身份验证
在端点管理部署中,在决定如何配置身份验证时,需要考虑几个问题。介绍影响认证的各种因素:
- 与身份验证相关的主要MDX策略、端点管理客户端属性和Citrix网关设置。
- 这些策略、客户端属性和设置交互的方式。
- 每个选择的权衡。
本文还包括三个建议配置示例,以提高安全性。
一般来说,安全性越强,用户体验就越不理想,因为用户需要更频繁地进行身份验证。如何平衡这些关注点取决于组织的需求和优先级。查看三种推荐配置,以了解各种身份验证选项的相互作用。
认证模式
在线身份验证:允许用户进入端点管理网络。需要互联网连接。
脱机身份验证:发生在设备上。用户可以对安全库进行解锁,并离线访问下载的邮件、缓存的网站和笔记等项目。
身份验证方法
单因素
LDAP:您可以在端点管理中配置到一个或多个符合轻量级目录访问协议(LDAP)的目录的连接。此方法通常用于为公司环境提供单点登录(SSO)。您可以选择使用带有Active Directory密码缓存的Citrix PIN来改善LDAP的用户体验。同时,您可以在注册、密码过期和帐户锁定时提供复杂密码的安全性。
有关详细信息,请参见域或域加安全令牌身份验证.
客户端证书:端点管理可以与行业标准证书颁发机构集成,使用证书作为在线身份验证的唯一方法。端点管理在用户注册后提供此证书,这需要一次性密码、邀请URL或LDAP凭据。当使用客户端证书作为主要的认证方法时,在仅使用客户端证书的环境中需要一个Citrix PIN,以在设备上保护证书。
终端管理仅支持第三方证书颁发机构使用CRL (Certificate Revocation List)。如果您配置了Microsoft CA,那么端点管理将使用Citrix Gateway来管理撤销。配置客户端证书认证时,请考虑是否需要配置“Citrix Gateway Certificate Revocation List (CRL)”、“启用CRL自动刷新”。此步骤确保仅在MAM中注册的设备不能使用设备上现有的证书进行身份验证。端点管理重新颁发一个新证书,因为它不限制用户在撤销用户证书时生成用户证书。配置该参数可以提高CRL检测过期PKI实体时PKI实体的安全性。
有关显示基于证书的身份验证或使用企业证书颁发机构(CA)颁发设备证书所需的部署的图表,请参见体系结构.
双因素身份验证
LDAP +客户端证书:这种配置是端点管理的安全性和用户体验的最佳组合。同时使用LDAP和客户端证书身份验证:
- 具有最佳的SSO可能性,以及Citrix Gateway上的双因素身份验证提供的安全性。
- 通过用户知道的一些东西(他们的Active Directory密码)和他们拥有的一些东西(他们设备上的客户端证书)提供安全性。
安全邮件可以自动配置,并提供无缝的首次用户体验与客户端证书认证。该特性需要一个正确配置的Exchange客户机访问服务器环境。
为了优化可用性,可以将LDAP和客户端证书身份验证与Citrix PIN和Active Directory密码缓存结合起来。
LDAP +令牌:此配置允许使用RADIUS协议对LDAP凭据以及一次性密码进行经典配置。为了获得最佳可用性,您可以将此选项与Citrix PIN和Active Directory密码缓存相结合。
用于身份验证的重要策略、设置和客户端属性
下面的策略、设置和客户端属性适用于以下三种推荐配置:
MDX政策
应用密码:如果在,当应用程序启动或在一段时间不活动后恢复时,需要使用Citrix PIN或密码才能解锁应用程序。默认为在.
要为所有应用程序配置不活动计时器,请在Endpoint Management控制台中以分钟为单位设置INACTIVITY_TIMER值客户属性上设置标签。默认值为15分钟。要禁用非活动计时器,使PIN或密码提示仅在应用程序启动时出现,请将该值设置为零。
微VPN会话要求:如果在时,用户必须与企业网络建立连接,并具有激活会话才能访问设备上的应用程序。如果关,访问设备上的应用程序不需要活动会话。默认为关.
