MDX应用程序的sso和代理注意事项
通过XenMobile与Citrix ADC的集成,您可以向用户提供通过单点登录(SSO)访问所有后端HTTP / HTTPS资源的功能。根据您的sso身份验证要求,可以将MDX应用程序的用户连接配置为使用以下任一方式:
- 安全浏览,这是一种无客户端VPN
- 完整VPN通道
如果Citrix ADC不是在您的环境中提供SSO的最佳方法,则可以为MDX应用程序设置基于策略的本地密码缓存。本文探讨了各种SSO和代理选项,重点探讨安全Web。这些概念适用于其他MDX应用程序。
下面的流程图概括了sso和用户连接的决策流程。
Citrix ADC身份验证方法
本节提供了有关Citrix ADC支持的身份验证方法的常规信息。
萨姆尔身份验证
将Citrix ADC配置为使用安全声明标记语言(SAML)时,用户可以连接到支持使用SAML协议进行单点登录的网络应用程序。Citrix网关支持对SAML Web应用程序进行身份提供程序(IdP)单点登录。
所需的配置:
- 在Citrix ADC流量配置文件中配置SAML SSO。
- 为请求的服务配置SAML IdP。
NTLM身份验证
如果在会话配置文件中启用了通过SSO登录Web应用程序的功能,Citrix ADC将自动执行NTLM身份验证。
所需的配置:
- 在Citrix ADC会话或流量配置文件中启用SSO。
Kerberos模拟
XenMobile仅支持对Secure Web使用Kerberos。将Citrix ADC配置为进行Kerberos SSO时,Citrix ADC将在用户密码对Citrix ADC可用时使用模拟。模拟是指Citrix ADC使用用户凭据获得获取对安全Web等服务的访问权限所需的令牌。
所需的配置:
- 配置Citrix ADC Worx会话策略以允许其识别来自您的连接的Kerberos领域。
- 在Citrix ADC上配置Kerberos约束委派(KCD)帐户。将该帐户配置为无密码,并将其绑定到您的XenMobile网关上的流量策略。
- 有关这些配置及其他配置的详细信息,请参阅Citrix博客:WorxWeb和Kerberos模拟SSO(WorxWeb和Kerberos模拟SSO)。
Kerberos约束委派
XenMobile仅支持对Secure Web使用Kerberos。将Citrix ADC配置为进行Kerberos SSO时,Citrix ADC将在用户密码对Citrix ADC不可用时使用约束委派。
启用了约束委派时,Citrix ADC将使用指定的管理员帐户代表用户和服务获取令牌。
所需的配置:
- 在活动目录中为KCD帐户配置所需的权限并在Citrix ADC上配置一个kdc帐户。
- 在Citrix ADC流量配置文件中启用SSO。
- 将后端Web站点配置为进行Kerberos身份验证。
表单填充身份验证
将Citrix ADC配置为进行基于表单的单点登录时,用户登录一次即可访问您的网络中所有受保护的应用程序。此身份验证方法适用于使用安全浏览或完整VPN模式的应用程序。
所需的配置:
- 在Citrix ADC流量配置文件中配置基于表单的SSO。
摘要式HTTP身份验证
如果在会话配置文件中启用通过SSO登录Web应用程序的功能,Citrix ADC将自动执行摘要式HTTP身份验证。此身份验证方法适用于使用安全浏览或完整VPN模式的应用程序。
所需的配置:
- 在Citrix ADC会话或流量配置文件中启用SSO。
基本HTTP身份验证
如果在会话配置文件中启用通过SSO登录Web应用程序的功能,Citrix ADC将自动执行基本HTTP身份验证。此身份验证方法适用于使用安全浏览或完整VPN模式的应用程序。
所需的配置:
- 在Citrix ADC会话或流量配置文件中启用SSO。
安全浏览,完整VPN通道或使用pac的完整VPN通道
