Citrix Endpoint Management

通过 NetScaler Gateway 向 Okta 进行身份验证以进行 MAM 注册

Citrix Endpoint Management 支持通过 NetScaler Gateway 使用 Okta 凭据进行身份验证。这种身份验证方法仅适用于通过 Citrix Secure Hub 在 MAM 中注册的用户。

必备条件

要将 Citrix Endpoint Management 配置为通过 NetScaler Gateway 使用 Okta 作为注册了 MAM 的设备的身份提供商 (IdP),请确保满足以下前提条件:

  • 对于在 MDM 中注册的设备,请通过 Citrix Cloud 将使用 Okta 的 Citrix Endpoint Management 配置为 IdP。有关为 MDM 配置 Okta 的更多信息,请参阅通过 Citrix Cloud 使用 Okta 进行身份验证
  • 根据平台分别启用以下相关功能标志:
    • iOS:
      • iOS-V3Form-MAM
      • iOS-SAMLAuth-MAM
    • Android:
      • Android-V3Form-MAM
      • Android-SAMLAuth-MAM

    注意:

    要在您的环境中启用相关功能标志,请填写 Podio 表单

  • 下载并安装最新版本的 Citrix Secure Hub。
  • 确保 Okta 服务可供您的组织使用,并将相关的用户和组创建或导入到 Okta。

在 Citrix Endpoint Management 中配置 NetScaler Gateway

  1. 登录 Citrix Endpoint Management 控制台,然后单击设置 设置 图标。

  2. 单击“服务器”下的 NetScaler Gateway

  3. 启用身份验证开关按钮。

    启用 NetScaler Gateway 身份验证切换按钮

  4. 确保网关的登录类型身份提供商

  5. 单击保存

准备本地 NetScaler Gateway

  1. 如果您没有为 Citrix Endpoint Management 配置本地 NetScaler Gateway,请执行以下步骤:

    1. 在 Citrix Endpoint Management 控制台中。单击设置 设置 图标。

    2. 单击“服务器”下的 NetScaler Gateway

    3. 单击编辑

    4. 单击“登录类型”下拉菜单并选择“仅限域”。

      登录类型为“仅限域”

    5. 单击导出配置脚本

      下载导出配置脚本 导出配置脚本已下载。

    6. 单击“登录类型”下拉菜单,然后选择“身份提供商”。

      更新“登录类型”为“身份提供商”

    7. 单击保存

    8. 打开下载的 zip 文件并从中提取文件。

    9. 运行提取的 .txt 文件中的脚本以准备本地 NetScaler Gateway。

      提取 zip 文件信息

  2. 登录 Citrix ADC 管理控制台,然后导航到 NetScaler Gateway > 虚拟服务器

  3. 单击与您的 Citrix Endpoint Management 设置相关的网关。

  4. 取消绑定本地 NetScaler Gateway 上的任何现有身份验证策略。

配置 Okta

  1. 以管理员身份登录 Okta。

  2. 单击应用程序 > 应用程序 > 浏览应用程序目录

    在 Okta 浏览应用程序目录

  3. 在“浏览应用程序集成目录”下的搜索栏中键入 NetScaler Gateway,然后选择 NetScaler Gateway(SAML、SWA)

    在“浏览应用程序集成目录”中搜索 NetScaler Gateway

  4. 单击添加集成

    NetScaler Gateway 添加集成

  5. 应用程序标签字段中输入相关名称。

  6. 登录 URL 字段中输入网关虚拟服务器 URL,然后单击下一步

    NetScaler Gateway 常规设置

    注意:

    在“登录 URL”字段中输入的 URL 必须与 Citrix Endpoint Management 设置的 NetScaler Gateway URL 相同。

  7. 需要登录选项 > 登录方法下,选择 SAML 2.0

    NetScaler Gateway-SAML 2.0

  8. 单击查看设置说明,然后按照页面中提供的说明在 Citrix 本地网关管理控制台中创建 SAML 策略。

    NetScaler Gateway SAML - 查看设置说明

    注意:

    • 在配置 NetScaler Gateway 版本 11.1 或更高版本时安装 CA 证书后,创建 SAML 操作。要创建 SAML 操作,请导航到安全 > AAA - 应用程序流量 > 策略 > 身份验证 > 高级策略 > 操作 > SAML 操作。单击添加并填写上一页中提、供的信息。请勿按照页面中提供的导航,即 NetScaler Gateway > 策略 > 身份验证 > SAML > 服务器
    • 此外,请勿按照提供的步骤创建 SAML 策略,因为这些步骤使用的是经典策略。我们现在正在使用高级策略。请执行以下步骤 9,以使用高级策略创建 SAML 策略。
  9. 为 SAML 操作创建相应的 SAML 策略,并将该策略绑定到身份验证虚拟服务器,如下所示:

    1. 导航到“安全”>“AAA 应用程序流量”>“策略”>“身份验证”>“高级策略”,然后单击“添加”。

    2. 在“创建身份验证策略”页面上,提供以下详细信息:

      • 名称 - 指定 SAML 策略的名称。
      • 操作类型 - 选择 SAML 作为身份验证操作类型。
      • 操作 - 选择要绑定 SAML 策略的 SAML 服务器配置文件。
      • 表达式 - 显示规则或表达式的名称,SAML 策略使用该规则或表达式来确定用户是否必须通过 SAML 服务器进行身份验证。在文本框中,设置值 rule = true 以使 SAML 策略生效并运行相应的 SAML 操作。
    3. 将 SAML 策略绑定到 VPN 虚拟服务器,并通过身份验证配置文件将 VPN 虚拟服务器链接到身份验证虚拟服务器。有关绑定过程的更多信息,请参阅绑定身份验证策略

  10. 使用使用 GUI 设置身份验证虚拟服务器创建 AAA 虚拟服务器。

  11. 使用配置身份验证虚拟服务器配置 AAA 虚拟服务器。

  12. 使用身份验证配置文件创建和配置身份验证配置文件。

  13. 将身份验证配置文件与网关虚拟服务器绑定并保存所有配置。

  14. 在 Citrix 本地网关管理控制台中创建 SAML 策略后,单击“完成”。

    现在,您可以看到两个用于 Citrix Endpoint Management 集成的应用程序,即适用于 Citrix Cloud 的 Web 应用程序和用于 Citrix Endpoint Management MAM 身份验证的 SAML 应用程序。

  15. 将相关的用户和组分配给您创建的 SAML 应用程序。

现在,Okta 被添加为在 MAM 中注册的设备的身份提供商,您可以使用 Okta 对其进行身份验证。

预期行为

以下示例使用的是 Android 设备:

  1. 在您的移动设备上,打开 Citrix Secure Hub 应用程序。

    Citrix Secure Hub 应用程序图标

  2. 提供所需的权限。

  3. 在登录页面上,输入您的组织提供的凭据,然后轻按下一步

    Citrix Secure Hub 登录页面

    您将被重定向到 Okta 登录页面。

  4. 在 Okta 登录页面上,输入您的证书,然后轻按登录

    Okta 登录页面

  5. 让我们设置您的工作配置文件页面上,轻按接受并继续

    让我们设置您的工作配置文件页面

  6. 为 Citrix Secure Hub 应用程序创建 PIN 码并进行确认。

    Citrix Secure Hub 密码

    您已成功重定向到 Citrix Secure Hub 主页。

通过 NetScaler Gateway 向 Okta 进行身份验证以进行 MAM 注册