XenMobile Server

身份验证

在 XenMobile 部署中,确定如何配置身份验证时,要考虑多个注意事项。本节将通过以下方面来介绍影响身份验证的各种因素:

  • 身份验证涉及的主要 MDX 策略、XenMobile 客户端属性和 Citrix Gateway 设置。
  • 这些策略、客户端属性和设置的交互方式。
  • 每种选择的权衡因素。

本文还提供了三个提高安全等级的建议配置示例。

一般而言,随着安全性的提高,最佳用户体验会降低,因为用户必须更加频繁地进行身份验证。如何平衡这些考虑因素取决于组织的需求和优先级。通过查看三个建议的配置,您应该可以更加清楚地了解您可用的身份验证措施的作用,以及如何以最佳方式部署您自己的 XenMobile 环境。

身份验证模式

联机身份验证: 允许用户访问 XenMobile 网络。需要 Internet 连接。

脱机身份验证: 在设备上进行。用户解锁安全保管库并脱机访问一些项目,例如,下载的邮件、缓存的 Web 站点和笔记。

身份验证方法

单因素

LDAP: 在 XenMobile 中,可以配置到一个或多个与轻型目录访问协议 (LDAP) 兼容的目录(例如 Active Directory)的连接。这是提供以单点登录 (SSO) 方式访问公司环境的常用方法。您可选择将 Citrix PIN 与 Active Directory 密码缓存组合以改进使用 LDAP 时的用户体验,同时在注册、密码过期和帐户锁定方面仍提供复杂密码的安全方式。

有关更多详细信息,请参阅域或域加 STA

客户端证书: XenMobile 可以与行业标准证书颁发机构集成以将证书用作联机身份验证的唯一方法。XenMobile 在用户注册后提供此证书,这需要一次性密码、邀请 URL 或 LDAP 凭据。将客户端证书用作主要身份验证方法时,在仅客户端证书环境中需要使用 Citrix PIN 来确保设备上证书的安全。

XenMobile 仅支持对第三方证书颁发机构使用证书吊销列表 (CRL)。如果您配置了 Microsoft CA,XenMobile 将使用 Citrix ADC 管理吊销。配置基于客户端证书的身份验证时,请考虑是否配置 Citrix ADC 证书吊销列表 (CRL) 设置 Enable CRL Auto Refresh(启用 CRL 自动刷新)。此步骤可确保处于仅 MAM 模式的设备的用户无法使用设备上的现有证书进行身份验证。XenMobile 将重新颁发新证书,因为吊销一个用户证书后,XenMobile 不限制用户再生成用户证书。此设置提高了 CRL 检查过期的 PKI 实体时 PKI 实体的安全性。

有关显示了您计划对用户使用基于证书的身份验证或您需要使用您的企业证书颁发机构 (CA) 颁发设备证书时所需部署的结构图,请参阅面向本地部署的参考体系结构

双重

LDAP + 客户端证书: 在 XenMobile 环境中,此配置是用于实现安全性和用户体验的最佳解决方案,同时,通过 Citrix ADC 进行的双重身份验证还能提供最佳 SSO 选择和安全。同时使用 LDAP 和客户端证书通过用户知晓的内容(其 Active Directory 密码)和用户拥有的内容(设备上的客户端证书)提供安全性。Secure Mail(以及某些其他移动生产力应用程序)在正确配置的 Exchange 客户端访问服务器环境中可以自动配置,并通过客户端证书身份验证提供无缝首次用户体验。要实现最佳可用性,可以将此选项与 Citrix PIN 和 Active Directory 密码缓存组合在一起。

LDAP + 令牌: 此配置允许在使用 RADIUS 协议时采用 LDAP 凭据经典配置以及一次性密码。要实现最佳可用性,可以将此选项与 Citrix PIN 和 Active Directory 密码缓存组合在一起。

身份验证中涉及的重要策略、设置和客户端属性

以下三个建议配置中涉及以下策略、设置和客户端属性:

