身份验证
在 XenMobile® 部署中,决定如何配置身份验证时需要考虑多个因素。本节通过讨论以下内容,帮助您了解影响身份验证的各种因素:
- 与身份验证相关的主要 MDX 策略、XenMobile 客户端属性和 Citrix Gateway 设置。
- 这些策略、客户端属性和设置的交互方式。
- 每种选择的权衡。
本文还包括三个推荐配置示例,以提高安全性。
广义而言,更强的安全性会导致用户体验不佳,因为用户必须更频繁地进行身份验证。如何平衡这些问题取决于您的组织需求和优先级。通过查看这三个推荐配置,您必须更深入地了解可用的身份验证措施之间的相互作用以及如何最佳地部署您自己的 XenMobile 环境。
身份验证模式
在线身份验证
允许用户访问 XenMobile 网络。需要 Internet 连接。
离线身份验证
在设备上进行。用户解锁安全保管库并离线访问项目,例如下载的邮件、缓存的网站和笔记。
身份验证方法
单因素
LDAP
您可以在 XenMobile 中配置与一个或多个目录(例如符合轻型目录访问协议 (LDAP) 的 Active Directory)的连接。这是一种常用的方法,可为公司环境提供单点登录 (SSO)。您可以选择使用 Citrix PIN 和 Active Directory 密码缓存来改善 LDAP 的用户体验,同时仍提供注册时复杂密码、密码过期和帐户锁定的安全性。
有关更多详细信息,请参阅 域或域加 STA。
客户端证书
XenMobile 可以与行业标准证书颁发机构集成,以使用证书作为在线身份验证的唯一方法。XenMobile 在用户注册后提供此证书,这需要一次性密码、邀请 URL 或 LDAP 凭据。当使用客户端证书作为主要身份验证方法时,在仅限客户端证书的环境中需要 Citrix PIN 来保护设备上的证书。
XenMobile 仅支持第三方证书颁发机构的证书吊销列表 (CRL)。如果您配置了 Microsoft CA,XenMobile 将使用 Citrix ADC 来管理吊销。当您配置基于客户端证书的身份验证时,请考虑是否需要配置 Citrix ADC 证书吊销列表 (CRL) 设置“启用 CRL 自动刷新”。此步骤可确保处于仅 MAM 模式的设备用户无法使用设备上的现有证书进行身份验证。XenMobile 会重新颁发新证书,因为它不限制用户在证书被吊销时生成用户证书。此设置在 CRL 检查过期 PKI 实体时提高了 PKI 实体的安全性。
有关显示如果您计划为用户使用基于证书的身份验证或需要使用企业证书颁发机构 (CA) 颁发设备证书所需的部署图,请参阅 本地部署的参考体系结构。
双因素
LDAP + 客户端证书
在 XenMobile 环境中,此配置是安全性与用户体验的最佳组合,具有最佳的 SSO 可能性以及 Citrix ADC 提供的双因素身份验证安全性。同时使用 LDAP 和客户端证书可提供安全性,既有用户知道的内容(其 Active Directory 密码),也有他们拥有的内容(其设备上的客户端证书)。Secure Mail(以及其他一些移动生产力应用程序)可以自动配置并提供无缝的首次用户体验,通过客户端证书身份验证,并具有正确配置的 Exchange 客户端访问服务器环境。为了获得最佳可用性,您可以将此选项与 Citrix PIN 和 Active Directory 密码缓存结合使用。
LDAP + 令牌
此配置允许使用 RADIUS 协议进行 LDAP 凭据的经典配置,以及一次性密码。为了获得最佳可用性,您可以将此选项与 Citrix PIN 和 Active Directory 密码缓存结合使用。
身份验证中涉及的重要策略、设置和客户端属性
以下策略、设置和客户端属性在以下三个推荐配置中发挥作用:
MDX 策略
应用程序密码
如果为 On,则在应用程序启动或在一段时间不活动后恢复时,需要 Citrix PIN 或密码才能解锁应用程序。默认值为 On。
要为所有应用程序配置不活动计时器,请在 XenMobile 控制台的设置选项卡上的 Client Properties 中将 INACTIVITY_TIMER 值设置为分钟。默认值为 15 分钟。要禁用不活动计时器,以便仅在应用程序启动时显示 PIN 或密码提示,请将值设置为零。
注意:
如果您为“加密密钥”策略选择“安全离线”,则此策略将自动启用。
