacutes utilizadas para el certificado de usuario son ldquopfxrdquo ldquop12rdquo etc Estas ex-tensiones de archivo no son estaacutendar para la plataforma iOS a diferencia de formatos comopdfdocTanto ldquopfxrdquo como ldquop12rdquo son reclamados por el sistema iOS y no pueden ser reclamados por aplica-ciones de terceros como Citrix SSO Por lo tanto Citrix SSO ha definido un nuevo tipo de extensioacuten oMIME llamado ldquocitrixsso-pfxrdquo y ldquocitrixsso-p12rdquo Los administradores deben cambiar el tipo de exten-sioacuten o MIME del certificado de usuario de ldquopfxrdquo estaacutendar o ldquop12rdquo a ldquocitrixsso-pfxrdquo o ldquocitrixsso-p12rdquorespectivamente Para cambiar el nombre de la extensioacuten los administradores pueden ejecutar elsiguiente comando en el siacutembolo del sistema o terminal
Windows 10
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 rename ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-
pfx
macOS
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 mv ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-pfx
2 Enviar el archivo como un archivo adjunto de correo electroacutenicoEl archivo de certificado de usuario con la nueva extensioacuten se puede enviar como un archivo adjuntode correo electroacutenico al usuario
Al recibir el correo electroacutenico los usuarios deben instalar el certificado en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 14
Citrix SSO
iexclCopiadoFailed
Configurar Citrix SSO para usuarios demacOS
April 3 2020
La aplicacioacuten Citrix SSO paramacOS proporciona lamejor solucioacuten de proteccioacuten de datos y acceso aaplicaciones que ofrece Citrix Gateway Ahora puede acceder de forma segura a las aplicaciones criacuteti-cas para el negocio los escritorios virtuales y los datos corporativos en cualquier momento y desdecualquier lugarCitrix SSO es el cliente VPNde proacutexima generacioacuten para Citrix Gateway para crear y administrar conex-iones VPN desde dispositivos macOS Citrix SSO se crea mediante el marco de extensioacuten de red (NE)de Apple NE framework de Apple es una biblioteca moderna que contiene API que se pueden uti-lizar para personalizar y ampliar las funciones principales de red de macOS La extensioacuten de red consoporte para SSL VPN estaacute disponible en dispositivos que ejecutanmacOS 1011+
La aplicacioacuten Citrix SSO reemplaza el complemento heredado de Citrix Gateway basado en Exten-siones de nuacutecleo (KE) que Apple va a dejar de utilizar pronto Citrix SSO App admite funciones avan-zadas como Conexiones iniciadas por el servidor y DTLS
La aplicacioacuten Citrix SSO proporciona compatibilidad completa con la administracioacuten de dispositivosmoacuteviles (MDM) en macOS Con un servidor MDM un administrador ahora puede configurar y admin-istrar de forma remota perfiles VPN a nivel de dispositivo y por aplicacioacutenLa aplicacioacuten Citrix SSO para macOS se puede instalar desde una almaceacuten de aplicaciones Mac
Comparacioacuten de funciones entre Citrix VPN y Citrix SSO
En la siguiente tabla se compara la disponibilidad de diversas funciones entre Citrix VPN y Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Meacutetodo de distribucioacuten deaplicaciones
paacutegina Descargas de Citrix App Store
Nuacutemero de conexiones entuacutenel
128 128
Acceso desde explorador Se admite No se admite
Acceso desde aplicacioacutennativa
Se admite Se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 15
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Tuacutenel dividido (DESACTI-VADOACTIVADOINVERSO)
Se admite Se admite
DNS dividido(LOCALREMOTOAMBOS)
REMOTO REMOTO
Acceso a LAN local Habilitar o inhabilitar Siempre habilitado
Compatibilidad conconexiones iniciadas por elservidor (SIC)
No se admite Se admite
Transferir el inicio de sesioacuten Se admite Se admite
Proxy del lado del cliente Se admite No se admite
Compatibilidad con EPAcaacutesicoOpswat
Se admite Se admite
Compatibilidad concertificados de dispositivo
Se admite Se admite
Compatibilidad con tiempode espera de sesioacuten
Se admite Se admite
Compatibilidad con tiempode espera forzado
Se admite Se admite
Compatibilidad con tiempode espera inactivo
Se admite No se admite
IPV6 No se admite Se admite
Itinerancia de red(conmutacioacuten entre Wi-FiEthernet etc)
Se admite Se admite
Compatibilidad conaplicaciones de intranet
Se admite Se admite
Compatibilidad con DTLSpara UDP
No se admite Se admite
Compatibilidad con contratode licencia de usuario final
Se admite Se admite
Integracioacuten de aplicaciones +Receiver
Se admite No se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 16
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Autenticacioacuten Local LDAPRADIUS
Se admite Se admite
Autenticacioacuten de certificadosde cliente
Se admite Se admite
Compatibilidad con TLS(TLS1 TLS11 y TLS12)
Se admite Se admite
Autenticacioacuten de dos factores Se admite Se admite
Compatibilidad con productos MDM
Citrix SSO para macOS es compatible con la mayoriacutea de los proveedores de MDM como Citrix Xen-Mobile Microsoft Intune etc Es compatible con una funcioacuten denominada Control de acceso a redes(NAC) mediante la cual los administradores de MDM pueden imponer el cumplimiento de los dispos-itivos del usuario final antes de conectarse a Citrix Gateway NAC en Citrix SSO requiere un servidorMDM como XenMobile o Intune y Citrix Gateway Para obtener maacutes informacioacuten sobre NAC haga clicen aquiacute
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-Onsiguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o la deConfiguracioacuten de carga uacutetil VPN MDM de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 17
Citrix SSO
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 SeleccionemacOS en el panel de la izquierda Plataforma de directivas Seleccione Directiva VPNen el panel derecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina de detalles de directiva para macOS escriba un nombre de conexioacuten vaacutelido y elijaSSL personalizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewaymacosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO enmacOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewaymacosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSOmacOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN de Citrix ADC asociadoa esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se encuentran en la documentacioacuten de Citrix Endpoint Management
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 18
Citrix SSO
Realice los siguientes pasos para configurar una VPN por aplicacioacuten en Citrix Endpoint Management
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
13 Haga clic en Siguiente
14 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Clave = rdquoPerAppsPlitTunnelrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
copy 1999-2020 Citrix Systems Inc All rights reserved 19
Citrix SSO
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Clave = rdquoDisableUserProfilesrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Problemas conocidos
Los siguientes son los problemas conocidos actualmente
bull El inicio de sesioacuten de EPA falla si el usuario se coloca en el grupo de cuarentenabull No se muestra el mensaje de advertencia de tiempo de espera forzadobull La aplicacioacuten SSO permite iniciar sesioacuten si el tuacutenel dividido estaacute activado y no hay aplicacionesde intranet configuradas
Limitaciones
Las siguientes son las limitaciones actuales
bull Algunos de los anaacutelisis EPA (por ejemplo anaacutelisis de administracioacuten de parches exploracioacutendel explorador web proceso de eliminacioacuten) podriacutean fallar debido al acceso restringido a laaplicacioacuten SSO debido al espacio limitado
copy 1999-2020 Citrix Systems Inc All rights reserved 20
Citrix SSO
bull No se admite el tuacutenel dividido basado en puertosprotocolos
Preguntas frecuentes
En esta seccioacuten se recogen las preguntas frecuentes de la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplica principalmente a los clientes que no son MDM que no utilizan un servi-dor MDM para distribuir certificados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSOa traveacutes de correo electroacutenicordquo para poder distribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM deMicrosoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradores pueden protegersu red interna empresarial agregando una capa adicional de autenticacioacuten para dispositivos moacutevilesadministrados por un servidor MDM Los administradores pueden aplicar una comprobacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlace
copy 1999-2020 Citrix Systems Inc All rights reserved 21
Citrix SSO
bull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Preguntas frecuentes
April 3 2020
En esta seccioacuten se recogen las preguntas maacutes frecuentes en la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplicaprincipalmente a los clientes que no son MDM que no utilizan un servidor MDM para distribuir certifi-cados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSO a traveacutes de correo electroacutenicordquopara poderdistribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM de
copy 1999-2020 Citrix Systems Inc All rights reserved 22
Citrix SSO
Microsoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradorespueden proteger su red interna empresarial agregando una capa adicional de autenticacioacuten para dis-positivos moacuteviles administrados por un servidor MDM Los administradores pueden aplicar una com-probacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlacebull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Citrix SSO para dispositivos Android
April 3 2020
Citrix SSO ofrece la mejor solucioacuten de proteccioacuten de datos y acceso a las aplicaciones con Citrix Gate-way Ahora puede acceder de forma segura a las aplicaciones criacuteticas para el negocio los escritoriosvirtuales y los datos corporativos en cualquier momento y desde cualquier lugar
iexclCopiadoFailed
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
copy 1999-2020 Citrix Systems Inc All rights reserved 23
Citrix SSO
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V2314
Problemas resueltos
bull Citrix SSO ahora maneja correctamente el mensaje final de establecimiento de sesioacuten VPN
[CGOP-12488]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2313
Problemas resueltos
bull La direccioacuten IP de Citrix Gateway se resuelve solo una vez
Anteriormente la direccioacuten IP de Citrix Gateway se resolvioacute varias veces lo que ocasionaba er-rores de conexioacuten a veces
[CGOP-12101]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2312
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Key = rdquoPerAppSplitTunnelrdquo2 - Value = rdquotrue or 1 or yesrdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Key = rdquodisableUserProfilesrdquo2 - Value = rdquotrue or 1 or yesrdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
copy 1999-2020 Citrix Systems Inc All rights reserved 12
Citrix SSO
Problemas conocidos
Descripcioacuten del problema Tunelizacioacuten para direcciones FQDN que contienen un dominio ldquolocalrdquoen configuraciones VPN por aplicacioacuten o VPN bajo demanda Hay un error en el marco de extensioacutende red de Apple que impide que las direcciones FQDN que contienen local en la parte del dominio(por ejemplo httpwwwwabclocal) pasen a ser de tuacutenel a traveacutes de la interfaz TUN del sistema Eltraacutefico de esta direccioacuten se enviacutea a traveacutes de la interfaz fiacutesica del dispositivo en su lugar El problemase observa solo con las configuraciones VPN por aplicacioacuten o VPN bajo demanda y no se ve con lasconfiguraciones VPN de todo el sistema Citrix ha presentado un informe de error de radar a Apple yApple habiacutea sentildealado que de acuerdo con RFC-6762httpstoolsietforghtmlrfc6762local es unaconsulta DNS de multidifusioacuten (MDN) y por lo tanto no es un error Sin embargo Apple auacuten no hacerrado el error y no estaacute claro si el problema se resolveraacute en futuras versiones de iOS
Solucioacuten alternativa Asigne un nombre de dominiolocal para direcciones como la solucioacuten alterna-tiva
Limitaciones
bull La tunelizacioacuten dividida basada en FQDN auacuten no es totalmente compatiblebull El anaacutelisis de punto final (EPA) no es compatible con iOSbull No se admite el tuacutenel dividido basado en puertosprotocolos
iexclCopiadoFailed
Enviar identidad de certificado de usuario como datos adjuntos decorreo electroacutenico a usuarios de iOS
April 3 2020
Citrix SSO en iOS admite la autenticacioacuten de certificados de cliente con Citrix Gateway En iOS loscertificados se pueden entregar a la aplicacioacuten Citrix SSO de una de las siguientes maneras
bull Servidor MDM Este es el enfoque preferido para los clientes de MDM Los certificados se con-figuran directamente en el perfil VPN administrado MDM Los perfiles VPN y los certificados seenviacuteana continuacioacutena losdispositivos inscritos cuandoel dispositivo se inscribe enel servidorMDM Siga los documentos especiacuteficos del proveedor de MDM para este enfoque
bull Correo electroacutenico uacutenico enfoque para clientes que no sean MDM En este enfoque los admin-istradores enviacutean un correo electroacutenico con la identidad del certificado de usuario (certificadoy clave privada) adjunta como un archivo PCKS 12 a los usuarios Los usuarios deben tener
copy 1999-2020 Citrix Systems Inc All rights reserved 13
Citrix SSO
sus cuentas de correo electroacutenico configuradas en su dispositivo iOS para recibir el correo elec-troacutenico con datos adjuntos El archivo se puede importar a la aplicacioacuten Citrix SSO en iOS En lasiguiente seccioacuten se explican los pasos de configuracioacuten para este enfoque
Requisitos previos
bull Certificado de usuario Archivo de identidad PKCS 12 con una extensioacutenpfx op12 para unusuario determinado Este archivo contiene tanto el certificado como la clave privada
bull Cuenta de correo electroacutenico configurada en el dispositivo iOS
bull Aplicacioacuten Citrix SSO instalada en el dispositivo iOS
Pasos de configuracioacuten
1 Cambie el nombre del tipo de extensioacuten o MIME del certificado de usuario
Las extensiones de archivomaacutes utilizadas para el certificado de usuario son ldquopfxrdquo ldquop12rdquo etc Estas ex-tensiones de archivo no son estaacutendar para la plataforma iOS a diferencia de formatos comopdfdocTanto ldquopfxrdquo como ldquop12rdquo son reclamados por el sistema iOS y no pueden ser reclamados por aplica-ciones de terceros como Citrix SSO Por lo tanto Citrix SSO ha definido un nuevo tipo de extensioacuten oMIME llamado ldquocitrixsso-pfxrdquo y ldquocitrixsso-p12rdquo Los administradores deben cambiar el tipo de exten-sioacuten o MIME del certificado de usuario de ldquopfxrdquo estaacutendar o ldquop12rdquo a ldquocitrixsso-pfxrdquo o ldquocitrixsso-p12rdquorespectivamente Para cambiar el nombre de la extensioacuten los administradores pueden ejecutar elsiguiente comando en el siacutembolo del sistema o terminal
Windows 10
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 rename ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-
pfx
macOS
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 mv ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-pfx
2 Enviar el archivo como un archivo adjunto de correo electroacutenicoEl archivo de certificado de usuario con la nueva extensioacuten se puede enviar como un archivo adjuntode correo electroacutenico al usuario
Al recibir el correo electroacutenico los usuarios deben instalar el certificado en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 14
