Authentifizierung
Bei einer XenMobile-Bereitstellung sind bei der Konfiguration der Authentifizierung verschiedene Faktoren zu berücksichtigen. Diese werden in diesem Abschnitt eingehend erläutert und es wird insbesondere auf Folgendes eingegangen:
- Die wichtigsten MDX-Richtlinien, XenMobile-Clienteigenschaften und Citrix Gateway-Einstellungen, die mit der Authentifizierung verbunden sind.
- Die Interaktion dieser Richtlinien, Clienteigenschaften und Einstellungen miteinander.
- Die Vor- und Nachteile jeder Auswahl.
Der Artikel enthält auch drei empfohlene Konfigurationsbeispiele, mit denen die Sicherheit erhöht werden kann.
Im Allgemeinen geht eine verstärkte Sicherheit zu Lasten der Benutzererfahrung, da Benutzer sich häufiger authentifizieren müssen. Wie Sie hier einen Ausgleich schaffen, hängt ab von den Anforderungen und Prioritäten Ihrer Organisation. Die drei empfohlenen Konfigurationen verdeutlichen das Zusammenspiel der verfügbaren Authentifizierungsmaßnahmen und zeigen, wie Sie Ihre eigene XenMobile-Umgebung am besten bereitstellen.
Authentifizierungsmodi
Onlineauthentifizierung: ermöglicht Benutzern den Zugriff auf das XenMobile-Netzwerk. Eine Internetverbindung ist hierfür erforderlich.
Offlineauthentifizierung: wird auf dem Gerät ausgeführt. Benutzer entsperren den Tresor und erhalten Offlinezugriff auf heruntergeladene E-Mails, zwischengespeicherte Websites, Notizen und andere Elemente.
Methoden der Authentifizierung
Einstufig
LDAP: Sie können in XenMobile eine Verbindung mit einem oder mehreren LDAP-kompatiblen Verzeichnissen, z. B. Active Directory, herstellen. Dies ist eine häufig verwendete Methode, um in Unternehmensumgebungen einen Single Sign-On (SSO) mit einmaliger Anmeldung bereitzustellen. Bei Authentifizierung mit Citrix-PIN mit Active Directory-Kennwortzwischenspeicherung können Sie den Benutzerkomfort mit LDAP verbessern und gleichzeitig die Sicherheit durch Registrierung mit komplexem Kennwort, Kennwortablauf und Kontosperrung gewährleisten.
Weitere Informationen finden Sie unter Domäne oder Domäne plus STA.
Clientzertifikat: XenMobile ermöglicht die Integration mit branchenüblichen Zertifizierungsstellen zur Verwendung von Zertifikaten als einzige Methode für eine Online-Authentifizierung. XenMobile bietet dieses Zertifikat nach der Benutzerregistrierung, wofür entweder ein Einmalkennwort, eine Einladungs-URL oder die LDAP-Anmeldeinformationen erforderlich sind. Bei Verwendung eines Clientzertifikats als primäre Authentifizierungsmethode ist in Umgebungen, die nur ein Clientzertifikat verwenden, eine Citrix-PIN erforderlich, um die Sicherheit des Gerätezertifikats zu gewährleisten.
XenMobile unterstützt Zertifikatsperrlisten (CRL) nur für Drittanbieterzertifizierungsstellen. Wenn Sie eine Microsoft-Zertifizierungsstelle konfiguriert haben, wird in XenMobile zum Verwalten der Zertifikatsperre Citrix ADC verwendet. Bedenken Sie beim Konfigurieren der Clientzertifikatauthentifizierung, ob Sie die Citrix ADC-Einstellung für Zertifikatsperrlisten (CRL) Enable CRL Auto Refresh konfigurieren müssen. Dadurch wird sichergestellt, dass Benutzer von Geräten im ausschließlichen MAM-Modus keine Authentifizierung mit einem existierenden Zertifikat am Gerät durchführen können. XenMobile stellt ein neues Zertifikat aus, da es Benutzer nicht daran hindert, ein Benutzerzertifikat zu generieren, wenn eines gesperrt wird. Diese Einstellung erhöht die Sicherheit von PKI-Entitäten, wenn über die Zertifikatsperrliste auf abgelaufene PKI-Entitäten geprüft wird.