MDX 策略

应用程序通行码: 如果设置为,应用程序在处于不活动状态一段时间后启动或恢复时需要输入 Citrix PIN 或通行码才能解锁。默认值为

要为所有应用程序配置不活动计时器,请在 XenMobile 控制台中的设置选项卡上的客户端属性中设置 INACTIVITY_TIMER 值(分钟)。默认值为 15 分钟。要禁用不活动计时器以便 PIN 或通行码提示仅在应用程序启动时出现,请将值设置为 0。

注意:

如果为“加密密钥”策略选择“安全脱机”,则将自动启用此策略。

要求联机会话: 如果设置为,用户必须连接到企业网络并且具有活动会话,才能访问设备上的应用程序。如果设置为,则访问设备上的应用程序不需要活动会话。默认设置为

最长脱机期限(小时): 定义应用程序可以运行而不需要从 XenMobile 重新确认应用程序授权并刷新策略的最长期限。当您设置“最长脱机期限”时,如果 Secure Hub for iOS 具有有效 Citrix Gateway 令牌,应用程序将从 XenMobile 为 MDX 应用程序检索新策略,而不会导致用户服务发生任何中断。如果 Secure Hub 没有有效 Citrix ADC 令牌,则用户必须通过 Secure Hub 进行身份验证,然后才能更新应用程序策略。Citrix ADC 令牌可能会由于 Citrix Gateway 会话的不活动状态或强制执行的会话超时策略而变得无效。当用户再次登录 Secure Hub 时,他们可以继续运行应用程序。

将在期限过期前 30 分钟、15 分钟和 5 分钟提醒用户登录。超过时间后,将锁定应用程序,直到用户登录。默认值为 72 小时(3 天)。最长期限为 1 小时。

注意:

请谨记,在用户经常出差并使用国际漫游的情况下,默认值 72 小时(3 天)可能太短。

后台服务票据过期日期: 后台网络服务票据保持有效的时间段。当 Secure Mail 通过 Citrix Gateway 连接到运行 ActiveSync 的 Exchange Server 时,XenMobile 会发出一个令牌,Secure Mail 将使用该令牌连接到内部 Exchange Server。此属性设置确定 Secure Mail 可以使用该令牌(无需使用新令牌)进行身份验证并连接到 Exchange Server 的持续时间。超过时间限制后,用户必须重新登录以生成新令牌。默认值为 168 小时(7 天)。此超时值到期后,邮件通知将停止。

要求联机会话宽限期(分钟): 确定“要求联机会话”策略阻止用户进一步脱机使用应用程序(直到验证联机会话)之前,用户可以脱机使用应用程序的分钟数。默认值为 0(无宽限期)。

有关身份验证策略的信息,请参阅:

XenMobile 客户端属性

注意:

客户端属性是应用于连接到 XenMobile 的所有设备的全局设置。

Citrix PIN: 要实现简单点登录体验,您可以选择启用 Citrix PIN。使用 PIN 时,用户不需要重复输入其他凭据,例如 Active Directory 用户名和密码。您可以仅将 Citrix PIN 配置为独立脱机身份验证,也可以将 PIN 与 Active Directory 密码缓存组合在一起以简化身份验证,从而实现最佳可用性。可在 XenMobile 控制台中的设置 > 客户端 > 客户端属性中配置 Citrix PIN。

下面概述了一些重要属性。有关详细信息,请参阅客户端属性

ENABLE_PASSCODE_AUTH

显示名称: 启用 Citrix PIN 身份验证

此键允许您打开 Citrix PIN 功能。启用 Citrix PIN 或通行码后,系统将提示用户定义要使用的 PIN(而非其 Active Directory 密码)。如果启用了 ENABLE_PASSWORD_CACHING,或者如果 XenMobile 使用证书身份验证,您应启用此设置。