Citrix SSO
iexclCopiadoFailed
Configurar Citrix SSO para usuarios demacOS
April 3 2020
La aplicacioacuten Citrix SSO paramacOS proporciona lamejor solucioacuten de proteccioacuten de datos y acceso aaplicaciones que ofrece Citrix Gateway Ahora puede acceder de forma segura a las aplicaciones criacuteti-cas para el negocio los escritorios virtuales y los datos corporativos en cualquier momento y desdecualquier lugarCitrix SSO es el cliente VPNde proacutexima generacioacuten para Citrix Gateway para crear y administrar conex-iones VPN desde dispositivos macOS Citrix SSO se crea mediante el marco de extensioacuten de red (NE)de Apple NE framework de Apple es una biblioteca moderna que contiene API que se pueden uti-lizar para personalizar y ampliar las funciones principales de red de macOS La extensioacuten de red consoporte para SSL VPN estaacute disponible en dispositivos que ejecutanmacOS 1011+
La aplicacioacuten Citrix SSO reemplaza el complemento heredado de Citrix Gateway basado en Exten-siones de nuacutecleo (KE) que Apple va a dejar de utilizar pronto Citrix SSO App admite funciones avan-zadas como Conexiones iniciadas por el servidor y DTLS
La aplicacioacuten Citrix SSO proporciona compatibilidad completa con la administracioacuten de dispositivosmoacuteviles (MDM) en macOS Con un servidor MDM un administrador ahora puede configurar y admin-istrar de forma remota perfiles VPN a nivel de dispositivo y por aplicacioacutenLa aplicacioacuten Citrix SSO para macOS se puede instalar desde una almaceacuten de aplicaciones Mac
Comparacioacuten de funciones entre Citrix VPN y Citrix SSO
En la siguiente tabla se compara la disponibilidad de diversas funciones entre Citrix VPN y Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Meacutetodo de distribucioacuten deaplicaciones
paacutegina Descargas de Citrix App Store
Nuacutemero de conexiones entuacutenel
128 128
Acceso desde explorador Se admite No se admite
Acceso desde aplicacioacutennativa
Se admite Se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 15
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Tuacutenel dividido (DESACTI-VADOACTIVADOINVERSO)
Se admite Se admite
DNS dividido(LOCALREMOTOAMBOS)
REMOTO REMOTO
Acceso a LAN local Habilitar o inhabilitar Siempre habilitado
Compatibilidad conconexiones iniciadas por elservidor (SIC)
No se admite Se admite
Transferir el inicio de sesioacuten Se admite Se admite
Proxy del lado del cliente Se admite No se admite
Compatibilidad con EPAcaacutesicoOpswat
Se admite Se admite
Compatibilidad concertificados de dispositivo
Se admite Se admite
Compatibilidad con tiempode espera de sesioacuten
Se admite Se admite
Compatibilidad con tiempode espera forzado
Se admite Se admite
Compatibilidad con tiempode espera inactivo
Se admite No se admite
IPV6 No se admite Se admite
Itinerancia de red(conmutacioacuten entre Wi-FiEthernet etc)
Se admite Se admite
Compatibilidad conaplicaciones de intranet
Se admite Se admite
Compatibilidad con DTLSpara UDP
No se admite Se admite
Compatibilidad con contratode licencia de usuario final
Se admite Se admite
Integracioacuten de aplicaciones +Receiver
Se admite No se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 16
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Autenticacioacuten Local LDAPRADIUS
Se admite Se admite
Autenticacioacuten de certificadosde cliente
Se admite Se admite
Compatibilidad con TLS(TLS1 TLS11 y TLS12)
Se admite Se admite
Autenticacioacuten de dos factores Se admite Se admite
Compatibilidad con productos MDM
Citrix SSO para macOS es compatible con la mayoriacutea de los proveedores de MDM como Citrix Xen-Mobile Microsoft Intune etc Es compatible con una funcioacuten denominada Control de acceso a redes(NAC) mediante la cual los administradores de MDM pueden imponer el cumplimiento de los dispos-itivos del usuario final antes de conectarse a Citrix Gateway NAC en Citrix SSO requiere un servidorMDM como XenMobile o Intune y Citrix Gateway Para obtener maacutes informacioacuten sobre NAC haga clicen aquiacute
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-Onsiguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o la deConfiguracioacuten de carga uacutetil VPN MDM de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 17
Citrix SSO
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 SeleccionemacOS en el panel de la izquierda Plataforma de directivas Seleccione Directiva VPNen el panel derecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina de detalles de directiva para macOS escriba un nombre de conexioacuten vaacutelido y elijaSSL personalizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewaymacosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO enmacOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewaymacosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSOmacOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN de Citrix ADC asociadoa esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se encuentran en la documentacioacuten de Citrix Endpoint Management
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 18
Citrix SSO
Realice los siguientes pasos para configurar una VPN por aplicacioacuten en Citrix Endpoint Management
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
13 Haga clic en Siguiente
14 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Clave = rdquoPerAppsPlitTunnelrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
copy 1999-2020 Citrix Systems Inc All rights reserved 19
Citrix SSO
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Clave = rdquoDisableUserProfilesrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Problemas conocidos
Los siguientes son los problemas conocidos actualmente
bull El inicio de sesioacuten de EPA falla si el usuario se coloca en el grupo de cuarentenabull No se muestra el mensaje de advertencia de tiempo de espera forzadobull La aplicacioacuten SSO permite iniciar sesioacuten si el tuacutenel dividido estaacute activado y no hay aplicacionesde intranet configuradas
Limitaciones
Las siguientes son las limitaciones actuales
bull Algunos de los anaacutelisis EPA (por ejemplo anaacutelisis de administracioacuten de parches exploracioacutendel explorador web proceso de eliminacioacuten) podriacutean fallar debido al acceso restringido a laaplicacioacuten SSO debido al espacio limitado
copy 1999-2020 Citrix Systems Inc All rights reserved 20
Citrix SSO
bull No se admite el tuacutenel dividido basado en puertosprotocolos
Preguntas frecuentes
En esta seccioacuten se recogen las preguntas frecuentes de la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplica principalmente a los clientes que no son MDM que no utilizan un servi-dor MDM para distribuir certificados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSOa traveacutes de correo electroacutenicordquo para poder distribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM deMicrosoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradores pueden protegersu red interna empresarial agregando una capa adicional de autenticacioacuten para dispositivos moacutevilesadministrados por un servidor MDM Los administradores pueden aplicar una comprobacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlace
copy 1999-2020 Citrix Systems Inc All rights reserved 21
Citrix SSO
bull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Preguntas frecuentes
April 3 2020
En esta seccioacuten se recogen las preguntas maacutes frecuentes en la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplicaprincipalmente a los clientes que no son MDM que no utilizan un servidor MDM para distribuir certifi-cados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSO a traveacutes de correo electroacutenicordquopara poderdistribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM de
copy 1999-2020 Citrix Systems Inc All rights reserved 22
Citrix SSO
Microsoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradorespueden proteger su red interna empresarial agregando una capa adicional de autenticacioacuten para dis-positivos moacuteviles administrados por un servidor MDM Los administradores pueden aplicar una com-probacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlacebull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Citrix SSO para dispositivos Android
April 3 2020
Citrix SSO ofrece la mejor solucioacuten de proteccioacuten de datos y acceso a las aplicaciones con Citrix Gate-way Ahora puede acceder de forma segura a las aplicaciones criacuteticas para el negocio los escritoriosvirtuales y los datos corporativos en cualquier momento y desde cualquier lugar
iexclCopiadoFailed
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
copy 1999-2020 Citrix Systems Inc All rights reserved 23
Citrix SSO
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V2314
Problemas resueltos
bull Citrix SSO ahora maneja correctamente el mensaje final de establecimiento de sesioacuten VPN
[CGOP-12488]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2313
Problemas resueltos
bull La direccioacuten IP de Citrix Gateway se resuelve solo una vez
Anteriormente la direccioacuten IP de Citrix Gateway se resolvioacute varias veces lo que ocasionaba er-rores de conexioacuten a veces
[CGOP-12101]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2312
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
Problemas conocidos
Descripcioacuten del problema Tunelizacioacuten para direcciones FQDN que contienen un dominio ldquolocalrdquoen configuraciones VPN por aplicacioacuten o VPN bajo demanda Hay un error en el marco de extensioacutende red de Apple que impide que las direcciones FQDN que contienen local en la parte del dominio(por ejemplo httpwwwwabclocal) pasen a ser de tuacutenel a traveacutes de la interfaz TUN del sistema Eltraacutefico de esta direccioacuten se enviacutea a traveacutes de la interfaz fiacutesica del dispositivo en su lugar El problemase observa solo con las configuraciones VPN por aplicacioacuten o VPN bajo demanda y no se ve con lasconfiguraciones VPN de todo el sistema Citrix ha presentado un informe de error de radar a Apple yApple habiacutea sentildealado que de acuerdo con RFC-6762httpstoolsietforghtmlrfc6762local es unaconsulta DNS de multidifusioacuten (MDN) y por lo tanto no es un error Sin embargo Apple auacuten no hacerrado el error y no estaacute claro si el problema se resolveraacute en futuras versiones de iOS
Solucioacuten alternativa Asigne un nombre de dominiolocal para direcciones como la solucioacuten alterna-tiva
Limitaciones
bull La tunelizacioacuten dividida basada en FQDN auacuten no es totalmente compatiblebull El anaacutelisis de punto final (EPA) no es compatible con iOSbull No se admite el tuacutenel dividido basado en puertosprotocolos
iexclCopiadoFailed
Enviar identidad de certificado de usuario como datos adjuntos decorreo electroacutenico a usuarios de iOS
April 3 2020
Citrix SSO en iOS admite la autenticacioacuten de certificados de cliente con Citrix Gateway En iOS loscertificados se pueden entregar a la aplicacioacuten Citrix SSO de una de las siguientes maneras
bull Servidor MDM Este es el enfoque preferido para los clientes de MDM Los certificados se con-figuran directamente en el perfil VPN administrado MDM Los perfiles VPN y los certificados seenviacuteana continuacioacutena losdispositivos inscritos cuandoel dispositivo se inscribe enel servidorMDM Siga los documentos especiacuteficos del proveedor de MDM para este enfoque
bull Correo electroacutenico uacutenico enfoque para clientes que no sean MDM En este enfoque los admin-istradores enviacutean un correo electroacutenico con la identidad del certificado de usuario (certificadoy clave privada) adjunta como un archivo PCKS 12 a los usuarios Los usuarios deben tener
copy 1999-2020 Citrix Systems Inc All rights reserved 13
Citrix SSO
sus cuentas de correo electroacutenico configuradas en su dispositivo iOS para recibir el correo elec-troacutenico con datos adjuntos El archivo se puede importar a la aplicacioacuten Citrix SSO en iOS En lasiguiente seccioacuten se explican los pasos de configuracioacuten para este enfoque
Requisitos previos
bull Certificado de usuario Archivo de identidad PKCS 12 con una extensioacutenpfx op12 para unusuario determinado Este archivo contiene tanto el certificado como la clave privada
bull Cuenta de correo electroacutenico configurada en el dispositivo iOS
bull Aplicacioacuten Citrix SSO instalada en el dispositivo iOS
Pasos de configuracioacuten
1 Cambie el nombre del tipo de extensioacuten o MIME del certificado de usuario
Las extensiones de archivomaacutes utilizadas para el certificado de usuario son ldquopfxrdquo ldquop12rdquo etc Estas ex-tensiones de archivo no son estaacutendar para la plataforma iOS a diferencia de formatos comopdfdocTanto ldquopfxrdquo como ldquop12rdquo son reclamados por el sistema iOS y no pueden ser reclamados por aplica-ciones de terceros como Citrix SSO Por lo tanto Citrix SSO ha definido un nuevo tipo de extensioacuten oMIME llamado ldquocitrixsso-pfxrdquo y ldquocitrixsso-p12rdquo Los administradores deben cambiar el tipo de exten-sioacuten o MIME del certificado de usuario de ldquopfxrdquo estaacutendar o ldquop12rdquo a ldquocitrixsso-pfxrdquo o ldquocitrixsso-p12rdquorespectivamente Para cambiar el nombre de la extensioacuten los administradores pueden ejecutar elsiguiente comando en el siacutembolo del sistema o terminal
Windows 10
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 rename ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-
pfx
macOS
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 mv ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-pfx
2 Enviar el archivo como un archivo adjunto de correo electroacutenicoEl archivo de certificado de usuario con la nueva extensioacuten se puede enviar como un archivo adjuntode correo electroacutenico al usuario
Al recibir el correo electroacutenico los usuarios deben instalar el certificado en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 14
Citrix SSO
iexclCopiadoFailed
Configurar Citrix SSO para usuarios demacOS
April 3 2020
La aplicacioacuten Citrix SSO paramacOS proporciona lamejor solucioacuten de proteccioacuten de datos y acceso aaplicaciones que ofrece Citrix Gateway Ahora puede acceder de forma segura a las aplicaciones criacuteti-cas para el negocio los escritorios virtuales y los datos corporativos en cualquier momento y desdecualquier lugarCitrix SSO es el cliente VPNde proacutexima generacioacuten para Citrix Gateway para crear y administrar conex-iones VPN desde dispositivos macOS Citrix SSO se crea mediante el marco de extensioacuten de red (NE)de Apple NE framework de Apple es una biblioteca moderna que contiene API que se pueden uti-lizar para personalizar y ampliar las funciones principales de red de macOS La extensioacuten de red consoporte para SSL VPN estaacute disponible en dispositivos que ejecutanmacOS 1011+
La aplicacioacuten Citrix SSO reemplaza el complemento heredado de Citrix Gateway basado en Exten-siones de nuacutecleo (KE) que Apple va a dejar de utilizar pronto Citrix SSO App admite funciones avan-zadas como Conexiones iniciadas por el servidor y DTLS
La aplicacioacuten Citrix SSO proporciona compatibilidad completa con la administracioacuten de dispositivosmoacuteviles (MDM) en macOS Con un servidor MDM un administrador ahora puede configurar y admin-istrar de forma remota perfiles VPN a nivel de dispositivo y por aplicacioacutenLa aplicacioacuten Citrix SSO para macOS se puede instalar desde una almaceacuten de aplicaciones Mac
Comparacioacuten de funciones entre Citrix VPN y Citrix SSO
En la siguiente tabla se compara la disponibilidad de diversas funciones entre Citrix VPN y Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Meacutetodo de distribucioacuten deaplicaciones