Bereitstellungsdiagramme für eine zertifikatbasierte Authentifizierung für Benutzer oder die Ausstellung von Gerätezertifikaten über die Zertifizierungsstelle (ZS) Ihres Unternehmens finden Sie unter Referenzarchitektur für on-premises Bereitstellungen.
Zweistufig
LDAP + Clientzertifikat: In der XenMobile-Umgebung bietet diese Konfiguration die beste Kombination aus Sicherheit und Benutzererfahrung, denn sie verbindet die besten SSO-Möglichkeiten mit der Sicherheit der zweistufigen Authentifizierung über Citrix ADC. Die Verwendung von LDAP und Clientzertifikaten bietet Sicherheit durch etwas, das Benutzer wissen (ihr Active Directory-Kennwort) und etwas, das sie haben (Clientzertifikate auf ihrem Gerät). Secure Mail (und einige andere mobilen Produktivitätsapps) bieten eine intuitive Benutzererfahrung mit automatischer Konfiguration und Clientzertifikatauthentifizierung, bereitgestellt in einer ordnungsgemäß konfigurierten Exchange-Clientzugriffsserverumgebung. Die optimale Benutzerfreundlichkeit erreichen Sie, wenn Sie diese Option mit der Citrix-PIN und der Active Directory-Kennwortzwischenspeicherung kombinieren.
LDAP + Token: Diese Konfiguration ermöglicht die Standardkonfiguration mit LDAP-Anmeldeinformationen und einem Einmalkennwort unter Verwendung des RADIUS-Protokolls. Die optimale Benutzerfreundlichkeit erreichen Sie, wenn Sie diese Option mit der Citrix-PIN und der Active Directory-Kennwortzwischenspeicherung kombinieren.
Wichtige Richtlinien, Einstellungen und Clienteigenschaften für die Authentifizierung
Die folgenden Richtlinien, Einstellungen und Clienteigenschaften sind für die folgenden drei empfohlenen Konfigurationen von Bedeutung:
MDX-Richtlinien
App-Passcode: Bei der Einstellung Ein ist nach einem bestimmten Zeitraum der Inaktivität zum Starten bzw. Fortsetzen der App eine Citrix-PIN oder ein Passcode erforderlich. Die Standardeinstellung ist Ein.
Sie konfigurieren den Inaktivitätstimer für alle Apps, indem Sie in der XenMobile-Konsole auf der Registerkarte Einstellungen unter Clienteigenschaften den Wert INACTIVITY_TIMER in Minuten festlegen. Der Standardwert ist 15 Minuten. Setzen Sie den Wert auf Null, um den Inaktivitätstimer zu deaktivieren, damit eine Eingabeaufforderung für PIN oder Passcode nur beim Start der App angezeigt wird.
Hinweis:
Wenn Sie für die Richtlinie “Verschlüsselungsschlüssel” den Wert “Sicherer Offlinezugriff” auswählen, wird diese Richtlinie automatisch aktiviert.
Onlinesitzung erforderlich: Bei der Einstellung Ein muss der Benutzer mit dem Unternehmensnetzwerk verbunden sein und eine aktive Sitzung haben, um auf die App auf dem Gerät zugreifen zu können. Bei Auswahl der Einstellung Aus ist für einen Zugriff auf die App auf dem Gerät keine aktive Sitzung erforderlich. Die Standardeinstellung ist Aus.
