nFactor支持iOS上的Citrix SSO应用程序和macOS上的Citrix Secure Access代理
多因素(nFactor)身份验证要求用户提供多个身份证明以获得访问权限,从而增强了应用程序的安全性。管理员可以配置不同的身份验证因素,包括客户端证书、LDAP、RADIUS、OAuth、SAML等。可以根据组织的需要以任意顺序配置这些身份验证因素。
iOS平台的Citrix单点登录应用和macOS平台的Citrix Secure Access代理支持的认证协议如下:
nFactor—当网关侧的VPN虚拟服务器与认证虚拟服务器绑定时,使用nFactor协议。由于身份验证因素的顺序是动态的,因此客户端使用在应用程序上下文中呈现的浏览器实例来呈现身份验证GUI。
经典—如果网关侧VPN虚拟服务器配置了经典认证策略,则默认使用经典回退协议。如果nFactor在特定的身份验证方法(如NAC)中失败,则经典协议是后备协议。
思杰身份平台—对CloudGateway或网关服务进行身份验证时使用Citrix身份平台协议,需要在Citrix Cloud中注册MDM。
下表总结了每种协议支持的各种身份验证方法。
| 身份验证方法 | nFactor | 经典 | Citrix国内流离失所者 |
|---|---|---|---|
| 客户端证书 | 支持 | 支持 | 不支持 |
| LDAP | 支持 | 支持 | 不支持 |
| 当地的 | 支持 | 支持 | 不支持 |
| 半径 | 支持 | 不支持 | 不支持 |
| SAML | 支持 | 不支持 | 不支持 |
| OAuth | 支持 | 不支持 | 不支持 |
| TACACS | 支持 | 不支持 | 不支持 |
| WebAuth | 支持 | 不支持 | 不支持 |
| 谈判 | 支持 | 不支持 | 不支持 |
| 环境保护署 | 支持 | 支持 | 不支持 |
| 南汽 | 不支持 | 支持 | 不支持 |
| 店面 | 不支持 | 不支持 | 不支持 |
| ADAL | 不支持 | 不支持 | 不支持 |
| DS-AUTH | 不支持 | 不支持 | 支持 |
nFactor配置
配置nFactor的详细信息请参见配置nFactor认证.
重要的是:
如果要将nFactor协议与iOS上的Citrix单点登录应用程序和macOS上的Citrix Secure Access代理一起使用,推荐的Citrix网关本地版本为12.1.50。Xx及以后。
限制
特定于移动设备的身份验证策略,如NAC(网络访问控制)要求客户端发送签名的设备标识符,作为Citrix网关身份验证的一部分。已签名的设备标识符是一个可旋转的密钥,它唯一地标识MDM环境中注册的移动设备。这个密钥嵌入在一个由MDM服务器管理的VPN配置文件中。可能无法将此键注入WebView上下文。在MDM VPN配置文件中启用NAC后,iOS上的Citrix单点登录应用和macOS上的Citrix Secure Access代理会自动回退到经典认证协议。
你不能用Intune为macOS配置NAC检查,因为Intune不提供与iOS不同的选项来启用macOS的NAC。