XenMobile

Voir PDF

Informations d’identification dérivées

January 10, 2022

Contributeur:

C C

Les informations d’identification dérivées fournissent une authentification forte pour les appareils mobiles. Une carte à puce fournit les informations d’identification, qui résident dans un appareil mobile plutôt que sur la carte. La carte à puce est une carte Personal Identity Verification (PIV).

Les informations d’identification dérivées sont un certificat d’inscription qui contient l’identifiant de l’utilisateur, tel qu’un UPN (nom d’utilisateur principal). XenMobile enregistre les informations d’identification obtenues à partir du fournisseur d’informations d’identification dans un coffre sécurisé sur l’appareil.

XenMobile peut utiliser les informations d’identification dérivées pour l’inscription et l’authentification d’appareils. S’il est configuré pour des informations d’identification dérivées, XenMobile ne prend pas en charge les invitations d’inscription ou les autres modes d’inscription sécurisée. Citrix prend en charge l’utilisation d’une application d’informations d’identification dérivées lors de l’inscription d’iOS.

Architecture

Pour l’inscription, XenMobile Server se connecte aux composants, comme illustré dans le diagramme suivant.

Diagramme de l'architecture d'inscription des informations d'identification dérivées

Lors de l’inscription d’appareil, Secure Hub obtient les certificats à partir de l’application des informations d’identification dérivées.
L’application des informations d’identification dérivées communique avec le serveur de gestion d’informations d’identification lors de l’inscription.
Vous pouvez utiliser le même serveur ou un autre serveur comme serveur de gestion d’informations d’identification et un fournisseur PKI tiers.
XenMobile Server se connecte à votre serveur PKI tiers pour obtenir les certificats.

Exigences

Téléchargez et installez Citrix Secure Hub.
En fonction de votre solution d’identifications dérivées, téléchargez et configurez l’application :
- Pour Entrust Datacard :
  - Téléchargez et installez l’application Citrix Derived Credential Manager sur vos appareilsavantde vous inscrire à XenMobile. Derived Credentials Manager est l’application de fournisseur d’identités de Citrix. Le logo de cette application est affiché ci-dessous.
  - L’application Citrix Derived Credential Manager prend en charge les nouvelles inscriptions uniquement. Les utilisateurs d’appareil doivent se réinscrire.
    - XenMobile Server version 10.8 ou ultérieure.
    - Nécessite l’inscription d’appareil dans MDM+MAM.
- Autres fournisseurs d’informations d’identification dérivées :如果可能,拉学生的其他solutions d’informations d’identification soient compatibles avec XenMobile, testez leur intégration avant de les déployer en production.
Doit avoir le certificat racine de l’autorité de certification qui émet des certificats sur le serveur du fournisseur d’informations d’identification. Cette configuration permet à XenMobile d’accepter les certificats signés numériquement lors de l’inscription. Pour de plus amples informations sur l’ajout de certificats, consultez la sectionCertificats et authentification.
- Si le domaine de messagerie utilisateur diffère du domaine LDAP, ajoutez le domaine de messagerie dans le paramètreAlias de domainesousParamètres > LDAP. Par exemple, si le domaine pour les adresses e-mail estcitrix.comet le nom de domaine LDAP estsample.com, définissezAlias de domainesursample.com, citrix.com.
- XenMobile ne prend pas en charge l’utilisation d’informations d’identification dérivées avec les appareils partagés.
Certificats d’identité utilisateur :
- Le nom d’utilisateur dans le champ Autre nom de l’objet doit être formaté en tant que champ otherName, rfc822Name ou dNSName de l’extension SubjectAltName. Les autres champs ne sont pas pris en charge. Pour plus d’informations sur Autre nom de l’objet, veuillez consulter le RFC,https://www.ietf.org/rfc/rfc5280.txt.
- L’identité utilisateur dans le champ Objet pour E-mail ou CN n’est pas prise en charge.
Citrix Gateway configuré pour l’authentification par certificat ou l’authentification par certificat + jeton de sécurité

Activer les informations d’identification dérivées

Par défaut, la console XenMobile n’inclut pas la pageParamètres > Informations d’identification dérivées.

Pour activer l’interface pour les informations d’identification dérivées :

Accédez àParamètres > Propriétés du serveur, ajoutezderived.credentials.enablecomme propriété de serveur et définissez la valeur de la propriété surtrue.