paacutegina Descargas de Citrix App Store
Nuacutemero de conexiones entuacutenel
128 128
Acceso desde explorador Se admite No se admite
Acceso desde aplicacioacutennativa
Se admite Se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 15
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Tuacutenel dividido (DESACTI-VADOACTIVADOINVERSO)
Se admite Se admite
DNS dividido(LOCALREMOTOAMBOS)
REMOTO REMOTO
Acceso a LAN local Habilitar o inhabilitar Siempre habilitado
Compatibilidad conconexiones iniciadas por elservidor (SIC)
No se admite Se admite
Transferir el inicio de sesioacuten Se admite Se admite
Proxy del lado del cliente Se admite No se admite
Compatibilidad con EPAcaacutesicoOpswat
Se admite Se admite
Compatibilidad concertificados de dispositivo
Se admite Se admite
Compatibilidad con tiempode espera de sesioacuten
Se admite Se admite
Compatibilidad con tiempode espera forzado
Se admite Se admite
Compatibilidad con tiempode espera inactivo
Se admite No se admite
IPV6 No se admite Se admite
Itinerancia de red(conmutacioacuten entre Wi-FiEthernet etc)
Se admite Se admite
Compatibilidad conaplicaciones de intranet
Se admite Se admite
Compatibilidad con DTLSpara UDP
No se admite Se admite
Compatibilidad con contratode licencia de usuario final
Se admite Se admite
Integracioacuten de aplicaciones +Receiver
Se admite No se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 16
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Autenticacioacuten Local LDAPRADIUS
Se admite Se admite
Autenticacioacuten de certificadosde cliente
Se admite Se admite
Compatibilidad con TLS(TLS1 TLS11 y TLS12)
Se admite Se admite
Autenticacioacuten de dos factores Se admite Se admite
Compatibilidad con productos MDM
Citrix SSO para macOS es compatible con la mayoriacutea de los proveedores de MDM como Citrix Xen-Mobile Microsoft Intune etc Es compatible con una funcioacuten denominada Control de acceso a redes(NAC) mediante la cual los administradores de MDM pueden imponer el cumplimiento de los dispos-itivos del usuario final antes de conectarse a Citrix Gateway NAC en Citrix SSO requiere un servidorMDM como XenMobile o Intune y Citrix Gateway Para obtener maacutes informacioacuten sobre NAC haga clicen aquiacute
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-Onsiguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o la deConfiguracioacuten de carga uacutetil VPN MDM de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 17
Citrix SSO
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 SeleccionemacOS en el panel de la izquierda Plataforma de directivas Seleccione Directiva VPNen el panel derecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina de detalles de directiva para macOS escriba un nombre de conexioacuten vaacutelido y elijaSSL personalizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewaymacosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO enmacOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewaymacosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSOmacOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN de Citrix ADC asociadoa esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se encuentran en la documentacioacuten de Citrix Endpoint Management
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 18
Citrix SSO
Realice los siguientes pasos para configurar una VPN por aplicacioacuten en Citrix Endpoint Management
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
13 Haga clic en Siguiente
14 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Clave = rdquoPerAppsPlitTunnelrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
copy 1999-2020 Citrix Systems Inc All rights reserved 19
Citrix SSO
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Clave = rdquoDisableUserProfilesrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Problemas conocidos
Los siguientes son los problemas conocidos actualmente
bull El inicio de sesioacuten de EPA falla si el usuario se coloca en el grupo de cuarentenabull No se muestra el mensaje de advertencia de tiempo de espera forzadobull La aplicacioacuten SSO permite iniciar sesioacuten si el tuacutenel dividido estaacute activado y no hay aplicacionesde intranet configuradas
Limitaciones
Las siguientes son las limitaciones actuales
bull Algunos de los anaacutelisis EPA (por ejemplo anaacutelisis de administracioacuten de parches exploracioacutendel explorador web proceso de eliminacioacuten) podriacutean fallar debido al acceso restringido a laaplicacioacuten SSO debido al espacio limitado
copy 1999-2020 Citrix Systems Inc All rights reserved 20
Citrix SSO
bull No se admite el tuacutenel dividido basado en puertosprotocolos
Preguntas frecuentes
En esta seccioacuten se recogen las preguntas frecuentes de la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplica principalmente a los clientes que no son MDM que no utilizan un servi-dor MDM para distribuir certificados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSOa traveacutes de correo electroacutenicordquo para poder distribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM deMicrosoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradores pueden protegersu red interna empresarial agregando una capa adicional de autenticacioacuten para dispositivos moacutevilesadministrados por un servidor MDM Los administradores pueden aplicar una comprobacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlace
copy 1999-2020 Citrix Systems Inc All rights reserved 21
Citrix SSO
bull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Preguntas frecuentes
April 3 2020
En esta seccioacuten se recogen las preguntas maacutes frecuentes en la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplicaprincipalmente a los clientes que no son MDM que no utilizan un servidor MDM para distribuir certifi-cados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSO a traveacutes de correo electroacutenicordquopara poderdistribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM de
copy 1999-2020 Citrix Systems Inc All rights reserved 22
Citrix SSO
Microsoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradorespueden proteger su red interna empresarial agregando una capa adicional de autenticacioacuten para dis-positivos moacuteviles administrados por un servidor MDM Los administradores pueden aplicar una com-probacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlacebull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Citrix SSO para dispositivos Android
April 3 2020
Citrix SSO ofrece la mejor solucioacuten de proteccioacuten de datos y acceso a las aplicaciones con Citrix Gate-way Ahora puede acceder de forma segura a las aplicaciones criacuteticas para el negocio los escritoriosvirtuales y los datos corporativos en cualquier momento y desde cualquier lugar
iexclCopiadoFailed
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
copy 1999-2020 Citrix Systems Inc All rights reserved 23
Citrix SSO
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V2314
Problemas resueltos
bull Citrix SSO ahora maneja correctamente el mensaje final de establecimiento de sesioacuten VPN
[CGOP-12488]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2313
Problemas resueltos
bull La direccioacuten IP de Citrix Gateway se resuelve solo una vez
Anteriormente la direccioacuten IP de Citrix Gateway se resolvioacute varias veces lo que ocasionaba er-rores de conexioacuten a veces
[CGOP-12101]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2312
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
sus cuentas de correo electroacutenico configuradas en su dispositivo iOS para recibir el correo elec-troacutenico con datos adjuntos El archivo se puede importar a la aplicacioacuten Citrix SSO en iOS En lasiguiente seccioacuten se explican los pasos de configuracioacuten para este enfoque
Requisitos previos
bull Certificado de usuario Archivo de identidad PKCS 12 con una extensioacutenpfx op12 para unusuario determinado Este archivo contiene tanto el certificado como la clave privada
bull Cuenta de correo electroacutenico configurada en el dispositivo iOS
bull Aplicacioacuten Citrix SSO instalada en el dispositivo iOS
Pasos de configuracioacuten
1 Cambie el nombre del tipo de extensioacuten o MIME del certificado de usuario
Las extensiones de archivomaacutes utilizadas para el certificado de usuario son ldquopfxrdquo ldquop12rdquo etc Estas ex-tensiones de archivo no son estaacutendar para la plataforma iOS a diferencia de formatos comopdfdocTanto ldquopfxrdquo como ldquop12rdquo son reclamados por el sistema iOS y no pueden ser reclamados por aplica-ciones de terceros como Citrix SSO Por lo tanto Citrix SSO ha definido un nuevo tipo de extensioacuten oMIME llamado ldquocitrixsso-pfxrdquo y ldquocitrixsso-p12rdquo Los administradores deben cambiar el tipo de exten-sioacuten o MIME del certificado de usuario de ldquopfxrdquo estaacutendar o ldquop12rdquo a ldquocitrixsso-pfxrdquo o ldquocitrixsso-p12rdquorespectivamente Para cambiar el nombre de la extensioacuten los administradores pueden ejecutar elsiguiente comando en el siacutembolo del sistema o terminal
Windows 10
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 rename ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-
pfx
macOS
1 cd ltDIRECTORY_PATH_TO_CERTIFICATE_FILEgt2 mv ltCERTIFICATE_FILE_NAMEgtpfx ltCERTIFICATE_FILE_NAMEgtcitrixsso-pfx
2 Enviar el archivo como un archivo adjunto de correo electroacutenicoEl archivo de certificado de usuario con la nueva extensioacuten se puede enviar como un archivo adjuntode correo electroacutenico al usuario
Al recibir el correo electroacutenico los usuarios deben instalar el certificado en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 14
Citrix SSO
iexclCopiadoFailed
Configurar Citrix SSO para usuarios demacOS
April 3 2020
La aplicacioacuten Citrix SSO paramacOS proporciona lamejor solucioacuten de proteccioacuten de datos y acceso aaplicaciones que ofrece Citrix Gateway Ahora puede acceder de forma segura a las aplicaciones criacuteti-cas para el negocio los escritorios virtuales y los datos corporativos en cualquier momento y desdecualquier lugarCitrix SSO es el cliente VPNde proacutexima generacioacuten para Citrix Gateway para crear y administrar conex-iones VPN desde dispositivos macOS Citrix SSO se crea mediante el marco de extensioacuten de red (NE)de Apple NE framework de Apple es una biblioteca moderna que contiene API que se pueden uti-lizar para personalizar y ampliar las funciones principales de red de macOS La extensioacuten de red consoporte para SSL VPN estaacute disponible en dispositivos que ejecutanmacOS 1011+
La aplicacioacuten Citrix SSO reemplaza el complemento heredado de Citrix Gateway basado en Exten-siones de nuacutecleo (KE) que Apple va a dejar de utilizar pronto Citrix SSO App admite funciones avan-zadas como Conexiones iniciadas por el servidor y DTLS
La aplicacioacuten Citrix SSO proporciona compatibilidad completa con la administracioacuten de dispositivosmoacuteviles (MDM) en macOS Con un servidor MDM un administrador ahora puede configurar y admin-istrar de forma remota perfiles VPN a nivel de dispositivo y por aplicacioacutenLa aplicacioacuten Citrix SSO para macOS se puede instalar desde una almaceacuten de aplicaciones Mac
Comparacioacuten de funciones entre Citrix VPN y Citrix SSO
En la siguiente tabla se compara la disponibilidad de diversas funciones entre Citrix VPN y Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Meacutetodo de distribucioacuten deaplicaciones
paacutegina Descargas de Citrix App Store
Nuacutemero de conexiones entuacutenel
128 128
Acceso desde explorador Se admite No se admite
Acceso desde aplicacioacutennativa
Se admite Se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 15
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Tuacutenel dividido (DESACTI-VADOACTIVADOINVERSO)
Se admite Se admite
DNS dividido(LOCALREMOTOAMBOS)
REMOTO REMOTO
Acceso a LAN local Habilitar o inhabilitar Siempre habilitado
Compatibilidad conconexiones iniciadas por elservidor (SIC)
No se admite Se admite
Transferir el inicio de sesioacuten Se admite Se admite
Proxy del lado del cliente Se admite No se admite
Compatibilidad con EPAcaacutesicoOpswat
Se admite Se admite
Compatibilidad concertificados de dispositivo
Se admite Se admite
Compatibilidad con tiempode espera de sesioacuten
Se admite Se admite
Compatibilidad con tiempode espera forzado
Se admite Se admite
Compatibilidad con tiempode espera inactivo
Se admite No se admite
IPV6 No se admite Se admite
Itinerancia de red(conmutacioacuten entre Wi-FiEthernet etc)
Se admite Se admite
Compatibilidad conaplicaciones de intranet
Se admite Se admite
Compatibilidad con DTLSpara UDP
No se admite Se admite
Compatibilidad con contratode licencia de usuario final
Se admite Se admite
Integracioacuten de aplicaciones +Receiver
Se admite No se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 16
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Autenticacioacuten Local LDAPRADIUS
Se admite Se admite
Autenticacioacuten de certificadosde cliente
Se admite Se admite
Compatibilidad con TLS(TLS1 TLS11 y TLS12)
Se admite Se admite
Autenticacioacuten de dos factores Se admite Se admite
Compatibilidad con productos MDM
Citrix SSO para macOS es compatible con la mayoriacutea de los proveedores de MDM como Citrix Xen-Mobile Microsoft Intune etc Es compatible con una funcioacuten denominada Control de acceso a redes(NAC) mediante la cual los administradores de MDM pueden imponer el cumplimiento de los dispos-itivos del usuario final antes de conectarse a Citrix Gateway NAC en Citrix SSO requiere un servidorMDM como XenMobile o Intune y Citrix Gateway Para obtener maacutes informacioacuten sobre NAC haga clicen aquiacute
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-Onsiguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o la deConfiguracioacuten de carga uacutetil VPN MDM de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 17
Citrix SSO
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 SeleccionemacOS en el panel de la izquierda Plataforma de directivas Seleccione Directiva VPNen el panel derecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina de detalles de directiva para macOS escriba un nombre de conexioacuten vaacutelido y elijaSSL personalizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewaymacosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO enmacOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewaymacosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSOmacOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN de Citrix ADC asociadoa esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se encuentran en la documentacioacuten de Citrix Endpoint Management
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 18
Citrix SSO
Realice los siguientes pasos para configurar una VPN por aplicacioacuten en Citrix Endpoint Management
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
13 Haga clic en Siguiente
14 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Clave = rdquoPerAppsPlitTunnelrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
copy 1999-2020 Citrix Systems Inc All rights reserved 19
Citrix SSO
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Clave = rdquoDisableUserProfilesrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Problemas conocidos
Los siguientes son los problemas conocidos actualmente
bull El inicio de sesioacuten de EPA falla si el usuario se coloca en el grupo de cuarentenabull No se muestra el mensaje de advertencia de tiempo de espera forzadobull La aplicacioacuten SSO permite iniciar sesioacuten si el tuacutenel dividido estaacute activado y no hay aplicacionesde intranet configuradas