Maximale Offlinezeit (Stunden): legt die maximale Zeit fest, die eine App ausgeführt werden kann, ohne dass der App-Anspruch und die Aktualisierungsrichtlinien von XenMobile neu bestätigt werden müssen. Wenn Sie die maximale Offlinezeit festlegen, ruft die App neue Richtlinien für MDX-Apps von XenMobile ab, ohne dass dies Benutzern Unterbrechungen verursacht, wenn Secure Hub für iOS einen gültigen Citrix Gateway-Token hat. Wenn Secure Hub keinen gültigen Citrix ADC-Token hat, müssen Benutzer sich über Secure Hub authentifizieren, damit App-Richtlinien aktualisiert werden. Der Citrix ADC-Token kann durch Citrix Gateway-Sitzungsinaktivität oder eine erzwungene Sitzungstimeoutrichtlinie ungültig werden. Benutzer können die App jedoch weiter verwenden, wenn sie sich wieder bei Secure Hub anmelden.
Benutzer werden 30, 15 und 5 Minuten vor Ablauf dieser Zeit daran erinnert, sich anzumelden. Nach Ablauf der Zeit wird die App gesperrt, bis sich Benutzer anmelden. Der Standardwert ist 72 Stunden (3 Tage). Der Mindestzeitraum ist 1 Stunde.
Hinweis:
Beachten Sie, dass in einem Szenario, bei dem Benutzer häufig unterwegs sind und auch internationales Roaming verwenden, die Standardeinstellung von 72 Stunden (3 Tagen) zu kurz sein könnte.
Ticketablauf für Hintergrunddienste: die Zeitspanne, die ein Netzwerkdienstticket im Hintergrund gültig bleibt. Wenn Secure Mail über Citrix Gateway die Verbindung mit einem Exchange-Server herstellt, auf dem ActiveSync ausgeführt wird, gibt XenMobile ein Token aus, das Secure Mail für die Verbindung mit dem internen Exchange-Server verwendet. Diese Eigenschaft bestimmt, wie lange Secure Mail den Token verwenden kann, ohne einen neuen Token für die Authentifizierung und die Verbindung zum Exchange Server zu benötigen. Wenn das Zeitlimit abläuft, müssen Benutzer sich neu anmelden, damit ein neues Token generiert wird. Die Standardeinstellung ist 168 Stunden (7 Tage). Nach Ablauf des Zeitlimits werden keine weiteren E-Mail-Benachrichtigungen gesendet.
Kulanzzeitraum bis Onlinesitzung erforderlich: legt fest, wie viele Minuten ein Benutzer die App offline verwenden kann, bevor die Richtlinie “Onlinesitzung erforderlich” die weitere Verwendung verhindert (bis die Onlinesitzung validiert ist). Der Standardwert ist 0 (kein Kulanzzeitraum).
Informationen zur Authentifizierungsrichtlinien finden Sie hier:
- Bei Verwendung des MAM-SDK: Überblick über das MAM-SDK
- Wenn Sie das MDX Toolkit verwenden: MDX-Richtlinien für iOS und MDX-Richtlinien für Android.
XenMobile-Clienteigenschaften
Hinweis:
Clienteigenschaften sind eine globale Einstellung und gelten für alle Geräte, die mit XenMobile verbunden sind.
Citrix-PIN: Durch Aktivieren der Citrix-PIN ermöglichen Sie Benutzern eine einfache Anmeldung. Mit der PIN müssen Benutzer andere Anmeldeinformationen, z. B. ihren Active Directory-Benutzernamen und ihr Kennwort, nicht wiederholt eingeben. Konfigurieren Sie die Citrix-PIN als eigenständige Option zur Authentifizierung im Offlinemodus, oder kombinieren Sie die PIN mit der Active Directory-Kennwortzwischenspeicherung, um den Authentifizierungsprozess zu vereinfachen. Sie konfigurieren die Citrix PIN in der XenMobile-Konsole unter Einstellungen > Client > Clienteigenschaften.