Image de l'écran de configuration Propriétés du serveur

Configurer les informations d’identification dérivées

Nous supposons que vous disposez d’une configuration qui fonctionne pour le fournisseur d’informations d’identification dérivées que vous prévoyez d’intégrer à XenMobile. Vous pouvez configurer XenMobile pour communiquer avec ce serveur. Vous pouvez également choisir un certificat d’autorité de certification d’informations d’identification dérivées déjà ajouté à XenMobile ou importer le certificat.

Vous pouvez activer la prise en charge du protocole OCSP pour ce certificat d’autorité de certification. Pour plus d’informations sur le protocole OCSP, consultez la section « Autorités de certification discrétionnaire » dansEntités PKI.

Dans la console XenMobile, accédez àParamètres > Informations d’identification dérivées pour iOS.
SousChoisir un fournisseur d’informations d’identification dérivées, sélectionnezAutrepour Entrust Datacard. Saisissezdcapp://mode=SecureHubdans le champURL de l’application (iOS).
Paramètres facultatifs :certains fournisseurs d’informations d’identification dérivées exigent que des paramètres soient spécifiés pour la connexion. Par exemple, un fournisseur peut nécessiter que les adresses URL d’un serveur back-end soient spécifiées. Cliquez surAjouterpour fournir des paramètres.
Spécifiez un certificat pour les informations d’identification dérivées : si le certificat est déjà chargé sur XenMobile, choisissez ce certificat depuisAC émettrice. Sinon, cliquez surImporterpour ajouter un certificat. La boîte de dialogueImporter le certificatapparaît.
Dans la boîte de dialogueImporter le certificat, cliquez surParcourirpour accéder à l’emplacement du certificat. Cliquez surParcourirpour accéder au fichier de clé privée.
Configurez les paramètres.
- Pour une application Citrix Derived Credential Manager : définissezChamp d’identificateur d’utilisateursurAutre nom de l’objetetType d’identificateur d’utilisateursuruserPrincipalName.
- Contactez les autres fournisseurs d’informations d’identification dérivées pour obtenir leurs informations.
Vous pouvez également utiliser un répondeur OCSP pour la vérification de révocation de certificat. Citrix recommande d’utiliser un répondeur OCSP pour des raisons de sécurité. Par défaut, la vérification OSP est définie surDésactivée.
- Si vous activez la prise en charge OCSP pour le certificat d’autorité de certification, sélectionnez une option pour使用URL OCSP personnalisee. Par défaut, XenMobile récupère l’adresse URL du protocole OCSP depuis le certificat (l’optionUtiliser définition du certificat pour la révocation). Pour spécifier une adresse URL de réponse, cliquez surUtiliser URL personnaliséeet entrez l’adresse URL.
- AC répondeur :dansAC répondeur, choisissez un certificat. Ou, cliquez surImporter, puis utilisez la boîte de dialogueImporter le certificatpour localiser le certificat.
Cliquez surEnregistrer. La boîte de dialogueInformations d’identification dérivéess’affiche.
- Pour activer la configuration des informations d’identification dérivées, cliquez surEnregistrer. Pour utiliser les informations d’identification dérivées, vous devez également configurer les paramètres d’inscription.
- Pour activer la configuration des informations d’identification dérivées, puis accéder immédiatement àParamètres > Inscription, cliquez surEnregistrer et aller à Inscription.
Pour activer les informations d’identification dérivées pour l’inscription : sur la pageParamètres > InscriptionsousInscription avancée, sélectionnezInformations d’identification dérivées (iOS uniquement), puis cliquez surActiver.
Une boîte de dialogue de confirmation s’affiche. Pour activer les informations d’identification dérivées, sélectionnez la case à cocher et cliquez surActiver.
Pour modifier les options des informations d’identification dérivées pour l’inscription, accédez à la pageParamètres > Inscription, sélectionnezInformations d’identification dérivées (iOS uniquement), puis cliquez surModifier.

Après avoir activé les informations d’identification dérivées : dans le rapportInscription d’appareils, la colonneMode d’inscriptionaffichederived_credentials.

Important :

Après avoir ajouté le fournisseur d’informations d’identification dérivées, redémarrez XenMobile Server.

