身份验证
在XenMobile部署中,确定如何配置身份验证时,要考虑多个注意事项。本节将通过以下方面来介绍影响身份验证的各种因素:
- 身份验证涉及的主要MDX策略,XenMobile客户端属性和Citrix网关设置。
- 这些策略、客户端属性和设置的交互方式。
- 每种选择的权衡因素。
本文还提供了三个提高安全等级的建议配置示例。
一般而言,随着安全性的提高,最佳用户体验会降低,因为用户必须更加频繁地进行身份验证。如何平衡这些考虑因素取决于组织的需求和优先级。通过查看三个建议的配置,您应该可以更加清楚地了解您可用的身份验证措施的作用,以及如何以最佳方式部署您自己的XenMobile环境。
身份验证模式
联机身份验证:允许用户访问XenMobile网络。需要互联网连接。
脱机身份验证:在设备上进行。用户解锁安全保管库并脱机访问一些项目,例如,下载的邮件,缓存的Web站点和笔记。
身份验证方法
单因素
LDAP:在XenMobile中,可以配置到一个或多个与轻型目录访问协议(LDAP)兼容的目录(例如Active Directory)的连接。这是提供以单点登录(sso)方式访问公司环境的常用方法。您可选择将Citrix销与Active Directory密码缓存组合以改进使用LDAP时的用户体验,同时在注册,密码过期和帐户锁定方面仍提供复杂密码的安全方式。
有关更多详细信息,请参阅域或域加sta。
客户端证书:XenMobile可以与行业标准证书颁发机构集成以将证书用作联机身份验证的唯一方法。XenMobile在用户注册后提供此证书,这需要一次性密码、邀请 URL 或 LDAP 凭据。将客户端证书用作主要身份验证方法时,在仅客户端证书环境中需要使用 Citrix PIN 来确保设备上证书的安全。
XenMobile仅支持对第三方证书颁发机构使用证书吊销列表(CRL)。如果您配置了微软CA, XenMobile将使用Citrix ADC管理吊销。配置基于客户端证书的身份验证时,请考虑是否需要配置Citrix ADC证书吊销列表(CRL)设置使CRL自动刷新(启用CRL自动刷新)。此步骤可确保处于仅老妈模式的设备的用户无法使用设备上的现有证书进行身份验证;XenMobile将重新颁发新证书,因为XenMobile在某个证书被吊销的情况下不限制用户生成用户证书。此设置提高了CRL检查过期的pki实体时pki实体的安全性。
有关显示了您计划对用户使用基于证书的身份验证或您需要使用您的企业证书颁发机构(CA)颁发设备证书时所需部署的结构的图,请参阅面向本地部署的参考体系结构。
双重
Ldap +客户端证书:在XenMobile环境中,此配置是用于实现安全性和用户体验的最佳解决方案,同时,通过Citrix ADC进行的双重身份验证还能提供最佳SSO选择和安全。同时使用LDAP和客户端证书通过用户知晓的内容(其Active Directory密码)和用户拥有的内容(设备上的客户端证书)提供安全性。安全邮件(以及某些其他移动生产力应用程序)在正确配置的交换客户端访问服务器环境中可以自动配置,并通过客户端证书身份验证提供无缝首次用户体验。要实现最佳可用性,可以将此选项与Citrix销和Active Directory密码缓存组合在一起。
Ldap +令牌:此配置允许在使用radius协议时采用ldap凭据经典配置以及一次性密码。要实现最佳可用性,可以将此选项与Citrix销和Active Directory密码缓存组合在一起。
身份验证中涉及的重要策略、设置和客户端属性
以下三个建议配置中涉及以下策略、设置和客户端属性:
MDX策略
应用程序通行码:如果设置为开,应用程序在处于不活动状态一段时间后启动或恢复时需要输入Citrix PIN或通行码才能解锁。默认值为开。
要为所有应用程序配置不活动计时器,请在XenMobile控制台中的设置选项卡上的客户端属性中设置inactivity_timer值(分钟)。默认值为 15 分钟。要禁用不活动计时器以便pin或通行码提示仅在应用程序启动时出现,请将值设置为0。