Es folgt eine Zusammenfassung der wichtigsten Eigenschaften. Weitere Informationen finden Sie unter Clienteigenschaften.
ENABLE_PASSCODE_AUTH
Anzeigename: Enable Citrix PIN Authentication
Über diesen Schlüssel können Sie die Citrix-PIN-Funktion aktivieren. Ist die Citrix-PIN oder der Citrix Passcode aktiviert, werden die Benutzer aufgefordert, eine PIN zur Verwendung anstelle des Active Directory- Kennworts zu erstellen. Aktivieren Sie diese Einstellung, wenn ENABLE_PASSWORD_CACHING aktiviert ist oder wenn XenMobile die Zertifikatauthentifizierung verwendet.
Mögliche Werte: true oder false
Standardwert: false
ENABLE_PASSWORD_CACHING
Anzeigename: Enable User Password Caching
Über diesen Schlüssel können Sie die lokale Zwischenspeicherung des Active Directory-Kennworts auf dem Mobilgerät zulassen. Wenn Sie diesen Schlüssel auf “true” setzen, werden die Benutzer aufgefordert, eine Citrix-PIN oder einen Citrix Passcode festzulegen. Der Schlüssel ENABLE_PASSCODE_AUTH muss auf “true” festgelegt werden, wenn Sie diesen Schlüssel auf true festlegen.
Mögliche Werte: true oder false
Standardwert: false
PASSCODE_STRENGTH
Anzeigename: PIN Strength Requirement
Dieser Schlüssel definiert die Sicherheit der Citrix-PIN bzw. des Citrix Passcodes. Wenn Sie diese Einstellung ändern, werden die Benutzer zum Festlegen einer neuen Citrix-PIN bzw. eines neuen Citrix Passcodes aufgefordert, wenn sie sich das nächste Mal authentifizieren.
Mögliche Werte: Low, Medium oder Strong
Standardwert: Medium
INACTIVITY_TIMER
Anzeigename: Inactivity Timer
Dieser Schlüssel definiert die Zeitdauer (in Minuten), die Geräte inaktiv sein dürfen, bevor Benutzer zur Eingabe von Citrix-PIN bzw. Citrix Passcode aufgefordert werden, wenn sie auf eine App zugreifen möchten. Zum Aktivieren dieser Einstellung für eine MDX-App müssen Sie die Einstellung App-Passcode auf Ein festlegen. Wenn App Passcode auf Aus festgelegt ist, werden die Benutzer für eine vollständige Authentifizierung an Secure Hub umgeleitet. Wenn Sie diese Einstellung ändern, tritt der neue Wert erst in Kraft, wenn ein Benutzer das nächste Mal zur Authentifizierung aufgefordert wird. Der Standardwert ist 15 Minuten.
ENABLE_TOUCH_ID_AUTH
Anzeigename: Enable Touch ID Authentication
Ermöglicht die Verwendung des Fingerabdrucklesegeräts (nur iOS) zur Offlineauthentifizierung. Die Onlineauthentifizierung erfordert weiterhin die primäre Authentifizierungsmethode.
ENCRYPT_SECRETS_USING_PASSCODE
Anzeigename: Encrypt secrets using Passcode
Mit diesem Schlüssel können vertrauliche Daten auf Mobilgeräten in einem Geheimtresor statt in einem plattformbasierten systemeigenen Speicher (z. B. iOS-Schlüsselbund) gespeichert werden. Der Konfigurationsschlüssel ermöglicht eine starke Verschlüsselung von Schlüsselartefakten und erzeugt zudem Benutzerentropie (eine vom Benutzer generierte zufällige PIN, die nur dem Benutzer bekannt ist).