Configurer XenMobile Server pour Secure Mail

Pour permettre à Secure Mail de fonctionner avec des informations d’identification dérivées, ajoutez la propriété clientSEND_LDAP_ATTRIBUTES. Pour plus d’informations sur l’ajout d’une propriété de client, voirPropriétés du client.

Utilisez les informations suivantes pour la propriété de client :

关键:SEND_LDAP_ATTRIBUTES
Valeur :userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname},displayName=${user.displayName},mail=${user.mail}

Image de l'écran de configuration Propriétés du client

Activation des informations d’identification dérivées d’Entrust Datacard sur les appareils iOS

标记:

lors de l’utilisation du site Web Entrust, effacez le cache du navigateur lors du changement de carte PIV.

Pour demander de nouvelles informations d’identification intelligentes, utilisez un bureau ou un appareil pour vous connecter au site Entrust. Connectez-vous à l’aide du boutonSmart Credential Log Inau bas de la page. Les utilisateurs insèrent leur carte à puce dans un lecteur relié à leur bureau.
DansSelf-Administration Actions, sélectionnezI’d like to enroll for a derived mobile smart credentialet cliquez surDone.
Dans l’écranDerived Mobile Smart Credential, indiquez le nom d’identité,Identity Name. L’utilisateur peut choisir un nom unique tel qu’un nom d’utilisateur ou des numéros d’identification.
SélectionnezCitrix DCAPPdans le menu de l’application des informations d’identification dérivées, puis cliquez surOK.
Un écran d’activation de code QR s’affiche et invite l’utilisateur à scanner le code avec son appareil mobile.

标记:

Par défaut, le code QR d’informations identification dérivées expire au bout de 3 minutes.
Scannez le code QR à l’aide de l’applicationDerived Credential Managersur l’appareil pour terminer l’activation.

Inscription des appareils

Après avoir terminé la configuration décrite plus haut dans cet article, les utilisateurs peuvent inscrire leurs appareils à l’aide des informations d’identification dérivées.

标记:

Les captures d’écran de cette section utilisent Entrust Datacard comme exemple.

Touchez pour ouvrirSecure Hub. Lorsque vous y êtes invité, saisissez le nom de domaine complet de XenMobile Server, puis cliquez surSuivant.
Cliquez surOui, inscrire. L’inscription de l’appareil dans Secure Hub démarre.
Si XenMobile Server prend en charge les informations d’identification dérivées, Secure Hub invite l’utilisateur à créer et à confirmer un code PIN Citrix.
Une fois que vous avez confirmé le code PIN Citrix, l’écran de démarrage d’installation des informations d’identification dérivées s’affiche. Suivez les instructions pour activer les informations d’identification intelligentes.
Appuyez surScanner le code. La caméra du téléphone mobile s’active.

标记:

Pour numériser le code QR, assurez-vous que votre appareil photo et votre microphone sont activés et qu’ils ont les autorisations d’accès requises.
Dans l’application d’informations d’identification dérivées, scannez le code QR créé lors des étapes précédentes.
Une fois que le code QR a été scanné, dans l’écranImporter un nouveau certificat, un mot de passe s’affiche, entrez le mot de passe et cliquez surOK.
L’écranImporter un nouveau certificats’affiche avec les champs remplis automatiquement.
Une fois les certificats ajoutés correctement, dans l’écranInformations d’identification dérivées, cliquez surContinuer vers Secure Hub.
Dans Secure Hub, entrez un nouveau code PIN lorsque vous y êtes invité.
Après l’authentification du code PIN, Secure Hub télécharge les certificats. Suivez les invites pour terminer l’inscription.

Pour afficher des informations sur l’appareil dans la console XenMobile :

Accédez àGérer>Appareils, puis sélectionnez un appareil pour afficher une zone de commande. Cliquez surAfficher plus.
Accédez àAnalyser>Tableau de bord.

文档是anglai officielle de La版本ces. Certains contenus de la documentation Citrix ont été traduits de façon automatique à des fins pratiques uniquement. Citrix n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Citrix à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Citrix, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Citrix ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Informations d’identification dérivées

January 10, 2022

Contributeur:

C C

January 10, 2022

Contributeur:

C C

Dans cet article

Cela vous a-t-il été utile ?