需要在线会话
如果为 On,则用户必须连接到企业网络并具有活动会话才能访问设备上的应用程序。如果为 Off,则无需活动会话即可访问设备上的应用程序。默认值为 Off。
最长离线时间(小时)
定义应用程序在不重新确认应用程序权利和从 XenMobile 刷新策略的情况下可以运行的最长时间。当您设置最长离线时间时,如果适用于 iOS 的 Secure Hub 具有有效的 Citrix Gateway 令牌,则应用程序会从 XenMobile 检索 MDX 应用程序的新策略,而不会中断用户。如果 Secure Hub 没有有效的 Citrix ADC 令牌,则用户必须通过 Secure Hub 进行身份验证才能更新应用程序策略。Citrix ADC 令牌可能因 Citrix Gateway 会话不活动或强制会话超时策略而失效。当用户再次登录 Secure Hub 时,他们可以继续运行应用程序。
在期限到期前 30、15 和 5 分钟,系统会提醒用户登录。到期后,应用程序将被锁定,直到用户登录。默认值为 72 小时(3 天)。最短期限为 1 小时。
注意:
请记住,在用户经常旅行并可以使用国际漫游的情况下,默认的 72 小时(3 天)可能太短。
后台服务票证过期
后台网络服务票证保持有效的时间段。当 Secure Mail 通过 Citrix Gateway 连接到运行 ActiveSync 的 Exchange Server 时,XenMobile 会颁发一个令牌,Secure Mail 使用该令牌连接到内部 Exchange Server。此属性设置确定 Secure Mail 可以使用令牌而无需新的身份验证令牌以及与 Exchange Server 的连接的持续时间。当时间限制到期时,用户必须再次登录以生成新令牌。默认值为 168 小时(7 天)。当此超时到期时,邮件通知将停止。
需要在线会话宽限期
确定用户可以在线会话必需策略阻止他们进一步使用(直到在线会话得到验证)之前,离线使用应用程序的分钟数。默认值为 0(无宽限期)。
有关身份验证策略的信息,请参阅:
- 如果您使用 MAM SDK:MAM SDK 概述
- 如果您使用 MDX Toolkit:适用于 iOS 的 MDX 策略和适用于 Android 的 MDX 策略
XenMobile 客户端属性
注意:
客户端属性是适用于连接到 XenMobile 的所有设备的全局设置。
Citrix PIN: 为了获得简单的单点登录体验,您可以选择启用 Citrix PIN。使用 PIN,用户无需重复输入其他凭据,例如其 Active Directory 用户名和密码。您可以将 Citrix PIN 配置为仅限独立的脱机身份验证,也可以将 PIN 与 Active Directory 密码缓存结合使用,以简化身份验证,从而实现最佳可用性。您可以在 XenMobile 控制台的 “设置”>“客户端”>“客户端属性” 中配置 Citrix PIN。
以下是几个重要属性的摘要。有关详细信息,请参阅客户端属性。
ENABLE_PASSCODE_AUTH
显示名称: 启用 Citrix PIN 身份验证
此密钥允许您启用 Citrix PIN 功能。使用 Citrix PIN 或密码,系统会提示用户定义一个 PIN,以代替其 Active Directory 密码。如果启用了 ENABLE_PASSWORD_CACHING 或 XenMobile 正在使用证书身份验证,则必须启用此设置。
可能的值: true 或 false
默认值: false
ENABLE_PASSWORD_CACHING
显示名称: 启用用户密码缓存
此密钥允许您将用户的 Active Directory 密码缓存在移动设备本地。当您将此密钥设置为 true 时,系统会提示用户设置 Citrix PIN 或密码。当您将此密钥设置为 true 时,必须将 ENABLE_PASSCODE_AUTH 密钥设置为 true。
可能的值: true 或 false
默认值: false
PASSCODE_STRENGTH
显示名称: PIN 强度要求
此密钥定义 Citrix PIN 或密码的强度。当您更改此设置时,下次系统提示用户进行身份验证时,会提示他们设置新的 Citrix PIN 或密码。
可能的值: 低、中 或 高