Limitaciones
Las siguientes son las limitaciones actuales
bull Algunos de los anaacutelisis EPA (por ejemplo anaacutelisis de administracioacuten de parches exploracioacutendel explorador web proceso de eliminacioacuten) podriacutean fallar debido al acceso restringido a laaplicacioacuten SSO debido al espacio limitado
copy 1999-2020 Citrix Systems Inc All rights reserved 20
Citrix SSO
bull No se admite el tuacutenel dividido basado en puertosprotocolos
Preguntas frecuentes
En esta seccioacuten se recogen las preguntas frecuentes de la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplica principalmente a los clientes que no son MDM que no utilizan un servi-dor MDM para distribuir certificados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSOa traveacutes de correo electroacutenicordquo para poder distribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM deMicrosoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradores pueden protegersu red interna empresarial agregando una capa adicional de autenticacioacuten para dispositivos moacutevilesadministrados por un servidor MDM Los administradores pueden aplicar una comprobacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlace
copy 1999-2020 Citrix Systems Inc All rights reserved 21
Citrix SSO
bull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Preguntas frecuentes
April 3 2020
En esta seccioacuten se recogen las preguntas maacutes frecuentes en la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplicaprincipalmente a los clientes que no son MDM que no utilizan un servidor MDM para distribuir certifi-cados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSO a traveacutes de correo electroacutenicordquopara poderdistribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM de
copy 1999-2020 Citrix Systems Inc All rights reserved 22
Citrix SSO
Microsoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradorespueden proteger su red interna empresarial agregando una capa adicional de autenticacioacuten para dis-positivos moacuteviles administrados por un servidor MDM Los administradores pueden aplicar una com-probacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlacebull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Citrix SSO para dispositivos Android
April 3 2020
Citrix SSO ofrece la mejor solucioacuten de proteccioacuten de datos y acceso a las aplicaciones con Citrix Gate-way Ahora puede acceder de forma segura a las aplicaciones criacuteticas para el negocio los escritoriosvirtuales y los datos corporativos en cualquier momento y desde cualquier lugar
iexclCopiadoFailed
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
copy 1999-2020 Citrix Systems Inc All rights reserved 23
Citrix SSO
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V2314
Problemas resueltos
bull Citrix SSO ahora maneja correctamente el mensaje final de establecimiento de sesioacuten VPN
[CGOP-12488]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2313
Problemas resueltos
bull La direccioacuten IP de Citrix Gateway se resuelve solo una vez
Anteriormente la direccioacuten IP de Citrix Gateway se resolvioacute varias veces lo que ocasionaba er-rores de conexioacuten a veces
[CGOP-12101]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2312
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
iexclCopiadoFailed
Configurar Citrix SSO para usuarios demacOS
April 3 2020
La aplicacioacuten Citrix SSO paramacOS proporciona lamejor solucioacuten de proteccioacuten de datos y acceso aaplicaciones que ofrece Citrix Gateway Ahora puede acceder de forma segura a las aplicaciones criacuteti-cas para el negocio los escritorios virtuales y los datos corporativos en cualquier momento y desdecualquier lugarCitrix SSO es el cliente VPNde proacutexima generacioacuten para Citrix Gateway para crear y administrar conex-iones VPN desde dispositivos macOS Citrix SSO se crea mediante el marco de extensioacuten de red (NE)de Apple NE framework de Apple es una biblioteca moderna que contiene API que se pueden uti-lizar para personalizar y ampliar las funciones principales de red de macOS La extensioacuten de red consoporte para SSL VPN estaacute disponible en dispositivos que ejecutanmacOS 1011+
La aplicacioacuten Citrix SSO reemplaza el complemento heredado de Citrix Gateway basado en Exten-siones de nuacutecleo (KE) que Apple va a dejar de utilizar pronto Citrix SSO App admite funciones avan-zadas como Conexiones iniciadas por el servidor y DTLS
La aplicacioacuten Citrix SSO proporciona compatibilidad completa con la administracioacuten de dispositivosmoacuteviles (MDM) en macOS Con un servidor MDM un administrador ahora puede configurar y admin-istrar de forma remota perfiles VPN a nivel de dispositivo y por aplicacioacutenLa aplicacioacuten Citrix SSO para macOS se puede instalar desde una almaceacuten de aplicaciones Mac
Comparacioacuten de funciones entre Citrix VPN y Citrix SSO
En la siguiente tabla se compara la disponibilidad de diversas funciones entre Citrix VPN y Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Meacutetodo de distribucioacuten deaplicaciones
paacutegina Descargas de Citrix App Store
Nuacutemero de conexiones entuacutenel
128 128
Acceso desde explorador Se admite No se admite
Acceso desde aplicacioacutennativa
Se admite Se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 15
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Tuacutenel dividido (DESACTI-VADOACTIVADOINVERSO)
Se admite Se admite
DNS dividido(LOCALREMOTOAMBOS)
REMOTO REMOTO
Acceso a LAN local Habilitar o inhabilitar Siempre habilitado
Compatibilidad conconexiones iniciadas por elservidor (SIC)
No se admite Se admite
Transferir el inicio de sesioacuten Se admite Se admite
Proxy del lado del cliente Se admite No se admite
Compatibilidad con EPAcaacutesicoOpswat
Se admite Se admite
Compatibilidad concertificados de dispositivo
Se admite Se admite
Compatibilidad con tiempode espera de sesioacuten
Se admite Se admite
Compatibilidad con tiempode espera forzado
Se admite Se admite
Compatibilidad con tiempode espera inactivo
Se admite No se admite
IPV6 No se admite Se admite
Itinerancia de red(conmutacioacuten entre Wi-FiEthernet etc)
Se admite Se admite
Compatibilidad conaplicaciones de intranet
Se admite Se admite
Compatibilidad con DTLSpara UDP
No se admite Se admite
Compatibilidad con contratode licencia de usuario final
Se admite Se admite
Integracioacuten de aplicaciones +Receiver
Se admite No se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 16
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Autenticacioacuten Local LDAPRADIUS
Se admite Se admite
Autenticacioacuten de certificadosde cliente
Se admite Se admite
Compatibilidad con TLS(TLS1 TLS11 y TLS12)
Se admite Se admite
Autenticacioacuten de dos factores Se admite Se admite
Compatibilidad con productos MDM
Citrix SSO para macOS es compatible con la mayoriacutea de los proveedores de MDM como Citrix Xen-Mobile Microsoft Intune etc Es compatible con una funcioacuten denominada Control de acceso a redes(NAC) mediante la cual los administradores de MDM pueden imponer el cumplimiento de los dispos-itivos del usuario final antes de conectarse a Citrix Gateway NAC en Citrix SSO requiere un servidorMDM como XenMobile o Intune y Citrix Gateway Para obtener maacutes informacioacuten sobre NAC haga clicen aquiacute
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-Onsiguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o la deConfiguracioacuten de carga uacutetil VPN MDM de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 17
Citrix SSO
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 SeleccionemacOS en el panel de la izquierda Plataforma de directivas Seleccione Directiva VPNen el panel derecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina de detalles de directiva para macOS escriba un nombre de conexioacuten vaacutelido y elijaSSL personalizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewaymacosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO enmacOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewaymacosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSOmacOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN de Citrix ADC asociadoa esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se encuentran en la documentacioacuten de Citrix Endpoint Management
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 18
Citrix SSO
Realice los siguientes pasos para configurar una VPN por aplicacioacuten en Citrix Endpoint Management
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
13 Haga clic en Siguiente
14 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Clave = rdquoPerAppsPlitTunnelrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
copy 1999-2020 Citrix Systems Inc All rights reserved 19
Citrix SSO
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Clave = rdquoDisableUserProfilesrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Problemas conocidos
Los siguientes son los problemas conocidos actualmente
bull El inicio de sesioacuten de EPA falla si el usuario se coloca en el grupo de cuarentenabull No se muestra el mensaje de advertencia de tiempo de espera forzadobull La aplicacioacuten SSO permite iniciar sesioacuten si el tuacutenel dividido estaacute activado y no hay aplicacionesde intranet configuradas
Limitaciones
Las siguientes son las limitaciones actuales
bull Algunos de los anaacutelisis EPA (por ejemplo anaacutelisis de administracioacuten de parches exploracioacutendel explorador web proceso de eliminacioacuten) podriacutean fallar debido al acceso restringido a laaplicacioacuten SSO debido al espacio limitado
copy 1999-2020 Citrix Systems Inc All rights reserved 20
Citrix SSO
bull No se admite el tuacutenel dividido basado en puertosprotocolos
Preguntas frecuentes
En esta seccioacuten se recogen las preguntas frecuentes de la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplica principalmente a los clientes que no son MDM que no utilizan un servi-dor MDM para distribuir certificados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSOa traveacutes de correo electroacutenicordquo para poder distribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM deMicrosoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradores pueden protegersu red interna empresarial agregando una capa adicional de autenticacioacuten para dispositivos moacutevilesadministrados por un servidor MDM Los administradores pueden aplicar una comprobacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlace
copy 1999-2020 Citrix Systems Inc All rights reserved 21
Citrix SSO
bull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Preguntas frecuentes
April 3 2020
En esta seccioacuten se recogen las preguntas maacutes frecuentes en la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplicaprincipalmente a los clientes que no son MDM que no utilizan un servidor MDM para distribuir certifi-cados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSO a traveacutes de correo electroacutenicordquopara poderdistribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM de
copy 1999-2020 Citrix Systems Inc All rights reserved 22
Citrix SSO
Microsoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradorespueden proteger su red interna empresarial agregando una capa adicional de autenticacioacuten para dis-positivos moacuteviles administrados por un servidor MDM Los administradores pueden aplicar una com-probacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlacebull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Citrix SSO para dispositivos Android
April 3 2020
Citrix SSO ofrece la mejor solucioacuten de proteccioacuten de datos y acceso a las aplicaciones con Citrix Gate-way Ahora puede acceder de forma segura a las aplicaciones criacuteticas para el negocio los escritoriosvirtuales y los datos corporativos en cualquier momento y desde cualquier lugar
iexclCopiadoFailed
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
copy 1999-2020 Citrix Systems Inc All rights reserved 23
Citrix SSO
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V2314
Problemas resueltos
bull Citrix SSO ahora maneja correctamente el mensaje final de establecimiento de sesioacuten VPN
[CGOP-12488]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2313
Problemas resueltos
bull La direccioacuten IP de Citrix Gateway se resuelve solo una vez
Anteriormente la direccioacuten IP de Citrix Gateway se resolvioacute varias veces lo que ocasionaba er-rores de conexioacuten a veces
[CGOP-12101]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2312
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Tuacutenel dividido (DESACTI-VADOACTIVADOINVERSO)
Se admite Se admite
DNS dividido(LOCALREMOTOAMBOS)
REMOTO REMOTO
Acceso a LAN local Habilitar o inhabilitar Siempre habilitado
Compatibilidad conconexiones iniciadas por elservidor (SIC)
No se admite Se admite
Transferir el inicio de sesioacuten Se admite Se admite
Proxy del lado del cliente Se admite No se admite
Compatibilidad con EPAcaacutesicoOpswat
Se admite Se admite
Compatibilidad concertificados de dispositivo
Se admite Se admite
Compatibilidad con tiempode espera de sesioacuten
Se admite Se admite
Compatibilidad con tiempode espera forzado
Se admite Se admite
Compatibilidad con tiempode espera inactivo
Se admite No se admite
IPV6 No se admite Se admite
Itinerancia de red(conmutacioacuten entre Wi-FiEthernet etc)
Se admite Se admite
Compatibilidad conaplicaciones de intranet
Se admite Se admite
Compatibilidad con DTLSpara UDP
No se admite Se admite
Compatibilidad con contratode licencia de usuario final
Se admite Se admite
Integracioacuten de aplicaciones +Receiver
Se admite No se admite
copy 1999-2020 Citrix Systems Inc All rights reserved 16
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Autenticacioacuten Local LDAPRADIUS
Se admite Se admite
Autenticacioacuten de certificadosde cliente
Se admite Se admite
Compatibilidad con TLS(TLS1 TLS11 y TLS12)
Se admite Se admite
Autenticacioacuten de dos factores Se admite Se admite
Compatibilidad con productos MDM
Citrix SSO para macOS es compatible con la mayoriacutea de los proveedores de MDM como Citrix Xen-Mobile Microsoft Intune etc Es compatible con una funcioacuten denominada Control de acceso a redes(NAC) mediante la cual los administradores de MDM pueden imponer el cumplimiento de los dispos-itivos del usuario final antes de conectarse a Citrix Gateway NAC en Citrix SSO requiere un servidorMDM como XenMobile o Intune y Citrix Gateway Para obtener maacutes informacioacuten sobre NAC haga clicen aquiacute
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-Onsiguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o la deConfiguracioacuten de carga uacutetil VPN MDM de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 17
Citrix SSO
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 SeleccionemacOS en el panel de la izquierda Plataforma de directivas Seleccione Directiva VPNen el panel derecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina de detalles de directiva para macOS escriba un nombre de conexioacuten vaacutelido y elijaSSL personalizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewaymacosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO enmacOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewaymacosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSOmacOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN de Citrix ADC asociadoa esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se encuentran en la documentacioacuten de Citrix Endpoint Management
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 18
Citrix SSO
