身份验证
在 Citrix Endpoint Management 部署中,在决定如何配置身份验证时需要考虑几个因素。本部分内容介绍影响身份验证的各种因素:
- 与身份验证相关的主要 MDX 策略、Citrix Endpoint Management 客户端属性和 NetScaler Gateway 设置。
- 这些策略、客户端属性和设置的交互方式。
- 每种选择的权衡因素。
本文还提供了三个提高安全等级的建议配置示例。
一般而言,随着安全性的提高,最佳用户体验会降低,因为用户必须更加频繁地进行身份验证。如何平衡这些考虑因素取决于组织的需求和优先级。请查看推荐的三种配置,了解各种身份验证选项之间的相互作用。
身份验证模式
在线身份验证: 允许用户进入 Citrix Endpoint Management 网络。需要 Internet 连接。
脱机身份验证: 在设备上进行。用户解锁安全保管库并脱机访问一些项目,例如,下载的邮件、缓存的 Web 站点和笔记。
身份验证方法
单因素
LDAP: 您可以在 Citrix Endpoint Management 中配置与一个或多个符合轻量级目录访问协议 (LDAP) 的目录的连接。此方法是提供以单点登录 (SSO) 方式访问公司环境的常用方法。可以选择对 Citrix PIN 使用 Active Directory 密码缓存功能,以改进使用 LDAP 的用户体验。同时,您可以在注册、密码过期和帐户锁定时提供复杂密码的安全性。
有关更多详细信息,请参阅域或域加安全令牌身份验证。
客户证书: Citrix Endpoint Management 可以与行业标准证书颁发机构集成,使用证书作为在线身份验证的唯一方法。Citrix Endpoint Management 在用户注册后提供此证书,这需要一次性密码、邀请 URL 或 LDAP 证书。将客户端证书用作主要身份验证方法时,在仅客户端证书环境中需要使用 Citrix PIN 来确保设备上证书的安全。
Citrix Endpoint Management 仅支持第三方证书颁发机构的证书撤销列表 (CRL)。如果您配置了 Microsoft CA,Citrix Endpoint Management 使用 NetScaler Gateway 来管理撤销。配置基于客户端证书的身份验证时,请考虑是否需要配置 NetScaler Gateway 证书吊销列表 (CRL) 设置 Enable CRL Auto Refresh(启用 CRL 自动刷新)。此步骤可确保仅在 MAM 中注册的设备无法使用设备上的现有证书进行身份验证。Citrix Endpoint Management 会重新颁发新证书,因为它不会限制用户在吊销用户证书时生成用户证书。此设置提高了 CRL 检查过期的 PKI 实体时 PKI 实体的安全性。
有关显示基于证书的身份验证或使用企业证书颁发机构 (CA) 颁发设备证书所需的部署的图表,请参阅身份验证。
双重身份验证
LDAP + 客户证书: 此配置是 Citrix Endpoint Management 安全与用户体验的最佳组合。使用 LDAP 和客户端证书身份验证:
- 具有最佳的 SSO 可能性,并通过 NetScaler Gateway 的双重身份验证提供安全保障。
- 通过用户知晓的内容(其 Active Directory 密码)和用户拥有的内容(设备上的客户端证书)提供安全性。
Citrix Secure Mail 可以通过客户证书身份验证自动配置并提供无缝的首次用户体验。该功能需要正确配置的 Exchange 客户端访问服务器环境。
要实现最佳可用性,可以将 LDAP 和客户端证书身份验证与 Citrix PIN 和 Active Directory 密码缓存组合在一起。
LDAP + 令牌: 此配置允许在使用 RADIUS 协议时采用 LDAP 凭据经典配置以及一次性密码。要实现最佳可用性,可以将此选项与 Citrix PIN 和 Active Directory 密码缓存组合在一起。
身份验证的重要策略、设置和客户端属性
以下三个建议配置中涉及以下策略、设置和客户端属性:
MDX 策略
应用程序通行码: 如果设置为开,应用程序在处于不活动状态一段时间后启动或恢复时需要输入 Citrix PIN 或通行码才能解锁。默认值为开。
**要为所有应用程序配置不活动计时器,请在 Citrix Endpoint Management 控制台的“设置”选项卡上的“客户端属性”中设置 INACTIVITY_TIMER 值(以分钟为单位)。** 默认值为 15 分钟。要禁用不活动计时器以便 PIN 或通行码提示仅在应用程序启动时出现,请将值设置为 0。
要求 Micro VPN 会话: 如果设置为开,用户必须连接到企业网络并且具有活动会话,才能访问设备上的应用程序。如果设置为 关,则无需活动会话即可访问设备上的应用程序。默认设置为关。