最大离线时长(小时):定义应用程序在不从端点管理重新确认应用程序权限和刷新策略的情况下可以运行的最长时间。当满足以下条件时,iOS应用程序将从Endpoint Management检索MDX应用程序的新策略,而不会中断用户:
- 设置“最大离线时间”
- Secure Hub for iOS有一个有效的Citrix Gateway令牌。
如果Secure Hub没有有效的Citrix网关令牌,则用户必须通过Secure Hub进行身份验证,然后才能更新应用程序策略。由于Citrix网关会话不活动或强制会话超时策略,Citrix网关令牌可能会变得无效。当用户再次登录到Secure Hub时,他们可以继续运行该应用程序。
提醒用户在过期前30分钟、15分钟和5分钟登录。过期后,应用程序将被锁定,直到用户登录。默认是72小时(3天).最短时间为1小时。
注意:
请记住,在用户经常旅行并使用国际漫游的场景中,默认72小时(3天)可能太短。
后台服务票据到期:后台网络服务票据的有效时间。当安全邮件通过Citrix网关连接到运行ActiveSync的Exchange服务器时,端点管理将发出令牌。安全邮件使用该令牌连接到内部Exchange服务器。此属性设置确定了Secure Mail在不需要新令牌进行身份验证和连接到Exchange Server的情况下使用令牌的持续时间。当时间限制到期时,用户必须再次登录以生成新的令牌。默认是168小时(7天).当此超时过期时,邮件通知将停止。
micro VPN会话所需的宽限期:确定用户离线使用应用程序的时间,直到在线会话被验证。默认值是0(无宽限期)。
有关认证策略的信息,请参见:
- 如果你使用MAM SDK:MAM SDK概述
- 如果您使用MDX Toolkit:终端管理MDX策略为iOS和Android终端管理MDX策略
端点管理客户端属性
注意:
客户端属性是应用于连接到端点管理的所有设备的全局设置。
Citrix销:对于简单的登录体验,您可以选择启用Citrix PIN。使用PIN,用户无需重复输入其他凭证,如Active Directory用户名和密码。您可以仅将Citrix PIN配置为独立的离线身份验证,或者将PIN与Active Directory密码缓存结合使用,以简化身份验证以获得最佳可用性。配置Citrix PIN>客户端>客户端属性在端点管理控制台中。
下面是对一些重要属性的总结。有关更多信息,请参见客户属性.
ENABLE_PASSCODE_AUTH
显示名称:启用“Citrix PIN Authentication”
此键允许您打开Citrix PIN功能。使用Citrix PIN或密码,用户会被提示定义一个PIN来代替Active Directory密码。如果ENABLE_PASSWORD_CACHING是否启用或端点管理是否正在使用证书身份验证。
可能值:真正的或错误的
默认值:错误的
ENABLE_PASSWORD_CACHING
显示名称:启用用户密码缓存
此密钥允许您将用户的Active Directory密码缓存在本地移动设备上。当设置为true时,系统会提示用户设置Citrix PIN或密码。当将ENABLE_PASSCODE_AUTH密钥设置为时,ENABLE_PASSCODE_AUTH密钥必须设置为true真正的.
可能值:真正的或错误的
默认值:错误的
PASSCODE_STRENGTH
显示名称:销强度要求
这个键定义了Citrix PIN或密码的强度。当您更改此设置时,将提示用户在下次提示进行身份验证时设置新的Citrix PIN或密码。
可能值:低,媒介,或强大的
默认值:媒介
INACTIVITY_TIMER
显示名称:不活动定时器
这个键定义了用户可以在几分钟内关闭设备,然后在没有提示输入Citrix PIN或密码的情况下访问应用程序的时间。要为MDX应用程序启用此设置,必须将“应用程序密码”设置为在.如果“应用程序密码”设置为关时,用户被重定向到Secure Hub以执行完整身份验证。当您更改此设置时,该值将在下一次提示用户进行身份验证时生效。默认为15分钟。
启用\u触摸\u标识\u身份验证
显示名称:启用Touch ID认证
允许使用指纹识别器(仅iOS)进行离线认证。在线认证仍然需要主认证方法。
使用密码加密\u机密\u
显示名称:使用密码加密机密信息
这个密钥可以让敏感数据存储在移动设备的秘密金库中,而不是存储在基于平台的本地存储中,比如iOS密钥链。此配置密钥支持对密钥工件进行强加密,但也增加了用户熵(用户生成的只有用户知道的随机PIN码)。
可能值:真正的或错误的
默认值:错误的
Citrix网关设置
会话超时:如果启用此设置,在指定的时间间隔内Citrix Gateway检测到没有网络活动,则断开会话。此设置强制适用于连接Citrix网关插件、Citrix工作区、安全集线器或通过web浏览器的用户。默认是1440分钟.如果将此值设置为零,则禁用该设置。
强制超时:如果启用此设置,则无论用户在做什么,Citrix Gateway都会在超时间隔过后断开会话。当超时时间间隔过去时,用户无法采取任何行动来防止断开连接。此设置强制适用于连接Citrix网关插件、Citrix工作区、安全集线器或通过web浏览器的用户。如果安全邮件使用STA (Citrix网关的一种特殊模式),则此设置不适用于安全邮件会话。Default是没有值,这意味着会话可以为任何活动扩展。
有关Citrix Gateway超时设置的更多信息,请参阅Citrix Gateway文档。
有关通过在设备上输入凭据来提示用户使用Endpoint Management进行身份验证的场景的更多信息,请参见验证提示场景.