Mögliche Werte: true oder false
Standardwert: false
Citrix ADC-Einstellungen
Session time-out: Wenn Sie diese Einstellung aktivieren, wird die Sitzung von Citrix Gateway getrennt, wenn Citrix ADC im angegebenen Zeitraum keine Netzwerkaktivität erkennt. Die Einstellung wird für Benutzer durchgesetzt, die eine Verbindung mit dem Citrix Gateway Plug-in, Citrix Receiver, Secure Hub oder über einen Webbrowser herstellen. Der Standardwert ist 1440 Minuten. Wenn Sie diesen Wert auf Null setzen, wird die Einstellung deaktiviert.
Forced time-out: Mit dieser Einstellung trennt Citrix Gateway die Sitzung nach Ablauf der Timeoutfrist, unabhängig von den aktuellen Aktivitäten des Benutzers. Benutzer haben keine Möglichkeit, diese Trennung nach Ablauf der Timeoutfrist zu vermeiden. Die Einstellung wird für Benutzer durchgesetzt, die eine Verbindung mit dem Citrix Gateway Plug-in, Citrix Receiver, Secure Hub oder über einen Webbrowser herstellen. Bei Verwendung von STA, einem speziellen Citrix ADC-Modus in Secure Mail, wird die Einstellung Forced Time-out nicht auf Secure Mail-Sitzungen angewendet. Der Standardwert ist 1440 Minuten. Wenn Sie diesen Wert leer lassen, wird die Einstellung deaktiviert.
Weitere Informationen zu den Timeouteinstellungen in Citrix Gateway finden Sie in der Citrix ADC-Dokumentation.
Weitere Informationen zu den Szenarios, bei denen Benutzer zur Authentifizierung bei XenMobile durch Eingabe der Anmeldeinformationen auf ihrem Gerät aufgefordert werden, finden Sie unter Szenarios für Authentifizierungsaufforderungen.
Standardkonfigurationseinstellungen
Bei diesen Einstellungen handelt es sich um die Standardwerte, die bereitgestellt werden von:
- NetScaler für XenMobile-Assistent
- MAM-SDK oder MDX Toolkit
- XenMobile-Konsole
Einstellung | Ort der Einstellung | Standardeinstellung |
---|---|---|
Session time-out | Citrix Gateway | 1440 Minuten |
Force time-out | Citrix Gateway | 1440 Minuten |
Maximale Offlinezeit | MDX-Richtlinien | 72 Stunden |
Ticketablauf für Hintergrunddienste | MDX-Richtlinien | 168 Stunden (7 Tage) |
Onlinesitzung erforderlich | MDX-Richtlinien | Aus |
Kulanzzeitraum bis Onlinesitzung erforderlich | MDX-Richtlinien | 0 |
App-Passcode | MDX-Richtlinien | Ein |
Encrypt secrets using passcode | XenMobile-Clienteigenschaften | false |
Enable Citrix-PIN Authentication | XenMobile-Clienteigenschaften | false |
PIN Strength Requirement | XenMobile-Clienteigenschaften | Medium |
PIN-Typ | XenMobile-Clienteigenschaften | Numerisch |
Enable User Password Caching | XenMobile-Clienteigenschaften | false |
Inactivity Timer | XenMobile-Clienteigenschaften | 15 |
Enable Touch ID Authentication | XenMobile-Clienteigenschaften | false |
Empfohlene Konfigurationen
Der folgende Abschnitt enthält Beispiele für drei XenMobile-Konfigurationen. Die Beispiele reichen von niedrigster Sicherheit und optimaler Benutzererfahrung bis hin zu höchster Sicherheit bei eingeschränktem Benutzerkomfort. Die Beispiele sind als Referenzpunkte gedacht, anhand derer Sie bestimmen können, wo Sie die eigene Konfiguration auf der Skala platzieren möchten. Wenn Sie diese Einstellungen ändern, müssen möglicherweise auch andere Einstellungen angepasst werden. Beispielsweise muss die maximale Offlinezeit stets niedriger sein als das Sitzungstimeout.
