XenMobile Server

MDX 应用程序的 SSO 和代理注意事项

通过 XenMobile 与 Citrix ADC 的集成,您可以向用户提供通过单点登录 (SSO) 访问所有后端 HTTP/HTTPS 资源的功能。根据您的 SSO 身份验证要求,可以将 MDX 应用程序的用户连接配置为使用以下任一方式:

  • 安全浏览,这是一种无客户端 VPN
  • 完整 VPN 通道

如果 Citrix ADC 不是在您的环境中提供 SSO 的最佳方法,则可以为 MDX 应用程序设置基于策略的本地密码缓存。本文探讨了各种 SSO 和代理选项,重点探讨 Secure Web。这些概念适用于其他 MDX 应用程序。

下面的流程图概括了 SSO 和用户连接的决策流程。

SSO 和用户连接的决策流程示意图

Citrix ADC 身份验证方法

本节提供了有关 Citrix ADC 支持的身份验证方法的常规信息。

SAML 身份验证

将 Citrix ADC 配置为使用安全声明标记语言 (SAML) 时,用户可以连接到支持使用 SAML 协议进行单点登录的 Web 应用程序。Citrix Gateway 支持对 SAML Web 应用程序进行身份提供程序 (IdP) 单点登录。

所需的配置:

  • 在 Citrix ADC 流量配置文件中配置 SAML SSO。
  • 为请求的服务配置 SAML IdP。

NTLM 身份验证

如果在会话配置文件中启用了通过 SSO 登录 Web 应用程序的功能,Citrix ADC 将自动执行 NTLM 身份验证。

所需的配置:

  • 在 Citrix ADC 会话或流量配置文件中启用 SSO。

Kerberos 模拟

XenMobile 仅支持对 Secure Web 使用 Kerberos。将 Citrix ADC 配置为进行 Kerberos SSO 时,Citrix ADC 将在用户密码对 Citrix ADC 可用时使用模拟。模拟是指 Citrix ADC 使用用户凭据获得获取对 Secure Web 等服务的访问权限所需的令牌。

所需的配置:

  • 配置 Citrix ADC Worx 会话策略以允许其识别来自您的连接的 Kerberos 领域。
  • 在 Citrix ADC 上配置 Kerberos 约束委派 (KCD) 帐户。将该帐户配置为无密码,并将其绑定到您的 XenMobile 网关上的流量策略。
  • 有关这些配置及其他配置的详细信息,请参阅 Citrix 博客:WorxWeb and Kerberos Impersonation SSO(WorxWeb 和 Kerberos 模拟 SSO)。

Kerberos 约束委派

XenMobile 仅支持对 Secure Web 使用 Kerberos。将 Citrix ADC 配置为进行 Kerberos SSO 时,Citrix ADC 将在用户密码对 Citrix ADC 不可用时使用约束委派。

启用了约束委派时,Citrix ADC 将使用指定的管理员帐户代表用户和服务获取令牌。

所需的配置:

  • 在 Active Directory 中为 KCD 帐户配置所需的权限并在 Citrix ADC 上配置一个 KCD 帐户。
  • 在 Citrix ADC 流量配置文件中启用 SSO。
  • 将后端 Web 站点配置为进行 Kerberos 身份验证。

表单填充身份验证

将 Citrix ADC 配置为进行基于表单的单点登录时,用户登录一次即可访问您的网络中所有受保护的应用程序。此身份验证方法适用于使用安全浏览或完整 VPN 模式的应用程序。

所需的配置:

  • 在 Citrix ADC 流量配置文件中配置基于表单的 SSO。

摘要式 HTTP 身份验证

如果在会话配置文件中启用通过 SSO 登录 Web 应用程序的功能,Citrix ADC 将自动执行摘要式 HTTP 身份验证。此身份验证方法适用于使用安全浏览或完整 VPN 模式的应用程序。

所需的配置:

  • 在 Citrix ADC 会话或流量配置文件中启用 SSO。

基本 HTTP 身份验证

如果在会话配置文件中启用通过 SSO 登录 Web 应用程序的功能,Citrix ADC 将自动执行基本 HTTP 身份验证。此身份验证方法适用于使用安全浏览或完整 VPN 模式的应用程序。

所需的配置:

