证书和身份验证

在端点管理操作期间，有几个组件在身份验证中发挥作用:

• 端点管理：端点管理服务器是定义注册安全性和注册体验的地方。新入职用户的选择包括:
  • 是向所有人开放注册还是仅通过邀请进行注册。
  • 是否需要双因素身份验证或三因素身份验证。端点管理客户端属性允许您启用Citrix PIN身份验证并配置PIN复杂性和过期时间。
• Citrix Gateway：Citrix Gateway为微VPN SSL会话提供终止。Citrix Gateway还提供网络传输安全，并允许您定义用户每次访问应用程序时使用的身份验证体验。

• 安全集线器：安全集线器和端点管理在注册操作中协同工作。Secure Hub是设备上与Citrix Gateway对话的实体:当会话到期时，Secure Hub从Citrix Gateway获得一张身份验证票据，并将该票据传递给MDX应用程序。Citrix推荐证书固定，这可以防止中间人攻击。有关更多信息，请参阅安全集线器文章中的这一节:证书寄．

  Secure Hub还简化了MDX安全容器:Secure Hub推送策略，当应用程序超时时与Citrix Gateway创建会话，并定义MDX超时和身份验证体验。Secure Hub还负责越狱检测、地理位置检查和应用的任何策略。

• MDX策略：MDX策略在设备上创建数据仓库。MDX策略将微VPN连接引导回Citrix网关，实施脱机模式限制，并实施客户端策略，如超时。

Citrix Endpoint Management使用以下身份验证方法对用户的资源进行身份验证：

• 移动设备管理（MDM）
  • 云托管身份提供商(IdPs)
  • 轻型目录访问协议（LDAP）
    • 邀请网址+ Pin码
    • 双因素身份验证
• 移动应用程序管理（MAM）
  • LDAP
  • 证书
  • 安全令牌MAM身份验证需要Citrix Gateway。

有关其他配置详细信息，请参阅以下文章：

• 上传、更新和更新证书
• Citrix网关和端点管理
• 域或域加安全令牌身份验证
• 客户端证书或证书加域身份验证
• PKI实体
• 凭证提供者
• APNs证书
• 如果您的网站没有启用工作空间：SAML用于使用Citrix文件进行单点登录
• 通过Citrix云与Azure Active Directory进行身份验证
• 通过Citrix Cloud与Okta进行认证
• 通过Citrix云使用内部部署的Citrix网关进行身份验证
• 要对Wi-Fi服务器进行身份验证，请向设备发送证书：网络设备策略
• 要推送不用于身份验证的唯一证书，如内部根证书颁发机构(CA)证书或特定策略:凭据设备策略

• 要在Android设备上启用证书管理，请观看此视频：

证书

端点管理在安装期间生成自签名的安全套接字层（SSL）证书，以将通信流到服务器。将SSL证书替换为具有可信证书颁发机构的可信SSL证书。

端点管理还使用自己的公钥基础设施(PKI)服务或从CA获取客户端证书的证书。所有Citrix产品都支持通配符和主题可选名称(SAN)证书。对于大多数部署，您只需要两个通配符或SAN证书。

客户端证书身份验证为移动应用程序提供了额外的安全层，并允许用户无缝访问HDX应用程序。配置客户端证书身份验证时，用户键入Citrix PIN，以便对启用端点管理的应用程序进行单点登录（SSO）访问。Citrix PIN还简化了用户身份验证体验。Citrix PIN用于保护客户端证书或在设备上本地保存Active Directory凭据。

要使用端点管理注册和管理iOS设备，请设置并创建来自苹果的苹果推送通知服务(APNs)证书。步骤,请参阅APNs证书．

下表显示了每个Endpoint Management组件的证书格式和类型:

端点管理组件	证书的格式	需要的证书类型
Citrix网关	PEM（Base64），PFX（PKCS＃12）	SSL, Root (Citrix Gateway自动将PFX转换为PEM。
端点管理	.p12（.pfx在基于Windows的计算机上）	SSL、SAML、APNs(端点管理也会在安装过程中生成完整的PKI)。重要的是:端点管理不支持扩展名为.pem的证书。要使用.pem证书，请将.pem文件分割为证书和密钥，并将它们分别导入Endpoint Management。
店面	PFX（PKCS#12）	SSL,根