可能的值: truefalse

默认值: false

ENABLE_PASSWORD_CACHING

显示名称: 启用用户密码缓存

此键允许您在移动设备本地缓存用户的 Active Directory 密码。当您将此键设置为 true 时,系统将提示用户设置 Citrix PIN 或通行码。当您将此键设置为 true 时,必须将 ENABLE_PASSCODE_AUTH 键设置为 true

可能的值: truefalse

默认值: false

PASSCODE_STRENGTH

显示名称: PIN 强度要求

此键定义 Citrix PIN 或通行码的强度。更改此设置时,系统将在下次提示用户进行身份验证时提示其设置新 Citrix PIN 或通行码。

可能的值:

默认值:

INACTIVITY_TIMER

显示名称: 不活动计时器

此键定义用户可以保持其设备处于不活动状态且之后访问应用程序不会提示输入 Citrix PIN 或通行码的时间(分钟)。要为 MDX 应用程序启用此设置,必须将 “应用程序通行码”设置设为 。如果“应用程序通行码”设置设为,用户将被重定向到 Secure Hub 以执行完全身份验证。更改此设置时,该值将在系统下次提示用户进行身份验证时生效。默认值为 15 分钟。

ENABLE_TOUCH_ID_AUTH

显示名称: 启用 Touch ID 身份验证

允许在脱机身份验证时使用指纹读取器(仅限 iOS)。联机身份验证仍需要使用主要身份验证方法。

ENCRYPT_SECRETS_USING_PASSCODE

显示名称: 使用通行码加密机密

此键允许将敏感数据存储在移动设备上的 Secret Vault 中(而非基于平台的本机存储中),例如 iOS 钥匙串。此配置键允许对密钥进行强加密,但还会添加用户熵(用户生成的只有自己知道的随机 PIN 代码)。

可能的值: truefalse

默认值: false

Citrix ADC 设置

会话超时: 如果启用此设置,则 Citrix ADC 在指定的时间间隔内未检测到任何网络活动时,Citrix Gateway 将断开会话。对于通过 Citrix Gateway 插件、Citrix Receiver、Secure Hub 或通过 Web 浏览器连接的用户,强制执行此设置。默认值为 1440 分钟。如果将此值设置为零,则该设置处于禁用状态。

强制超时: 如果启用此设置,则超过超时时间间隔后,无论用户正在执行什么操作,Citrix Gateway 都将断开会话。超过超时时间间隔后,用户无法执行任何操作来阻止断开。对于通过 Citrix Gateway 插件、Citrix Receiver、Secure Hub 或通过 Web 浏览器连接的用户,强制执行此设置。如果 Secure Mail 使用 STA(一种特殊 Citrix ADC 模式),则“强制超时”设置不应用于 Secure Mail 会话。默认值为 1440 分钟。如果将此值留空,则该设置处于禁用状态。

有关 Citrix Gateway 中的超时设置的详细信息,请参阅 Citrix ADC 文档。

有关提示用户在其设备上输入凭据以在 XenMobile 中执行身份验证的情景的详细信息,请参阅身份验证提示情景

默认配置设置

这些设置是由以下对象提供的默认设置:

  • 适用于 XenMobile 的 NetScaler 向导
  • MAM SDK 或 MDX Toolkit
  • XenMobile 控制台
设置 设置的查找位置 默认设置
会话超时 Citrix Gateway 1440 分钟
强制超时 Citrix Gateway 1440 分钟
最长脱机期限 MDX 策略 72 小时
后台服务票据过期日期 MDX 策略 168 小时(7 天)
要求联机会话 MDX 策略
要求联机会话宽限期 MDX 策略 0
应用程序通行码 MDX 策略
使用通行码加密机密 XenMobile 客户端属性 false
启用 Citrix PIN 身份验证 XenMobile 客户端属性 false
PIN 强度要求 XenMobile 客户端属性
PIN 类型 XenMobile 客户端属性 数字
启用用户密码缓存 XenMobile 客户端属性 false
不活动计时器 XenMobile 客户端属性 15
启用 Touch ID 身份验证 XenMobile 客户端属性 false

