Authenticação
Em uma implantação do XenMobile, várias considerações entram em ação ao decidir como configurar a autenticação. Esta seção ajudará você a entender os vários fatores que afetam a autenticação e falará sobre:
- As principais políticas de MDX, as propriedades do cliente XenMobile e as configurações do Citrix Gateway envolvidas na autenticação.
- As formas como essas políticas, propriedades do cliente e configurações interagem.
- As compensações de cada escolha.
Este artigo também inclui três exemplos de configurações recomendadas para aumentar o grau de segurança.
Em termos gerais, uma segurança mais forte resulta em uma experiência de usuário não tão ideal, porque os usuários precisam se autenticar com mais frequência. Como você equilibra essas preocupações depende das necessidades e prioridades de sua organização. Após examinar as três configurações recomendadas, você entenderá melhor a interação das medidas de autenticação disponíveis para você e como melhor implantar seu próprio ambiente XenMobile.
Modos de Autenticação
Autenticação on-line: permite que os usuários entrem na rede do XenMobile. Requer uma conexão com a Internet.
Autenticação offline: acontece no dispositivo. Os usuários desbloqueiam o cofre seguro e têm acesso offline a itens, como emails baixados, sites em cache e anotações.
Métodos de Autenticação
Fator Único
LDAP: você pode configurar uma conexão no XenMobile a um ou mais diretórios, como o Active Directory, que sejam compatíveis com o protocolo LDAP. Esse é um método comumente usado para fornecer logon único (SSO) para ambientes da empresa. Você pode optar pelo Citrix PIN com senha em cache do Active Directory para melhorar a experiência do usuário com o LDAP e, ao mesmo tempo, fornecer a segurança de senhas complexas no registro, expiração de senha e bloqueio de conta.
Para obter mais detalhes, consulte Domínio ou domínio mais STA.
Certificado de cliente: o XenMobile pode integrar-se a autoridades de certificação padrão do setor para usar certificados como o único método de autenticação on-line. O XenMobile fornece esse certificado após o registro do usuário, o que requer uma senha de uso único, URL de convite ou credenciais LDAP. Ao usar um certificado de cliente como o principal método de autenticação, um Citrix PIN é necessário em ambientes cliente somente certificado para proteger o certificado no dispositivo.
O XenMobile dá suporte à Lista de revogação de certificados (CRL) somente para uma Autoridade de Certificação terceira. Se você tiver configurado uma AC da Microsoft, o XenMobile usa o Citrix ADC para gerenciar a revogação. Quando você configura a autenticação baseada em certificado de cliente, decida se você precisa configurar a opção Lista de revogação de certificados (CRL) do Citrix ADC, Ativar atualização automática da CRL. Esta etapa garante que o usuário de um dispositivo no modo somente MAM não possa autenticar usando um certificado existente no dispositivo. O XenMobile emite novamente um novo certificado porque ele não impede que um usuário gere um certificado de usuário se um tiver sido revogado. Essa opção aumenta a segurança de entidades PKI quando a CRL verifica entidades PKI expiradas.
Para obter um diagrama que mostre a implantação necessária, se você planeja usar a autenticação baseada em certificado para os usuários ou se precisar usar sua autoridade de certificação corporativa para emitir certificados de dispositivo, consulte Arquitetura de referência para implantações no local.
Dois fatores
LDAP + Certificado cliente: No ambiente do XenMobile, essa configuração é a melhor combinação para a segurança e experiência do usuário, com as melhores possibilidades de SSO combinadas com a segurança fornecida pela autenticação de dois fatores no Citrix ADC. O uso de LDAP e certificado cliente fornece segurança com algo que os usuários sabem (suas senhas do Active Directory) e algo que eles têm (certificados cliente em seus dispositivos). O Secure Mail (e alguns outros aplicativos móveis de produtividade) pode configurar automaticamente e fornecer uma experiência aos usuários iniciais sem interrupções com autenticação de certificado cliente, com um ambiente de servidor de acesso cliente Exchange corretamente configurado. Para melhor usabilidade, você pode combinar essa opção com o Citrix PIN e armazenamento em cache de senha do Active Directory.
