Citrix Endpoint Management

Authentifizierung mit Okta über NetScaler Gateway für die MAM-Registrierung

Citrix Endpoint Management unterstützt die Authentifizierung mit Okta-Anmeldeinformationen über NetScaler Gateway. Diese Authentifizierungsmethode ist nur für Benutzer verfügbar, die sich über Citrix Secure Hub bei MAM registrieren.

Voraussetzungen

Um Citrix Endpoint Management so zu konfigurieren, dass Okta über NetScaler Gateway als Identitätsanbieter (IdP) für Geräte verwendet wird, die mit MAM registriert wurden, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • Konfigurieren Sie Citrix Endpoint Management mit Okta über Citrix Cloud als Identitätsanbieter für Geräte, die mit MDM registriert sind. Weitere Informationen zur Konfiguration von Okta für MDM finden Sie unter Authentifizierung mit Okta über Citrix Cloud.
  • Aktivieren Sie je nach Plattform die folgenden entsprechenden Featureflags:
    • iOS:
      • iOS-V3Form-MAM
      • iOS-SAMLAuth-MAM
    • Android:
      • Android-V3Form-MAM
      • Android-SAMLAuth-MAM

    Hinweis:

    Um das entsprechende Featureflag in Ihrer Umgebung zu aktivieren, füllen Sie das Podio-Formular aus.

  • Laden Sie die neueste Version von Citrix Secure Hub herunter und installieren Sie sie.
  • Stellen Sie sicher, dass der Okta-Dienst für Ihre Organisation verfügbar ist und die entsprechenden Benutzer und Gruppen erstellt oder in Okta importiert wurden.

NetScaler Gateway in Citrix Endpoint Management konfigurieren

  1. Melden Sie sich an der Citrix Endpoint Management-Konsole an und klicken Sie dann auf das Symbol Einstellungen Einstellungen.

  2. Klicken Sie unter Server auf NetScaler Gateway.

  3. Aktivieren Sie die Umschalttaste Authentifizierung.

    Umschalttaste NetScaler Gateway-Authentifizierung aktivieren

  4. Stellen Sie sicher, dass der Anmeldetyp des Gateways Identitätsanbieter ist.

  5. Klicken Sie auf Speichern.

On-Premises NetScaler Gateway vorbereiten

  1. Wenn Sie kein on-premises NetScaler Gateway für Citrix Endpoint Management konfiguriert haben, führen Sie die folgenden Schritte aus:

    1. Klicken Sie in der Citrix Endpoint Management-Konsole auf das Symbol Einstellungen Einstellungen.

    2. Klicken Sie unter Server auf NetScaler Gateway.

    3. Klicken Sie auf Bearbeiten.

    4. Klicken Sie auf das Dropdownmenü Anmeldetyp und wählen Sie Nur Domäne.

      Anmeldetyp "Nur Domäne"

    5. Klicken Sie auf Konfigurationsskript exportieren.

      Konfigurationsskript exportieren und herunterladen Das Konfigurationsscript wird heruntergeladen.

    6. Klicken Sie auf das Dropdownmenü Anmeldetyp und wählen Sie Identitätsanbieter.

      Anmeldetyp als Identitätsanbieter aktualisieren

    7. Klicken Sie auf Speichern.

    8. Öffnen Sie die heruntergeladene ZIP-Datei und extrahieren Sie die Dateien.

    9. Führen Sie die Skripts in den extrahierten TXT-Dateien aus, um das on-premises NetScaler Gateway vorzubereiten.

      Extrahieren der ZIP-Dateiinformationen

  2. Melden Sie sich an der Citrix ADC-Verwaltungskonsole an und navigieren Sie dann zu NetScaler Gateway > Virtuelle Server.

  3. Klicken Sie auf das Gateway, das für Ihre Citrix Endpoint Management-Einrichtung relevant ist.

  4. Heben Sie die Bindung aller vorhandenen Authentifizierungsrichtlinien auf dem on-premises NetScaler Gateway auf.

Okta konfigurieren

  1. Melden Sie sich bei Okta als Administrator an.

  2. Klicken Sie auf Applications > Applications > Browse App Catalog.

    App-Katalog in Okta durchsuchen

  3. Geben Sie NetScaler Gateway in die Suchleiste unter Browse App Integration Catalog ein und wählen Sie dann NetScaler Gateway (SAML, SWA).

    Suchen von NetScaler Gateway unter Browse App Integration Catalog

  4. Klicken Sie auf Add Integration.

    NetScaler Gateway - Integration hinzufügen

  5. Geben Sie den entsprechenden Namen in das Feld Application label ein.

  6. Geben Sie die URL des virtuellen Gateway-Servers in das Feld Login URL ein und klicken Sie dann auf Next.

    Allgemeine Einstellungen für NetScaler Gateway

    Hinweis:

    Die im Feld Login URL eingegebene URL muss mit der NetScaler Gateway-URL für Citrix Endpoint Management-Einstellungen übereinstimmen.

