为iOS用户配置Citrix单点登录

重要的是:

Citrix VPN不能在ios12及以上版本使用。要继续使用VPN，请使用Citrix SSO应用程序。

下表比较了Citrix VPN和Citrix SSO各特性的可用性。

兼容MDM产品

Citrix SSO与大多数MDM提供商兼容，如Citrix Endpoint Management(原XenMobile)、Microsoft Intune等。

Citrix SSO还支持一种称为网络访问控制(NAC)的特性。有关NAC的更多信息，请单击在这里．使用NAC, MDM管理员可以在连接到Citrix ADC设备之前强制终端用户设备遵从性。Citrix SSO上的NAC需要使用MDM服务器，如Citrix Endpoint Management或Intune、Citrix ADC等。

注意:

使用Citrix单点登录应用时，如果使用Citrix Gateway VPN，而不使用MDM，则需要添加VPN配置。您可以在Citrix单点登录首页添加iOS上的VPN配置。

配置用于Citrix单点登录的MDM管理VPN配置文件

以下小节以Citrix Endpoint Management(以前的XenMobile)为例，逐步说明如何为Citrix SSO配置设备范围和每个应用程序的VPN配置文件。在使用Citrix SSO时，其他MDM解决方案可以使用此文档作为参考。

注意:

本节介绍基本的全设备和全应用VPN配置文件的配置步骤。此外，您还可以通过遵循Citrix端点管理(以前是XenMobile)文档或苹果的MDM VPN有效负载配置来配置按需、始终在线、代理。

设备级VPN配置文件

设备级VPN配置文件用于建立全系统范围的VPN。根据Citrix ADC中定义的VPN策略(如全隧道、拆分隧道、反向拆分隧道)，将所有应用和服务的流量隧道至Citrix Gateway。

在Citrix Endpoint Management上配置设备级VPN

在Citrix Endpoint Management上配置设备级VPN。

1. 在Citrix Endpoint Management MDM控制台中，导航到配置>设备的政策>添加新政策．

2. 选择iOS在左侧“策略平台”窗格中。选择VPN在右边窗格。

3. 在政策信息页面，输入有效的策略名称和描述，然后单击下一个．

4. 在VPN的政策，输入有效的连接名称并选择自定义SSL在连接类型．

   在MDM VPN负载中，连接名对应于UserDefinedName键和VPN类型关键必须设置为VPN．

5. 在自定义SSL标识符(反向DNS格式),输入com.citrix.NetScalerGateway.ios.app．这是iOS上Citrix SSO App的bundle标识符。

   在MDM VPN负载中，自定义SSL标识符对应于VPNSubType关键。

6. 在提供者包标识符输入com.citrix.NetScalerGateway.ios.app.vpnplugin．这是包含在Citrix SSO iOS应用程序二进制中的网络扩展的bundle标识符。

   在MDM VPN有效负载中，提供程序包标识符对应于ProviderBundleIdentifier关键。

7. 在服务器名称或IP地址输入与此Citrix端点管理实例关联的Citrix ADC的IP地址或FQDN(完全限定域名)。

   配置页面中的其余字段为可选字段。这些字段的配置可以在Citrix Endpoint Management(以前的XenMobile)文档中找到。

8. 点击下一个．

9. 点击保存．

每个应用VPN配置文件

Per-App VPN配置文件用于为特定的应用程序建立VPN。流量只从特定的应用程序隧道到Citrix网关。Per-App VPN有效载荷支持设备范围VPN的所有密钥以及一些其他密钥。

在Citrix端点管理上配置每个应用程序级别的VPN

通过以下步骤配置逐应用VPN:

