martes, 26 de junio de 2007

Integración de Access Gateway con Web Interface

Citrix Access Gateway 4.0 y sus versiones posteriores, pueden configurarse de manera tan que se integre con Web Interface con el fin de brindar acceso seguro a las aplicaciones de Presentation Server.

Antes de comenzar, y para aquellos que aún utilicen Secure Gateway, vale la pena aclarar que toda funcionalidad brindada por dicho producto, está incorporada actualmente en Access Gateway 4.2 y posteriores.

Para configurar Web Interface para el uso integrado con Access Gateway, se deberán seguir los siguientes pasos:

Redireccionamiento de Credenciales de Log On hacia Web Interface (Requiere al menos Web Interface 3.x)

Si Portal Page Authentication se encuentra habilitado, y Access Gateway configurado para utilizar autenticación LDAP, se podrán redireccionar las credenciales capturadas por Access Gateway hacia Web Interface. En este caso, en primer lugar se deberá habilitar Portal Page Authentication el el tab Global Policies:



En el caso de que Portal Page Authentication no esté habilitado, Access Gateway redireccionará a todos los usuarios hacia el Portal Page del Default User Group, sin solicitar previamente credenciales.

Luego de habilitar Portal Page Authentication, se deberá seleccionar el checkbox Forward Log On Credentials en la página de propiedades del grupo, en los detalles de Web Interface Server.



A partir de ahora, las credenciales de usuario serán redireccionadas a la Web Interface, a través de Single Sign-on (SSO).

Nota: Los requerimientos para poder utilizar SSO son:

  • Web Interface 3.0 ó 4.0.
  • Portal Page Authentication debe estar habilitado en el Access Gateway.
  • La Web Interface debe encontrarse detrás del Access Gateway, de acuerdo con los escenarios indicados en el presente.
  • La autenticación por defecto de Access Gateway debe ser LDAP. Si se utiliza RSA, SafeWord o RADIUS en el Access Gateway, se deberán tener en cuenta las excepciones mencionadas en el artículo CTX106202.
Configuración del Secure Ticket Authority

Se deberán seguir los siguiente pasos:

  1. 1. Conectarse a la Administration Tool de Access Gateway.
  2. 2. Seleccionar el tab Authentication and Local Users.
  3. 3. Seleccionar el tab Secure Ticket Authority.
  4. 4. Ingresar los datos de el/los STA/s utilizados por Web Interface.
  5. 5. Ingresar la dirección IP o el nombre de host del servidor en el primer campo, seguido de /Scripts/CtxSTA.dll en el campo STA Path.
  6. 6. Si el servidor STA soporta HTTPS, seleccionar el Connection Type "Secure".
  7. 7. Seleccionar Add, para agregar la información.
  8. 8. Si todos los datos son correctos, y el Access Gateway logra contactar al STA mediante la información ingresada, el identificador STA será completado, y el sistema solicitará el reinicio de los servicios de Access Gateway.


Web Interface paralelo a Access Gateway

En este caso, tanto Web Interface como Access Gateway residen en la DMZ. Los usuarios se conectan directamente a la Web Interface. Cuando los usuarios ejecutan una aplicación, Web Interface genera un archivo ICA que contiene instrucciones para enrutar el tráfico ICA a través del Access Gateway, como si se tratara de un Secure Gateway. Este archivo ICA generado, contiene, además, un ticket de conexión generado por el STA.

El cliente ICA presenta el ticket al conectarse al Access Gateway. El Access Gateway contacta al STA nuevamente para validar el ticket de conexión. Si el ticket aún es válido, el tráfico ICA del usuario será redireccionado hacia el Presentation Server correspondiente.




Web Interface detrás de Access Gateway

Para enrutar todo el tráfico ICA y HTTPS a través de un único puerto externo, y requerir el uso de un certificado SSL, Access Gateway puede actuar como un Web Proxy Reverso para Web Interface.

Para implementar Web Interface detrás de Access Gateway, se deberán seguir los siguientes pasos:

  1. 1. Editar las propiedades del Default User Group, o el grupo para el cual Web Interface es habilitado.
  2. 2. En la sección Portal Configuration de las propiedades del grupo, seleccionar Redirect to URL.
  3. 3. Ingresar la URL relativa de la Web Interface (generalmente /Citrix/MetaFrame/) en el campo Portal Page Path.
  4. 4. En el campo Base Server, ingresar la dirección IP o el FQDN del servidor Web Interface. Si el Web Interface soporta conexiones HTTPS, seleccionar Secure Connection, para encriptar el tráfico entre Access Gateway y Web Interface.





Web Interface en la Red Interna

En este caso, solo Access Gateway se encuentra en la DMZ. Las solicitudes de los usuarios son autenticadas por el Access Gateway, antes de ser redireccionadas al Web Interface.

Nota: En este caso, Portal Page Authentication debe estar habilitado en el Access Gateway. En caso contrario, se reenviarán solicitudes HTTP no autenticadas directamente al Web Interface. Se recomienda deshabilitad Portal Page Authentication solo si el Web Interface se encuentra en la DMZ.

Si Access Gateway se configura para utilizar autenticación LDAP, las credenciales LDAP del usuario pueden ser incluidas junto con la solicitud a la Web Interface, para habilitar el uso de SSO en la Web Interface.




Saludos.

Marcelo.

No hay comentarios.: