OTP的推送通知
Citrix Gateway支持OTP的推送通知。用户登录Citrix Gateway时,不需要手动输入注册设备上接收到的OTP。管理员可以配置Citrix Gateway,以便使用推送通知服务将登录通知发送到用户的注册设备。当用户收到通知时,他们只需点击通知上的允许即可登录到Citrix Gateway。当网关收到来自用户的确认时,它标识请求的来源,并向该浏览器连接发送响应。
如果在超时时间(30秒)内没有收到通知响应,用户将被重定向到Citrix Gateway登录页面。用户可以手动或单击输入OTP重新发送通知在已注册的设备上再次接收通知。
管理员可以使用为推送通知创建的登录模式,将推送通知身份验证作为默认身份验证。
重要的是:
使用Citrix ADC高级版许可证可以使用推送通知功能。
推送通知的优势
- 推送通知提供了更安全的多因素身份验证机制。直到用户批准登录尝试,对Citrix Gateway的身份验证才会成功。
- 推送通知易于管理和使用。用户需要自行下载并安装Citrix SSO移动应用程序,无需管理员协助。
- 用户不需要复制或记住代码。他们只需点击设备就能获得认证。
- 用户可以注册多个设备。
推送通知的工作原理
推送通知工作流可以分为两类:
- 设备注册
- 最终用户登录
使用推送通知的前提条件
完成Citrix Cloud的入职流程。
创建Citrix Cloud公司帐户或加入现有帐户。有关如何进行的详细过程和说明,请参见注册Citrix Cloud。
登录到https://citrix.cloud.com,并选择客户。
从菜单中选择身份及访问管理然后导航到API访问选项卡,为该帐户创建客户端。
复制ID、秘密和客户ID。在Citrix ADC中将推送服务配置为“ClientID”和“ClientSecret”时需要ID和secret。
重要的是:
- 可以在多个数据中心上使用相同的API凭证。
- 内部Citrix ADC设备必须能够解析服务器地址mfa.cloud.com和trust.citrixworkspacesapi.net,并且可以从设备访问。这是为了确保通过端口443的这些服务器没有防火墙或IP地址块。
Citrix SSO移动端应用分别从iOS设备的app Store和Android设备的Play Store下载。iOS从版本1.1.13开始支持推送通知,Android从版本2.3.5开始支持推送通知。
对于Active Directory,请确保以下内容。
- 最小属性长度必须至少256个字符。
- 属性类型必须是' DirectoryString ',例如UserParameters。这些属性可以保存字符串值。
- 如果设备名称是非英文字符,则属性字符串类型必须为Unicode。
- Citrix ADC LDAP管理员必须对所选AD属性具有写访问权限。
- Citrix ADC和客户机必须同步到公共网络时间服务器。
推送通知配置
以下是使用推送通知功能必须完成的高级步骤。
Citrix Gateway管理员必须配置接口来管理和验证用户。
配置推送服务。
配置Citrix Gateway,用于OTP管理和最终用户登录。
用户登录Citrix gateway时,需要在网关上注册设备。
将您的设备注册到Citrix Gateway。
登录Citrix Gateway。
创建一个推送服务
导航到安全>AAA-Application交通>政策>身份验证>先进的政策>行动>推动服务并点击添加.
在的名字,输入推送服务名称。
在客户机ID,输入与Citrix Push服务器在云端通信的依赖方的唯一身份。
在客户的秘密,输入依赖方在云端与Citrix Push服务器通信的唯一秘密。
在客户ID,输入用于创建客户端ID和客户端秘密对的云中帐户的客户ID或名称。
重要的
推送业务需要TLS 1.2版本。有关更多信息,请参见TLS 1.2配置细节.
配置Citrix Gateway,用于OTP管理和最终用户登录
完成OTP管理和最终用户登录的步骤如下。
- 创建OTP管理登录模式
- 配置认证、授权和审计虚拟服务器
- 配置VPN或负载均衡虚拟服务器
- 配置策略标签
- 为最终用户登录创建登录模式
具体配置请参见本地OTP支持.
重要的:对于推送通知,管理员必须显式配置以下内容:
- 创建一个推送服务。
- 在为OTP管理创建登录模式时,根据需要选择SingleAuthManageOTP.xml登录模式或等效的登录模式。
- 在为最终用户登录创建登录模式时,根据需要选择DualAuthOrPush.xml登录模式或等效的登录模式。
将您的设备注册到Citrix Gateway
用户必须将他们的设备注册到Citrix Gateway才能使用推送通知功能。
在您的web浏览器中,浏览到您的Citrix Gateway FQDN和后缀/ manageotp到FQDN。
这将加载身份验证页面。例子:https://gateway.company.com/manageotp
根据需要,使用LDAP凭证或适当的双因素身份验证机制登录。
点击添加设备.