Realice los siguientes pasos para configurar una VPN por aplicacioacuten en Citrix Endpoint Management
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
13 Haga clic en Siguiente
14 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Clave = rdquoPerAppsPlitTunnelrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
copy 1999-2020 Citrix Systems Inc All rights reserved 19
Citrix SSO
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Clave = rdquoDisableUserProfilesrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Problemas conocidos
Los siguientes son los problemas conocidos actualmente
bull El inicio de sesioacuten de EPA falla si el usuario se coloca en el grupo de cuarentenabull No se muestra el mensaje de advertencia de tiempo de espera forzadobull La aplicacioacuten SSO permite iniciar sesioacuten si el tuacutenel dividido estaacute activado y no hay aplicacionesde intranet configuradas
Limitaciones
Las siguientes son las limitaciones actuales
bull Algunos de los anaacutelisis EPA (por ejemplo anaacutelisis de administracioacuten de parches exploracioacutendel explorador web proceso de eliminacioacuten) podriacutean fallar debido al acceso restringido a laaplicacioacuten SSO debido al espacio limitado
copy 1999-2020 Citrix Systems Inc All rights reserved 20
Citrix SSO
bull No se admite el tuacutenel dividido basado en puertosprotocolos
Preguntas frecuentes
En esta seccioacuten se recogen las preguntas frecuentes de la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplica principalmente a los clientes que no son MDM que no utilizan un servi-dor MDM para distribuir certificados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSOa traveacutes de correo electroacutenicordquo para poder distribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM deMicrosoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradores pueden protegersu red interna empresarial agregando una capa adicional de autenticacioacuten para dispositivos moacutevilesadministrados por un servidor MDM Los administradores pueden aplicar una comprobacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlace
copy 1999-2020 Citrix Systems Inc All rights reserved 21
Citrix SSO
bull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Preguntas frecuentes
April 3 2020
En esta seccioacuten se recogen las preguntas maacutes frecuentes en la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplicaprincipalmente a los clientes que no son MDM que no utilizan un servidor MDM para distribuir certifi-cados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSO a traveacutes de correo electroacutenicordquopara poderdistribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM de
copy 1999-2020 Citrix Systems Inc All rights reserved 22
Citrix SSO
Microsoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradorespueden proteger su red interna empresarial agregando una capa adicional de autenticacioacuten para dis-positivos moacuteviles administrados por un servidor MDM Los administradores pueden aplicar una com-probacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlacebull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Citrix SSO para dispositivos Android
April 3 2020
Citrix SSO ofrece la mejor solucioacuten de proteccioacuten de datos y acceso a las aplicaciones con Citrix Gate-way Ahora puede acceder de forma segura a las aplicaciones criacuteticas para el negocio los escritoriosvirtuales y los datos corporativos en cualquier momento y desde cualquier lugar
iexclCopiadoFailed
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
copy 1999-2020 Citrix Systems Inc All rights reserved 23
Citrix SSO
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V2314
Problemas resueltos
bull Citrix SSO ahora maneja correctamente el mensaje final de establecimiento de sesioacuten VPN
[CGOP-12488]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2313
Problemas resueltos
bull La direccioacuten IP de Citrix Gateway se resuelve solo una vez
Anteriormente la direccioacuten IP de Citrix Gateway se resolvioacute varias veces lo que ocasionaba er-rores de conexioacuten a veces
[CGOP-12101]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2312
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
Funcioacuten Citrix VPN Citrix SSO
Autenticacioacuten Local LDAPRADIUS
Se admite Se admite
Autenticacioacuten de certificadosde cliente
Se admite Se admite
Compatibilidad con TLS(TLS1 TLS11 y TLS12)
Se admite Se admite
Autenticacioacuten de dos factores Se admite Se admite
Compatibilidad con productos MDM
Citrix SSO para macOS es compatible con la mayoriacutea de los proveedores de MDM como Citrix Xen-Mobile Microsoft Intune etc Es compatible con una funcioacuten denominada Control de acceso a redes(NAC) mediante la cual los administradores de MDM pueden imponer el cumplimiento de los dispos-itivos del usuario final antes de conectarse a Citrix Gateway NAC en Citrix SSO requiere un servidorMDM como XenMobile o Intune y Citrix Gateway Para obtener maacutes informacioacuten sobre NAC haga clicen aquiacute
Configurar un perfil de VPN administrado por MDM para el Citrix SSO
En la siguiente seccioacuten se recogen instrucciones paso a paso para configurar perfiles VPN de todo eldispositivo y por aplicacioacuten para Citrix SSO mediante Citrix Endpoint Management (anteriormenteXenMobile) como ejemplo Otras soluciones MDM pueden utilizar este documento como referenciacuando se trabaja con Citrix SSO
Nota En esta seccioacuten se explican los pasos de configuracioacuten para un perfil VPN baacutesico para todoel dispositivo y por aplicacioacuten Tambieacuten puede configurar Proxies bajo demanda Always-Onsiguiendo la documentacioacuten de Citrix Endpoint Management (anteriormente XenMobile) o la deConfiguracioacuten de carga uacutetil VPN MDM de Apple
Perfiles VPN a nivel de dispositivo
Los perfiles VPN de nivel de dispositivo se utilizan para configurar una VPN en todo el sistema Eltraacutefico de todas las aplicaciones y servicios se canaliza a Citrix Gateway en funcioacuten de las directivasVPN (como tuacutenel completo tuacutenel dividido tuacutenel inverso) definidas en Citrix ADC
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 17
Citrix SSO
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 SeleccionemacOS en el panel de la izquierda Plataforma de directivas Seleccione Directiva VPNen el panel derecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina de detalles de directiva para macOS escriba un nombre de conexioacuten vaacutelido y elijaSSL personalizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewaymacosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO enmacOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewaymacosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSOmacOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN de Citrix ADC asociadoa esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se encuentran en la documentacioacuten de Citrix Endpoint Management
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 18
Citrix SSO
Realice los siguientes pasos para configurar una VPN por aplicacioacuten en Citrix Endpoint Management
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
13 Haga clic en Siguiente
14 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Clave = rdquoPerAppsPlitTunnelrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
copy 1999-2020 Citrix Systems Inc All rights reserved 19
Citrix SSO
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Clave = rdquoDisableUserProfilesrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Problemas conocidos
Los siguientes son los problemas conocidos actualmente
bull El inicio de sesioacuten de EPA falla si el usuario se coloca en el grupo de cuarentenabull No se muestra el mensaje de advertencia de tiempo de espera forzadobull La aplicacioacuten SSO permite iniciar sesioacuten si el tuacutenel dividido estaacute activado y no hay aplicacionesde intranet configuradas
Limitaciones
Las siguientes son las limitaciones actuales
bull Algunos de los anaacutelisis EPA (por ejemplo anaacutelisis de administracioacuten de parches exploracioacutendel explorador web proceso de eliminacioacuten) podriacutean fallar debido al acceso restringido a laaplicacioacuten SSO debido al espacio limitado
copy 1999-2020 Citrix Systems Inc All rights reserved 20
Citrix SSO
bull No se admite el tuacutenel dividido basado en puertosprotocolos
Preguntas frecuentes
En esta seccioacuten se recogen las preguntas frecuentes de la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplica principalmente a los clientes que no son MDM que no utilizan un servi-dor MDM para distribuir certificados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSOa traveacutes de correo electroacutenicordquo para poder distribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM deMicrosoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradores pueden protegersu red interna empresarial agregando una capa adicional de autenticacioacuten para dispositivos moacutevilesadministrados por un servidor MDM Los administradores pueden aplicar una comprobacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlace
copy 1999-2020 Citrix Systems Inc All rights reserved 21
Citrix SSO
bull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Preguntas frecuentes
April 3 2020
En esta seccioacuten se recogen las preguntas maacutes frecuentes en la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplicaprincipalmente a los clientes que no son MDM que no utilizan un servidor MDM para distribuir certifi-cados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSO a traveacutes de correo electroacutenicordquopara poderdistribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM de
copy 1999-2020 Citrix Systems Inc All rights reserved 22
Citrix SSO
Microsoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradorespueden proteger su red interna empresarial agregando una capa adicional de autenticacioacuten para dis-positivos moacuteviles administrados por un servidor MDM Los administradores pueden aplicar una com-probacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlacebull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Citrix SSO para dispositivos Android
April 3 2020
Citrix SSO ofrece la mejor solucioacuten de proteccioacuten de datos y acceso a las aplicaciones con Citrix Gate-way Ahora puede acceder de forma segura a las aplicaciones criacuteticas para el negocio los escritoriosvirtuales y los datos corporativos en cualquier momento y desde cualquier lugar
iexclCopiadoFailed
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
copy 1999-2020 Citrix Systems Inc All rights reserved 23
Citrix SSO
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V2314
Problemas resueltos
bull Citrix SSO ahora maneja correctamente el mensaje final de establecimiento de sesioacuten VPN
[CGOP-12488]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2313
Problemas resueltos
bull La direccioacuten IP de Citrix Gateway se resuelve solo una vez
Anteriormente la direccioacuten IP de Citrix Gateway se resolvioacute varias veces lo que ocasionaba er-rores de conexioacuten a veces
[CGOP-12101]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2312
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo
1 En la consola de Citrix Endpoint Management MDM vaya a Configurar gt Directivas de dispositivogt Agregar nueva directiva
2 SeleccionemacOS en el panel de la izquierda Plataforma de directivas Seleccione Directiva VPNen el panel derecho
3 En la paacutegina Informacioacuten de directiva introduzca un nombre y una descripcioacuten de directiva vaacuteli-dos y haga clic en Siguiente
4 En la paacutegina de detalles de directiva para macOS escriba un nombre de conexioacuten vaacutelido y elijaSSL personalizado en Tipo de conexioacuten
Nota En la carga uacutetil MDM VPN el nombre de la conexioacuten corresponde a la clave UserDefinedNamey la clave de tipo VPNdebe establecerse en VPN
5 En IdentificadorSSLpersonalizado(formatoDNS inverso) escribacomcitrixNetScalerGatewaymacosappEste es el identificador de paquete para la aplicacioacuten Citrix SSO enmacOS
Nota En la carga uacutetil de MDM VPN el identificador SSL personalizado corresponde a la clave VPN-Subtype
6 Enel identificadordelpaquetedelproveedor escribacomcitrixNetScalerGatewaymacosappvpnPluginEste es el identificador de paquete de la extensioacuten de red contenida en el binario de la aplicacioacutenCitrix SSOmacOS
Nota En MDM VPN payload el identificador del paquete del proveedor corresponde a la claveProviderBundleIdentifier
7 En Nombre del servidor o direccioacuten IP introduzca la direccioacuten IP o FQDN de Citrix ADC asociadoa esta instancia de Citrix Endpoint Management
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se encuentran en la documentacioacuten de Citrix Endpoint Management
8 Haga clic en Siguiente
9 Haga clic en Save
Perfiles VPN por aplicacioacuten
Los perfiles VPN por aplicacioacuten se utilizan para configurar VPN para una aplicacioacuten especiacutefica El traacute-fico de la aplicacioacuten especiacutefica se canaliza a Citrix Gateway La carga uacutetil de VPNpor aplicacioacuten admitetodas las claves para VPN en todo el dispositivo ademaacutes de algunas claves adicionales
Para configurar una VPN a nivel de aplicacioacuten en Citrix Endpoint Management
copy 1999-2020 Citrix Systems Inc All rights reserved 18
Citrix SSO
Realice los siguientes pasos para configurar una VPN por aplicacioacuten en Citrix Endpoint Management
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
13 Haga clic en Siguiente
14 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Clave = rdquoPerAppsPlitTunnelrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
copy 1999-2020 Citrix Systems Inc All rights reserved 19
Citrix SSO
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Clave = rdquoDisableUserProfilesrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Problemas conocidos
Los siguientes son los problemas conocidos actualmente
bull El inicio de sesioacuten de EPA falla si el usuario se coloca en el grupo de cuarentenabull No se muestra el mensaje de advertencia de tiempo de espera forzadobull La aplicacioacuten SSO permite iniciar sesioacuten si el tuacutenel dividido estaacute activado y no hay aplicacionesde intranet configuradas
Limitaciones
Las siguientes son las limitaciones actuales
bull Algunos de los anaacutelisis EPA (por ejemplo anaacutelisis de administracioacuten de parches exploracioacutendel explorador web proceso de eliminacioacuten) podriacutean fallar debido al acceso restringido a laaplicacioacuten SSO debido al espacio limitado
copy 1999-2020 Citrix Systems Inc All rights reserved 20
Citrix SSO
bull No se admite el tuacutenel dividido basado en puertosprotocolos
Preguntas frecuentes
En esta seccioacuten se recogen las preguntas frecuentes de la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplica principalmente a los clientes que no son MDM que no utilizan un servi-dor MDM para distribuir certificados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSOa traveacutes de correo electroacutenicordquo para poder distribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM deMicrosoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradores pueden protegersu red interna empresarial agregando una capa adicional de autenticacioacuten para dispositivos moacutevilesadministrados por un servidor MDM Los administradores pueden aplicar una comprobacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlace
copy 1999-2020 Citrix Systems Inc All rights reserved 21
Citrix SSO
bull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Preguntas frecuentes
April 3 2020