LDAP + token: essa configuração permite a configuração clássica de credenciais LDAP, além de uma senha de uso único, usando o protocolo RADIUS. Para melhor usabilidade, você pode combinar essa opção com o Citrix PIN e armazenamento em cache de senha do Active Directory.
Políticas Importantes, Configurações e Propriedades do Cliente Envolvidas na Autenticação
As seguintes políticas, configurações e propriedades do cliente entram em ação com as três configurações recomendadas a seguir:
Políticas de MDX
Código secreto de aplicativo: se o valor for Ativado, será necessário um Citrix PIN ou código secreto para desbloquear o aplicativo quando ele for iniciado ou reiniciado após um período de inatividade. O padrão é Ativado.
Para configurar o timer de inatividade de todos os aplicativos, defina o valor de INACTIVITY_TIMER em minutos no console XenMobile nas Propriedades do cliente da guia Configurações. O padrão é 15 minutos. Para desativar o timer de inatividade de forma que um aviso de PIN ou código secreto seja exibido somente quando o aplicativo for iniciado, defina o valor como zero.
Nota:
Se você selecionar Seguro offline para a política Chaves de criptografia, a política será ativada automaticamente.
Sessão online obrigatória: se o valor for Ativado, o usuário deverá ter uma conexão com a rede corporativa e uma sessão ativa para poder acessar o aplicativo no dispositivo. Se Desativado, não será necessária uma sessão ativa para acessar o aplicativo no dispositivo. O padrão é Desativado.
Período máximo offline (horas): define o período máximo durante o qual um aplicativo pode ser executado sem reconfirmar o direito de aplicativo e atualizar as políticas do XenMobile. Quando você define o Período máximo offline, se o Secure Hub para iOS tiver um token válido do Citrix Gateway, o aplicativo recuperará novas políticas para aplicativos MDX do XenMobile sem interrupção para os usuários. Se o Secure Hub não tiver um token válido do Citrix ADC, os usuários deverão se autenticar por meio do Secure Hub para que as políticas de aplicativo sejam atualizadas. O token do Citrix ADC pode se tornar inválido devido a uma inatividade de sessão do Citrix Gateway ou a uma política de tempo limite de sessão forçada. Quando os usuários fazem logon no Secure Hub novamente, eles podem continuar a executar o aplicativo.
Os usuários são lembrados para fazer logon em 30, 15 e 5 minutos antes da expiração do período. Após a expiração, o aplicativo será bloqueado até que usuários façam logon. O valor padrão é 72 horas (3 dias). O período mínimo é de 1 hora.
Nota:
Tenha em mente que, em um cenário em que os usuários viajam com frequência e podem usar roaming internacional, o padrão de 72 horas (3 dias) pode ser muito curto.
Expiração de tíquete de serviços em segundo plano: O período de tempo que um serviço de rede em segundo plano continua válido. Quando o Secure Mail se conecta por meio do Citrix Gateway a um Exchange Server com ActiveSync, XenMobile emite um token que o Secure Mail usa para se conectar ao Exchange Server interno. Essa definição de configuração determina a duração que o Secure Mail pode usar o token sem exigir um novo token de autenticação e a conexão ao Exchange Server. Quando o limite de tempo expirar, os usuários devem fazer logon novamente para gerar um novo token. O padrão é 168 horas (7 dias). Quando esse tempo limite expirar, as notificações por email serão interrompidas.
Período de tolerância para sessão online obrigatória: determina por quantos minutos um usuário pode usar o aplicativo offline antes de a política Sessão online obrigatória impedir o uso do aplicativo (até que a sessão online seja validada). O padrão é 0 (sem período de tolerância).
Para obter informações sobre políticas de autenticação, consulte:
- Se você usar o SDK do MAM: Visão geral do MAM SDK
- Se você usar o MDX Toolkit: Políticas do MDX para iOS e Políticas do MDX para Android
Propriedades do cliente XenMobile
Nota:
Propriedades do cliente são uma configuração global que se aplica a todos os dispositivos que se conectam ao XenMobile.