Höchste Sicherheit
Diese Konfiguration bietet die höchste Sicherheit, jedoch verbunden mit beträchtlichen Einschränkungen bei der Benutzerfreundlichkeit.
Einstellung | Ort der Einstellung | Empfohlene Einstellung | Auswirkungen |
Session time-out | Citrix Gateway | 1440 | Benutzer geben ihre Anmeldeinformationen in Secure Hub nur bei erforderlicher Onlineauthentifizierung ein – alle 24 Stunden. |
Force time-out | Citrix Gateway | 1440 | Obligatorische Onlineauthentifizierung alle 24 Stunden. Aktivität verlängert nicht die Sitzungsdauer. |
Maximale Offlinezeit | MDX-Richtlinien | 23 | Richtlinienaktualisierung jeden Tag erforderlich. |
Ticketablauf für Hintergrunddienste | MDX-Richtlinien | 72 Stunden | Das STA-Timeout ermöglicht längere Sitzungen ohne Sitzungstoken von Citrix Gateway. In Secure Mail verhindert ein STA-Timeout, das länger ist als das Sitzungstimeout, dass E-Mail-Benachrichtigungen ohne Aufforderung beendet werden, wenn Benutzer die App nicht vor Ablauf der Sitzung öffnen. |
Onlinesitzung erforderlich | MDX-Richtlinien | Aus | Gewährleistet eine gültige Netzwerkverbindung und Citrix Gateway-Sitzung zur Verwendung von Apps. |
Kulanzzeitraum bis Onlinesitzung erforderlich | MDX-Richtlinien | 0 | Kein Kulanzzeitraum (bei aktivierter Option “Onlinesitzung erforderlich”). |
App-Passcode | MDX-Richtlinien | Ein | Passcode für Anwendung erforderlich. |
Encrypt secrets using passcode | XenMobile-Clienteigenschaften | true | Tresor wird durch einen von der Benutzerentropie abgeleiteten Schlüssel geschützt. |
Enable Citrix-PIN Authentication | XenMobile-Clienteigenschaften | true | Citrix-PIN zur vereinfachten Benutzerauthentifizierung aktivieren. |
PIN Strength Requirement | XenMobile-Clienteigenschaften | Gut | Hohe Anforderungen an die Kennwortkomplexität. |
PIN-Typ | XenMobile-Clienteigenschaften | Alphanumerisch | PIN ist eine alphanumerische Sequenz. |
Enable Password Caching | XenMobile-Clienteigenschaften | false | Das Active Directory-Kennwort wird nicht zwischengespeichert, und die Citrix-PIN wird für Offlineauthentifizierungen verwendet. |
Inactivity Timer | XenMobile-Clienteigenschaften | 15 | Aufforderung zur Offlineauthentifizierung anzeigen, wenn Benutzer keine MDX-Apps oder Secure Hub im festgelegten Zeitraum verwendet. |
Enable Touch ID Authentication | XenMobile-Clienteigenschaften | false | Deaktiviert die Offlineauthentifizierung per Touch ID in iOS. |
Höhere Sicherheit
Diese Konfiguration liegt im Mittelfeld und umfasst eine häufigere Authentifizierung von Benutzern (alle 3 Tage anstatt alle 7) und strengere Sicherheitsmaßnahmen. Die erhöhte Anzahl an Authentifizierungen führt häufiger zur Containersperre, was die Datensicherheit gewährleistet, wenn Geräte nicht verwendet werden.