最长离线时长(小时): 定义应用程序在不重新确认应用授权和刷新 Citrix Endpoint Management 策略的情况下可以运行的最长时长。满足以下条件后,iOS 应用程序可以从 Citrix Endpoint Management 检索 MDX 应用程序的新策略,而不会对用户造成任何干扰:
- 您设置“最长脱机期限”和
- 适用于 iOS 的 Citrix Secure Hub 具有有效的 NetScaler Gateway 令牌。
如果 Citrix Secure Hub 没有有效的 NetScaler Gateway 令牌,则用户必须先通过 Citrix Secure Hub 进行身份验证,然后才能更新应用程序策略。由于 NetScaler Gateway 会话处于非活动状态或强制会话超时策略,NetScaler Gateway 令牌可能会失效。当用户再次登录 Citrix Secure Hub 时,他们可以继续运行该应用程序。
将在期限过期前 30 分钟、15 分钟和 5 分钟提醒用户登录。超过时间后,将锁定应用程序,直到用户登录。默认值为 72 小时(3 天)。最短时间为 1 小时。
注意:
请谨记,在用户经常出差并使用国际漫游的情况下,默认值 72 小时(3 天)可能太短。
后台服务票证到期: 后台网络服务票证保持有效的时间段。当 Citrix Secure Mail 通过 NetScaler Gateway 连接到运行 ActiveSync 的 Exchange 服务器时,Citrix Endpoint Management 会颁发令牌。Citrix Secure Mail 使用该令牌连接到内部 Exchange Server。此属性设置决定了 Citrix Secure Mail 无需使用新令牌即可使用令牌进行身份验证和连接到 Exchange Server 的持续时间。超过时间限制后,用户必须重新登录以生成新令牌。默认值为 168 小时(7 天)。当此超时到期时,邮件通知将停止。
要求 Micro VPN 会话宽限期(分钟): 确定验证联机会话之前,用户可以脱机使用应用程序的分钟数。默认值为 0 (无宽限期)。
有关身份验证策略的信息,请参阅:
- 如果使用 MAM SDK:MAM SDK 概述
- 如果您使用 MDX Toolkit:适用于 iOS 的 Citrix Endpoint Management MDX 策略和适用于 Android 的 Citrix Endpoint Management MDX 策略
Citrix Endpoint Management 客户端属性
注意:
客户端属性是全局设置,适用于连接到 Citrix Endpoint Management 的所有设备。
Citrix PIN: 要实现简单点登录体验,您可以选择启用 Citrix PIN。使用 PIN 时,用户不需要重复输入其他凭据,例如 Active Directory 用户名和密码。您可以仅将 Citrix PIN 配置为独立脱机身份验证,也可以将 PIN 与 Active Directory 密码缓存组合在一起以简化身份验证,从而实现最佳可用性。您可以在 Citrix Endpoint Management 控制台的设置 > 客户端 > 客户端 属性中配置 Citrix PIN。
以下是一些重要属性的摘要。有关详细信息,请参阅客户端属性。
ENABLE_PASSCODE_AUTH
显示名称: 启用 Citrix PIN 身份验证
此键允许您打开 Citrix PIN 功能。启用 Citrix PIN 或通行码后,系统将提示用户定义要使用的 PIN(而非其 Active Directory 密码)。如果 启用了 ENABLE_PASSWORD_ CACHING 或 Citrix Endpoint Management 正在使用证书身份验证,请启用此设置。
可能的值: true 或 false
默认值: false
ENABLE_PASSWORD_CACHING
显示名称: 启用用户密码缓存
此键允许您在移动设备本地缓存用户的 Active Directory 密码。当您将此键设置为 true 时,系统将提示用户设置 Citrix PIN 或通行码。当您将此密钥设置为 true 时,必须将 ENABLE_PASSCODE_AUTH 密钥设置为 true。
可能的值: true 或 false
默认值: false
PASSCODE_STRENGTH
显示名称: PIN 强度要求
此键定义 Citrix PIN 或通行码的强度。当您更改此设置时,系统会在下次提示用户进行身份验证时提示他们设置新的 Citrix PIN 或密码。
可能的值: 低、中或强
默认值: 中
INACTIVITY_TIMER
显示名称: 不活动计时器
