XenMobile Server

Azure Active Directory como IdP

Configurar o Azure Active Directory (AAD) como seu provedor de identidade (IdP) permite que os usuários se registrem no XenMobile usando suas credenciais do Azure.

Dispositivos iOS, Android, Windows 10 e Windows 11 são compatíveis. Dispositivos iOS e Android são registrados por meio do Secure Hub. Esse método de autenticação está disponível apenas para usuários que se registram no MDM por meio do Citrix Secure Hub. Os dispositivos que se registram no MAM não podem ser autenticados usando as credenciais AAD. Para usar o Secure Hub com MDM+MAM, configure o XenMobile para usar o Citrix Gateway para registro no MAM. Para obter mais informações, consulte Citrix Gateway e XenMobile.

Configure o Azure como o seu IdP em Configurações > Autenticação > IDP. A página IDP é nova nesta versão do XenMobile. Em versões anteriores do XenMobile, você configurava o Azure em Configurações > Microsoft Azure.

Requisitos

  • Versões e licenças

    • Para registrar dispositivos Android ou iOS, você precisa do Secure Hub 10.5.5.
    • Para registrar dispositivos Windows 10 e Windows 11, você precisa de licenças do Microsoft Azure Premium.
  • Serviços e autenticação de diretório

    • O XenMobile Server deve ser configurado para a autenticação baseada em certificado.
    • Se você estiver usando Citrix ADC para autenticação, o Citrix ADC deve ser configurado para autenticação baseada em certificado.
    • A autenticação do Secure Hub usa o Azure AD e respeita o modo de autenticação definido no Azure AD.
    • O XenMobile Server deve se conectar ao Windows Active Directory (AD) usando o LDAP. Configure o servidor LDAP local para sincronizar com o Azure AD.

Fluxo de autenticação

Quando o dispositivo se registra por meio do Secure Hub e o XenMobile está configurado para usar o Azure como seu IdP:

  1. Os usuários inserem o nome de usuário e a senha do Active Directory do Azure em seus dispositivos, na tela de logon do Azure AD mostrada no Secure Hub.

  2. O Azure AD valida o usuário e envia um token de ID.

  3. O Secure Hub compartilha o token de ID com o XenMobile Server.

  4. O XenMobile valida o token de ID e as informações do usuário presentes nesse token. O XenMobile retorna um ID de sessão.

Configuração da conta do Azure

Para usar o Azure AD como seu IdP, primeiro faça login na sua conta do Azure e faça estas alterações:

  1. Registre o seu domínio personalizado e verifique esse domínio. Para obter detalhes, consulte Adicionar nome de domínio personalizado ao Active Directory do Azure.

  2. Estenda seu diretório local para o Active Directory do Azure usando ferramentas de integração de diretório. Para obter detalhes, consulte Directory integration.

Para usar o AD do Azure para registrar dispositivos Windows 10 e Windows 11, faça as seguintes alterações na sua conta do Azure:

  1. Torne o MDM uma parte confiável de AD do Azure. Para fazer isso, clique em Active Directory do Azure > Aplicativos e clique em Adicionar.

  2. Selecione Adicionar um aplicativo na galeria. Acesse MOBILE DEVICE MANAGEMENT e selecione Aplicativo MDM no local. Salve as configurações.

    Você escolhe um aplicativo local mesmo que tenha se inscrito no Citrix XenMobile Cloud. Na terminologia da Microsoft, qualquer aplicativo não multilocatário é um aplicativo MDM local.

  3. No aplicativo, configure a descoberta do XenMobile Server, os pontos de extremidade dos termos de uso e a URI do ID de aplicativo, da seguinte forma:
    • URL de descoberta do MDM: https://<FQDN>:8443/<instanceName>/wpe
    • URL dos Termos de Uso do MDM: https://<FQDN>:8443/<instanceName>/wpe/tou
    • URI de ID do aplicativo https://<FQDN>:8443/
  4. Selecione o aplicativo MDM local que você criou na etapa 2. Ative a opção Gerenciar dispositivos para estes usuários para permitir o gerenciamento de MDM para todos os usuários ou para qualquer grupo específico de usuários.

    Para obter mais informações sobre como usar o Azure AD com dispositivos Windows 10 e Windows 11, consulte o artigo da Microsoft Azure Active Directory integration with MDM.