En esta seccioacuten se recogen las preguntas maacutes frecuentes en la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplicaprincipalmente a los clientes que no son MDM que no utilizan un servidor MDM para distribuir certifi-cados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSO a traveacutes de correo electroacutenicordquopara poderdistribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM de
copy 1999-2020 Citrix Systems Inc All rights reserved 22
Citrix SSO
Microsoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradorespueden proteger su red interna empresarial agregando una capa adicional de autenticacioacuten para dis-positivos moacuteviles administrados por un servidor MDM Los administradores pueden aplicar una com-probacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlacebull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Citrix SSO para dispositivos Android
April 3 2020
Citrix SSO ofrece la mejor solucioacuten de proteccioacuten de datos y acceso a las aplicaciones con Citrix Gate-way Ahora puede acceder de forma segura a las aplicaciones criacuteticas para el negocio los escritoriosvirtuales y los datos corporativos en cualquier momento y desde cualquier lugar
iexclCopiadoFailed
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
copy 1999-2020 Citrix Systems Inc All rights reserved 23
Citrix SSO
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V2314
Problemas resueltos
bull Citrix SSO ahora maneja correctamente el mensaje final de establecimiento de sesioacuten VPN
[CGOP-12488]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2313
Problemas resueltos
bull La direccioacuten IP de Citrix Gateway se resuelve solo una vez
Anteriormente la direccioacuten IP de Citrix Gateway se resolvioacute varias veces lo que ocasionaba er-rores de conexioacuten a veces
[CGOP-12101]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2312
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
Realice los siguientes pasos para configurar una VPN por aplicacioacuten en Citrix Endpoint Management
1 Complete la configuracioacuten de VPN a nivel de dispositivo en Citrix Endpoint Management
2 Activa el conmutadorHabilitar VPN por aplicacioacuten en la seccioacuten VPN por aplicacioacuten
3 Active el interruptor On-Demand Match App Enabled si Citrix SSO debe iniciarse automaacutetica-mente cuando se inicie la aplicacioacuten Match Esto se recomienda para la mayoriacutea de los casos poraplicacioacuten
Nota En la carga uacutetil de MDM VPN este campo corresponde a la claveOnDemandMatchOpenabled
5 La configuracioacutende Safari Domain es opcional Cuando se configura el dominio Safari Citrix SSO seinicia automaacuteticamente cuando los usuarios inician Safari y se desplazan a una URL que coincida conla del campoDominio Esto no se recomienda si quiere restringir VPN para una aplicacioacuten especiacutefica
Nota En la carga uacutetil MDM VPN este campo corresponde a la clave SafariDomains
Los campos restantes de la paacutegina de configuracioacuten son opcionales Las configuraciones para estoscampos se pueden encontrar en la documentacioacuten de Citrix Endpoint Management (anteriormenteXenMobile)
13 Haga clic en Siguiente
14 Haga clic en Save
Para asociar este perfil VPN a una aplicacioacuten especiacutefica en el dispositivo debe crear una directiva deinventario deaplicaciones y una directiva de proveedor de credenciales siguiendo esta guiacutea httpswwwcitrixcomblogs20160419per-app-vpn-with-xenmobile-and-citrix-vpn
Configuracioacuten del tuacutenel dividido en VPN por aplicacioacuten
Los clientes de MDM pueden configurar el tuacutenel dividido en VPN por aplicacioacuten para Citrix SSO Paraello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacuten del proveedor del perfilVPN creado en el servidor MDM
1 - Clave = rdquoPerAppsPlitTunnelrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
copy 1999-2020 Citrix Systems Inc All rights reserved 19
Citrix SSO
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Clave = rdquoDisableUserProfilesrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Problemas conocidos
Los siguientes son los problemas conocidos actualmente
bull El inicio de sesioacuten de EPA falla si el usuario se coloca en el grupo de cuarentenabull No se muestra el mensaje de advertencia de tiempo de espera forzadobull La aplicacioacuten SSO permite iniciar sesioacuten si el tuacutenel dividido estaacute activado y no hay aplicacionesde intranet configuradas
Limitaciones
Las siguientes son las limitaciones actuales
bull Algunos de los anaacutelisis EPA (por ejemplo anaacutelisis de administracioacuten de parches exploracioacutendel explorador web proceso de eliminacioacuten) podriacutean fallar debido al acceso restringido a laaplicacioacuten SSO debido al espacio limitado
copy 1999-2020 Citrix Systems Inc All rights reserved 20
Citrix SSO
bull No se admite el tuacutenel dividido basado en puertosprotocolos
Preguntas frecuentes
En esta seccioacuten se recogen las preguntas frecuentes de la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplica principalmente a los clientes que no son MDM que no utilizan un servi-dor MDM para distribuir certificados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSOa traveacutes de correo electroacutenicordquo para poder distribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM deMicrosoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradores pueden protegersu red interna empresarial agregando una capa adicional de autenticacioacuten para dispositivos moacutevilesadministrados por un servidor MDM Los administradores pueden aplicar una comprobacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlace
copy 1999-2020 Citrix Systems Inc All rights reserved 21
Citrix SSO
bull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Preguntas frecuentes
April 3 2020
En esta seccioacuten se recogen las preguntas maacutes frecuentes en la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplicaprincipalmente a los clientes que no son MDM que no utilizan un servidor MDM para distribuir certifi-cados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSO a traveacutes de correo electroacutenicordquopara poderdistribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM de
copy 1999-2020 Citrix Systems Inc All rights reserved 22
Citrix SSO
Microsoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradorespueden proteger su red interna empresarial agregando una capa adicional de autenticacioacuten para dis-positivos moacuteviles administrados por un servidor MDM Los administradores pueden aplicar una com-probacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlacebull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Citrix SSO para dispositivos Android
April 3 2020
Citrix SSO ofrece la mejor solucioacuten de proteccioacuten de datos y acceso a las aplicaciones con Citrix Gate-way Ahora puede acceder de forma segura a las aplicaciones criacuteticas para el negocio los escritoriosvirtuales y los datos corporativos en cualquier momento y desde cualquier lugar
iexclCopiadoFailed
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
copy 1999-2020 Citrix Systems Inc All rights reserved 23
Citrix SSO
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V2314
Problemas resueltos
bull Citrix SSO ahora maneja correctamente el mensaje final de establecimiento de sesioacuten VPN
[CGOP-12488]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2313
Problemas resueltos
bull La direccioacuten IP de Citrix Gateway se resuelve solo una vez
Anteriormente la direccioacuten IP de Citrix Gateway se resolvioacute varias veces lo que ocasionaba er-rores de conexioacuten a veces
[CGOP-12101]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2312
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creenmanualmente perfiles VPN desde la apli-cacioacuten Citrix SSO Para ello se debe agregar el siguiente par clavevalor a la seccioacuten de configuracioacutendel proveedor del perfil VPN creado en el servidor MDM
1 - Clave = rdquoDisableUserProfilesrdquo2 - Valor = rdquoverdadero o 1 o siacuterdquo
La clave distingue entremayuacutesculas yminuacutesculas y debe ser una coincidencia exactamientras que elvalor no distingue entre mayuacutesculas y minuacutesculas
Nota La interfaz de usuario para configurar la configuracioacuten del proveedor no es estaacutendar entre losproveedores de MDM Debe ponerse en contacto con el proveedor de MDM para encontrar la seccioacutende configuracioacuten del proveedor en la consola de usuario de MDM
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Citrix Endpoint Management
A continuacioacuten se muestra una captura de pantalla de ejemplo de la configuracioacuten (configuracioacuten es-peciacutefica del proveedor) en Microsoft Intune
Problemas conocidos
Los siguientes son los problemas conocidos actualmente
bull El inicio de sesioacuten de EPA falla si el usuario se coloca en el grupo de cuarentenabull No se muestra el mensaje de advertencia de tiempo de espera forzadobull La aplicacioacuten SSO permite iniciar sesioacuten si el tuacutenel dividido estaacute activado y no hay aplicacionesde intranet configuradas
Limitaciones
Las siguientes son las limitaciones actuales
bull Algunos de los anaacutelisis EPA (por ejemplo anaacutelisis de administracioacuten de parches exploracioacutendel explorador web proceso de eliminacioacuten) podriacutean fallar debido al acceso restringido a laaplicacioacuten SSO debido al espacio limitado
copy 1999-2020 Citrix Systems Inc All rights reserved 20
Citrix SSO
bull No se admite el tuacutenel dividido basado en puertosprotocolos
Preguntas frecuentes
En esta seccioacuten se recogen las preguntas frecuentes de la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplica principalmente a los clientes que no son MDM que no utilizan un servi-dor MDM para distribuir certificados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSOa traveacutes de correo electroacutenicordquo para poder distribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM deMicrosoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradores pueden protegersu red interna empresarial agregando una capa adicional de autenticacioacuten para dispositivos moacutevilesadministrados por un servidor MDM Los administradores pueden aplicar una comprobacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlace
copy 1999-2020 Citrix Systems Inc All rights reserved 21
Citrix SSO
bull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Preguntas frecuentes
April 3 2020
En esta seccioacuten se recogen las preguntas maacutes frecuentes en la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplicaprincipalmente a los clientes que no son MDM que no utilizan un servidor MDM para distribuir certifi-cados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSO a traveacutes de correo electroacutenicordquopara poderdistribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM de
copy 1999-2020 Citrix Systems Inc All rights reserved 22
Citrix SSO
Microsoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradorespueden proteger su red interna empresarial agregando una capa adicional de autenticacioacuten para dis-positivos moacuteviles administrados por un servidor MDM Los administradores pueden aplicar una com-probacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlacebull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Citrix SSO para dispositivos Android
April 3 2020
Citrix SSO ofrece la mejor solucioacuten de proteccioacuten de datos y acceso a las aplicaciones con Citrix Gate-way Ahora puede acceder de forma segura a las aplicaciones criacuteticas para el negocio los escritoriosvirtuales y los datos corporativos en cualquier momento y desde cualquier lugar
iexclCopiadoFailed
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
copy 1999-2020 Citrix Systems Inc All rights reserved 23
Citrix SSO
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V2314
Problemas resueltos
bull Citrix SSO ahora maneja correctamente el mensaje final de establecimiento de sesioacuten VPN
[CGOP-12488]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2313
Problemas resueltos
bull La direccioacuten IP de Citrix Gateway se resuelve solo una vez
Anteriormente la direccioacuten IP de Citrix Gateway se resolvioacute varias veces lo que ocasionaba er-rores de conexioacuten a veces
[CGOP-12101]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2312
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
bull No se admite el tuacutenel dividido basado en puertosprotocolos
Preguntas frecuentes
En esta seccioacuten se recogen las preguntas frecuentes de la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplica principalmente a los clientes que no son MDM que no utilizan un servi-dor MDM para distribuir certificados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSOa traveacutes de correo electroacutenicordquo para poder distribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM deMicrosoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradores pueden protegersu red interna empresarial agregando una capa adicional de autenticacioacuten para dispositivos moacutevilesadministrados por un servidor MDM Los administradores pueden aplicar una comprobacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlace
copy 1999-2020 Citrix Systems Inc All rights reserved 21
Citrix SSO
bull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Preguntas frecuentes
April 3 2020
En esta seccioacuten se recogen las preguntas maacutes frecuentes en la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplicaprincipalmente a los clientes que no son MDM que no utilizan un servidor MDM para distribuir certifi-cados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSO a traveacutes de correo electroacutenicordquopara poderdistribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM de
copy 1999-2020 Citrix Systems Inc All rights reserved 22
Citrix SSO
Microsoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradorespueden proteger su red interna empresarial agregando una capa adicional de autenticacioacuten para dis-positivos moacuteviles administrados por un servidor MDM Los administradores pueden aplicar una com-probacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlacebull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Citrix SSO para dispositivos Android
April 3 2020
Citrix SSO ofrece la mejor solucioacuten de proteccioacuten de datos y acceso a las aplicaciones con Citrix Gate-way Ahora puede acceder de forma segura a las aplicaciones criacuteticas para el negocio los escritoriosvirtuales y los datos corporativos en cualquier momento y desde cualquier lugar
iexclCopiadoFailed
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
copy 1999-2020 Citrix Systems Inc All rights reserved 23
Citrix SSO
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V2314
Problemas resueltos
bull Citrix SSO ahora maneja correctamente el mensaje final de establecimiento de sesioacuten VPN
[CGOP-12488]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2313
Problemas resueltos
bull La direccioacuten IP de Citrix Gateway se resuelve solo una vez
Anteriormente la direccioacuten IP de Citrix Gateway se resolvioacute varias veces lo que ocasionaba er-rores de conexioacuten a veces
[CGOP-12101]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2312
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
bull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Preguntas frecuentes
April 3 2020
En esta seccioacuten se recogen las preguntas maacutes frecuentes en la aplicacioacuten Citrix SSO