建议的配置

本节提供的三个 XenMobile 配置示例是从最低安全性和最佳用户体验到最高安全性和干扰较多的用户体验。这些示例可为您在考虑如何在自己的配置中权衡这些因素时提供有用的参考要点。修改这些设置可能需要更改其他设置。例如,最长脱机期限应该始终为小于会话超时。

最高安全性

此配置提供最高安全级别,但可用性显著降低。

       
设置 设置的查找位置 建议设置 行为影响
会话超时 Citrix Gateway 1440 仅当要求进行联机身份验证时,用户输入其 Secure Hub 凭据 - 每 24 小时一次。
强制超时 Citrix Gateway 1440 严格要求每 24 小时进行一次联机身份验证。活动不会延长会话生存期。
最长脱机期限 MDX 策略 23 要求每天刷新策略。
后台服务票据过期日期 MDX 策略 72 小时 STA 超时,允许在没有 Citrix Gateway 会话令牌的情况下进行长时间会话。对于 Secure Mail,使 STA 超时长于会话超时可避免当用户在会话过期之前没有打开应用程序的情况下,邮件通知停止,但未提示用户。
要求联机会话 MDX 策略 确保存在有效的网络连接和 Citrix Gateway 会话以使用应用程序。
要求联机会话宽限期 MDX 策略 0 无宽限期(如果启用了“要求联机会话”)。
应用程序通行码 MDX 策略 需要应用程序的通行码。
使用通行码加密机密 XenMobile 客户端属性 true 从用户熵派生的密钥保护保管库。
启用 Citrix PIN 身份验证 XenMobile 客户端属性 true 启用 Citrix PIN 以实现简化的身份验证体验。
PIN 强度要求 XenMobile 客户端属性 高密码复杂性要求。
PIN 类型 XenMobile 客户端属性 字母数字 PIN 是一个字母数字序列。
启用密码缓存 XenMobile 客户端属性 false 不缓存 Active Directory 密码,使用 Citrix PIN 进行脱机身份验证。
不活动计时器 XenMobile 客户端属性 15 如果在此时间段内用户未使用 MDX 应用程序或 Secure Hub,则提示进行脱机身份验证。
启用 Touch ID 身份验证 XenMobile 客户端属性 false 在 iOS 中对脱机身份验证用例禁用 Touch ID。

更高的安全性

比较均衡的方法,此配置要求用户更加频繁地(最多每 3 天一次,而不是 7 天)进行身份验证, 安全性较高。身份验证次数增加会增加锁定容器的频率,以确保设备未在使用时的数据安全性。

       
设置 设置的查找位置 建议设置 行为影响
会话超时 Citrix Gateway 4320 仅当要求进行联机身份验证时,用户输入其 Secure Hub 凭据 - 每 3 天一次。
强制超时 Citrix Gateway 无值 如果存在任何活动,则将延长会话。
最长脱机期限 MDX 策略 71 要求每 3 天刷新一次策略。在会话超时之前,允许刷新时间存在小时级差异。
后台服务票据过期日期 MDX 策略 168 小时 STA 超时,允许在没有 Citrix Gateway 会话令牌的情况下进行长时间会话。对于 Secure Mail,使 STA 超时长于会话超时可避免当用户在会话过期之前没有打开应用程序的情况下,邮件通知停止,但未提示用户。
要求联机会话 MDX 策略 确保存在有效的网络连接和 Citrix Gateway 会话以使用应用程序。
要求联机会话宽限期 MDX 策略 0 无宽限期(如果启用了“要求联机会话”)。
应用程序通行码 MDX 策略 需要应用程序的通行码。
使用通行码加密机密 XenMobile 客户端属性 false 不需要使用用户熵来加密保管库。
启用 Citrix PIN 身份验证 XenMobile 客户端属性 true 启用 Citrix PIN 以实现简化的身份验证体验。
PIN 强度要求 XenMobile 客户端属性 强制执行中等密码复杂性规则。
PIN 类型 XenMobile 客户端属性 数字 PIN 是一个数字序列。
启用密码缓存 XenMobile 客户端属性 true 用户 PIN 缓存和保护 Active Directory 密码。
不活动计时器 XenMobile 客户端属性 30 如果在此时间段内用户未使用 MDX 应用程序或 Secure Hub,则提示进行脱机身份验证。
启用 Touch ID 身份验证 XenMobile 客户端属性 true 在 iOS 中对脱机身份验证用例启用 Touch ID。