  7. Wählen Sie unter Sign-On Options Required > Sign on methods die Option SAML 2.0.

    NetScaler Gateway - SAML 2.0

  8. Klicken Sie auf View Setup Instructions und folgen Sie den Anweisungen auf der Seite, um die SAML-Richtlinie in der Citrix On-Premises-Gateway-Administratorkonsole zu erstellen.

    NetScaler Gateway SAML – Einrichtungsanweisungen anzeigen

    Hinweis:

    • Nach der Installation des Zertifizierungsstellenzertifikats bei der Konfiguration von NetScaler Gateway, Version 11.1 oder höher, erstellen Sie eine SAML-Aktion. Um eine SAML-Aktion zu erstellen, navigieren Sie zu Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > SAML Actions. Klicken Sie auf Add und geben Sie die Informationen ein, die auf der vorhergehenden Seite angegeben sind. Folgen Sie nicht der auf der Seite angegebenen Navigation, d. h. Netscaler Gateway > Policies > Authentication > SAML > Servers.
    • Folgen Sie auch nicht den angegebenen Schritten zum Erstellen einer SAML-Richtlinie, da diese Schritte die klassische Richtlinie verwenden. Wir verwenden jetzt die erweiterte Richtlinie. Führen Sie den folgenden Schritt 9 aus, um eine SAML-Richtlinie mit einer erweiterten Richtlinie zu erstellen.
  9. Erstellen Sie eine entsprechende SAML-Richtlinie für die SAML-Aktion, und binden Sie die Richtlinie wie folgt an den virtuellen Authentifizierungsserver:

    1. Navigieren Sie zu Security > AAA-Application Traffic > Policies > Authentication > Advanced Policies und klicken Sie auf Add.

    2. Geben Sie auf der Seite “Create Authentication Policy” die folgenden Details an:

      • Name - Geben Sie einen Namen für die SAML-Richtlinie an.
      • Action Type - Wählen Sie SAML als Authentifizierungsaktionstyp aus.
      • Action - Wählen Sie das SAML-Serverprofil aus, an das die SAML-Richtlinie gebunden werden soll.
      • Expression - Zeigt den Namen der Regel oder des Ausdrucks an, den die SAML-Richtlinie verwendet, um zu bestimmen, ob sich der Benutzer beim SAML-Server authentifizieren muss. Legen Sie im Textfeld den Wert rule = true fest, damit die SAML-Richtlinie wirksam wird und die entsprechende SAML-Aktion ausgeführt wird.
    3. Binden Sie die SAML-Richtlinie an den virtuellen VPN-Server und verknüpfen Sie den virtuellen VPN-Server mit dem virtuellen Authentifizierungsserver über ein Authentifizierungsprofil. Weitere Informationen zum Bindungsvorgang finden Sie unter Authentifizierungsrichtlinie binden.

  10. Erstellen Sie einen virtuellen AAA-Server mit So richten Sie einen virtuellen Authentifizierungsserver über die GUI ein.

  11. Konfigurieren Sie den virtuellen AAA-Server mit Konfigurieren des virtuellen Authentifizierungsservers.

  12. Erstellen und konfigurieren Sie das Authentifizierungsprofil mithilfe von Authentifizierungsprofilen.

  13. Verbinden Sie das Authentifizierungsprofil mit dem virtuellen Gateway-Server und speichern Sie alle Konfigurationen.

  14. Nachdem Sie die SAML-Richtlinie in der Administratorkonsole des Citrix on-premises-Gateways erstellt haben, klicken Sie auf “Done”.

    Jetzt müssen Sie in der Lage sein, zwei Anwendungen für die Citrix Endpoint Management-Integration zu sehen, eine Webanwendung für Citrix Cloud und eine SAML-Anwendung für die Citrix Endpoint Management MAM-Authentifizierung.

  15. Weisen Sie der soeben erstellten SAML-Anwendung die entsprechenden Benutzer und Gruppen zu.

Jetzt wird Okta als Identitätsanbieter für mit MAM registrierte Geräte hinzugefügt, und Sie können sie mit Okta authentifizieren.

Erwartetes Verhalten

Das folgende Beispiel verwendet ein Android-Gerät:

  1. Öffnen Sie auf Ihrem Mobilgerät die Citrix Secure Hub-App.

    Citrix Secure Hub-App-Symbol

  2. Geben Sie die erforderlichen Berechtigungen an.

  3. Geben Sie auf der Anmeldeseite die von Ihrer Organisation bereitgestellten Anmeldeinformationen ein und tippen Sie dann auf Weiter.

    Citrix Secure Hub-Anmeldeseite

    Sie werden zur Okta-Anmeldeseite weitergeleitet.

  4. Geben Sie auf der Okta-Anmeldeseite Ihre Anmeldeinformationen ein und tippen Sie dann auf Anmelden.

    Okta-Anmeldeseite

  5. Tippen Sie auf der Seite Let’s set up your work profile auf Accept & continue.

    Seite zum Einrichten des Arbeitsprofils

  6. Erstellen Sie die PIN für die Citrix Secure Hub-App und bestätigen Sie diese.

    Citrix Secure Hub-PIN

    Sie werden zur Citrix Secure Hub-Homepage weitergeleitet.

Authentifizierung mit Okta über NetScaler Gateway für die MAM-Registrierung