Citrix 自适应身份验证服务

自适应身份验证是一项 Citrix Cloud 服务,可为登录 Citrix Workspace 的客户和用户启用高级身份验证。Adaptive Authentication 服务根据位置、设备状态和最终用户环境等因素验证用户身份和授权级别。利用这些因素,自适应身份验证服务智能地选择适当的身份验证方法,并允许访问授权资源。

此外,管理员还可以为这些用户启用上下文访问权限以访问其应用程序和桌面。 Citrix Secure Private Access 和 Citrix DaaS 客户可以使用自适应身份验证服务。

高级身份验证功能

自适应身份验证服务是 Citrix 托管和 Citrix Cloud 托管的 ADC,提供所有高级身份验证功能,例如:

多重身份验证: 多重身份验证要求用户提供多个身份证明才能获得访问权限,从而增强了应用程序的安全性。客户可以根据业务需求在多重身份验证机制中配置各种因素组合。有关详细信息,请参阅 身份验证配置示例

设备状况扫描: 可以根据设备状况对用户进行身份验证。设备状况扫描(也称为端点分析扫描)检查设备是否合规。例如,如果设备运行的是最新的操作系统版本,则会设置补丁包和注册表项。安全合规涉及扫描以检查是否安装了防病毒软件或是否打开了防火墙等等。设备状况还可以检查设备是托管还是非托管、公司所有或 BYOL。

Device Posture 服务: Device Posture 服务在允许终端用户登录之前检查终端设备的合规性,从而在您的网络中执行零信任原则。要同时使用自适应身份验证服务和 Device Posture 服务,您可以配置 Device Posture 服务并继续使用自适应身份验证方法作为自适应身份验证Citrix Cloud > 身份和访问管理)。有关 Device Posture 服务的详细信息,请参阅 Device Posture

注意:

如果您使用自适应身份验证配置 Device Posture,请勿在自适应身份验证实例上配置 EPA 策略。

条件身份验证: 根据用户的参数,如网络位置、设备状况、用户组、一天中的时间,可以启用条件身份验证。您可以使用其中一个参数或这些参数的组合来执行条件身份验证。

基于设备状况的身份验证示例:您可以执行设备状况扫描,以检查设备是企业托管设备还是自带设备。

  • 如果设备是企业管理的设备,您可以使用简单的 AD(用户名和密码)来质询用户。
  • 如果设备是 BYOD,则可以使用 AD 加上 RADIUS 身份验证来质询用户。

如果您计划根据网络位置有选择地枚举虚拟应用程序和桌面,则必须使用 Citrix Studio 策略而不是工作区对这些交付组执行用户管理。创建交付组时,请在用户设置中选择 限制以下用户使用此交付组允许任何经过身份验证的用户使用此交付组。这样,交付组下的“访问策略”选项卡就可以配置自适应访问。

对 Citrix DaaS 的上下文访问: 自适应身份验证支持对 Citrix DaaS 的上下文访问。自适应身份验证将有关用户的所有策略信息显示给 Citrix DaaS。管理员可以在其策略配置中使用此信息来控制可以在 Citrix DaaS 上执行的用户操作。例如,用户操作可以是启用或禁用剪贴板访问和客户端驱动器映射打印机重定向。

在即将发布的版本中,计划通过自适应身份验证对 Secure Private Access 和其他 Citrix Cloud 服务进行情境访问。

登录页面自定义: 自适应身份验证可帮助用户高度自定义 Citrix Cloud 登录页面。

其他自适应身份验证功能

以下是具有自适应身份验证的 Citrix Workspace 中支持的功能。

  • LDAP(Active Directory)支持
  • LDAPS(Active Directory)支持
  • 针对 AD、Azure AD、Okta 的目录支持
  • RADIUS 支持(双核、Symantec)
  • AD + 令牌内置 MFA
  • SAML 2.0
  • OAuth、OIDC 支持
  • 客户证书身份验证
  • 设备状况评估(端点分析)
  • Device Posture 服务
  • 与第三方身份验证提供商集成
  • 通过应用程序推送通知
  • reCAPTCHA 支持
  • 条件/策略驱动的身份验证
  • 智能访问(上下文访问)的身份验证策略
  • 登录页面自定义
  • 自助密码重置