Einstellung | Ort der Einstellung | Empfohlene Einstellung | Auswirkungen |
Session time-out | Citrix Gateway | 4320 | Benutzer geben ihre Anmeldeinformationen in Secure Hub nur bei erforderlicher Onlineauthentifizierung ein – alle 3 Tage. |
Force time-out | Citrix Gateway | Kein Wert | Sitzungen werden bei Aktivität verlängert. |
Maximale Offlinezeit | MDX-Richtlinien | 71 | Erfordert alle 3 Tage eine Richtlinienaktualisierung. Die Differenz von einer Stunde ermöglicht die Aktualisierung vor dem Sitzungstimeout. |
Ticketablauf für Hintergrunddienste | MDX-Richtlinien | 168 Stunden | Das STA-Timeout ermöglicht längere Sitzungen ohne Sitzungstoken von Citrix Gateway. In Secure Mail verhindert ein STA-Timeout, das länger ist als das Sitzungstimeout, dass E-Mail-Benachrichtigungen ohne Aufforderung beendet werden, wenn Benutzer die App nicht vor Ablauf der Sitzung öffnen. |
Onlinesitzung erforderlich | MDX-Richtlinien | Aus | Gewährleistet eine gültige Netzwerkverbindung und Citrix Gateway-Sitzung zur Verwendung von Apps. |
Kulanzzeitraum bis Onlinesitzung erforderlich | MDX-Richtlinien | 0 | Kein Kulanzzeitraum (bei aktivierter Option “Onlinesitzung erforderlich”). |
App-Passcode | MDX-Richtlinien | Ein | Passcode für Anwendung erforderlich. |
Encrypt secrets using passcode | XenMobile-Clienteigenschaften | false | Keine Benutzerentropie zum Verschlüsseln des Tresors erforderlich. |
Enable Citrix-PIN Authentication | XenMobile-Clienteigenschaften | true | Citrix-PIN zur vereinfachten Benutzerauthentifizierung aktivieren. |
PIN Strength Requirement | XenMobile-Clienteigenschaften | Medium | Erzwingt Kennwörter mittlerer Komplexität. |
PIN-Typ | XenMobile-Clienteigenschaften | Numerisch | Eine PIN ist eine numerische Sequenz. |
Enable Password Caching | XenMobile-Clienteigenschaften | true | Die Benutzer-PIN speichert und schützt das Active Directory-Kennwort. |
Inactivity Timer | XenMobile-Clienteigenschaften | 30 | Aufforderung zur Offlineauthentifizierung anzeigen, wenn Benutzer keine MDX-Apps oder Secure Hub im festgelegten Zeitraum verwendet. |
Enable Touch ID Authentication | XenMobile-Clienteigenschaften | true | Aktiviert Touch ID für Anwendungsfälle mit Offlineauthentifizierung in iOS. |
Hohe Sicherheit
Diese Konfiguration ist am benutzerfreundlichsten und bietet ein Mindestmaß an Sicherheit.
Einstellung | Ort der Einstellung | Empfohlene Einstellung | Auswirkungen |
Session time-out | Citrix Gateway | 10080 | Benutzer geben ihre Anmeldeinformationen in Secure Hub nur bei erforderlicher Onlineauthentifizierung ein – alle 7 Tage. |
Force time-out | Citrix Gateway | Kein Wert | Sitzungen werden bei Aktivität verlängert. |
Maximale Offlinezeit | MDX-Richtlinien | 167 | Erfordert eine wöchentliche Richtlinienaktualisierung (alle 7 Tage). Die Differenz von einer Stunde ermöglicht die Aktualisierung vor dem Sitzungstimeout. |
Ticketablauf für Hintergrunddienste | MDX-Richtlinien | 240 | Das STA-Timeout ermöglicht längere Sitzungen ohne Sitzungstoken von Citrix Gateway. In Secure Mail verhindert ein STA-Timeout, das länger ist als das Sitzungstimeout, dass E-Mail-Benachrichtigungen ohne Aufforderung beendet werden, wenn Benutzer die App nicht vor Ablauf der Sitzung öffnen. |