端点管理支持位长度为4096和2048的客户端证书。

对于Citrix网关和端点管理，Citrix建议从公共CA(如Verisign、DigiCert或Thawte)获取服务器证书。您可以从Citrix Gateway或端点管理配置实用程序创建证书签名请求(CSR)。创建CSR后，将其提交给CA进行签名。当CA返回经过签名的证书时，您可以在Citrix Gateway或Endpoint Management上安装该证书。

重要的是:

iOS、iPadOS、macOS信任证书要求

苹果对TLS服务器证书有新的要求。确认所有的证书都符合苹果的要求。请看苹果的出版物，https://support.apple.com/en-us/ht210176．

苹果正在减少TLS服务器证书的最大允许生存期。此更改仅影响2020年9月之后颁发的服务器证书。参见苹果公司的出版物，https://support.apple.com/en-us/ht211025．

LDAP身份验证

端点管理支持与轻量级目录访问协议（LDAP）符合的一个或多个目录的基于域的身份验证。LDAP是一种软件协议，可提供对组，用户帐户和相关属性的信息的访问。有关更多信息，请参阅域或域加安全令牌身份验证．

身份提供商的身份验证

您可以通过Citrix Cloud配置身份提供商（IdP）来注册和管理用户设备。

支持的国内流离失所者用例：

• Azure Active Directory通过Citrix Cloud
  • 工作区集成是可选的
  • 为基于证书的身份验证配置的Citrix网关
  • Android企业(预览。支持BYOD、全面管理设备和增强的注册配置文件)
  • MDM+MAM和MDM注册的iOS
  • 遗留Android (DA)
  • 目前不支持苹果部署程序等自动注册功能
• Okta通过Citrix Cloud
  • 工作区集成是可选的
  • 为基于证书的身份验证配置的Citrix网关
  • Android企业(预览。支持BYOD、全面管理设备和增强的注册配置文件)
  • MDM+MAM和MDM注册的iOS
  • 遗留Android (DA)
  • 目前不支持苹果部署程序等自动注册功能
• 通过Citrix云的本地Citrix网关
  • 为基于证书的身份验证配置的Citrix网关
  • Android企业(预览。支持BYOD、全面管理设备和增强的注册配置文件)
  • MDM+MAM和MDM注册的iOS
  • 遗留Android (DA)
  • 目前不支持苹果部署程序等自动注册功能

无云连接器的身份提供程序身份验证（预览）

此功能可以作为公开预览。要启用此功能，请与您的Citrix代表联系。

端点管理支持将身份提供程序（IDP）配置为身份验证方法，如Azure AD和Okta。此功能现在处于预览阶段，允许您在不使用云连接器的情况下配置IDP。您还可以通过这些IDP管理用户资源访问。通过使用IdP管理访问，您可以更好地与Office 365等云服务集成，并减少对内部部署资源的需求。

端点管理仍需要下列云连接器：

• LDAP
• PKI服务器
• 内部DNS查询
• Citrix虚拟应用程序

要在端点管理和不使用云连接器的云托管身份提供商之间建立通信，必须将Citrix identity配置为端点管理的IdP类型。但是，如前所述，需要云连接器的服务不可用。

如果您以前配置过LDAP，那么使用此功能将导致一个混合环境，其中LDAP充当组成员资格以及用户和组搜索的后备方案。没有LDAP设置，您完全依赖IdP。

完成此配置后，无法在Endpoint Management中添加LDAP设置。如果您已经设置了LDAP并添加了IdP，那么端点管理将从Active Directory组中同步IdP特定的信息到端点管理数据库。当向用户部署策略、应用和媒体时，只有IdP组接收资源。

先决条件

根据您当前的端点管理配置，必须考虑两组先决条件:

与LDAP

• Active Directory中的用户组必须与Azure Active Directory或Okta中的用户组匹配。
• Active Directory中的用户名和电子邮件地址必须与Azure Active Directory或Okta中的信息匹配。
• Citrix云帐户，安装Citrix云连接器用于目录服务同步。
• Citrix网关。Citrix建议您为完整的单点登录体验启用基于证书的身份验证。如果在Citrix网关上使用LDAP身份验证进行MAM注册，最终用户在注册期间会遇到双重身份验证提示。有关详细信息，请参阅客户端证书或证书加域身份验证．
• 同步Active Directory sid到各自的idp。Azure AD和Active Directory sid或Okta和Active Directory sid必须匹配，以便交付组正常运行。
• 在Azure广告或okta上，创建一个名为的小组管理员Citrix身份连接到您的IdP。
• 如果有多个ldap同步到一个IdP，请设置全局上下文服务器属性ldap.set.gc.rootcontext.到真正的．此属性确保Cloud Connector搜索所有父域和子域。
• 如果您的LDAP和IDP域不匹配，请将相应的IDP域别名添加到LDAP配置。