注意:
如果为“加密密钥”策略选择“安全脱机”,则将自动启用此策略。
要求联机会话:如果设置为开,用户必须连接到企业网络并且具有活动会话,才能访问设备上的应用程序。如果设置为关,则访问设备上的应用程序不需要活动会话。默认值为关。
最长脱机期限(小时):定义应用程序可以运行而不需要从XenMobile重新确认应用程序授权并刷新策略的最长期限。当您设置“最长脱机期限”时,如果安全中心iOS具有有效Citrix网关令牌,应用程序将从XenMobile为MDX应用程序检索新策略,而不会导致用户服务发生任何中断。如果安全中心没有有效Citrix ADC令牌,则用户必须通过安全中心进行身份验证,然后才能更新应用程序策略。Citrix ADC令牌可能会由于Citrix网关会话的不活动状态或强制执行的会话超时策略而变得无效。当用户再次登录安全中心时,他们可以继续运行应用程序。
将在期限过期前 30 分钟、15 分钟和 5 分钟提醒用户登录。超过时间后,将锁定应用程序,直到用户登录。默认值为72 小时(3 天)。最长期限为 1 小时。
注意:
请谨记,在用户经常出差并可能使用国际漫游的情况下,默认值 72 小时(3 天)可能太短。
后台服务票据过期日期:后台网络服务票据保持有效的时间段。当安全邮件通过Citrix Gateway连接到运行ActiveSync的Exchange Server时,XenMobile会发出一个令牌,安全邮件将使用该令牌连接到内部Exchange Server。此属性设置确定安全邮件可以使用该令牌(无需使用新令牌)进行身份验证并连接到Exchange服务器的持续时间。超过时间限制后,用户必须重新登录以生成新令牌。默认值为168 小时(7 天)。超过此超时值后,将停止邮件通知。
要求联机会话宽限期(分钟):确定”要求联机会话“策略阻止用户进一步脱机使用应用程序(直到验证联机会话)之前,用户可以脱机使用应用程序的分钟数,默认值为0(无宽限期)。
有关身份验证策略的信息,请参阅:
- 如果使用mam sdk:Mam SDK概述
- 如果使用MDX Toolkit:适用于iOS的MDX策略和适用于Android的MDX策略
XenMobile客户端属性
注意:
客户端属性是应用于连接到XenMobile的所有设备的全局设置。
Citrix销:要实现简单点登录体验,您可以选择启用Citrix PIN。使用针时,用户不需要重复输入其他凭据,例如Active Directory用户名和密码。您可以仅将Citrix销配置为独立脱机身份验证,也可以将销与Active Directory密码缓存组合在一起以简化身份验证,从而实现最佳可用性。可在XenMobile控制台中的设置 > 客户端 > 客户端属性中配置Citrix PIN。
下面概述了一些重要属性。有关详细信息,请参阅客户端属性。
ENABLE_PASSCODE_AUTH
显示名称:启用Citrix PIN身份验证
此键允许您打开Citrix PIN功能。启用Citrix销或通行码后,系统将提示用户定义要使用的针(而非其Active Directory密码)。如果启用了ENABLE_PASSWORD_CACHING、或者如果XenMobile使用证书身份验证、您应启用此设置。
可能的值:真正的或假
默认值:假
ENABLE_PASSWORD_CACHING
显示名称:启用用户密码缓存
此键允许您在移动设备本地缓存用户的Active Directory密码。当您将此键设置为真正的时,系统将提示用户设置 Citrix PIN 或通行码。当您将此键设置为真正的时,必须将ENABLE_PASSCODE_AUTH键设置为true。
可能的值:真正的或假
默认值:假
PASSCODE_STRENGTH
显示名称:Pin强度要求
此键定义Citrix PIN或通行码的强度。更改此设置时,系统将在下次提示用户进行身份验证时提示其设置新Citrix PIN或通行码。
可能的值:低、中或强
默认值:中
INACTIVITY_TIMER