以下各节介绍了适用于安全Web的用户连接类型。有关详细信息,请参阅Citrix文档中的此安全Web文章:配置用户连接。
完整VPN通道
通过通道连接到内部网络的连接可以使用完整VPN通道。可使用"安全Web首选VPN模式"策略配置完整VPN通道。Citrix 建议对通过客户端证书或端到端 SSL 与内部网络中的资源建立的连接使用完整 VPN 通道。完整 VPN 通道处理任何 TCP 协议。可以在 Windows、Mac、iOS 和 Android 设备上使用完整 VPN 通道。
在完整VPN通道模式下,Citrix ADC在HTTPS会话中不可见。
安全浏览
通过通道连接到内部网络的连接可以使用无客户端VPN的变体(称为"安全浏览")。安全浏览是为安全网络首选VPN模式策略指定的默认配置。Citrix 建议对需要单点登录 (SSO) 的连接使用安全浏览。
在安全浏览模式下,Citrix ADC将HTTPS会话分成两个部分:
- 从客户端到Citrix ADC
- 从Citrix ADC到后端资源服务器。
这样,Citrix ADC将在客户端与服务器之间的所有事务中完全可见,使其能够提供SSO。
在安全浏览模式下使用时,还可以为安全Web配置代理服务器。有关详细信息,请参阅博客XenMobile WorxWeb流量通过代理服务器安全浏览模式(在安全浏览模式下通过代理服务器传输XenMobile WorxWeb流量)。
使用pac的完整VPN通道
对于iOS和Android设备上的安全网络,可以在完整VPN通道部署中使用代理自动配置(PAC)文件。XenMobile支持Citrix ADC提供的代理身份验证。PAC文件中包含的规则用于定义Web浏览器如何选择代理以访问指定URL。Pac文件规则可以指定对外部和内部站点的处理方式。安全Web解析PAC文件规则并将代理服务器信息发送到Citrix网关。Citrix Gateway无法识别PAC文件或代理服务器。
对于HTTPS Web站点的身份验证:安全Web MDX策略启用Web密码缓存允许安全Web进行身份验证并通过MDX提供对代理服务器的单点登录。
Citrix ADC拆分隧道
规划SSO和代理配置时,还必须决定是否要使用Citrix ADC拆分通道。如有需要,Citrix建议您仅使用Citrix ADC拆分通道。本节从高层角度提供了拆分通道的工作原理:Citrix ADC根据其路由表确定流量路径。当Citrix ADC拆分通道为“开”时,安全中心将内部(受保护的)网络流量与网络流量区分开。安全中心根据DNS后缀和内网应用程序做出决定。然后、Secure Hub仅通过VPN通道传输内部网络流量。Citrix ADC 拆分通道设置为“关”时,所有流量都将通过 VPN 通道传输。
- 如果出于安全考虑,您更希望监视所有流量,请禁用Citrix ADC拆分通道。这样,所有流量都通过VPN通道传输。
- 如果要在PAC中使用完整VPN通道,则必须禁用Citrix Gateway拆分通道。如果启用了拆分通道并且您配置了PAC文件,PAC文件规则将覆盖Citrix ADC拆分通道规则。在流量策略中配置的代理服务器不会覆盖Citrix ADC拆分通道规则。
默认情况下,安全网络的网络访问策略设置为通过通道连接到内部网络。采用此配置时,MDX应用程序使用Citrix ADC拆分通道设置。某些其他移动生产力应用程序网络访问策略默认值有所差别。
Citrix Gateway还具有Micro VPN反向拆分通道模式。此配置支持不通过通道连接到Citrix ADC的IP地址的排除列表。这些地址通过使用设备互联网连接发送。有关反向拆分通道的详细信息,请参阅Citrix Gateway文档。
XenMobile包括一个反向拆分通道排除列表。要防止通过Citrix网关使用通道连接某些网络站点:添加将通过局域网连接的完全限定域名(FQDN)或DNS后缀的列表(以逗号分隔)。Citrix Gateway配置为使用反向拆分通道时,此列表仅适用于安全浏览模式。