OTP的推送通话
Citrix Gateway支持支持OTP的推送通道。用语无需驾驶输入在已注册的设备上的OTP即可登录登录可登录登录登录登录登录网关。管理员可员配置citrix gateway,以便以便用品推送通讯服务向用途的已注册设备发表发作。当当收到通道时,他们只需轻按通知上的“允许”(允许)即可登录citrix网关。网络网关。网关收到用手的时,它会识别请求的来源,并向该仪器连接发布响应。
如果在超时期限(30秒)内未收到通知响应,用户将被重定向到Citrix网关登录页面。然后,用户可以手动输入OTP或单击重新发送通知(重新发动通讯)以在注册的设备上再次接收通讯。
管理员可以使用为推送通知创建的登录架构将推送通知身份验证设为默认身份验证。
重要:
Citrix ADC Premium Edition许可证提供推送通讯功能。
推送通知的优势
- 推送通知提供了了更安全的多重身份验证机械。在用来批准登录之后,citrix gateway的身份身份才能成。
- 推送通知易于易于定理和使用。用途户下载。
- 用来不再复制或代码。
- 用户可以注册多台设备。
推送通讯的工作原理
推送通知工作流程可分为两类:
- 备份
- 最终用水登录
使用推送通讯的设备条件
完成Citrix云入门程程。
创建Citrix Cloud公司帐户或加入所有。有关如何继续的详细详细程和说明,请参阅“注册citrix云”。
登录到https://citrix.cloud.com.,然后选择客户。
从菜单中,选择身份与访问管理(身份和访问致理性),然后导航到API访问(API访问)选项卡为该帐户创建。
复制id,密钥和客户id。在Citrix ADC中间推送服务分享为“ClientID”和“ClienceCRET”时,需要ID和密钥。
重要:
- 可在多种数码中心使用相同的API凭证。
- 本地Citrix ADC设备必须能够解析仪器地址MFA.CLOUD.COM和TRUST.CITRIXWARKSPACESAPI.NET,并且可以从设备访问。这是为之确保这些服务仪器在端口443上没有防火墙或ip地址。
分别从面向iOS设备的App Store和面向Android设备的玩应用商店下载Citrix SSO移动应用程序。推送通知功能在iOS内部版本1.1.13及更高版本和安卓2.3.5及更高版本中受支持。
对于活动目录,请确保以下内容。
- 最小属性长度必须至少为 256 个字符。
- 属性类型必须是“目录”,例如userparameters。这些属性可以字符串值。
- 如果设备名称称使非非,则属性字符串类型必须为单声。
- Citrix ADC LDAP管理员必须对所选广告属性具有写入权限。
- Citrix ADC和客户客户手机必须同步通用的网站空间
推送通知配置
下载是使用推送通知必须完成的高度步骤。
Citrix Gateway管理员配置配置配置界面界面以界面以界面管员管员户用手。
配置推送服务。
配置Citrix Gateway使用于OTP调理和使用登录。
用来必须网关键字才才登录登录登录登录登录网关。
向Citrix网关注册您的设备。
登录citrix网关。
创建推送服务
导航到安全(安全)>AAA - 应用程序流量(AAA - 应用程载量)>政策(策略)>身份验证(身份验证)>先进的政策(高级策略)>行动(操作)>推动服务(推送服务),然后单击添加(添加)。
在姓名(名称)中,输入输入推送服务称。
在客户ID(客户端ID)中,输入信赖方的唯一身份,以便与云中的Citrix推动服务器进行通信。
在客户的秘密(客户端密钥),输入信赖方的唯一密钥,以便在云中与Citrix推动服务器进行通信。
在客户ID(客户ID)中,输入用于创建客户端ID和客户端密钥对的云中的帐户的客户ID或名称。
重要
推送服务需要TLS 1.2版本。有关更多信息,请参阅TLS 1.2配置详细信息。
配置Citrix网关用于OTP管理和最终用户登录
请请成以步骤行奥特治疗和最终用手登录。
- 为OTP管理创建创建登录
- 配置身份验证,授权和审核虚拟仪器
- 配置VPN或负载平衡虚拟服务器
- 配置策略标签
- 为最终用户登录创建登录架构
有关配置的详细信息,请参阅本机OTP支持。
重要:对于推送通知,管理员必须明确配置以下设置:
- 创建推送服务。
- 在为OTP管理创建登录架构时,请根据需要选择SingleAuthManageOTP.xml登录架构或等效架构。
- 在为最终用力登录创建登录架构时,请根据需要选择dualauthorpush.xml登录架构或等架构架构。
向Citrix网关注册您的设备
用来必须煤气网关注册注册设备才才使使功能。
在网页仪器中,浏览至citrix网关FQDN并为fqdn加载后缀/ manageotp。
这将加载身份验证页面。例如:https://gateway.company.com/manageotp
根据需要使用您的LDAP凭据或适当的双重身份验证机制登录。
单击添加设备。
输入设备的名称,然后单击转到。
Citrix网关浏览器页面上将显示QR代码。
使用要注册的设备上的Citrix SSO应用程序扫描此QR代码。
Citrix SSO验证QR代码,然后向网关注册以获取推送通知。如果注册过程中没有错误,令牌将成功添加到密码令牌页面。
如果没有其他要添加/管理的设备,请使用页面右上角的列表注销。
测试一般密码身份验证
要测试OTP,请从列表中单击您的设备,然后单击测试(测试)。
输入您在设备上的op的otp,然后单个走(转至)。
此时将显示otp验证成功。
使
注意:可以时代使用OTP管理门户来测试身份验证,删除已注册的设备或或更多设备。
登录Citrix Gateway.