显示名称:不活动计时器
此键定义用户可以保持其设备处于不活动状态且之后访问应用程序不会提示输入Citrix销或通行码的时间(分钟)。要为MDX应用程序启用此设置,必须将"应用程序通行码"设置设为开。如果"应用程序通行码"设置设为关,用户将被重定向到安全中心以执行完全身份验证。更改此设置时,该值将在系统下次提示用户进行身份验证时生效。默认值为 15 分钟。
ENABLE_TOUCH_ID_AUTH
显示名称:启用触摸ID身份验证
允许在脱机身份验证时使用指纹读取器(仅限iOS)。联机身份验证仍需要使用主要身份验证方法。
ENCRYPT_SECRETS_USING_PASSCODE
显示名称:使用通行码加密机密
此键允许将敏感数据存储在移动设备上的秘密金库中(而非基于平台的本机存储中),例如iOS钥匙串。此配置键允许对密钥进行强加密,但还会添加用户熵(用户生成的只有自己知道的随机pin代码)。
可能的值:真正的或假
默认值:假
Citrix ADC设置
会话超时:如果启用此设置,则Citrix ADC在指定的时间间隔内未检测到任何网络活动时,Citrix网关将断开会话。对于通过Citrix网关插件,Citrix接收器,安全中心或通过网页浏览器连接的用户,强制执行此设置。默认值为1440 分钟。如果将此值设置为零,则该设置处于禁用状态。
强制超时:如果启用此设置,则超过超时时间间隔后,无论用户正在执行什么操作,Citrix网关都将断开会话。超过超时时间间隔后,用户无法执行任何操作来阻止断开。对于通过Citrix网关插件,Citrix接收器,安全中心或通过网页浏览器连接的用户,强制执行此设置。如果安全邮件使用STA(一种特殊Citrix ADC模式),则“强制超时“设置不应用于安全邮件会话。默认值为1440 分钟。如果将此值留空,则该设置处于禁用状态。
有关Citrix Gateway中的超时设置的详细信息,请参阅Citrix ADC文档。
有关提示用户在其设备上输入凭据以在XenMobile中执行身份验证的情景的详细信息,请参阅身份验证提示情景。
默认配置设置
这些设置是由以下对象提供的默认设置:
- 适用于XenMobile的NetScaler向导
- MAM SDK或MDX Toolkit
- XenMobile控制台
| 设置 | 设置的查找位置 | 默认设置 |
|---|---|---|
| 会话超时 | Citrix网关 | 1440 分钟 |
| 强制超时 | Citrix网关 | 1440 分钟 |
| 最长脱机期限 | MDX策略 | 72 小时 |
| 后台服务票据过期日期 | MDX策略 | 168 小时(7 天) |
| 要求联机会话 | MDX策略 | 关 |
| 要求联机会话宽限期 | MDX策略 | 0 |
| 应用程序通行码 | MDX策略 | 开 |
| 使用通行码加密机密 | XenMobile客户端属性 | 假 |
| 启用Citrix PIN身份验证 | XenMobile客户端属性 | 假 |
| Pin强度要求 | XenMobile客户端属性 | 中 |
| Pin码类型 | XenMobile客户端属性 | 数字 |
| 启用用户密码缓存 | XenMobile客户端属性 | 假 |
| 不活动计时器 | XenMobile客户端属性 | 15 |
| 启用触摸ID身份验证 | XenMobile客户端属性 | 假 |
建议的配置
本节提供的三个XenMobile配置示例是从最低安全性和最佳用户体验到最高安全性和干扰较多的用户体验。这些示例应该可为您在考虑如何在自己的配置中权衡这些因素时提供有用的参考要点。请注意,如果修改这些设置,可能也需要更改其他设置。例如,最长脱机期限应该始终为小于会话超时。
最高安全性
此配置提供最高安全级别,但可用性显著降低。
| 设置 | 设置的查找位置 | 建议设置 | 行为影响 |
| 会话超时 | Citrix网关 | 1440 | 仅当要求进行联机身份验证时,用户输入其安全中心凭据-每24小时一次。 |