Configurar o AD do Azure como seu IdP

  1. Localize ou anote as informações necessárias da sua conta do Azure:

    • ID de locatário, na página de configurações do aplicativo Azure.
    • Se quiser usar o Azure AD para registrar dispositivos Windows 10 e Windows 11, você também precisará do seguinte:
      • URI do ID de aplicativo: a URL do servidor que executa o XenMobile.
      • ID do cliente: o identificador exclusivo do seu aplicativo, na página de configuração do Azure.
      • Chave: na página de configurações do aplicativo Azure.
  2. No console XenMobile, clique no ícone de engrenagem no canto superior direito. A página Configurações é exibida.

  3. Em Autenticação, clique em Provedor de identidade (IDP). A página Provedor de identidade é exibida.

    Imagem da tela de configuração do Provedor de identidade

  4. Clique em Adicionar. A página Configuração IDP é exibida.

  5. Configure as seguintes informações sobre seu IdP:

    • Nome do IDP: digite um nome para a conexão com o IdP que você está criando.
    • Tipo de IDP: escolha Azure Active Directory como tipo de IdP.
    • ID do locatário: copie esse valor da página de configurações do aplicativo Azure. Na barra de endereços do navegador, copie a seção composta por números e letras.

    Por exemplo, em https://manage.windowszaure.com/acmew.onmicrosoft.com#workspaces/ActiveDirectoryExtensin/Directory/abc213-abc123-abc123/onprem..., o ID do locatário é: abc123-abc123-abc123.

    Imagem da tela de configuração do Provedor de identidade

  6. O restante dos campos é preenchido automaticamente. Quando eles estiverem preenchidos, clique em Avançar.

  7. Para configurar o XenMobile para registrar dispositivos Windows 10 e Windows 11 usando o AD do Azure para registro do MDM, defina as seguintes configurações. Para ignorar essa etapa opcional, desmarque Windows MDM.

    • URI do ID de aplicativo: digite a URL do XenMobile Server inserido quando você definiu as configurações do Azure.
    • ID do cliente: copie e cole esse valor da página Configurar do Azure. O ID do cliente é o identificador exclusivo do seu aplicativo.
    • Chave: copie esse valor da página de configurações do aplicativo Azure. Em chaves, selecione uma duração na lista e salve a configuração. Você pode copiar a chave e colá-la nesse campo. Uma chave é necessária para a leitura e a gravação de dados no AD do Microsoft Azure.

    Imagem da tela de configuração do Provedor de identidade

  8. Clique em Avançar.

    A Citrix registrou o Secure Hub no Microsoft Azure e mantém as informações. Essa tela mostra os detalhes usado pelo Secure Hub para se comunicar com o Azure Active Directory. Essa página será usada no futuro se essas informações precisarem de alteração. Edite essa página apenas se recomendado pela Citrix.

  9. Clique em Avançar.

    Imagem da tela de configuração do Provedor de identidade

  10. Configure o tipo de identificador de usuário que seu IdP fornece:

    • Tipo de identificador do usuário: escolha userPrincipalName na lista.
    • Sequência de caracteres do identificador do usuário: esse campo é preenchido automaticamente.
  11. Clique em Avançar.

    Imagem da tela de configuração do Provedor de identidade

  12. Revise a página Resumo e clique em Salvar.

    Imagem da tela de configuração do Provedor de identidade

Experiência dos usuários

  1. Os usuários iniciam o Secure Hub. Em seguida, eles inserem o nome de domínio totalmente qualificado (FQDN) do XenMobile Server, nome UPN ou endereço de email.

    Imagem da tela Secure Hub

  2. Em seguida, os usuários clicam em Sim, registrar.

    Imagem da tela Secure Hub

  3. Os usuários fazem logon usando suas credenciais do AD do Azure.

    Imagem da tela Secure Hub

    Imagem da tela Secure Hub

    Imagem da tela Secure Hub

  4. Os usuários concluem as etapas de registro da mesma forma que qualquer outro registro por meio do Secure Hub.

    Nota:

    O XenMobile não dá suporte à autenticação por meio do AD do Azure a convites para registro. Se você enviar um convite para registro que contém uma URL de registro de usuários, os usuários se autenticarão por meio do LDAP em vez do AD do Azure.

Azure Active Directory como IdP