iquest En queacute se diferencia la aplicacioacuten Citrix SSO de la aplicacioacuten VPNCitrix SSO es el cliente SSL VPN de uacuteltima generacioacuten para Citrix ADC La aplicacioacuten utiliza el marcode extensioacuten de red de Apple para crear y administrar conexiones VPN en dispositivos iOS y macOSCitrixVPN es el cliente VPN heredado que utilizoacute las API VPN privadas de Apple que ahora estaacuten obsoletasLa compatibilidad con Citrix VPN se eliminaraacute de la App Store en los proacuteximos meses
iquest Queacute es NEElmarcodeextensioacutende red (NE)deApple esunabibliotecamodernaquecontieneAPI que sepuedenutilizar para personalizar y ampliar las funciones principales de red de iOS y macOS Laextensioacuten de red con soporte para SSL VPN estaacute disponible en dispositivos con iOS 9+ ymacOS 1011+
iquest Para queacute versiones de Citrix ADC es compatible con Citrix SSO Las funcionesVPN de Citrix SSO son compatibles con las versiones 105 y superiores de Citrix ADC El TOTP estaacutedisponible en Citrix ADC versioacuten 120 y superior Auacuten no se ha anunciadopuacuteblicamente la notificacioacuten Push en Citrix ADC La aplicacioacuten requiere iOS 9+ y macOS 1011+ ver-siones
iquest Coacutemo funciona la autenticacioacuten basada en certificados para clientes que no son MDMLos clientes que previamente distribuyeron certificados por correo electroacutenico o explorador para re-alizar la autenticacioacuten de certificados de cliente en Citrix VPN deben tener en cuenta este cambio alusar Citrix SSO Esto se aplicaprincipalmente a los clientes que no son MDM que no utilizan un servidor MDM para distribuir certifi-cados de usuario Consulte ldquoImportacioacuten de certificados en Citrix SSO a traveacutes de correo electroacutenicordquopara poderdistribuir certificados
iquestQueacute es el Control de acceso a la red (NAC) iquestCoacutemo configuro NAC con Citrix SSO y Citrix GatewayLos clientes de MDM de
copy 1999-2020 Citrix Systems Inc All rights reserved 22
Citrix SSO
Microsoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradorespueden proteger su red interna empresarial agregando una capa adicional de autenticacioacuten para dis-positivos moacuteviles administrados por un servidor MDM Los administradores pueden aplicar una com-probacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlacebull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Citrix SSO para dispositivos Android
April 3 2020
Citrix SSO ofrece la mejor solucioacuten de proteccioacuten de datos y acceso a las aplicaciones con Citrix Gate-way Ahora puede acceder de forma segura a las aplicaciones criacuteticas para el negocio los escritoriosvirtuales y los datos corporativos en cualquier momento y desde cualquier lugar
iexclCopiadoFailed
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
copy 1999-2020 Citrix Systems Inc All rights reserved 23
Citrix SSO
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V2314
Problemas resueltos
bull Citrix SSO ahora maneja correctamente el mensaje final de establecimiento de sesioacuten VPN
[CGOP-12488]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2313
Problemas resueltos
bull La direccioacuten IP de Citrix Gateway se resuelve solo una vez
Anteriormente la direccioacuten IP de Citrix Gateway se resolvioacute varias veces lo que ocasionaba er-rores de conexioacuten a veces
[CGOP-12101]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2312
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
Microsoft Intune yCitrix EndpointManagement (anteriormente XenMobile) pueden aprovechar la fun-cioacuten de Control de acceso a redes (NAC) en Citrix SSO Con NAC los administradorespueden proteger su red interna empresarial agregando una capa adicional de autenticacioacuten para dis-positivos moacuteviles administrados por un servidor MDM Los administradores pueden aplicar una com-probacioacuten deconformidad de dispositivos en el momento de la autenticacioacuten en Citrix SSO
Para usar NAC con Citrix SSO debe habilitarlo tanto en Citrix Gateway como en el servidor MDM
bull Para habilitar NAC en Citrix ADC consulte este enlacebull Si el proveedor MDM es Intune consulte este enlacebull Si el proveedor de MDM es Citrix Endpoint Management (anteriormente XenMobile) consulteeste enlace
Nota La versioacuten miacutenima de Citrix SSO admitida es 116 y superior
iexclCopiadoFailed
Citrix SSO para dispositivos Android
April 3 2020
Citrix SSO ofrece la mejor solucioacuten de proteccioacuten de datos y acceso a las aplicaciones con Citrix Gate-way Ahora puede acceder de forma segura a las aplicaciones criacuteticas para el negocio los escritoriosvirtuales y los datos corporativos en cualquier momento y desde cualquier lugar
iexclCopiadoFailed
Notas de la versioacuten
April 3 2020
Las notas de versioacuten de Citrix SSO describen las nuevas funciones las mejoras a las funciones exis-tentes los problemas corregidos y los problemas conocidos disponibles en una versioacuten de servicioLas notas de la versioacuten incluyen una o varias de las siguientes secciones
Novedades Las nuevas funciones y mejoras disponibles en la versioacuten actual
Problemas corregidos Los problemas corregidos en la versioacuten actual
copy 1999-2020 Citrix Systems Inc All rights reserved 23
Citrix SSO
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V2314
Problemas resueltos
bull Citrix SSO ahora maneja correctamente el mensaje final de establecimiento de sesioacuten VPN
[CGOP-12488]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2313
Problemas resueltos
bull La direccioacuten IP de Citrix Gateway se resuelve solo una vez
Anteriormente la direccioacuten IP de Citrix Gateway se resolvioacute varias veces lo que ocasionaba er-rores de conexioacuten a veces
[CGOP-12101]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2312
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
Problemas conocidos Los problemas que existen en la versioacuten actual y sus soluciones alternativassiempre que corresponda
V2314
Problemas resueltos
bull Citrix SSO ahora maneja correctamente el mensaje final de establecimiento de sesioacuten VPN
[CGOP-12488]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2313
Problemas resueltos
bull La direccioacuten IP de Citrix Gateway se resuelve solo una vez
Anteriormente la direccioacuten IP de Citrix Gateway se resolvioacute varias veces lo que ocasionaba er-rores de conexioacuten a veces
[CGOP-12101]
Problemas conocidos
bull El estado de VPN Always-On no siempre se actualiza correctamente en la interfaz de usuario dela aplicacioacuten
[NSHELP-21709]
V2312
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
copy 1999-2020 Citrix Systems Inc All rights reserved 24
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
V2311
Problemas resueltos
bull Citrix SSO puede bloquearse al guardar un perfil VPN
[CGOP-12137]
bull La configuracioacuten DisableUserProfile no se refleja correctamente en la interfaz de usuariocuando un nuevo perfil VPN o una actualizacioacuten a un perfil existente da como resultado elcambio del valor DisableUserProfile
[CGOP-11899]
bull Citrix SSO para Android no procesa perfiles VPN enmodo Propietario de dispositivo (DO)
[CGOP-11981]
bull La conexioacuten VPN no se establece cuando hay IPv6 solo servidores DNS locales
[CGOP-12053]
V2310
Problemas resueltos
bull Conexioacuten VPN perdida despueacutes de un tiempo de inactividad en el dispositivo
[CGOP-11381]
V238
Novedades
bull Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
Ahora puede configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android EnterprisePara obtener informacioacuten detallada consulte Configurar la aplicacioacuten Citrix SSO en un entornode Intune Android Enterprise
[CGOP-635]
bull Compatibilidad con el Provisioning de perfiles VPN a traveacutes de Android Enterprise
Ahora se admite el Provisioning de perfiles VPN a traveacutes de Android Enterprise
[CGOP-631]
copy 1999-2020 Citrix Systems Inc All rights reserved 25
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
Problemas resueltos
bull Si guarda un token que ya estaacute guardado y a continuacioacuten intenta abrirlo apareceraacuten carac-teres confusos en el nombre del token
[CGOP-11696]
bull La aplicacioacuten Citrix SSO no puede establecer una sesioacuten VPN si no hay dominios de buacutesquedaDNS configurados en Citrix Gateway
[CGOP-11259]
V236
Novedades
bull Compatibilidad con AlwaysOn para Citrix SSO
La funcioacuten AlwaysOn de Citrix SSO garantiza que los usuarios esteacuten siempre conectados a lared empresarial Esta conectividad VPN persistente se logra mediante el establecimiento au-tomaacutetico de un tuacutenel VPN
[CGOP-10015]
bull La notificacioacuten para volver a iniciar sesioacuten semuestra si la expiracioacuten del token de Athenacausa un cierre de sesioacuten
Si se cumplen las condiciones siguientes se muestra una notificacioacuten en la que se solicita a losusuarios que vuelvan a iniciar sesioacuten en Citrix Workspace
ndash La funcioacuten AlwaysOn estaacute habilitada en el perfil VPN aprovisionado de Citrix Workspacendash La autenticacioacuten de Athena se utiliza para el inicio de sesioacuten uacutenicondash El usuario ha cerrado sesioacuten de la aplicacioacuten Citrix Workspace debido a la expiracioacuten deltoken de Athena
[CGOP-10016]
bull El registro para el servicio de notificacioacuten Push se realiza mediante Citrix Gateway
Ahora puede registrarse para el servicio de notificacioacuten pushmediante el dispositivo Citrix Gate-way Anteriormente el registro se realizoacute en el dispositivo cliente
[CGOP-10542]
Problemas resueltos
A veces Citrix SSO se bloquea cuando se analiza un nuevo token Por ejemplo Citrix SSO se bloqueacuando se elimina un token existente y se analiza otro con el mismo nombre de token
[CGOP-10818]
copy 1999-2020 Citrix Systems Inc All rights reserved 26
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
V231
Novedades
bull Las configuraciones administradas se actualizan para incluir maacutes configuraciones deusuario
Las configuracionesadministradas seactualizanpara incluir ldquoBlockUntrustedServersrdquo ldquoDefault-ProfileNamerdquo y ldquoDisableUserProfilesrdquo para entornos Android Enterprise
[CGOP-10033]
bull Compatibilidadmejorada con notificaciones Push
Al configurar Citrix Gateway for Push Notification con el tipo ldquoOTPrdquo no se solicita el PIN o lahuella digital despueacutes de que el usuario seleccione ldquoPermitirrdquo en respuesta a la notificacioacutenPush solicitando el consentimiento del usuario para permitir que la autenticacioacuten continuacutee
[CGOP-9843]
bull Compatibilidad con Firebase Analytics
Se agrega compatibilidad con Firebase Analytics baacutesica para proporcionar informacioacuten sobreel uso de la aplicacioacuten Citrix SSO La mejora es aplicable a geolocalizaciones gruesas uso depantalla diferentes versiones de Android en uso etc
[CGOP-7523]
bull Compatibilidad con configuracioacuten de perfil VPN basada en configuraciones administradasde Android
La aplicacioacuten Citrix SSO se puede configurar en un entorno Android Enterprise mediante unproveedor de EMMUEM como Citrix Endpoint Management El Asistente para configuracionesadministradas de Android Enterprise en CEM se puede utilizar para implementar configura-ciones de VPN administradas en la aplicacioacuten Citrix SSO Para obtener informacioacuten sobrecoacutemo configurar la aplicacioacuten Citrix SSO mediante Configuraciones administradas consultehttpsinfocitritenetx8TIFTw
V229
Novedades
bull Compatibilidad con notificaciones push
Citrix Gateway enviacutea notificaciones Push en su dispositivo moacutevil registrado para obtener unaexperiencia de autenticacioacuten simplificada de dos factores
[CGOP-9592]
copy 1999-2020 Citrix Systems Inc All rights reserved 27
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
Problemas resueltos
bull Se permiten caracteres que no sean URL en el campo del servidor en la pantalla Agregar conex-ioacuten
[CGOP-588]
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno MDM
April 3 2020
Para configurar la aplicacioacuten Citrix SSO en un entorno MDM consulte Configurar el protocolo CitrixSSO para Android
Nota
bull En un evnirnoment que no sea MDM los usuarios crean perfiles VPNmanualmentebull Tambieacuten puede crear una configuracioacuten administrada de Android Enterprise para Citrix SSOPara obtener informacioacuten detallada consulte Configurar perfiles VPN para Android Enterprise
iexclCopiadoFailed
Configurar la aplicacioacuten Citrix SSO en un entorno de Intune AndroidEnterprise
April 3 2020
El tema captura detalles sobre la implementacioacuten y configuracioacuten de la aplicacioacuten Citrix SSO a traveacutesde Microsoft Intune En este documento se supone que Intune ya estaacute configurado para el soporte deAndroid Enterprise y que la inscripcioacuten de dispositivos ya estaacute terminada
Requisitos previos
bull Intune estaacute configurado para Android Enterprise Supportbull Se ha completado la inscripcioacuten del dispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 28
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
Para configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
bull Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administradabull Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Agregar la aplicacioacuten Citrix SSO como aplicacioacuten administrada
1 Inicie sesioacuten en su portal de Azure
2 Haga clic en Intune en la hoja de navegacioacuten izquierda
3 Haga clic en Aplicaciones cliente en el blade Microsoft Intune y a continuacioacuten haga clic en Apli-caciones en el blade Aplicaciones cliente
4 Haga clic en +Agregar enlace en las opciones del menuacute superior derecho Apareceraacute la hoja deconfiguracioacuten de Agregar aplicacioacuten
5 Selecciona Google Play administrado para el tipo de aplicacioacuten
Esto agregaAdministrar la buacutesquedadeGooglePlay y la hoja deaprobacioacuten si ha configuradoAndroidEnterprise
6 Busque la aplicacioacuten Citrix SSO y seleccioacutenela de la lista de aplicaciones
Nota Si Citrix SSO no aparece en la lista significa que la aplicacioacuten no estaacute disponible en su paiacutes
7 Hagaclic enAPROBARparaaprobarel iniciodeCitrix SSOsu implementacioacutena traveacutesde laalmaceacutenGoogle Play administrada
Se enumeran los permisos requeridos por la aplicacioacuten Citrix SSO
8 Haga clic en APROBAR para aprobar la aplicacioacuten para su implementacioacuten
9 Haga clic en Sincronizar para sincronizar esta seleccioacuten con Intune
La aplicacioacuten Citrix SSO se agrega a la lista de aplicaciones cliente Es posible que tenga que buscarla aplicacioacuten Citrix SSO si hay muchas aplicaciones agregadas
10 Haga clic en la aplicacioacuten Citrix SSO para abrir la hoja de detalles de la aplicacioacuten
11 Haga clic en Asignaciones en la hoja de detalles Aparece la hoja deasignacioacuten de Citrix SSO
12 Hagaclic enAgregargrupoparaasignar losgruposdeusuariosa losquequiereconcederpermisospara instalar la aplicacioacuten Citrix SSO y haga clic en Guardar
13 Cierre la hoja de detalles de la aplicacioacuten Citrix SSO
La aplicacioacuten Citrix SSO se agrega y habilita para su implementacioacuten en los usuarios
copy 1999-2020 Citrix Systems Inc All rights reserved 29
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
Configurar la directiva de aplicaciones administradas para la aplicacioacuten Citrix SSO
Despueacutes de agregar la aplicacioacuten Citrix SSO debe crear una directiva de configuracioacuten administradapara la aplicacioacuten Citrix SSO para que el perfil VPN se pueda implementar en la aplicacioacuten Citrix SSOen el dispositivo
1 Abra el blade Intune en el portal de Azure
2 Abra el blade de aplicaciones cliente desde el blade Intune
3 Seleccione el elemento Directivas de configuracioacuten de aplicaciones en el blade Aplicacionescliente y haga clic en Agregar para abrir el blade Agregar directiva de configuracioacuten