| 强制超时 | Citrix网关 | 1440 | 严格要求每 24 小时进行一次联机身份验证。活动不会延长会话生存期。 |
| 最长脱机期限 | MDX策略 | 23 | 要求每天刷新策略。 |
| 后台服务票据过期日期 | MDX策略 | 72 小时 | STA超时,允许在没有Citrix Gateway会话令牌的情况下进行长时间会话。对于安全的邮件,使STA超时长于会话超时可避免当用户在会话过期之前没有打开应用程序的情况下,邮件通知停止,但未提示用户。 |
| 要求联机会话 | MDX策略 | 关 | 确保存在有效的网络连接和Citrix Gateway会话以使用应用程序。 |
| 要求联机会话宽限期 | MDX策略 | 0 | 无宽限期(如果启用了"要求联机会话")。 |
| 应用程序通行码 | MDX策略 | 开 | 需要应用程序的通行码。 |
| 使用通行码加密机密 | XenMobile客户端属性 | 真正的 | 从用户熵派生的密钥保护保管库。 |
| 启用Citrix PIN身份验证 | XenMobile客户端属性 | 真正的 | 启用Citrix PIN以实现简化的身份验证体验。 |
| Pin强度要求 | XenMobile客户端属性 | 强 | 高密码复杂性要求。 |
| Pin码类型 | XenMobile客户端属性 | 字母数字 | Pin是一个字母数字序列。 |
| 启用密码缓存 | XenMobile客户端属性 | 假 | 不缓存Active Directory密码,使用Citrix PIN进行脱机身份验证。 |
| 不活动计时器 | XenMobile客户端属性 | 15 | 如果在此时间段内用户未使用MDX应用程序或Secure Hub,则提示进行脱机身份验证。 |
| 启用触摸ID身份验证 | XenMobile客户端属性 | 假 | 在iOS中对脱机身份验证用例禁用Touch ID。 |
更高的安全性
比较均衡的方法,此配置要求用户更加频繁地(最多每 3 天一次,而不是 7 天)进行身份验证, 安全性较高。身份验证次数增加会增加锁定容器的频率,以确保设备未在使用时的数据安全性。
| 设置 | 设置的查找位置 | 建议设置 | 行为影响 |
| 会话超时 | Citrix网关 | 4320 | 仅当要求进行联机身份验证时,用户输入其安全中心凭据-每3天一次。 |
| 强制超时 | Citrix网关 | 无值 | 如果存在任何活动,将延长会话。 |
| 最长脱机期限 | MDX策略 | 71 | 要求每 3 天刷新一次策略。在会话超时之前,允许刷新时间存在小时级差异。 |
| 后台服务票据过期日期 | MDX策略 | 168 小时 | STA超时,允许在没有Citrix Gateway会话令牌的情况下进行长时间会话。对于安全的邮件,使STA超时长于会话超时可避免当用户在会话过期之前没有打开应用程序的情况下,邮件通知停止,但未提示用户。 |
| 要求联机会话 | MDX策略 | 关 | 确保存在有效的网络连接和Citrix Gateway会话以使用应用程序。 |
| 要求联机会话宽限期 | MDX策略 | 0 | 无宽限期(如果启用了"要求联机会话")。 |
| 应用程序通行码 | MDX策略 | 开 | 需要应用程序的通行码。 |
| 使用通行码加密机密 | XenMobile客户端属性 | 假 | 不需要使用用户熵来加密保管库。 |
| 启用Citrix PIN身份验证 | XenMobile客户端属性 | 真正的 | 启用Citrix PIN以实现简化的身份验证体验。 |
| Pin强度要求 | XenMobile客户端属性 | 中 | 强制执行中等密码复杂性规则。 |
| Pin码类型 | XenMobile客户端属性 | 数字 | Pin是一个数字序列。 |
| 启用密码缓存 | XenMobile客户端属性 | 真正的 | 用户PIN码缓存和保护Active Directory密码。 |
