MDX应用程序的SSO和代理考虑

端点管理与Citrix网关的集成使您能够为用户提供对所有后端HTTP/HTTPS资源的单点登录（SSO）。根据SSO身份验证要求，您可以将MDX应用程序的用户连接配置为使用以下任一选项：

• 安全浏览(隧道式- Web SSO)，是一种无客户端VPN
• 完全VPN隧道(Citrix Mobile的iOS应用程序不支持)

重要的是:

Citrix已弃用iOS和Android设备的完整VPN隧道和代理自动配置(PAC)文件支持。有关更多信息，请参见弃用．

如果Citrix Gateway不是在您的环境中提供SSO的最佳方式，您可以使用基于策略的本地密码缓存设置MDX应用程序。本文将探讨各种SSO和代理选项，重点介绍安全Web。这些概念适用于其他MDX应用程序。

下面的流程图总结了SSO和用户连接的决策流程。

Citrix网关认证方法

介绍Citrix Gateway支持的认证方法。

SAML验证

当您配置Citrix Gateway for Security Assertion Markup Language (SAML)时，用户可以连接到支持SAML协议的web应用程序进行单点登录。Citrix网关支持SAML web应用程序的IdP单点登录。

所需配置：

• 在Citrix网关流量配置文件中配置SAML SSO。
• 为请求的服务配置SAML IdP。

NTLM身份验证

如果在会话配置文件中启用了单点登录web应用，Citrix Gateway会自动进行NTLM认证。

所需配置：

• 在Citrix网关会话或流量配置文件中启用SSO。

Kerberos模拟

端点管理仅支持安全Web的Kerberos。在为Kerberos SSO配置Citrix Gateway时，Citrix Gateway在用户密码可用时使用模拟。模拟意味着Citrix Gateway使用用户凭据来获得访问服务(如Secure Web)所需的票据。

所需配置：

• 配置Citrix网关沃克斯会话策略，以允许它从连接中识别Kerberos领域。
• 在Citrix网关上配置Kerberos约束委派（KCD）帐户。在没有密码的情况下配置该帐户，并将其绑定到端点管理网关上的流量策略。
• 有关这些和其他配置详细信息，请参阅Citrix博客：WorxWeb和Kerberos模拟SSO．

Kerberos约束代表团

端点管理仅支持安全Web的Kerberos。在配置Kerberos单点登录时，当用户密码不可用时，Citrix Gateway采用约束委派。

对于受限委派，Citrix网关使用指定的管理员帐户代表用户和服务获取票证。

所需配置：

• 在Active Directory中配置一个具有所需权限的KCD帐户，并在Citrix Gateway上配置一个KDC帐户。
• 在“Citrix网关流量配置文件”中启用单点登录功能。
• 配置Kerberos认证后端网站。

形式填写认证

当您将Citrix网关配置为基于表单的单点登录时，用户可以一次登录来访问网络中所有受保护的应用程序。适用于使用tunneling - Web SSO或Full VPN模式的应用。

所需配置：

• 在“Citrix网关流量配置文件”中配置基于表单的单点登录。

摘要HTTP身份验证

如果在会话配置文件中启用SSO到web应用，Citrix网关将自动执行摘要HTTP身份验证。此身份验证方法适用于使用隧道式Web SSO或完整VPN模式的应用程序。

所需配置：

• 在Citrix网关会话或流量配置文件中启用SSO。

基本的HTTP身份验证

如果在会话配置文件中开启了web应用的单点登录功能，Citrix Gateway将自动执行基本的HTTP认证。适用于使用tunneling - Web SSO或Full VPN模式的应用。

所需配置：

• 在Citrix网关会话或流量配置文件中启用SSO。

安全隧道-Web SSO、完整VPN隧道或带PAC的完整VPN隧道

以下部分描述安全Web的用户连接类型。

完整的VPN隧道

隧道到内部网络的连接可以使用完整的VPN隧道。使用安全Web首选VPN模式策略配置完整VPN隧道。Citrix建议为使用客户端证书或端到端SSL连接到内部网络中的资源的连接提供完整的VPN隧道。完整的VPN隧道通过TCP处理任何协议。

您可以在Windows和Mac设备上使用完整的VPN隧道。iOS版Citrix Mobile productivity应用程序无法使用完整VPN。

在Full VPN Tunnel模式下，Citrix Gateway在HTTPS会话中没有可见性。

隧道- Web SSO

通过隧道连接到内部网络的连接可以使用一种变体的无客户端VPN，称为隧道式Web SSO。隧道Web单点登录是安全Web的缺省配置首选VPN模式政策。Citrix推荐隧道Web SSO用于需要单点登录(SSO)的连接。

在隧道- Web单点登录模式下，Citrix网关将HTTPS会话分解为两个部分:

• 从客户端到Citrix Gateway
• 从Citrix Gateway到后端资源服务器。

通过这种方式，Citrix Gateway可以全面查看客户端和服务器之间的所有事务，从而能够提供SSO。

当采用隧道Web单点登录方式时，还可以为安全Web配置代理服务器。详情请参见博客端点管理在安全浏览模式下通过代理服务器的WorxWeb流量．

全VPN隧道与PAC

注意:

Citrix宣布弃用带PAC的全VPN隧道弃用．

Endpoint Management支持Citrix Gateway提供的代理身份验证。PAC文件包含定义web浏览器如何选择代理来访问给定URL的规则。PAC文件规则可以指定对内部和外部站点的处理。Secure Web解析PAC文件规则，并将代理服务器信息发送给Citrix Gateway。Citrix Gateway不知道PAC文件或代理服务器。

HTTPS网站认证:安全Web MDX策略，启用web密码缓存，使安全Web能够通过MDX进行身份验证并向代理服务器提供SSO。

Citrix网关拆分隧道

在规划SSO和代理配置时，还必须决定是否使用Citrix Gateway分离隧道。Citrix建议您仅在需要时使用Citrix Gateway分割隧道。本节提供了分离隧道如何工作的高级视图:Citrix Gateway根据其路由表确定流量路径。当Citrix网关分离隧道启用时，安全中心将内部(受保护)网络流量与Internet流量区分开来。Secure Hub根据DNS后缀和内部网应用程序进行判断。Secure Hub只通过VPN隧道对内部网络流量进行隧道。关闭“Citrix Gateway分离式隧道”后，所有流量都通过VPN隧道。

• 如果出于安全考虑，您希望监控所有流量，请禁用Citrix Gateway分离隧道。因此，所有的流量都要经过VPN隧道。
• 如果您使用带PAC的全VPN隧道，您必须禁用Citrix网关分离隧道。如果开启了分割隧道，并且您配置了一个PAC文件，PAC文件规则将覆盖Citrix Gateway分割隧道规则。在流策略中配置的代理服务器不覆盖Citrix网关分离隧道规则。

Citrix Gateway也有一个微型VPN反向拆分隧道模式。此配置支持一个没有通过隧道连接到Citrix Gateway的IP地址排除列表。相反，这些地址是通过设备的互联网连接发送的。有关反向拆分隧道的更多信息，请参阅Citrix Gateway文档。

端点管理包括反向分裂隧道排除列表．为了防止某些网站通过Citrix网关隧道:添加一个以逗号分隔的完全限定域名(FQDN)或DNS后缀列表，这些后缀使用LAN连接。此列表仅适用于反向分离隧道配置了“Citrix Gateway”的“tunneling - Web SSO”模式。