Citrix PIN: para uma experiência de login simplificada, você pode optar por ativar o Citrix PIN. Com o PIN, os usuários não precisam inserir outras credenciais repetidamente, como o nome de usuário e senha do Active Directory. Você pode configurar o PIN Citrix somente como uma autenticação offline autônoma ou combinar o PIN com o armazenamento de senha em cache do Active Directory para agilizar a autenticação e otimizar a usabilidade. Você configura o Citrix PIN em Configurações > Cliente > Propriedades do Cliente no console XenMobile.
Veja a seguir um resumo de algumas propriedades importantes. Para obter mais informações, consulte Propriedades do cliente.
ENABLE_PASSCODE_AUTH
Nome de exibição: ativar Autenticação do Citrix PIN
Essa chave permite que você ative a funcionalidade do PIN da Citrix. Com o PIN ou código secreto da Citrix, os usuários são solicitados a definir um PIN a ser usado em vez da senha do Active Directory. Você deve ativar essa configuração se ENABLE_PASSWORD_CACHING estiver ativado ou se o XenMobile estiver usando a autenticação de certificado.
Valores possíveis: true ou false
Valor padrão: false
ENABLE_PASSWORD_CACHING
Nome de exibição: Ativar armazenamento em cache de senha
Essa chave permite que a senha do Active Directory de usuários seja armazenada em cache localmente no dispositivo móvel. Quando você define essa chave como true, os usuários são solicitados a definir um PIN ou código secreto da Citrix. A chave ENABLE_PASSCODE_AUTH deve ser definida como true quando você define essa chave como true.
Valores possíveis: true ou false
Valor padrão: false
PASSCODE_STRENGTH
Nome de exibição: Requisito de força do PIN
Essa chave define a força do Citrix PIN ou do código secreto. Quando você alterar essa configuração, os usuários serão solicitados a definir um novo PIN ou código secreto da Citrix na próxima vez em que eles forem solicitados a autenticar.
Valores possíveis: Baixa, Média ou Forte
Valor padrão: Média
INACTIVITY_TIMER
Nome de exibição: Timer de Inatividade
Essa chave define o tempo, em minutos, durante o qual os usuários podem deixar seus dispositivos inativos para depois poder acessar um aplicativo sem que lhes seja solicitado um Citrix PIN ou código secreto. Para ativar essa configuração em um aplicativo MDX, você deve definir a configuração Código Secreto do Aplicativo como Ativado. Se a configuração de código secreto de aplicativo estiver definida como Desativado, os usuários serão redirecionados para o Secure Hub para efetuar uma autenticação completa. Quando você altera essa configuração, o valor entra em vigor na próxima vez em que houver solicitação para que os usuários se autentiquem. O padrão é 15 minutos.
ENABLE_TOUCH_ID_AUTH
Nome de exibição: Ativar Autenticação de Touch ID
Permite o uso do leitor de impressão digital (somente no iOS) para autenticação offline. A autenticação online ainda exigirá o método de autenticação principal.
ENCRYPT_SECRETS_USING_PASSCODE
Nome de exibição: Criptografar segredos usando o Código Secreto
Essa chave permite que dados confidenciais sejam armazenados no dispositivo móvel em um cofre secreto em vez de em um armazenamento nativo baseada na plataforma, como as chaves do iOS. Essa chave de configuração ativa a criptografia forte de artefatos de chave, mas também adiciona entropia do usuário (um código PIN aleatório, gerado pelo usuário, que somente o usuário conhece).
Valores possíveis: true ou false
Valor padrão: false
Configurações do Citrix ADC
Tempo limite da sessão: se você habilitar essa configuração, o Citrix Gateway desconectará a sessão se o Citrix ADC não detectar atividade de rede para o intervalo especificado. Essa configuração é imposta aos usuários que se conectam com o plug-in do Citrix Gateway, Citrix Receiver, Secure Hub ou por meio de um navegador da Web. O padrão é 1440 minutos. Se você definir esse valor como zero, a configuração será desativada.