默认值: 中
INACTIVITY_TIMER
显示名称: 不活动计时器
此密钥定义用户可以使其设备处于不活动状态,然后访问应用程序而无需提示输入 Citrix PIN 或密码的分钟数。要为 MDX 应用程序启用此设置,您必须将 “应用程序密码” 设置为 “开”。如果 “应用程序密码” 设置为 “关”,用户将被重定向到 Secure Hub 以执行完全身份验证。当您更改此设置时,该值将在下次系统提示用户进行身份验证时生效。默认值为 15 分钟。
ENABLE_TOUCH_ID_AUTH
显示名称: 启用触控 ID 身份验证
允许使用指纹识别器(仅限 iOS)进行脱机身份验证。联机身份验证仍需要主要身份验证方法。
ENCRYPT_SECRETS_USING_PASSCODE
显示名称: 使用密码加密机密
此密钥允许将敏感数据存储在移动设备上的机密保管库中,而不是存储在基于平台的本机存储(例如 iOS 钥匙串)中。此配置密钥可实现关键工件的强加密,但也会增加用户熵(只有用户知道的用户生成的随机 PIN 码)。
可能的值: true 或 false
默认值: false
Citrix ADC 设置
会话超时: 如果启用此设置,当 Citrix ADC 在指定的时间间隔内未检测到网络活动时,Citrix Gateway 将断开会话。此设置对通过 Citrix Gateway Plug-in、Citrix Receiver™、Secure Hub 或 Web 浏览器连接的用户强制执行。默认值为 1440 分钟。如果将此值设置为零,则禁用此设置。
强制超时: 如果启用此设置,无论用户正在执行什么操作,Citrix Gateway 都会在超时时间间隔结束后断开会话。当超时时间间隔结束后,用户无法采取任何操作来阻止断开连接。此设置对通过 Citrix Gateway Plug-in、Citrix Receiver、Secure Hub 或 Web 浏览器连接的用户强制执行。如果 Secure Mail 正在使用 STA(一种特殊的 Citrix ADC 模式),则 强制超时 设置不适用于 Secure Mail 会话。默认值为 1440 分钟。如果将此值留空,则禁用此设置。
有关 Citrix Gateway 中超时设置的详细信息,请参阅 Citrix ADC 文档。
有关提示用户通过在其设备上输入凭据来使用 XenMobile 进行身份验证的场景的详细信息,请参阅身份验证提示场景。
默认配置设置
这些设置是以下各项提供的默认设置:
- 适用于 XenMobile 的 NetScaler® 向导
- MAM SDK 或 MDX Toolkit
- XenMobile 控制台
| 设置 | 查找设置的位置 | 默认设置 |
|---|---|---|
| 会话超时 | Citrix Gateway | 1440 分钟 |
| 强制超时 | Citrix Gateway | 1440 分钟 |
| 最长脱机时间 | MDX 策略 | 72 小时 |
| 后台服务票证过期时间 | MDX 策略 | 168 小时 (7 天) |
| 需要联机会话 | MDX 策略 | 关 |
| 需要联机会话宽限期 | MDX 策略 | 0 |
| 应用程序密码 | MDX 策略 | 开 |
| 使用密码加密机密 | XenMobile 客户端属性 | false |
| 启用 Citrix PIN 身份验证 | XenMobile 客户端属性 | false |
| PIN 强度要求 | XenMobile 客户端属性 | 中等 |
| PIN 类型 | XenMobile 客户端属性 | 数字 |
| 启用用户密码缓存 | XenMobile 客户端属性 | false |
| 不活动计时器 | XenMobile 客户端属性 | 15 |
| 启用触控 ID 身份验证 | XenMobile 客户端属性 | false |
推荐配置
本节提供了三个 XenMobile 配置示例,这些配置的范围从最低安全性、最佳用户体验到最高安全性、更具侵入性的用户体验。这些示例旨在为您提供有用的参考点,以确定您希望将自己的配置置于哪个级别。修改这些设置可能还需要您更改其他设置。例如,最长脱机时间必须始终小于会话超时。
最高安全性
此配置提供了最高级别的安全性,但存在显著的可用性权衡。