默认配置设置
这些设置是由提供的默认设置:
- NetScaler for XenMobile向导
- MAM SDK或MDX工具包
- 端点管理控制台
| 设置 | 在哪里找到设置 | 默认设置 |
|---|---|---|
| 会话超时 | Citrix网关 | 1440分钟 |
| 强制超时 | Citrix网关 | 没有价值(下) |
| 最大离线期间 | MDX政策 | 72小时 |
| 后台服务票据到期 | MDX政策 | 168小时(7天) |
| 需要微VPN会话 | MDX政策 | 关 |
| micro VPN会话需要宽限期 | MDX政策 | 0 |
| 应用程序密码 | MDX政策 | 在 |
| 使用密码加密机密信息 | 端点管理客户端属性 | 错误的 |
| 启用“Citrix PIN Authentication” | 端点管理客户端属性 | 错误的 |
| 销强度要求 | 端点管理客户端属性 | 媒介 |
| 针式 | 端点管理客户端属性 | 数字的 |
| 启用用户密码缓存 | 端点管理客户端属性 | 错误的 |
| 不活动定时器 | 端点管理客户端属性 | 15 |
| 启用Touch ID认证 | 端点管理客户端属性 | 错误的 |
推荐配置
本节给出三种端点管理配置的示例,从最低安全性和最佳用户体验到最高安全性和更具侵入性的用户体验。这些示例为您提供了有用的参考点,以确定您希望将自己的配置放在规模的哪个位置。修改这些设置可能需要更改其他设置。例如,最大离线时间不能超过会话超时时间。
最高安全
此配置提供了最高级别的安全性,但包含了重要的可用性权衡。
| 设置 | 在哪里找到设置 | 推荐设置 | 行为的影响 |
| 会话超时 | Citrix网关 | 1440 | 用户只有在需要在线身份验证时才需要输入他们的Secure Hub凭据——每24小时一次。 |
| 强制超时 | Citrix网关 | 没有任何价值 | 如果有任何活动,会话将被延长。 |
| 最大离线期间 | MDX政策 | 23 | 需要每天更新策略。 |
| 后台服务票据到期 | MDX政策 | 72小时 | STA超时,它允许不使用Citrix Gateway会话令牌的长时间会话。对于安全邮件,使STA超时时间大于会话超时时间可以避免邮件通知停止。在这种情况下,如果用户没有在会话到期前打开应用程序,Secure Mail不会提示用户。 |
| 需要微VPN会话 | MDX政策 | 关 | 确保有效的网络连接和Citrix网关会话以使用应用程序。 |
| micro VPN会话需要宽限期 | MDX政策 | 0 | 无宽限期(如果启用了micro VPN会话,则需要)。 |
| 应用程序密码 | MDX政策 | 在 | 申请需要密码。 |
| 使用密码加密机密信息 | 端点管理客户端属性 | 真正的 | 由用户熵派生的密钥可以保护存储库。 |
| 启用“Citrix PIN Authentication” | 端点管理客户端属性 | 真正的 | 启用Citrix PIN以简化身份验证体验。 |
| 销强度要求 | 端点管理客户端属性 | 强大的 | 密码复杂度要求高。 |
| 针式 | 端点管理客户端属性 | 字母数字 | PIN是一个字母数字序列。 |
| 启用密码缓存 | 端点管理客户端属性 | 错误的 | 不缓存Active Directory密码,并使用Citrix PIN进行脱机身份验证。 |
| 不活动定时器 | 端点管理客户端属性 | 15 | 如果用户在此期间未使用MDX应用程序或Secure Hub,则提示进行离线身份验证。 |
| 启用Touch ID认证 | 端点管理客户端属性 | 错误的 | 在iOS中禁用Touch ID用于离线身份验证。 |
更高的安全性
这是一种更为中庸的方法,这种配置要求用户更频繁地进行身份验证—最多每3天,而不是7天—以及更高的安全性。越来越多的身份验证更频繁地锁定容器,从而确保设备未使用时的数据安全。
| 设置 | 在哪里找到设置 | 推荐设置 | 行为的影响 |
| 会话超时 | Citrix网关 | 4320 | 用户仅在需要在线身份验证时才输入他们的Secure Hub凭据——每3天一次 |
| 强制超时 | Citrix网关 | 没有任何价值 | 如果有任何活动,会话将被延长。 |
| 最大离线期间 | MDX政策 | 71 | 要求策略每3天刷新一次。小时差异是为了允许在会话超时之前进行刷新。 |
| 后台服务票据到期 | MDX政策 | 168小时 | STA超时,允许在没有Citrix网关会话令牌的情况下进行长期会话。对于Secure Mail,使STA超时长于会话超时可避免邮件通知在不提示用户的情况下停止。 |
| 需要微VPN会话 | MDX政策 | 关 | 确保有效的网络连接和Citrix网关会话以使用应用程序。 |