此键定义用户可以保持其设备处于不活动状态且之后访问应用程序不会提示输入 Citrix PIN 或通行码的时间(分钟)。要为 MDX 应用程序启用此设置,必须将应用程序通行码设置设为开。如果将 应用程序密码 设置设置为 关闭,则用户将被重定向到 Citrix Secure Hub 进行全面身份验证。更改此设置时,该值将在系统下次提示用户进行身份验证时生效。默认值为 15 分钟。
ENABLE_TOUCH_ID_AUTH
显示名称: 启用 Touch ID 身份验证
允许在脱机身份验证时使用指纹读取器(仅限 iOS)。联机身份验证仍需要使用主要身份验证方法。
ENCRYPT_SECRETS_USING_PASSCODE
显示名称: 使用密码加密
此键允许将敏感数据存储在移动设备上的 Secret Vault 中(而非基于平台的本机存储中),例如 iOS 钥匙串。此配置键允许对密钥进行强加密,但还会添加用户熵(用户生成的只有自己知道的随机 PIN 代码)。
可能的值: true 或 false
默认值: false
NetScaler Gateway 设置
会话超时: 如果启用此设置,则如果 NetScaler Gateway 在指定间隔内未检测到任何网络活动,NetScaler Gateway 将断开会话的连接。此设置适用于连接 NetScaler Gateway 插件、Citrix Secure Hub 或通过 Web 浏览器进行连接的用户。默认值为 1440 分钟。如果将此值设置为零,则该设置处于禁用状态。
强制超时: 如果启用此设置,则超过超时时间间隔后,无论用户正在执行什么操作,NetScaler Gateway 都将断开会话。超时间隔过后,用户无法采取任何措施来防止断开连接。此设置适用于连接 NetScaler Gateway 插件、Citrix Secure Hub 或通过 Web 浏览器进行连接的用户。如果 Citrix Secure Mail 使用 STA(一种特殊的 NetScaler Gateway 模式),则此设置不适用于 Citrix Secure Mail 会话。默认值为无值,这意味着会话将针对任何活动延长。
有关 NetScaler Gateway 超时设置的更多信息,请参阅 NetScaler Gateway 文档。
有关通过在设备上输入凭据提示用户使用 Citrix Endpoint Management 进行身份验证的场景的 更多信息,请参阅身份验证提示场景。
默认配置设置
这些设置是由以下对象提供的默认设置:
- 适用于 XenMobile 的 NetScaler 向导
- MAM SDK 或 MDX Toolkit
- Citrix Endpoint Management 控制台
设置 | 设置的查找位置 | 默认设置 |
---|---|---|
会话超时 | NetScaler Gateway | 1440 分钟 |
强制超时 | NetScaler Gateway | 无值(关) |
最长脱机期限 | MDX 策略 | 72 小时 |
后台服务票据过期日期 | MDX 策略 | 168 小时(7 天) |
要求 Micro VPN 会话 | MDX 策略 | 关 |
要求 Micro VPN 会话宽限期 | MDX 策略 | 0 |
应用程序通行码 | MDX 策略 | 开 |
使用通行码加密机密 | Citrix Endpoint Management 客户端属性 | false |
启用 Citrix PIN 身份验证 | Citrix Endpoint Management 客户端属性 | false |
PIN 强度要求 | Citrix Endpoint Management 客户端属性 | 中 |
PIN 类型 | Citrix Endpoint Management 客户端属性 | 数字 |
启用用户密码缓存 | Citrix Endpoint Management 客户端属性 | false |
不活动计时器 | Citrix Endpoint Management 客户端属性 | 15 |
启用 Touch ID 身份验证 | Citrix Endpoint Management 客户端属性 | false |
建议的配置
本节提供了三种 Citrix Endpoint Management 配置的示例,这些配置范围从最低安全性和最佳用户体验到最高安全性和更具侵入性的用户体验不等。这些示例可为您在考虑如何在自己的配置中权衡这些因素时提供有用的参考要点。修改这些设置可能需要更改其他设置。例如,最长脱机时间不得超过会话超时时间。
最高安全性
这种配置提供了最高级别的安全性,但在可用性方面存在明显的权衡。
设置 | 设置的查找位置 | 建议设置 | 行为影响 |
会话超时 | NetScaler Gateway | 1440 | 只有在需要进行在线身份验证时,用户才每隔 24 小时输入他们的 Citrix Secure Hub 凭据。 |