没有LDAP

• 在Azure广告或okta上，创建一个名为的小组管理员Citrix身份连接到您的IdP。

配置

要将Azure AD或OKTA配置为身份提供商通过Citrix Cloud并将其设置为端点管理，请按照其中一个或两个文章进行操作：

• 通过Citrix云与Azure Active Directory进行身份验证
• 通过Citrix Cloud与Okta进行认证

Active Directory同步

如果您设置了Active Directory组，则端点管理在配置IDP之后，Endpoint Manage会将IDP特定信息从这些组与端点管理数据库同步。要查看同步过程的状态，请转至设置>身份提供者. 以下状态之一出现在下目录同步．

• 空的：端点管理未配置为管理此标识提供程序。检查IdP的配置。
• 完成：同步进程成功完成。端点管理现在可以管理来自此标识提供程序的资源。
• 进展:同步过程正在进行中。如果数据库包含多个用户组，则端点管理可能需要更多时间来同步Active Directory组的IdP信息。
• 错误：同步过程中发生错误。如果您的IdP已断开连接或云连接器目前无法正常工作，则可能会发生此问题。使用调试日志对问题进行故障排除，或尝试再次添加IdP设置。

同步完成后，您可以将IDP组添加为交付组的分配配置>下发组>分配．选择要传递组分配的域时，请在搜索之前选择您配置的IDP。信息,请参阅添加传递组．

还可以对IdP组应用RBAC权限。信息,请参阅使用RBAC特性．

对现有配置的期望

启用并配置此特性后，您可以期待现有设置的如下内容:

• 现有的交付组、RBAC分配和权限不受影响。用户具有与配置此特性之前相同的访问权限和接收相同的资源。
• 与端点管理同步的任何Active Directory组的对象标识符都是从idp自动填充的。
• 只要将用户信息同步到IdP，已注册的设备就不受影响。当用户信息没有同步到IdP时:
  • 如果您有LDAP设置，则未同步到IDP的用户的注册设备仍可通过LDAP进行身份验证。
  • 如果未设置LDAP，则未与IdP同步的用户的注册设备将无法刷新或重新连接。
• 对于在IdP上找到的用户，端点管理根据IdP信息确定其组成员。

删除ldap目录

删除不再需要的LDAP配置文件。例如，端点管理不使用任何用户或组的LDAP配置文件。

1. 在LDAP配置文件列表中，选择要删除的目录。

   您可以通过选择每个属性旁边的复选框删除多个属性。

2. 点击删去. 在确认对话框中，选择以下选项之一：

   • 点击删去从所选LDAP目录中删除所有用户和组信息。如果您通过Citrix Cloud将Azure AD或Okta配置为身份提供商，则此操作允许您删除默认LDAP域。

   • 点击保持同步删除所有未与身份提供程序同步的用户和组信息。端点管理仅使用户和组与身份提供程序保持同步。链接到此LDAP的任何用户设备、传递组和RBAC权限都将链接到标识提供程序。如果数据库包含多个用户组，端点管理可能需要更多时间将Active Directory对象映射到IdP。此操作在后台进行。

删除身份提供程序

要停止使用身份提供程序或更改身份提供程序的类型，必须删除IdP。

1. 在端点管理控制台中，转到设置>身份提供者．
2. 在IdP表中，选择标识提供程序。
3. 点击删去. 在确认对话框中，单击删去再一次

端点管理从连接到身份提供程序的数据库中删除任何用户或组信息。端点管理也会删除此IdP的任何传递组或RBAC分配。从该IdP注册的任何用户设备都需要重新注册。删除IdP后，可以配置不同类型的身份提供程序或再次设置LDAP。

限制

• 此功能不支持通过Citrix工作区应用程序注册的设备。
• 如果配置标识提供程序，则无法在端点管理中添加LDAP设置。
• 要更改身份验证域，必须删除身份提供程序。
• 自助门户不支持具有身份提供商的身份验证。
• 如果将父和子域同步到IDP，那些域包含相同的组名，则无法将这些组添加到端点管理中。确保您的组名称在域中是唯一的。