Tempo limite forçado: se você habilitar essa configuração, o Citrix Gateway desconectará a sessão após o intervalo de tempo limite, independentemente de o que o usuário esteja fazendo. Quando o intervalo de tempo limite termina, não há nada que o usuário possa fazer para evitar a desconexão. Essa configuração é imposta aos usuários que se conectam com o plug-in do Citrix Gateway, Citrix Receiver, Secure Hub ou por meio de um navegador da Web. Se o Secure Mail estiver usando STA, um modo especial do Citrix ADC, a configuração Tempo Limite Forçado não se aplicará às sessões do Secure Mail. O padrão é 1440 minutos. Se você deixar esse valor em branco, a configuração será desativada.
Para obter mais informações sobre configurações de tempo limite no Citrix Gateway, consulte a documentação do Citrix ADC.
Para obter mais informações sobre os cenários que solicitam que os usuários se autentiquem no XenMobile inserindo as credenciais em seus dispositivos, consulte Cenários do Prompt de Autenticação.
Definições da configuração padrão
Essas configurações são os padrões fornecidos pelo:
- Assistente do NetScaler para XenMobile
- SDK MAM ou MDX Toolkit
- Console XenMobile
Configuração | Onde encontrar a configuração | Configuração padrão |
---|---|---|
Session time-out | Citrix Gateway | 1440 minutos |
Forçar tempo limite | Citrix Gateway | 1440 minutos |
Período máximo offline | Políticas de MDX | 72 horas |
Expiração de tíquete de serviços em segundo plano | Políticas de MDX | 168 horas (7 dias) |
Sessão online obrigatória | Políticas de MDX | Desativado |
Período de tolerância para sessão online obrigatória | Políticas de MDX | 0 |
Código secreto do aplicativo | Políticas de MDX | Ativado |
Criptografar segredos usando código secreto | Propriedades do cliente XenMobile | false |
Ativar autenticação do PIN do Citrix | Propriedades do cliente XenMobile | false |
Requisito de força do PIN | Propriedades do cliente XenMobile | Médio |
Tipo de PIN | Propriedades do cliente XenMobile | Numérico |
Ativar armazenamento em cache de senha | Propriedades do cliente XenMobile | false |
Timer de inatividade | Propriedades do cliente XenMobile | 15 |
Ativar Autenticação de Touch ID | Propriedades do cliente XenMobile | false |
Configurações recomendadas
Esta seção fornece exemplos de três configurações do XenMobile que abrangem desde a mais baixa segurança, com a experiência ideal do usuário, até a mais alta segurança, com a experiência do usuário mais intrusiva. Esses exemplos fornecem pontos de referência úteis para determinar onde, na escala, você deseja colocar sua própria configuração. A modificação dessas configurações pode exigir que você altere outras configurações também. Por exemplo, o período máximo offline deve ser sempre menor que o tempo limite da sessão.
Altíssima segurança
Essa configuração oferece o mais alto nível de segurança, mas contém desvantagens de usabilidade significativas.
Configuração | Onde encontrar a configuração | Configuração recomendada | Impacto no comportamento |
Session time-out | Citrix Gateway | 1440 | Os usuários inserem suas credenciais do Secure Hub apenas quando a autenticação on-line é necessária: a cada 24 horas. |
Forçar tempo limite | Citrix Gateway | 1440 | A autenticação on-line será estritamente necessária a cada 24 horas. A atividade não prolonga a vida da sessão. |
Período máximo offline | Políticas de MDX | 23 | Requer atualização da política todos os dias. |
Expiração de tíquete de serviços em segundo plano | Políticas de MDX | 72 horas | Tempo limite para STA, que permite sessões de longa duração sem um token de sessão do Citrix Gateway. No caso do Secure Mail, fazer com que o tempo limite da STA seja maior do que o tempo limite da sessão evita que as notificações de email parem sem avisar o usuário se ele não abra o aplicativo antes que a sessão expire. |
Sessão online obrigatória | Políticas de MDX | Desativado | Garante uma conexão de rede válida e uma sessão do Citrix Gateway para usar aplicativos. |