Onlinesitzung erforderlich | MDX-Richtlinien | Aus | Gewährleistet eine gültige Netzwerkverbindung und Citrix Gateway-Sitzung zur Verwendung von Apps. |
Kulanzzeitraum bis Onlinesitzung erforderlich | MDX-Richtlinien | 0 | Kein Kulanzzeitraum (bei aktivierter Option “Onlinesitzung erforderlich”). |
App-Passcode | MDX-Richtlinien | Ein | Passcode für Anwendung erforderlich. |
Encrypt secrets using passcode | XenMobile-Clienteigenschaften | false | Keine Benutzerentropie zum Verschlüsseln des Tresors erforderlich. |
Enable Citrix-PIN Authentication | XenMobile-Clienteigenschaften | true | Citrix-PIN zur vereinfachten Benutzerauthentifizierung aktivieren. |
PIN Strength Requirement | XenMobile-Clienteigenschaften | Niedrig | Keine Anforderungen an die Kennwortkomplexität. |
PIN-Typ | XenMobile-Clienteigenschaften | Numerisch | Eine PIN ist eine numerische Sequenz. |
Enable Password Caching | XenMobile-Clienteigenschaften | true | Die Benutzer-PIN speichert und schützt das Active Directory-Kennwort. |
Inactivity Timer | XenMobile-Clienteigenschaften | 90 | Aufforderung zur Offlineauthentifizierung anzeigen, wenn Benutzer keine MDX-Apps oder Secure Hub im festgelegten Zeitraum verwendet. |
Enable Touch ID Authentication | XenMobile-Clienteigenschaften | true | Aktiviert Touch ID für Anwendungsfälle mit Offlineauthentifizierung in iOS. |
Verwenden der verstärkten Authentifizierung
Einige Apps erfordern unter Umständen eine erweiterte Authentifizierung (z. B. sekundäre Authentifizierungsfaktoren wie einen Token oder aggressive Sitzungstimeouts). Sie können diese Authentifizierungsmethode über eine MDX-Richtlinie steuern. Dieses Verfahren erfordert einen eigenen virtuellen Server (auf demselben oder einem separaten Citrix ADC-Gerät) zur Steuerung der Authentifizierungsmethoden.
Einstellung | Ort der Einstellung | Empfohlene Einstellung | Auswirkungen |
---|---|---|---|
Alternatives Citrix Gateway | MDX-Richtlinien | Erfordert FQDN und Port des sekundären Citrix ADC-Geräts. | Ermöglicht eine erweiterte Authentifizierung, die durch die Authentifizierungs- und Sitzungsrichtlinien des sekundären Citrix ADC-Geräts gesteuert wird. |
Öffnet ein Benutzer eine App, die sich an der alternativen Citrix Gateway-Instanz anmeldet, verwenden alle übrigen Apps diese Citrix Gateway-Instanz zur Kommunikation mit dem internen Netzwerk. Die Sitzung wechselt nur dann zurück zur Citrix Gateway-Instanz mit geringerer Sicherheit, wenn bei der Citrix Gateway-Instanz mit erhöhter Sicherheit ein Sitzungstimeout auftritt.
Erforderliche Verwendung einer Onlinesitzung
Für bestimmte Anwendungen wie Secure Web möchten Sie eventuell sicherstellen, dass Benutzer eine App nur dann ausführen, wenn sie eine authentifizierte Sitzung verwenden und wenn das Gerät mit einem Netzwerk verbunden ist. Diese Richtlinie erzwingt diese Option und ermöglicht einen Kulanzzeitraum, damit Benutzer ihre Arbeit beenden können.
Einstellung | Ort der Einstellung | Empfohlene Einstellung | Auswirkungen |
---|---|---|---|
Onlinesitzung erforderlich | MDX-Richtlinien | Ein | Gewährleistet, dass das Gerät online ist und einen gültigen Authentifizierungstoken hat. |
Kulanzzeitraum bis Onlinesitzung erforderlich | MDX-Richtlinien | 15 | Gewährt einen Kulanzzeitraum von 15 Minuten, bevor der Benutzer die Apps nicht mehr verwenden kann. |