| micro VPN会话需要宽限期 | MDX政策 | 0 | 无宽限期(如果启用了micro VPN会话,则需要)。 |
| 应用程序密码 | MDX政策 | 在 | 申请需要密码。 |
| 使用密码加密机密信息 | 端点管理客户端属性 | 错误的 | 不需要用户熵来加密vault。 |
| 启用“Citrix PIN Authentication” | 端点管理客户端属性 | 真正的 | 启用Citrix PIN以简化身份验证体验。 |
| 销强度要求 | 端点管理客户端属性 | 媒介 | 执行中等密码复杂度规则。 |
| 针式 | 端点管理客户端属性 | 数字的 | PIN是一个数字序列。 |
| 启用密码缓存 | 端点管理客户端属性 | 真正的 | 用户PIN缓存并保护Active Directory密码。 |
| 不活动定时器 | 端点管理客户端属性 | 30. | 如果用户在此期间未使用MDX应用程序或Secure Hub,则提示进行离线身份验证。 |
| 启用Touch ID认证 | 端点管理客户端属性 | 真正的 | 在iOS中启用Touch ID用于离线身份验证。 |
高安全
这种配置对用户来说是最方便的,提供了基本级别的安全性。
| 设置 | 在哪里找到设置 | 推荐设置 | 行为的影响 |
| 会话超时 | Citrix网关 | 10080 | 用户只有在需要在线身份验证时才输入他们的Secure Hub凭据——每7天一次 |
| 强制超时 | Citrix网关 | 没有任何价值 | 如果有任何活动,会话将被延长。 |
| 最大离线期间 | MDX政策 | 167 | 要求每周(每7天)更新保单。小时差异是为了允许在会话超时之前进行刷新。 |
| 后台服务票据到期 | MDX政策 | 240 | STA超时,它允许不使用Citrix Gateway会话令牌的长时间会话。对于安全邮件,使STA超时时间大于会话超时时间可以避免邮件通知停止。在这种情况下,如果用户没有在会话到期前打开应用程序,Secure Mail不会提示用户。 |
| 需要微VPN会话 | MDX政策 | 关 | 确保有效的网络连接和Citrix网关会话以使用应用程序。 |
| micro VPN会话需要宽限期 | MDX政策 | 0 | 无宽限期(如果启用了micro VPN会话,则需要)。 |
| 应用程序密码 | MDX政策 | 在 | 申请需要密码。 |
| 使用密码加密机密信息 | 端点管理客户端属性 | 错误的 | 不需要用户熵来加密vault。 |
| 启用“Citrix PIN Authentication” | 端点管理客户端属性 | 真正的 | 启用Citrix PIN以简化身份验证体验。 |
| 销强度要求 | 端点管理客户端属性 | 低 | 没有密码复杂度要求 |
| 针式 | 端点管理客户端属性 | 数字的 | PIN是一个数字序列。 |
| 启用密码缓存 | 端点管理客户端属性 | 真正的 | 用户PIN缓存并保护Active Directory密码。 |
| 不活动定时器 | 端点管理客户端属性 | 90 | 如果用户在此期间未使用MDX应用程序或Secure Hub,则提示进行离线身份验证。 |
| 启用Touch ID认证 | 端点管理客户端属性 | 真正的 | 在iOS中启用Touch ID用于离线身份验证。 |
使用递增身份验证
有些应用程序可能需要增强身份验证。例如,辅助身份验证因素,如令牌或主动会话超时。您可以通过MDX策略控制这种身份验证方法。该方法还需要一个单独的虚拟服务器来控制身份验证方法(在相同或单独的Citrix Gateway设备上)。
| 设置 | 在哪里找到设置 | 推荐设置 | 行为的影响 |
|---|---|---|---|
| 交替Citrix网关 | MDX政策 | 需要备用Citrix Gateway设备的FQDN和端口。 | 允许由辅助Citrix网关设备身份验证和会话策略控制的增强身份验证。 |
如果用户打开一个使用备用Citrix网关的应用程序,所有其他应用程序都使用该Citrix网关实例与内部网络通信。只有当从具有增强安全性的Citrix Gateway实例的会话超时时,会话才切换回安全性较低的Citrix Gateway实例。
需要使用micro VPN会话
对于某些应用程序,例如Secure Web,您可以确保用户只有在拥有经过身份验证的会话时才运行应用程序。该策略强制执行该选项,并允许宽限期,以便用户可以完成他们的工作。
| 设置 | 在哪里找到设置 | 推荐设置 | 行为的影响 |
|---|---|---|---|
| 需要微VPN会话 | MDX政策 | 在 | 确保设备在线并具有有效的认证令牌。 |
| micro VPN会话需要宽限期 | MDX政策 | 15 | 在用户不能再使用应用程序之前,允许有15分钟的宽限期 |