Período de tolerância para sessão online obrigatória | Políticas de MDX | 0 | Nenhum período de tolerância (se você ativou a Sessão on-line necessária). |
Código secreto do aplicativo | Políticas de MDX | Ativado | Requer código secreto para aplicação. |
Criptografar segredos usando código secreto | Propriedades do cliente XenMobile | true | Uma chave derivada da entropia do usuário protege o cofre. |
Ativar autenticação do PIN do Citrix | Propriedades do cliente XenMobile | true | Ative o Citrix PIN para uma experiência de autenticação simplificada. |
Requisito de força do PIN | Propriedades do cliente XenMobile | Forte | Requisitos de senha de alta complexidade. |
Tipo de PIN | Propriedades do cliente XenMobile | Alfanumérico | O PIN é uma sequência alfanumérica. |
Ativar armazenamento de senha em cache | Propriedades do cliente XenMobile | false | A senha do Active Directory não é armazenada em cache e o Citrix PIN será usado para autenticações offline. |
Timer de inatividade | Propriedades do cliente XenMobile | 15 | Se o usuário não usar aplicativos MDX ou Secure Hub durante esse período, solicite a autenticação offline. |
Ativar Autenticação de Touch ID | Propriedades do cliente XenMobile | false | Desativa o Touch ID para casos de uso de autenticação off-line no iOS. |
Maior segurança
Uma abordagem mais intermediária, essa configuração exige que os usuários se autentiquem com mais frequência: a cada três dias, no máximo, em vez de sete, e reforcem a segurança. O aumento do número de autenticações bloqueia o contêiner com mais frequência, garantindo a segurança dos dados quando os dispositivos não estão em uso.
Configuração | Onde encontrar a configuração | Configuração recomendada | Impacto no comportamento |
Session time-out | Citrix Gateway | 4320 | Os usuários inserem suas credenciais do Secure Hub apenas quando a autenticação on-line é necessária: a cada 3 dias. |
Forçar tempo limite | Citrix Gateway | Sem valor | As sessões serão estendidas se houver alguma atividade. |
Período máximo offline | Políticas de MDX | 71 | Requer atualização da política a cada 3 dias. A diferença de horário serve para permitir a atualização antes do tempo limite da sessão. |
Expiração de tíquete de serviços em segundo plano | Políticas de MDX | 168 horas | Tempo limite para STA, que permite sessões de longa duração sem um token de sessão do Citrix Gateway. No caso do Secure Mail, fazer com que o tempo limite da STA seja maior do que o tempo limite da sessão evita que as notificações de email parem sem avisar o usuário se ele não abra o aplicativo antes que a sessão expire. |
Sessão online obrigatória | Políticas de MDX | Desativado | Garante uma conexão de rede válida e uma sessão do Citrix Gateway para usar aplicativos. |
Período de tolerância para sessão online obrigatória | Políticas de MDX | 0 | Nenhum período de tolerância (se você ativou a Sessão on-line necessária). |
Código secreto do aplicativo | Políticas de MDX | Ativado | Requer código secreto para aplicação. |
Criptografar segredos usando código secreto | Propriedades do cliente XenMobile | false | Não exija entropia de usuário para criptografar o cofre. |
Ativar autenticação do PIN do Citrix | Propriedades do cliente XenMobile | true | Ative o Citrix PIN para uma experiência de autenticação simplificada. |
Requisito de força do PIN | Propriedades do cliente XenMobile | Médio | Aplica regras de complexidade de senha média. |
Tipo de PIN | Propriedades do cliente XenMobile | Numérico | PIN é uma sequência numérica. |
Ativar armazenamento de senha em cache | Propriedades do cliente XenMobile | true | O PIN do usuário armazena em cache e protege a senha do Active Directory. |
Timer de inatividade | Propriedades do cliente XenMobile | 30 | Se o usuário não usar aplicativos MDX ou Secure Hub durante esse período, solicite a autenticação offline. |
Ativar Autenticação de Touch ID | Propriedades do cliente XenMobile | true | Ativa o Touch ID para casos de uso de autenticação off-line no iOS. |
Alta Segurança
Essa configuração, a mais conveniente para os usuários, oferece segurança básica.