| 设置 | 查找设置的位置 | 推荐设置 | 行为影响 |
| 会话超时 | Citrix Gateway | 1440 | 用户仅在需要联机身份验证时(每 24 小时)输入其 Secure Hub 凭据。 |
| 强制超时 | Citrix Gateway | 1440 | 严格要求每 24 小时进行一次联机身份验证。活动不会延长会话生命周期。 |
| 最长脱机时间 | MDX 策略 | 23 | 要求每天刷新策略。 |
| 后台服务票证过期时间 | MDX 策略 | 72 小时 | STA 超时,允许在没有 Citrix Gateway 会话令牌的情况下进行长时间会话。对于 Secure Mail,将 STA 超时设置得比会话超时长,可以避免在会话过期前用户未打开应用程序时邮件通知停止而不提示用户。 |
| 需要联机会话 | MDX 策略 | 关 | 确保有效的网络连接和 Citrix Gateway 会话以使用应用程序。 |
| 需要联机会话宽限期 | MDX 策略 | 0 | 无宽限期(如果已启用“需要联机会话”)。 |
| 应用程序密码 | MDX 策略 | 开 | 要求应用程序提供密码。 |
| 使用密码加密机密 | XenMobile 客户端属性 | true | 从用户熵派生的密钥可保护保管库。 |
| 启用 Citrix PIN 身份验证 | XenMobile 客户端属性 | true | 启用 Citrix PIN 以简化身份验证体验。 |
| PIN 强度要求 | XenMobile 客户端属性 | 强 | 高密码复杂性要求。 |
| PIN 类型 | XenMobile 客户端属性 | 字母数字 | PIN 是字母数字序列。 |
| 启用密码缓存 | XenMobile 客户端属性 | false | 不缓存 Active Directory 密码,Citrix PIN 用于脱机身份验证。 |
| 不活动计时器 | XenMobile 客户端属性 | 15 | 如果用户在此期间不使用 MDX 应用程序或 Secure Hub,则提示进行脱机身份验证。 |
| 启用触控 ID 身份验证 | XenMobile 客户端属性 | false | 禁用 iOS 中用于脱机身份验证用例的触控 ID。 |
较高安全性
这是一种更折中的方法,此配置要求用户更频繁地进行身份验证(最多每 3 天一次,而不是 7 天一次),并提供更强的安全性。身份验证次数的增加会更频繁地锁定容器,从而确保设备不使用时的数据安全。
| 设置 | 查找设置的位置 | 推荐设置 | 行为影响 |
| 会话超时 | Citrix Gateway | 4320 | 用户仅在需要联机身份验证时(每 3 天)输入其 Secure Hub 凭据。 |
| 强制超时 | Citrix Gateway | 无值 | 如果有任何活动,会话将延长。 |
| 最长脱机时间 | MDX 策略 | 71 | 要求每 3 天刷新策略。小时差是为了在会话超时之前进行刷新。 |
| 后台服务票证过期时间 | MDX 策略 | 168 小时 | STA 超时,允许在没有 Citrix Gateway 会话令牌的情况下进行长时间会话。对于 Secure Mail,将 STA 超时设置得比会话超时长,可以避免在会话过期前用户未打开应用程序时邮件通知停止而不提示用户。 |
| 需要联机会话 | MDX 策略 | 关 | 确保有效的网络连接和 Citrix Gateway 会话以使用应用程序。 |
| 需要联机会话宽限期 | MDX 策略 | 0 | 无宽限期(如果已启用“需要联机会话”)。 |
| 应用程序密码 | MDX 策略 | 开 | 要求应用程序提供密码。 |
| 使用密码加密机密 | XenMobile 客户端属性 | false | 不需要用户熵来加密保管库。 |
| 启用 Citrix PIN 身份验证 | XenMobile 客户端属性 | true | 启用 Citrix PIN 以简化身份验证体验。 |
| PIN 强度要求 | XenMobile 客户端属性 | 中等 | 强制执行中等密码复杂性规则。 |
| PIN 类型 | XenMobile 客户端属性 | 数字 | PIN 是数字序列。 |
| 启用密码缓存 | XenMobile 客户端属性 | true | 用户 PIN 缓存并保护 Active Directory 密码。 |