自适应身份验证实例的升级和维护

自适应身份验证实例的所有升级和维护均由 Citrix Cloud 团队管理。建议您不要将自适应身份验证实例升级或降级为随机 RTM 版本。您可以根据客户流量安排升级。计划升级您的自适应身份验证实例。然后,Citrix Cloud 团队会相应地升级您的实例。

重要:

  • Citrix Cloud 团队会定期检查与实例的通信。如果出现断开连接,自适应身份验证支持团队可能会联系您以重新管理实例。如果实例管理问题未得到解决,则自适应身份验证团队将无法管理升级。这可能会导致您运行有漏洞的版本。
  • 建议您启用电子邮件通知,以接收有关授权到期和磁盘空间使用详情的电子邮件。有关详细信息,请参阅通知
  • 由于自适应身份验证实例升级由 Citrix 管理,因此客户必须确保 VAR 目录中有足够的空间(至少 7 GB)用于升级。有关如何释放 VAR 目录空间的详细信息,请参阅如何释放 VAR 目录上的空间
  • 请勿将高可用性状态从“启用”更改为“保持主要状态”或“保持辅助状态”。自适应身份验证的高可用性状态必须为“启用”。
  • 不要在自适应身份验证实例上更改用户 (authadmin) 的密码。如果更改了密码,自适应身份验证团队将无法管理升级。

共同承担安全责任

客户需要采取的操作

以下是客户作为安全最佳实践的一部分而采取的一些操作。

  • 访问自适应身份验证用户界面的凭据:客户负责创建和维护访问自适应身份验证用户界面的凭据。如果客户正在与 Citrix 支持部门合作解决问题,则客户可能需要与支持人员共享这些凭据。

  • 多重身份验证:最佳做法是,客户必须配置多重身份验证策略,以防止未经授权访问资源。

  • 身份验证凭据:客户必须根据一般安全和密码标准配置其身份验证凭据。

  • 远程 CLI 访问安全性:Citrix 为客户提供远程 CLI 访问。但是,客户有责任在运行时维护实例的安全。

  • SSL 私钥:由于 NetScaler 处于客户控制之下,因此 Citrix 无法访问文件系统。客户必须确保他们保护他们在 NetScaler 实例上托管的证书和密钥。

  • 数据备份:备份配置、证书、密钥、门户自定义以及任何其他文件系统修改。

  • NetScaler 实例的磁盘映像:维护和管理 NetScaler 磁盘空间和磁盘清理。有关详细信息,请参阅实例的磁盘空间管理

  • 有关负载平衡的 LDAPS 配置示例,请参阅负载平衡的 LDAPS 配置示例

客户和 Citrix 都需要采取操作

  • 灾难恢复:在受支持的 Azure 区域中,NetScaler 高可用性实例在单独的可用区中预配,以防止数据丢失。如果 Azure 数据丢失,Citrix 将尽可能多地恢复 Citrix 管理的 Azure 订阅中的资源。

    如果丢失了整个 Azure 区域,客户有责任在新区域中重建其客户管理的虚拟网络并创建新的 VNet 对等互连。

  • 通过公共管理 IP 地址进行安全访问:

    通过分配的公有 IP 地址保护对管理接口的访问,并允许出站连接到 Internet。

限制

  • 只有类型为 PEM 的证书才支持证书捆绑包。对于其他捆绑包类型,建议安装根证书和中间证书并将它们链接到服务器证书。
  • 不支持与 RADIUS 服务器进行负载平衡。
  • 如果服务于 RADIUS 请求的连接器出现故障,RADIUS 身份验证将受到几分钟的影响。在这种情况下,用户必须重新进行身份验证。
  • 不支持 DNS 隧道。必须在 NetScaler 上为客户本地数据中心身份验证服务器的身份验证策略/配置文件 (LDAP/RADIUS) 中使用的 FQDN 添加静态记录。

    有关添加 DNS 静态记录的详细信息,请参阅为域名创建地址记录

  • 即使未建立与 LDAP 服务器的连接,LDAP 配置文件中的测试网络连接也可能会显示错误的结果,即“服务器可访问”。可能会显示错误消息,例如“端口未打开”或“服务器不是 LDAP”,以指示故障。在这种情况下,建议您收集跟踪信息并进一步排除故障。
  • 要在 macOS 上运行 EPA 扫描,必须选择 ECC 曲线选项作为 AL L,将默认 ECC 曲线绑定到身份验证和授权虚拟服务器。

服务质量

自适应身份验证是一项高可用性(活动-备用)服务。

Citrix 自适应身份验证服务