输入设备名称,然后单击去.
Citrix Gateway浏览器界面显示二维码。
使用Citrix单点登录app在待注册设备上扫描此二维码。
Citrix SSO验证二维码,然后向网关注册推送通知。如果注册过程中没有错误,则表示该令牌成功添加到密码令牌页面。
重要的是:
如果手动输入二维码提供的密钥,则登录失败。
如果没有其他设备要添加/管理,请使用页面右上角的列表注销。
测试一次性密码认证
要测试OTP,请从列表中单击您的设备,然后单击测试.
输入您在设备上收到的OTP,单击去.
出现OTP验证成功的消息。
使用页面右上角的列表注销。
请注意:您可以随时使用OTP管理门户进行认证测试、移除注册设备或注册更多设备等操作。
登录Citrix Gateway
在向Citrix Gateway注册设备后,用户可以使用推送通知功能进行身份验证。
导航到Citrix Gateway身份验证页面(例如:https://gateway.company.com)
根据登录模式配置,系统会提示您只输入LDAP凭据。
输入您的LDAP用户名和密码,然后选择提交.
通知被发送到您注册的设备。
注意:如果您需要手动输入OTP,则必须选择点击手动输入OTP,并在你觉得字段。
打开注册设备上的Citrix SSO应用程序,轻按允许.
注意:
在iOS设备中,你会被提示输入Touch-ID/Face-ID/ password作为额外的认证因素。
认证服务器等待推送服务器通知响应,直到配置的超时时间到期。超时后,Citrix Gateway进入登录界面。用户可以手动或单击输入OTP重新发送通知在已注册的设备上再次接收通知。根据您所选的选项,网关验证您所输入的OTP或在您注册的设备上重新发送通知。
- 没有通知您的注册设备登录失败。
失败条件
- 在以下情况下,设备注册可能失败。
- 终端用户设备可能不信任服务器证书。
- 用于注册OTP的Citrix Gateway无法被客户端访问。
- 在以下情况下,通知可能会失败。
- 用户设备没有连接到internet
- 用户设备上的通知被屏蔽
- 用户没有批准设备上的通知
在这种情况下,认证服务器将等待配置的超时时间过期。超时后,Citrix Gateway将显示一个登录页面,其中包含手动进入OTP或在注册设备上重新发送通知的选项。根据所选选项,将进行进一步的验证。
失败的日志
以下是OTP推送服务不可达时的预期日志。
- 当用户设备没有连接到互联网时,推送通知失败-推送:准备推送请求到“
客户端名称,表示推送服务。 - 设备注册失败日志-推送:没有设备注册以向云发送推送请求
客户端名称”。 - 如果用户不接受push - push:从客户端看不到响应,因为
用户名,检查重试选项。
Citrix单点登录应用程序在iOS上的行为-注意事项
通知快捷键
Citrix SSO iOS应用程序支持可操作的通知,以增强用户体验。在iOS设备上收到通知后,如果设备被锁定或Citrix SSO应用程序不在前台,用户可以使用通知中内置的快捷方式批准或拒绝登录请求。
要访问通知快捷方式,用户需要根据设备的硬件强制触摸(3D触摸)或长按通知。选择Allow快捷动作向Citrix ADC发送登录请求。根据在身份验证、授权和审计虚拟服务器上配置身份验证策略的方式;
- 登录请求可以在后台发送,而不需要在前台启动应用程序或解锁设备。
- 应用程序可能会提示输入Touch-ID/Face-ID/ password作为额外的因素,在这种情况下应用程序会被启动到前台。
从Citrix单点登录中删除密码令牌
删除Citrix单点登录app中注册的推送密码令牌,需要执行以下步骤:
- 注销(移除)网关上的iOS/Android设备。出现了从设备上注销注册的二维码。
- 打开Citrix单点登录app,轻按待删除的密码令牌信息按钮。
- 利用删除令牌扫描二维码。
请注意:
- 如果二维码有效,则从Citrix单点登录app中移除令牌成功。
- 如果设备已经从网关中移除,用户可以点击“强制删除”,在不扫描二维码的情况下删除密码令牌。如果设备没有从Citrix Gateway中删除,强制删除可能会导致设备继续收到通知。