4 Escriba un nombre para la directiva y agregue una descripcioacuten para ella
5 En Tipo de inscripcioacuten de dispositivos seleccione Dispositivos administrados
6 En Plataforma selecciona Android
Esto agrega otra opcioacuten de configuracioacuten para la aplicacioacuten asociada
7 Haga clic en Aplicacioacuten asociada y seleccione la aplicacioacuten Citrix SSO
Es posible que tengas que buscarlo si tienes muchas aplicaciones
8 Haga clic en Aceptar Se agrega una opcioacuten de configuracioacuten en el blade Agregar directiva de con-figuracioacuten
9 Haga clic en Configuracioacuten
Apareceraacute un blade para configurar la aplicacioacuten Citrix SSO
10 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuteno Introducirdatos JSONpara configurar la aplicacioacuten Citrix SSO
Nota Para configuraciones VPN simples se recomienda usar el disentildeador de configuracioacuten
Configuracioacuten de VPNmediante el disentildeador de configuracioacuten de usuario
1 En Configuracioacuten de configuracioacuten seleccione Usar disentildeador de configuracioacuten y haga clic enAgregar
Se le presenta una pantalla de entrada de valor clave para configurar varias propiedades compatiblescon la aplicacioacuten Citrix SSO Como miacutenimo debe configurar las propiedades Direccioacuten del servidoryNombre del perfil de VPN Puede pasar el cursor sobre la seccioacutenDESCRIPCIOacuteN para obtener maacutesinformacioacuten sobre cada propiedad
2 Por ejemplo seleccione laspropiedadesNombredelperfil VPN yDireccioacutendel servidor () yhagaclic en Aceptar
Esto agrega las propiedades al disentildeador de configuracioacuten Puede configurar las siguientespropiedades
copy 1999-2020 Citrix Systems Inc All rights reserved 30
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
bull Nombre del perfil de VPN Escriba un nombre para el perfil VPN Si va a crear maacutes de un perfilVPN utilice un nombre uacutenico para cada perfil Si no proporciona un nombre la direccioacuten queintroduzca en el campo Direccioacuten del servidor se utilizaraacute como nombre del perfil VPN
bull Direccioacuten del servidor () Escriba el FQDN base de Citrix Gateway Si el puerto de Citrix Gate-way no es 443 escriba tambieacuten el puerto Utilice un formato de URL Por ejemplo httpsvpnmycompanycom8443
bull Nombre de usuario (opcional) Introduzca el nombre de usuario que los usuarios finales uti-lizan para autenticarse en Citrix Gateway Puede usar el token de valor de configuracioacuten deIntune para este campo si la Gateway estaacute configurada para usarlo (consulte tokens de valor deconfiguracioacuten) Si no proporciona un nombre de usuario se pediraacute a los usuarios que propor-cionen un nombre de usuario cuando se conecten a Citrix Gateway
bull Contrasentildea (opcional) Introduzca la contrasentildea que los usuarios finales utilizan para autenti-carse en Citrix Gateway Si no proporciona una contrasentildea se pediraacute a los usuarios que propor-cionen una contrasentildea cuando se conecten a Citrix Gateway
bull Aliasde certificado (opcional) Proporcioneunalias de certificadoenAndroidKeyStore que seutilizaraacute para la autenticacioacuten de certificados del cliente Este certificado estaacute preseleccionadopara los usuarios si utiliza autenticacioacuten basada en certificados
bull Tipo de VPN por aplicacioacuten (opcional) Si utiliza VPN por aplicacioacuten para restringir las aplica-ciones que usan esta VPN puede configurar este paraacutemetro
ndash Si selecciona Permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta a traveacutes de la VPN El traacuteficode red de todas las demaacutes aplicaciones se redirige fuera de la VPN
ndash Si selecciona No permitir el traacutefico de red para los nombres de paquetes de aplicacionesenumerados en la lista de aplicaciones PerAppVPN se enruta fuera de la VPN El traacutefico deredde todas las demaacutesaplicaciones se redirige a traveacutesde la VPN El valor predeterminadoes Permitir
bull Lista de aplicaciones PerAppVPN Una lista de aplicaciones cuyo traacutefico estaacute permitido o nopermitido en la VPN en funcioacuten del valor de Tipo de VPN por aplicacioacuten Indique los nombresde los paquetes de aplicaciones separados por comas o puntos y comas Los nombres de lospaquetes de aplicaciones distinguen entre mayuacutesculas y minuacutesculas y deben estar escritos enesta lista tal y como lo estaacuten en la almaceacuten deGoogle Play Esta lista es opcional Mantenga estalista vaciacutea para aprovisionar la VPN en todo el dispositivo
bull Perfil VPN predeterminado Nombre del perfil VPN utilizado cuando Always-On VPN estaacute con-figurado para la aplicacioacuten Citrix SSO Si este campo estaacute vaciacuteo el perfil principal se utiliza parala conexioacuten Si solo se configura un perfil se marca como perfil VPN predeterminado
copy 1999-2020 Citrix Systems Inc All rights reserved 31
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
Nota
bull Para convertir la aplicacioacuten Citrix SSO como aplicacioacuten VPN Always-On en Intune utilice elproveedor VPN como personalizado y comcitrixcitrixVPN como nombre del paquete de laaplicacioacuten
bull Solo la autenticacioacuten de cliente basada en certificados es compatible con la aplicacioacuten Cit-rix SSO Always-On VPN
bull Los administradores deben seleccionarAutenticacioacutende cliente y establecer Certificadode cliente comoObligatorio en elPerfil SSLoPropiedades SSL enCitrix Gateway para quela aplicacioacuten SSO funcione seguacuten lo previsto
bull Inhabilitar perfiles de usuario
ndash Si establece este valor en true los usuarios no pueden agregar nuevos perfiles VPN en susdispositivos
ndash Si establece este valor en false los usuarios pueden agregar sus propias VPN en sus dis-positivos
El valor predeterminado es false
bull Bloquear servidores que no son de confianza
ndash Establezca este valor en false cuando utilice un certificado autofirmado para Citrix Gate-way o cuando el certificado raiacutez de la CA que emite el certificado de Citrix Gateway no esteacuteen la lista de CA del sistema
ndash Establezca este valor en true para habilitar el sistema operativo Android para validar elcertificado de Citrix Gateway Si se produce un error en la validacioacuten no se permite laconexioacuten
El valor predeterminado es true
3 Para lapropiedadDireccioacutendel servidor() introduzca ladireccioacutenURLbasede laVPNdeGateway(por ejemplo httpsvpnmycompanycom)
4 EnNombredeperfil de VPN escriba unnombre visible para el usuario final en la pantalla principalde la aplicacioacuten Citrix SSO (por ejemplo Mi VPN corporativa)
5 Puede agregar y configurar otras propiedades seguacuten corresponda a su implementacioacuten de CitrixGateway Haga clic en Aceptar cuando haya terminado con la configuracioacuten
6 Haga clic en la seccioacuten Permisos En esta seccioacuten puede conceder los permisos requeridos por laaplicacioacuten Citrix SSO
bull Si estaacute utilizando la comprobacioacutende IntuneNAC la aplicacioacutenCitrix SSO requiere que concedapermiso (lectura) del estado del teleacutefono Haga clic en el botoacuten Agregar para abrir la hojade permisos Actualmente Intune muestra una lista significativa de permisos disponibles paratodas las aplicaciones
copy 1999-2020 Citrix Systems Inc All rights reserved 32
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
bull Si estaacute utilizando la comprobacioacuten de Intune NAC seleccione el permiso Estado del teleacutefono(lectura) y haga clic en Aceptar Esto lo agrega a la lista de permisos para la aplicacioacuten Selec-cione Solicitar oConceder automaacuteticamente para que la comprobacioacuten de IntuneNAC puedafuncionar y haga clic en Aceptar
7 Haga clic en Agregar en la parte inferior de la hoja de directivas de configuracioacuten de aplicacionespara guardar la configuracioacuten administrada para la aplicacioacuten Citrix SSO
8 Haga clic en Asignaciones en el blade de directiva de configuracioacuten de aplicaciones para abrir elblade Asignaciones
9 Seleccione los grupos de usuarios para los que quiere que se entregue y aplique esta configuracioacutende Citrix SSO
Configuracioacuten de VPNmediante la introduccioacuten de datos JSON
1 En Configuracioacuten seleccione Introducir datos JSONpara configurar la aplicacioacuten Citrix SSO
2 Utilice el botoacuten Descargar plantilla JSON para descargar una plantilla que permita proporcionaruna configuracioacutenmaacutes detalladacompleja para la aplicacioacuten Citrix SSO Esta plantilla es un conjuntode pares clave-valor JSONpara configurar todas las posibles propiedades que la aplicacioacuten Citrix SSOentiende
Para obtener una lista de todas las propiedades disponibles que se pueden configurar consultePropiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
3 Una vez creado un archivo de configuracioacuten JSON copie y pegue su contenido en el aacuterea de edi-cioacuten Por ejemplo a continuacioacuten se muestra la plantilla JSON para la configuracioacuten baacutesica creadaanteriormente mediante la opcioacuten de disentildeador de configuracioacuten
Esto completa el procedimiento para configurar e implementar perfiles VPN para la aplicacioacuten CitrixSSO en el entorno Microsoft Intune Android Enterprise
Importante El certificado utilizado para la autenticacioacuten basada en certificados de cliente general-mente se implementamediante el perfil SCEPde Intune El alias de este certificadodebe configurarseen la propiedad Alias de certificado de la configuracioacuten administrada para la aplicacioacuten Citrix SSO
Propiedades disponibles para configurar el perfil VPN en la aplicacioacuten Citrix SSO
copy 1999-2020 Citrix Systems Inc All rights reserved 33
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Nombre del perfilVPN
VPNProfileName Texto Nombre del perfilVPN (si no seestablece la direccioacutenpredeterminada delservidor)
Direccioacuten delservidor()
ServerAddress direccioacuten URL URL base de CitrixGateway para laconexioacuten (httpshost5Bport5D)Este campo esobligatorio
Nombre de usuario(opcional)
Nombre de usuario Texto Nombre de usuarioutilizado paraautenticar con CitrixGateway (opcional)
Contrasentildea(opcional)
Contrasentildea Texto Contrasentildea delusuario paraautenticarse conCitrix Gateway(opcional)
Alias de certificado(opcional)
Alias de certificado decliente
Texto Alias del certificadode cliente instaladoen el almaceacuten decredenciales deAndroid para su usoen la autenticacioacutende cliente basada encertificados(opcional)
copy 1999-2020 Citrix Systems Inc All rights reserved 34
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Tipo de VPN poraplicacioacuten (opcional)
PerAppVPN_Allow_Disallow_SettingEnum (Permitir Nopermitir)
iquestSe permiten lasaplicacionesenumeradas (listablanca) o no (listanegra) para usar eltuacutenel VPN Si seestablece enPermitir solo lasaplicacionesenumeradas (en lapropiedad de lista deaplicacionesPerAppVPN) puedentuacutenel a traveacutes de laVPN Si se estableceen No permitir todaslas aplicacionesexcepto lasenumeradas puedentuacutenel a traveacutes de laVPN Si no apareceninguna aplicacioacutentodas las aplicacionespueden tuacutenel a traveacutesde la VPN
copy 1999-2020 Citrix Systems Inc All rights reserved 35
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Lista de aplicacionesde Per App VPN
Nombre_APP_APPNamesTexto Lista separada porcomas () o punto ycoma () de nombresde paquetes deaplicaciones paraVPN por aplicacioacutenLos nombres de lospaquetes deben serexactamente losmismos que aparecenen la URL de la paacuteginade lista deaplicaciones deGoogle Play StoreLos nombres de lospaquetes distinguenentre mayuacutesculas yminuacutesculas
Perfil VPNpredeterminado
DefaultProfileName Texto Nombre del perfilVPN que se va autilizar cuando elsistema inicia elservicio VPN Estaconfiguracioacuten seutiliza para identificarel perfil VPN que se vaa utilizar cuando laVPN Always-On estaacuteconfigurada en eldispositivo
copy 1999-2020 Citrix Systems Inc All rights reserved 36
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Inhabilitar perfiles deusuario
Inhabilitar Perfiles deusuario
Booleano Propiedad parapermitir o no permitirque los usuariosfinales creenmanualmenteperfiles VPNEstablezca este valoren true parainhabilitar a losusuarios de lacreacioacuten de perfilesVPN El valorpredeterminado esfalse
Bloquear servidoresque no son deconfianza
BlockUntrustedServers Booleano Propiedad paradeterminar si laconexioacuten a puertas deenlace que no son deconfianza (porejemplo el uso decertificadosautofirmados o alemitir CA no es deconfianza para elsistema operativoAndroid) se bloqueaEl valorpredeterminado estrue (bloquearconexiones a puertasde enlace que nosean de confianza)
copy 1999-2020 Citrix Systems Inc All rights reserved 37
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
Clave deconfiguracioacuten
Nombre de campoJSON Tipo de valor Descripcioacuten
Paraacutemetrospersonalizados(opcional)
Paraacutemetrospersonalizados
Lista Lista de paraacutemetrospersonalizados(opcional)compatibles con laaplicacioacuten Citrix SSOPara obtener maacutesinformacioacuten consulteParaacutemetrospersonalizadosConsulte ladocumentacioacuten deCitrix Gateway paraver las opcionesdisponibles
Lista de perfiles VPNadicionales
bundle_profiles Lista Lista de perfiles VPNadicionales Lamayoriacutea de losvalores mencionadosanteriormente paracada perfil soncompatibles Paraobtener informacioacutendetallada consulteLista de propiedadesadmitidas
Paraacutemetros personalizados
Cada paraacutemetro personalizado debe definirse mediante los siguientes nombres clave-valor
Clave Tipo de valor Valor
ParameterName Texto Nombre del paraacutemetropersonalizado
Valor del paraacutemetro Texto Valor del paraacutemetropersonalizado
copy 1999-2020 Citrix Systems Inc All rights reserved 38
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
Citrix SSO
Propiedades admitidas para cada VPN en la lista de perfiles VPN
Las siguientes propiedades se admiten para cada uno de los perfiles VPN cuando se configuran variosperfiles VPNmediante la plantilla JSON
Clave de configuracioacuten Nombre de campo JSON Tipo de valor
Nombre del perfil VPN nombre_VPNProfileBundle_ Texto
Direccioacuten del servidor() Bundle_ServerAddress direccioacuten URL
Nombre de usuario nombre_de_usuario Texto
Contrasentildea Contrasentildea de paquete Texto
Alias de certificado de cliente Clientes_Bundle_Clientes_Lias Texto
Tipo de VPN por aplicacioacuten bundle_perappvpn_allow_disallow_settingEnum (Permitir No permitir)
Lista de aplicaciones de PerApp VPN
bundle_perappvpn_appNames Texto
Paraacutemetros personalizados Bundle_CustomParameters Lista
iexclCopiadoFailed
copy 1999-2020 Citrix Systems Inc All rights reserved 39
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-
LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale FL 33309 United StatesSilicon Valley | 4988 Great America Parkway Santa Clara CA 95054 United States
copy 2020 Citrix Systems Inc All rights reserved Citrix the Citrix logo and other marks appearing herein are property of
Citrix Systems Inc andor one or more of its subsidiaries andmay be registered with the US Patent and Trademark Office
and in other countries All other marks are the property of their respective owner(s)
Citrix Product Documentation | docscitrixcom September 15 2020
- Citrix SSO para dispositivos iOSmacOS
- Notas de la versioacuten
- Configurar Citrix SSO para usuarios de iOS
- Enviar identidad de certificado de usuario como datos adjuntos de correo electroacutenico a usuarios de iOS
- Configurar Citrix SSO para usuarios de macOS
- Preguntas frecuentes
- Citrix SSO para dispositivos Android
- Notas de la versioacuten
- Configurar la aplicacioacuten Citrix SSO en un entorno MDM
- Configurar la aplicacioacuten Citrix SSO en un entorno de Intune Android Enterprise
-