  • 在 Citrix ADC 会话或流量配置文件中启用 SSO。

安全浏览、完整 VPN 通道或使用 PAC 的完整 VPN 通道

以下各节介绍了适用于 Secure Web 的用户连接类型。有关详细信息,请参阅 Citrix 文档中的此 Secure Web 文章:配置用户连接

完整 VPN 通道

通过通道连接到内部网络的连接可以使用完整 VPN 通道。可使用“Secure Web 首选 VPN 模式”策略配置完整 VPN 通道。Citrix 建议对通过客户端证书或端到端 SSL 与内部网络中的资源建立的连接使用完整 VPN 通道。完整 VPN 通道处理任何 TCP 协议。可以在 Windows、Mac、iOS 和 Android 设备上使用完整 VPN 通道。

在完整 VPN 通道模式下,Citrix ADC 在 HTTPS 会话中不可见。

安全浏览

通过通道连接到内部网络的连接可以使用无客户端 VPN 的变体(称为“安全浏览”)。安全浏览是为 Secure Web 首选 VPN 模式策略指定的默认配置。Citrix 建议对需要单点登录 (SSO) 的连接使用安全浏览。

在安全浏览模式下,Citrix ADC 将 HTTPS 会话分成两个部分:

  • 从客户端到 Citrix ADC
  • 从 Citrix ADC 到后端资源服务器。

这样,Citrix ADC 将在客户端与服务器之间的所有事务中完全可见,使其能够提供 SSO。

在安全浏览模式下使用时,还可以为 Secure Web 配置代理服务器。有关详细信息,请参阅博客 XenMobile WorxWeb Traffic Through Proxy Server in Secure Browse Mode(在安全浏览模式下通过代理服务器传输 XenMobile WorxWeb 流量)。

使用 PAC 的完整 VPN 通道

对于 iOS 和 Android 设备上的 Secure Web,可以在完整 VPN 通道部署中使用代理自动配置 (PAC) 文件。XenMobile 支持 Citrix ADC 提供的代理身份验证。PAC 文件中包含的规则用于定义 Web 浏览器如何选择代理以访问指定 URL。PAC 文件规则可以指定对外部和内部站点的处理方式。Secure Web 解析 PAC 文件规则并将代理服务器信息发送到 Citrix Gateway。Citrix Gateway 无法识别 PAC 文件或代理服务器。

对于 HTTPS Web 站点的身份验证:Secure Web MDX 策略启用 Web 密码缓存允许 Secure Web 进行身份验证并通过 MDX 提供对代理服务器的 SSO。

Citrix ADC 拆分隧道

规划 SSO 和代理配置时,还必须决定是否要使用 Citrix ADC 拆分通道。如有需要,Citrix 建议您仅使用 Citrix ADC 拆分通道。本节从高层角度提供了拆分通道的工作原理:Citrix ADC 根据其路由表确定流量路径。当 Citrix ADC 拆分通道为“开”时,Secure Hub 将内部(受保护的)网络流量与 Internet 流量区分开。Secure Hub 根据 DNS 后缀和 Intranet 应用程序做出决定。然后,Secure Hub 仅通过 VPN 通道传输内部网络流量。Citrix ADC 拆分通道设置为“关”时,所有流量都将通过 VPN 通道传输。

  • 如果出于安全考虑,您更希望监视所有流量,请禁用 Citrix ADC 拆分通道。这样,所有流量都通过 VPN 通道传输。
  • 如果要在 PAC 中使用完整 VPN 通道,则必须禁用 Citrix Gateway 拆分通道。如果启用了拆分通道并且您配置了 PAC 文件,PAC 文件规则将覆盖 Citrix ADC 拆分通道规则。在流量策略中配置的代理服务器不会覆盖 Citrix ADC 拆分通道规则。

默认情况下,Secure Web 的网络访问策略设置为通过通道连接到内部网络。采用此配置时,MDX 应用程序使用 Citrix ADC 拆分通道设置。某些其他移动生产力应用程序网络访问策略默认值有所差别。

Citrix Gateway 还具有 Micro VPN 反向拆分通道模式。此配置支持不通过通道连接到 Citrix ADC 的 IP 地址的排除列表。这些地址通过使用设备 Internet 连接发送。有关反向拆分通道的详细信息,请参阅 Citrix Gateway 文档。

XenMobile 包括一个反向拆分通道排除列表。要防止通过 Citrix Gateway 使用通道连接某些 Web 站点:添加将通过 LAN 连接的完全限定域名 (FQDN) 或 DNS 后缀的列表(以逗号分隔)。Citrix Gateway 配置为使用反向拆分通道时,此列表仅适用于安全浏览模式。

MDX 应用程序的 SSO 和代理注意事项