向Citrix Gateway中间设备备份,用途可驾驶使用推送通行功能进功能身份身份
导航至citrix网关身份身份页面(例如:https://gateway.company.com)
系统会提示您输入输入LDAP凭据,具体取决于登录配置。
输入LDAP用户名和密码,然后选择提交(提交)。
通知将发送到已注册的设备。
注意:如果要手动输入OTP,必须选择点击(单击)以手动输入OTP并在TOTP.字段中输入OTP。
在已注册的设备上打开Citrix SSO应用程序,然后轻按允许(允许)。
注意:
如果是iOS设备,系统会提示您输入触摸ID / FaceID /密码作为身份验证的额外因素。
身份验证服务器将等待推送服务器通知响应,直到配置的超时期限到期。超时后,Citrix网关将显示登录页面。然后,用户可以手动输入OTP或单击重新发送通知(新发舞通讯)以在注册的设备上再次接收通讯。根据您选择的选项,网址将验证您输入的otp或在已注册的设备上的oderging发新的发新发布通讯。
- 不会向您注册的设备发送有关登录失败的通知。
失败条件
- 在下载下,准备注册可会。
- 最终用户设备可能不信任服务器证书。
- 客户端无法访问注册otp的citrix网关。
- 在以下情况下,通知可能会失败。
- 用品制备未未互联网
- 用来上的通道被阻止
- 用户不批准设备上的通知
在这些情况下,身份身份验证仪将等到配置的超时分。定的选项,将进一流进行。
失败日志.
以下是无法访问OTP推送服务时的预期日志。
- 当用户设备未连接到互联网时,推送通知失败——推送:无法为推送服务准备推送请求至
客户端名称
。 - 设备注册失败日志 - 推送:没有注册任何设备用来于将将推送发布到“
客户端名称
“的云峰。 - 如果用水不接受推送 - 推送:从客户端看不到,对于“
用户名
”,请检查重试选项。
ios上的citrix sso使用程度行为 - 需要需要的几点事项
通知快捷方式
Citrix SSO iOS应用程序包括对可操作通知的支持,以增强用户体验。在iOS 设备上收到通知后,如果设备已锁定或者 Citrix SSO 应用程序未在前台,用户可以使用通知中内置的快捷方式批准或拒绝登录请求。
要访问通知快捷方案,用来需要强制(3d触摸)或或通知,具体取决于取决于知。选择“允许快捷方式”(允许允许方向)操作用会向citrix adc发作登录。取决于身份验证,;
- 登录请求可能会在后台发送,无需将应用程序启动到前台或解锁设备。
- 应用程序可能会提示输入触摸ID /面容ID /通行码作为额外因素,在这种情况下,应用程序将启动到前台。
从Citrix SSO中删除密码令牌
要删除Citrix SSO应用程序中注册用于推送的密码令牌,用户必须执行以下步骤:
- 在网关上取消注册(删除)iOS和Android设备。此时将显示用于从设备中删除注册的QR代码。
- 打开Citrix SSO应用程序,然后轻按要删除的密码令牌的信息按钮。
- 轻按删除令牌(删除令牌),然后扫描qr代码。
注意:
- 如果QR代码有效,则会成功从Citrix SSO应用程序中删除令牌。
- 如果制备已已网关中,用来可以按“力量删除”(强制强制)。