高安全性

此配置提供基本级别的安全性,对用户来说最方便。

       
设置 设置的查找位置 建议设置 行为影响
会话超时 Citrix Gateway 10080 仅当要求进行联机身份验证时,用户输入其 Secure Hub 凭据 - 每 7 天一次。
强制超时 Citrix Gateway 无值 如果存在任何活动,则将延长会话。
最长脱机期限 MDX 策略 167 要求每周(每 7 天)刷新一次策略。在会话超时之前,允许刷新时间存在小时级差异。
后台服务票据过期日期 MDX 策略 240 STA 超时,允许在没有 Citrix Gateway 会话令牌的情况下进行长时间会话。对于 Secure Mail,使 STA 超时长于会话超时可避免当用户在会话过期之前没有打开应用程序的情况下,邮件通知停止,但未提示用户。
要求联机会话 MDX 策略 确保存在有效的网络连接和 Citrix Gateway 会话以使用应用程序。
要求联机会话宽限期 MDX 策略 0 无宽限期(如果启用了“要求联机会话”)。
应用程序通行码 MDX 策略 需要应用程序的通行码。
使用通行码加密机密 XenMobile 客户端属性 false 不需要使用用户熵来加密保管库。
启用 Citrix PIN 身份验证 XenMobile 客户端属性 true 启用 Citrix PIN 以实现简化的身份验证体验。
PIN 强度要求 XenMobile 客户端属性 无密码复杂性要求
PIN 类型 XenMobile 客户端属性 数字 PIN 是一个数字序列。
启用密码缓存 XenMobile 客户端属性 true 用户 PIN 缓存和保护 Active Directory 密码。
不活动计时器 XenMobile 客户端属性 90 如果在此时间段内用户未使用 MDX 应用程序或 Secure Hub,则提示进行脱机身份验证。
启用 Touch ID 身份验证 XenMobile 客户端属性 true 在 iOS 中对脱机身份验证用例启用 Touch ID。

使用递升式身份验证

某些应用程序可能需要增强的身份验证(例如,令牌或主动会话超时等辅助身份验证因素)。您可以通过 MDX 策略控制此身份验证方法。此方法还需要一个单独的虚拟服务器来控制身份验证方法(在相同或不同的 Citrix ADC 设备上)。

设置 设置的查找位置 建议设置 行为影响
备用 Citrix Gateway MDX 策略 需要辅助 Citrix ADC 设备的 FQDN 和端口。 允许通过辅助 Citrix ADC 设备身份验证和会话策略控制增强的身份验证。

如果登录备用 Citrix Gateway 实例的用户打开某个应用程序,则所有其他应用程序都将使用该 Citrix Gateway 实例与内部网络进行通信。与具有增强安全性的 Citrix Gateway 实例的会话超时后,会话将仅切换回安全性较低的 Citrix Gateway 实例。

使用“要求联机会话”

对于某些应用程序(例如 Secure Web),您可能希望确保用户仅在具有经过身份验证的会话且设备已连接到网络时运行应用程序。此策略强制执行该方式,并允许有一个宽限期以便用户可以完成其工作。

设置 设置的查找位置 建议设置 行为影响
要求联机会话 MDX 策略 确保设备处于联机状态,并具有有效的身份验证令牌。
要求联机会话宽限期 MDX 策略 15 允许在用户无法继续使用应用程序之前有 15 分钟的宽限期
身份验证