Citrix Endpoint Management

通过 Citrix Cloud 使用 Okta 进行身份验证

Citrix Endpoint Management 支持通过 Citrix Cloud 使用 Okta 凭据进行身份验证。此身份验证方法仅适用于通过 Citrix Secure Hub 注册 MDM 的用户。

在 MAM 中注册的设备无法通过 Citrix Cloud 使用 Okta 凭据进行身份验证。要将 Citrix Secure Hub 与 MDM+MAM 结合使用,请将 Citrix Endpoint Management 配置为使用 NetScaler Gateway 进行 MAM 注册。有关详细信息,请参阅 NetScaler Gateway 和 Citrix Endpoint Management

Citrix Endpoint Management 使用 Citrix Cloud 服务 Citrix ID 与 Okta 联合。Citrix 建议您使用 Citrix 身份提供程序来代替与 Okta 直接连接。

Citrix Endpoint Management 支持在以下平台上使用 Okta 进行身份验证:

  • 未在 Apple 商务管理或 Apple 校园教务管理中注册的 iOS 和 macOS 设备
  • 在 Apple 商务管理中注册的 iOS 和 macOS 设备
  • 适用于 BYOD 和完全托管模式的 Android Enterprise 设备(预览版)

通过 Citrix Cloud 使用 Okta 进行身份验证有以下限制:

  • 不适用于 Citrix Endpoint Management 本地帐户。
  • 不支持通过 Okta 进行注册邀请的身份验证。如果您向用户发送带有注册 URL 的注册邀请,则用户通过 LDAP 而不是 Okta 进行身份验证。

必备条件

  • Okta 用户凭据
  • Active Directory 中的用户组必须与 Okta 的用户组相匹配。
  • 活动目录中的用户名和邮箱地址必须与 Okta 的用户名和邮箱地址相匹配。
  • 安装了 Citrix Cloud Connector 的 Citrix Cloud 帐户,用于目录服务同步。
  • NetScaler Gateway。Citrix 建议您启用基于证书的身份验证以实现完整的单点登录体验。如果在 NetScaler Gateway 上使用 LDAP 身份验证进行 MAM 注册,则最终用户在注册期间会遇到双重身份验证提示。有关详细信息,请参阅客户端证书或证书加域身份验证
  • 在 Android Enterprise 的注册配置文件中,将“允许用户拒绝设备管理”设置为“”。如果用户拒绝设备管理,则无法使用身份提供商注册进行身份验证。有关详细信息,请参阅 注册安全性

将 Citrix Cloud 配置为使用 Okta 作为您的身份提供程序

要在 Citrix Cloud 中配置 Okta,请参阅 将 Okta 作为身份提供商连接到 Citrix Cloud

将 Citrix 身份配置为 Citrix Endpoint Management 的 IdP 类型

此配置仅适用于通过 Citrix Secure Hub 注册的用户。在 Citrix Cloud 中配置 Azure Active Directory 后,按如下方式配置 Citrix Endpoint Management:

  1. 在 Citrix Endpoint Management 控制台中,前往“设置”>“身份提供商 (IDP)”,然后单击“添加”。

  2. 身份提供程序 (IDP) 页面上,配置以下内容:

    IdP 配置屏幕

    • IDP 名称: 键入用于识别要创建的 IdP 连接的唯一名称。
    • IDP 类型: 选择 Citrix 身份提供商
    • 身份验证域: 选择 Citrix Cloud 域。如果不确定要选择哪一个,则您的域将显示在 Citrix Cloud 身份和访问管理 > 身份验证 页面上。
  3. 单击下一步。在 IDP 声明用法页面中,配置以下设置:

    IdP 配置屏幕

    • 用户标识符类型: 此字段设置为 userPrincipalName。确保在本地 Active Directory 和 Okta 中为所有用户配置相同的标识符。Citrix Endpoint Management 使用此标识符将身份提供者上的用户映射到本地 Active Directory 用户。
    • 用户标识符字符串: 此字段自动填充。

完成此配置后,加入域的 Citrix Secure Hub 用户可以使用 Citrix Secure Hub 使用其 Okta 凭据登录。Citrix Secure Hub 对 MAM 设备使用客户证书身份验证。

Citrix Secure Hub 身份验证流程

Citrix Endpoint Management 使用以下流程在通过 Citrix Secure Hub 注册的设备上对使用 Okta 作为 IdP 的用户进行身份验证:

  1. 用户启动 Citrix Secure Hub。
  2. Citrix Secure Hub 将身份验证请求传递给 Citrix 身份,后者将请求传递给 Okta。
  3. 用户键入其用户名和密码。
  4. Okta 验证用户并向 Citrix 身份发送代码。
  5. Citrix 身份将代码发送到 Citrix Secure Hub,后者将代码发送到 Citrix Endpoint Management 服务器。
  6. Citrix Endpoint Management 使用该代码和密钥获取 ID 令牌,然后验证 ID 令牌中的用户信息。Citrix Endpoint Management 返回会话 ID。
通过 Citrix Cloud 使用 Okta 进行身份验证