强制超时 | NetScaler Gateway | 无值 | 如果存在任何活动,则将延长会话。 |
最长脱机期限 | MDX 策略 | 23 | 要求每天刷新策略。 |
后台服务票据过期日期 | MDX 策略 | 72 小时 | STA 超时,允许在没有 NetScaler Gateway 会话令牌的情况下进行长时间会话。对于 Citrix Secure Mail 来说,让 STA 超时时间长于会话超时时间可以避免邮件通知停止。在这种情况下,如果用户在会话到期之前没有打开应用程序,Citrix Secure Mail 不会提示他们。 |
要求 Micro VPN 会话 | MDX 策略 | 关 | 提供有效的网络连接和 NetScaler Gateway 会话以使用应用程序。 |
要求 Micro VPN 会话宽限期 | MDX 策略 | 0 | 无宽限期(如果启用了“要求 Micro VPN 会话”)。 |
应用程序通行码 | MDX 策略 | 开 | 需要应用程序的通行码。 |
使用通行码加密机密 | Citrix Endpoint Management 客户端属性 | true | 从用户熵派生的密钥保护保管库。 |
启用 Citrix PIN 身份验证 | Citrix Endpoint Management 客户端属性 | true | 启用 Citrix PIN 以简化身份验证体验。 |
PIN 强度要求 | Citrix Endpoint Management 客户端属性 | 强 | 高密码复杂性要求。 |
PIN 类型 | Citrix Endpoint Management 客户端属性 | 字母数字 | PIN 是一个字母数字序列。 |
启用密码缓存 | Citrix Endpoint Management 客户端属性 | false | Active Directory 密码未缓存,Citrix PIN 用于离线身份验证。 |
不活动计时器 | Citrix Endpoint Management 客户端属性 | 15 | 如果用户在此期间没有使用 MDX 应用程序或 Citrix Secure Hub,则提示用户进行离线身份验证。 |
启用 Touch ID 身份验证 | Citrix Endpoint Management 客户端属性 | false | 在 iOS 中对脱机身份验证用例禁用 Touch ID。 |
更高的安全性
比较平衡的方法,此配置要求用户更加频繁地(最多每 3 天一次,而不是 7 天)进行身份验证, 安全性较高。身份验证数量的增加会更频繁地锁定容器,从而在不使用设备时提供数据安全性。
设置 | 设置的查找位置 | 建议设置 | 行为影响 |
会话超时 | NetScaler Gateway | 4320 | 用户仅在需要在线身份验证时才输入其 Citrix Secure Hub 凭据(每 3 天一次) |
强制超时 | NetScaler Gateway | 无值 | 如果存在任何活动,则将延长会话。 |
最长脱机期限 | MDX 策略 | 71 | 要求每 3 天刷新一次策略。在会话超时之前,允许刷新时间存在小时级差异。 |
后台服务票据过期日期 | MDX 策略 | 168 小时 | STA 超时,允许在没有 NetScaler Gateway 会话令牌的情况下进行长时间会话。对于 Citrix Secure Mail 来说,让 STA 超时时间长于会话超时时间可以避免在不提示用户的情况下停止邮件通知。 |
要求 Micro VPN 会话 | MDX 策略 | 关 | 提供有效的网络连接和 NetScaler Gateway 会话以使用应用程序。 |
要求 Micro VPN 会话宽限期 | MDX 策略 | 0 | 无宽限期(如果启用了“要求 Micro VPN 会话”)。 |
应用程序通行码 | MDX 策略 | 开 | 需要应用程序的通行码。 |
使用通行码加密机密 | Citrix Endpoint Management 客户端属性 | false | 不需要使用用户熵来加密保管库。 |
启用 Citrix PIN 身份验证 | Citrix Endpoint Management 客户端属性 | true | 启用 Citrix PIN 以简化身份验证体验。 |
PIN 强度要求 | Citrix Endpoint Management 客户端属性 | 中 | 强制执行中等密码复杂性规则。 |
PIN 类型 | Citrix Endpoint Management 客户端属性 | 数字 | PIN 是一个数字序列。 |
启用密码缓存 | Citrix Endpoint Management 客户端属性 | true | 用户 PIN 缓存和保护 Active Directory 密码。 |