Configuração | Onde encontrar a configuração | Configuração recomendada | Impacto no comportamento |
Session time-out | Citrix Gateway | 10080 | Os usuários inserem suas credenciais do Secure Hub apenas quando a autenticação on-line é necessária: a cada 7 dias. |
Forçar tempo limite | Citrix Gateway | Sem valor | As sessões serão estendidas se houver alguma atividade. |
Período máximo offline | Políticas de MDX | 167 | Requer atualização da política toda semana (a cada 7 dias). A diferença de horário serve para permitir a atualização antes do tempo limite da sessão. |
Expiração de tíquete de serviços em segundo plano | Políticas de MDX | 240 | Tempo limite para STA, que permite sessões de longa duração sem um token de sessão do Citrix Gateway. No caso do Secure Mail, fazer com que o tempo limite da STA seja maior do que o tempo limite da sessão evita que as notificações de email parem sem avisar o usuário se ele não abra o aplicativo antes que a sessão expire. |
Sessão online obrigatória | Políticas de MDX | Desativado | Garante uma conexão de rede válida e uma sessão do Citrix Gateway para usar aplicativos. |
Período de tolerância para sessão online obrigatória | Políticas de MDX | 0 | Nenhum período de tolerância (se você ativou a Sessão on-line necessária). |
Código secreto do aplicativo | Políticas de MDX | Ativado | Requer código secreto para aplicação. |
Criptografar segredos usando código secreto | Propriedades do cliente XenMobile | false | Não exija entropia de usuário para criptografar o cofre. |
Ativar autenticação do PIN do Citrix | Propriedades do cliente XenMobile | true | Ative o Citrix PIN para uma experiência de autenticação simplificada. |
Requisito de força do PIN | Propriedades do cliente XenMobile | Baixo | Nenhum requisito de complexidade de senha |
Tipo de PIN | Propriedades do cliente XenMobile | Numérico | PIN é uma sequência numérica. |
Ativar armazenamento de senha em cache | Propriedades do cliente XenMobile | true | O PIN do usuário armazena em cache e protege a senha do Active Directory. |
Timer de inatividade | Propriedades do cliente XenMobile | 90 | Se o usuário não usar aplicativos MDX ou Secure Hub durante esse período, solicite a autenticação offline. |
Ativar Autenticação de Touch ID | Propriedades do cliente XenMobile | true | Ativa o Touch ID para casos de uso de autenticação off-line no iOS. |
Usando a autenticação aumentada
Alguns aplicativos podem exigir autenticação avançada (por exemplo, um fator de autenticação secundário, como um token ou tempos limites de sessão rígidos). Você controla esse método de autenticação por meio de uma política MDX. O método também requer um servidor virtual separado para controlar os métodos de autenticação (no mesmo ou em dispositivos Citrix ADC separados).
Configuração | Onde encontrar a configuração | Configuração recomendada | Impacto no comportamento |
---|---|---|---|
Citrix Gateway alternativo | Políticas de MDX | Requer o FQDN e a porta do dispositivo Citrix ADC secundário. | Permite a autenticação avançada controlada pelas políticas de sessão e autenticação do dispositivo do Citrix ADC secundário. |
Se um usuário abrir um aplicativo que efetua logon na instância alternativa do Citrix Gateway, todos os outros aplicativos usarão essa instância do Citrix Gateway para se comunicar com a rede interna. A sessão só voltará para a instância do Citrix Gateway de segurança inferior quando a sessão expirar na instância do Citrix Gateway com segurança avançada.
Usando a sessão online obrigatória
Para determinados aplicativos, como o Secure Web, uma sugestão seria você garantir que os usuários executem um aplicativo somente quando tiverem uma sessão autenticada e enquanto o dispositivo estiver conectado a uma rede. Essa política aplica essa opção e permite um período de tolerância para que os usuários possam concluir seu trabalho.
Configuração | Onde encontrar a configuração | Configuração recomendada | Impacto no comportamento |
---|---|---|---|
Sessão online obrigatória | Políticas de MDX | Ativado | Garante que o dispositivo esteja on-line e tenha um token de autenticação válido. |
Período de tolerância para sessão online obrigatória | Políticas de MDX | 15 | Permite um período de tolerância de 15 minutos antes que o usuário não possa mais usar aplicativos |