| 不活动计时器 | XenMobile客户端属性 | 30. | 如果在此时间段内用户未使用MDX应用程序或Secure Hub,则提示进行脱机身份验证。 |
| 启用触摸ID身份验证 | XenMobile客户端属性 | 真正的 | 在iOS中对脱机身份验证用例启用Touch ID。 |
高安全性
此配置提供基本级别的安全性,对用户来说最方便。
| 设置 | 设置的查找位置 | 建议设置 | 行为影响 |
| 会话超时 | Citrix网关 | 10080 | 仅当要求进行联机身份验证时、用户输入其安全中心凭据-每7天一次.单击“确定” |
| 强制超时 | Citrix网关 | 无值 | 如果存在任何活动,将延长会话。 |
| 最长脱机期限 | MDX策略 | 167 | 要求每周(每 7 天)刷新一次策略。在会话超时之前,允许刷新时间存在小时级差异。 |
| 后台服务票据过期日期 | MDX策略 | 240 | STA超时,允许在没有Citrix Gateway会话令牌的情况下进行长时间会话。对于安全的邮件,使STA超时长于会话超时可避免当用户在会话过期之前没有打开应用程序的情况下,邮件通知停止,但未提示用户。 |
| 要求联机会话 | MDX策略 | 关 | 确保存在有效的网络连接和Citrix Gateway会话以使用应用程序。 |
| 要求联机会话宽限期 | MDX策略 | 0 | 无宽限期(如果启用了"要求联机会话")。 |
| 应用程序通行码 | MDX策略 | 开 | 需要应用程序的通行码。 |
| 使用通行码加密机密 | XenMobile客户端属性 | 假 | 不需要使用用户熵来加密保管库。 |
| 启用Citrix PIN身份验证 | XenMobile客户端属性 | 真正的 | 启用Citrix PIN以实现简化的身份验证体验。 |
| Pin强度要求 | XenMobile客户端属性 | 低 | 无密码复杂性要求 |
| Pin码类型 | XenMobile客户端属性 | 数字 | Pin是一个数字序列。 |
| 启用密码缓存 | XenMobile客户端属性 | 真正的 | 用户PIN码缓存和保护Active Directory密码。 |
| 不活动计时器 | XenMobile客户端属性 | 90 | 如果在此时间段内用户未使用MDX应用程序或Secure Hub,则提示进行脱机身份验证。 |
| 启用触摸ID身份验证 | XenMobile客户端属性 | 真正的 | 在iOS中对脱机身份验证用例启用Touch ID。 |
使用递升式身份验证
某些应用程序可能需要增强的身份验证(例如,令牌或主动会话超时等辅助身份验证因素)。您可以通过MDX策略控制此身份验证方法。此方法还需要一个单独的虚拟服务器来控制身份验证方法(在相同或不同的Citrix ADC设备上)。
| 设置 | 设置的查找位置 | 建议设置 | 行为影响 |
|---|---|---|---|
| 备用Citrix Gateway | MDX策略 | 需要辅助Citrix ADC设备的FQDN和端口。 | 允许通过辅助Citrix ADC设备身份验证和会话策略控制增强的身份验证。 |
如果登录备用Citrix网关实例的用户打开某个应用程序,则所有其他应用程序都将使用该Citrix网关实例与内部网络进行通信。仅当与具有增强安全性的Citrix网关实例的会话超时后,会话才会切换回安全性较低的Citrix网关实例。
使用"要求联机会话"
对于某些应用程序(例如安全Web),您可能希望确保用户仅在具有经过身份验证的会话且设备已连接到网络时运行应用程序。此策略强制执行该方式,并允许有一个宽限期以便用户可以完成其工作。
| 设置 | 设置的查找位置 | 建议设置 | 行为影响 |
|---|---|---|---|
| 要求联机会话 | MDX策略 | 开 | 确保设备处于联机状态,并具有有效的身份验证令牌。 |
| 要求联机会话宽限期 | MDX策略 | 15 | 允许在用户无法继续使用应用程序之前有 15 分钟的宽限期 |