1. 在Citrix Endpoint Management上完成设备级VPN配置。

2. 把使每个应用VPN在Per-App VPN部分打开ON。

3. 把按需匹配App启用开关ON如果启动匹配应用程序时必须自动启动Citrix SSO。这在大多数应用程序案例中是推荐的。

   在MDM VPN负载中，该字段对应密钥OnDemandMatchAppEnabled．

4. 在提供者类型中,选择包隧道．

   在MDM VPN负载中，该字段对应密钥提供者类型．

5. Safari域配置为可选配置。配置Safari域后，当用户启动Safari并导航到与之匹配的URL时，Citrix SSO会自动启动域字段。如果你想限制特定应用的VPN，这是不推荐的。

   在MDM VPN负载中，该字段对应密钥SafariDomains．

   配置页面中的其余字段为可选字段。这些字段的配置可以在Citrix Endpoint Management(以前的XenMobile)文档中找到。

6. 点击下一个。

7. 点击保存．

如果要将该VPN配置文件与设备上的特定应用关联，必须按照本指南创建App Inventory策略和凭据提供商策略//m.giftsix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/．

单应用VPN中配置拆分隧道

MDM客户可以在每应用VPN中配置分离隧道，实现Citrix单点登录。在MDM服务器上创建的VPN配置文件中，需要在厂商配置部分添加以下密钥/值对。

- Key = "PerAppSplitTunnel" - Value = "true or 1 or yes" 

键是区分大小写的，并且必须是精确匹配的，而值是不区分大小写的。

注意:

用于配置供应商配置的用户界面不是所有MDM供应商的标准界面。联系MDM供应商，在MDM用户控制台上找到供应商配置部分。

下面是Citrix Endpoint Management中的配置(特定于供应商的设置)的示例屏幕截图。

下面是Microsoft Intune中的配置(特定于供应商的设置)的示例截图。

禁用用户创建的VPN配置文件

MDM客户端可以阻止用户在Citrix SSO App中手工创建VPN配置文件。为此，需要在MDM服务器上创建VPN配置文件的厂商配置部分添加如下密钥/值对。

- Key = "disableUserProfiles" - Value = "true or 1 or yes" 

键是区分大小写的，并且必须是精确匹配的，而值是不区分大小写的。

注意:

用于配置供应商配置的用户界面不是所有MDM供应商的标准界面。联系MDM供应商，在MDM用户控制台上找到供应商配置部分。

下面是Citrix Endpoint Management中的配置(特定于供应商的设置)的示例屏幕截图。

下面是Microsoft Intune中的配置(特定于供应商的设置)的示例截图。

DNS处理

推荐的Citrix单点登录DNS配置如下:

• 拆分DNS > REMOTE如果分裂隧道为掉了。
• 拆分DNS > BOTH如果分裂隧道为在．此时，管理员需要为内网域添加DNS后缀。对于属于DNS后缀的FQDNs的DNS查询将被隧道到Citrix ADC设备，其余的查询将被发送到本地路由器。

注意:

• 建议DNS截断修复国旗永远是在．有关详细信息，请参见https://support.citrix.com/article/CTX200243．

• 当分裂隧道为时在和split DNS设置为远程，则VPN连接后解析DNS查询可能存在问题。这与网络扩展框架没有拦截所有DNS查询有关。

已知的问题

问题描述:对于包含a的FQDN地址进行隧道“。local”在“逐应用VPN”或“按需VPN”配置中。在苹果的网络扩展框架中有一个bug，它阻止了FQDN地址包含。local在域部分(例如，http://wwww.abc.local)以避免在系统的TUN接口上被隧道化。这个地址的流量通过设备的物理接口发送出去。这个问题只在Per-App VPN或On-Demand VPN配置中观察到，在系统范围的VPN配置中看不到。Citrix已经向苹果提交了一份雷达bug报告，根据RFC-6762，苹果注意到:https://tools.ietf.org/html/rfc6762， local是一个多播DNS (mDNS)查询，因此不是一个bug。然而，苹果公司还没有关闭这个漏洞，也不清楚这个问题是否会在未来的iOS版本中得到解决。

解决方案:指定一个非。local域名等地址的解决方案。

限制

• 目前还不完全支持基于FQDN的分离隧道。
• iOS不支持endpoint Analysis (EPA)。
• 不支持基于端口/协议的隧道拆分。