| 不活动计时器 | XenMobile 客户端属性 | 30 | 如果用户在此期间不使用 MDX 应用程序或 Secure Hub,则提示进行脱机身份验证。 |
| 启用触控 ID 身份验证 | XenMobile 客户端属性 | true | 启用 iOS 中用于脱机身份验证用例的触控 ID。 |
高安全性
此配置对用户最方便,提供基本级别的安全性。
| 设置 | 查找设置的位置 | 推荐设置 | 行为影响 |
| 会话超时 | Citrix Gateway | 10080 | 用户仅在需要联机身份验证时(每 7 天)输入其 Secure Hub 凭据。 |
| 强制超时 | Citrix Gateway | 无值 | 如果有任何活动,会话将延长。 |
| 最长脱机时间 | MDX 策略 | 167 | 要求每周刷新策略(每 7 天)。小时差是为了在会话超时之前进行刷新。 |
| 后台服务票证过期时间 | MDX 策略 | 240 | STA 超时,允许在没有 Citrix Gateway 会话令牌的情况下进行长时间会话。对于 Secure Mail,将 STA 超时设置得比会话超时长,可以避免在会话过期前用户未打开应用程序时邮件通知停止而不提示用户。 |
| 需要联机会话 | MDX 策略 | 关 | 确保有效的网络连接和 Citrix Gateway 会话以使用应用程序。 |
| 需要联机会话宽限期 | MDX 策略 | 0 | 无宽限期(如果已启用“需要联机会话”)。 |
| 应用程序密码 | MDX 策略 | 开 | 要求应用程序提供密码。 |
| 使用密码加密机密 | XenMobile 客户端属性 | false | 不需要用户熵来加密保管库。 |
| 启用 Citrix PIN 身份验证 | XenMobile 客户端属性 | true | 启用 Citrix PIN 以简化身份验证体验。 |
| PIN 强度要求 | XenMobile 客户端属性 | 低 | 无密码复杂性要求。 |
| PIN 类型 | XenMobile 客户端属性 | 数字 | PIN 是数字序列。 |
| 启用密码缓存 | XenMobile 客户端属性 | true | 用户 PIN 缓存并保护 Active Directory 密码。 |
| 不活动计时器 | XenMobile 客户端属性 | 90 | 如果用户在此期间不使用 MDX 应用程序或 Secure Hub,则提示进行脱机身份验证。 |
| 启用触控 ID 身份验证 | XenMobile 客户端属性 | true | 启用 iOS 中用于脱机身份验证用例的触控 ID。 |
使用增强型身份验证
某些应用程序可能需要增强型身份验证(例如,辅助身份验证因素,如令牌或激进的会话超时)。您可以通过 MDX 策略控制此身份验证方法。此方法还需要一个单独的虚拟服务器来控制身份验证方法(可在相同或不同的 Citrix ADC 设备上)。
| 设置 | 查找设置的位置 | 推荐设置 | 行为影响 |
|---|---|---|---|
| 备用 Citrix Gateway | MDX 策略 | 需要辅助 Citrix ADC 设备的 FQDN 和端口。 | 允许通过辅助 Citrix ADC 设备的身份验证和会话策略控制增强型身份验证。 |
如果用户打开一个登录到备用 Citrix Gateway 实例的应用程序,则所有其他应用程序都将使用该 Citrix Gateway 实例与内部网络通信。会话仅在增强安全性的 Citrix Gateway 实例会话超时后,才会切换回安全性较低的 Citrix Gateway 实例。
使用“需要联机会话”
对于某些应用程序(例如 Secure Web),您可能希望确保用户仅在其具有经过身份验证的会话且设备连接到网络时才运行应用程序。此策略强制执行该选项并允许宽限期,以便用户可以完成其工作。
| 设置 | 查找设置的位置 | 推荐设置 | 行为影响 |
|---|---|---|---|
| 需要联机会话 | MDX 策略 | 开 | 确保设备处于联机状态并具有有效的身份验证令牌。 |
| 需要联机会话宽限期 | MDX 策略 | 15 | 允许 15 分钟的宽限期,之后用户将无法再使用应用程序。 |