不活动计时器 | Citrix Endpoint Management 客户端属性 | 30 | 如果用户在此期间没有使用 MDX 应用程序或 Citrix Secure Hub,则提示用户进行离线身份验证。 |
启用 Touch ID 身份验证 | Citrix Endpoint Management 客户端属性 | true | 在 iOS 中对脱机身份验证用例启用 Touch ID。 |
高安全性
此配置提供基本级别的安全性,对用户来说最方便。
设置 | 设置的查找位置 | 建议设置 | 行为影响 |
会话超时 | NetScaler Gateway | 10080 | 用户仅在需要在线身份验证时才输入其 Citrix Secure Hub 凭据(每 7 天一次) |
强制超时 | NetScaler Gateway | 无值 | 如果存在任何活动,则将延长会话。 |
最长脱机期限 | MDX 策略 | 167 | 要求每周(每 7 天)刷新一次策略。在会话超时之前,允许刷新时间存在小时级差异。 |
后台服务票据过期日期 | MDX 策略 | 240 | STA 超时,允许在没有 NetScaler Gateway 会话令牌的情况下进行长时间会话。对于 Citrix Secure Mail 来说,让 STA 超时时间长于会话超时时间可以避免邮件通知停止。在这种情况下,如果用户在会话到期之前没有打开应用程序,Citrix Secure Mail 不会提示他们。 |
要求 Micro VPN 会话 | MDX 策略 | 关 | 提供有效的网络连接和 NetScaler Gateway 会话以使用应用程序。 |
要求 Micro VPN 会话宽限期 | MDX 策略 | 0 | 无宽限期(如果启用了“要求 Micro VPN 会话”)。 |
应用程序通行码 | MDX 策略 | 开 | 需要应用程序的通行码。 |
使用通行码加密机密 | Citrix Endpoint Management 客户端属性 | false | 不需要使用用户熵来加密保管库。 |
启用 Citrix PIN 身份验证 | Citrix Endpoint Management 客户端属性 | true | 启用 Citrix PIN 以简化身份验证体验。 |
PIN 强度要求 | Citrix Endpoint Management 客户端属性 | 低 | 无密码复杂性要求 |
PIN 类型 | Citrix Endpoint Management 客户端属性 | 数字 | PIN 是一个数字序列。 |
启用密码缓存 | Citrix Endpoint Management 客户端属性 | true | 用户 PIN 缓存和保护 Active Directory 密码。 |
不活动计时器 | Citrix Endpoint Management 客户端属性 | 90 | 如果用户在此期间没有使用 MDX 应用程序或 Citrix Secure Hub,则提示用户进行离线身份验证。 |
启用 Touch ID 身份验证 | Citrix Endpoint Management 客户端属性 | true | 在 iOS 中对脱机身份验证用例启用 Touch ID。 |
使用递升式身份验证
某些应用程序可能需要增强的身份验证。例如,令牌或主动会话超时等辅助身份验证因素。您可以通过 MDX 策略控制此身份验证方法。该方法还需要一个单独的虚拟服务器来控制身份验证方法(在相同的 NetScaler Gateway 设备上或在不同的 NetScaler Gateway 设备上)。
设置 | 设置的查找位置 | 建议设置 | 行为影响 |
---|---|---|---|
备用 NetScaler Gateway | MDX 策略 | 需要辅助 NetScaler Gateway 设备的 FQDN 和端口。 | 允许由辅助 NetScaler Gateway 设备身份验证和会话策略控制的增强身份验证。 |
如果用户打开使用备用 NetScaler Gateway 的应用程序,则所有其他应用程序都使用该 NetScaler Gateway 实例与内部网络通信。只有当具有增强安全性的 NetScaler Gateway 实例的会话超时时,该会话才会切换回安全性较低的 NetScaler Gateway 实例。
要求使用 Micro VPN 会话
对于某些应用程序,例如 Citrix Secure Web,您可以确保用户仅在进行身份验证的会话时才运行应用程序。此策略强制执行该方式,并允许有一个宽限期以便用户可以完成其工作。
设置 | 设置的查找位置 | 建议设置 | 行为影响 |
---|---|---|---|
要求 Micro VPN 会话 | MDX 策略 | 开 | 确保设备处于联机状态并且具有有效的身份验证令牌。 |
要求 Micro VPN 会话宽限期 | MDX 策略 | 15 | 允许在 15 分钟的宽限期内用户不能再使用应用程序 |