Citrix ADC

Pushbenachrichtigung für OTP

Citrix Gateway unterstützt Pushbenachrichtigungen für OTP. Benutzer müssen das auf ihren registrierten Geräten empfangene OTP nicht manuell eingeben, um sich bei Citrix Gateway anzumelden. Administratoren können Citrix Gateway so konfigurieren, dass Anmeldebenachrichtigungen mithilfe von Pushbenachrichtigungsdiensten an die registrierten Geräte der Benutzer gesendet werden. Wenn Benutzer die Benachrichtigung erhalten, müssen sie einfach in der Benachrichtigung auf Zulassen tippen, um sich bei Citrix Gateway anzumelden. Wenn das Gateway eine Bestätigung vom Benutzer erhält, identifiziert es die Quelle der Anfrage und sendet eine Antwort an diese Browserverbindung.

Wenn die Benachrichtigungsantwort nicht innerhalb des Timeout-Zeitraums (30 Sekunden) empfangen wird, werden Benutzer zur Citrix Gateway-Anmeldeseite weitergeleitet. Die Benutzer können das OTP dann manuell eingeben oder auf Benachrichtigung erneut senden klicken, um die Benachrichtigung erneut auf dem registrierten Gerät zu erhalten.

Administratoren können mithilfe der für Pushbenachrichtigungen erstellten Anmeldeschemas die Pushbenachrichtigung als Standardauthentifizierung vornehmen.

Wichtig:

Die Pushbenachrichtigungsfunktion ist mit einer Citrix ADC Premium Edition-Lizenz verfügbar.

Vorteile von Pushbenachrichtigungen

  • Pushbenachrichtigungen bieten einen sichereren Multifaktor-Authentifizierungsmechanismus. Die Authentifizierung bei Citrix Gateway ist erst erfolgreich, wenn der Benutzer den Anmeldeversuch genehmigt.
  • Pushbenachrichtigungen sind einfach zu verwalten und zu verwenden. Benutzer müssen die Citrix SSO Mobile App herunterladen und installieren, für die keine Administratorunterstützung erforderlich ist.
  • Benutzer müssen den Code nicht kopieren oder sich merken. Sie müssen einfach auf das Gerät tippen, um sich authentifizieren zu lassen.
  • Benutzer können mehrere Geräte registrieren.

Funktionsweise von Pushbenachrichtigungen

Der Workflow für Pushbenachrichtigungen kann in zwei Kategorien eingeteilt werden:

  • Geräteregistrierung
  • Login für Endbenutzer

Workflow

Voraussetzungen für die Verwendung von Pushbenachrichtigungen

  • Schließen Sie den Citrix Cloud-Onboarding-Prozess ab.

    1. Erstellen Sie ein Citrix Cloud-Unternehmenskonto oder treten Sie einem vorhandenen bei. Detaillierte Verfahren und Anweisungen zum weiteren Vorgehen finden Sie unter Anmeldung für Citrix Cloud.

    2. Melden Sie sich bei an https://citrix.cloud.comund wählen Sie den Kunden aus.

    3. Wählen Sie im Menü Identitäts- und Zugriffsmanagement aus und navigieren Sie dann zur Registerkarte API-Zugriff, um einen Client für das Konto zu erstellen.

    4. Kopieren Sie die ID, das Geheimnis und die Kunden-ID. Die ID und das Geheimnis sind erforderlich, um den Push-Dienst in Citrix ADC als “ClientID” bzw. “ClientSecret” zu konfigurieren.

Wichtig:

  • Dieselben API-Anmeldeinformationen können in mehreren Rechenzentren verwendet werden.
  • Lokale Citrix ADC Appliances müssen in der Lage sein, die Serveradressen mfa.cloud.com und trust.citrixworkspacesapi.net aufzulösen und sind von der Appliance aus zugänglich. Dies soll sicherstellen, dass es keine Firewalls oder IP-Adressblöcke für diese Server über Port 443 gibt.
  • Laden Sie die mobile Citrix SSO App aus dem App Store und Play Store für iOS-Geräte bzw. Android-Geräte herunter. Pushbenachrichtigungen werden auf iOS ab Build 1.1.13 auf Android ab 2.3.5 unterstützt.

  • Stellen Sie Folgendes für das Active Directory sicher.

    • Die minimale Attributlänge muss mindestens 256 Zeichen betragen.
    • Der Attributtyp muss ‘DirectoryString’ wie UserParameters sein. Diese Attribute können Zeichenfolgenwerte enthalten.
    • Der Typ der Attributzeichenfolge muss Unicode sein, wenn der Gerätename nicht-englische Zeichen enthält.
    • Der Citrix ADC LDAP-Administrator muss Schreibzugriff auf das ausgewählte AD-Attribut haben.
    • Citrix ADC und der Clientcomputer müssen mit einem gemeinsamen Netzwerkzeitserver synchronisiert werden.

Konfiguration von Pushbenachrichtigungen

Im Folgenden sind die übergeordneten Schritte aufgeführt, die ausgeführt werden müssen, um die Pushbenachrichtigungsfunktion verwenden zu können.

  • Der Citrix Gateway-Administrator muss die Schnittstelle für die Verwaltung und Validierung von Benutzern konfigurieren.

    1. Konfigurieren Sie einen Push-Dienst.

    2. Konfigurieren Sie Citrix Gateway für die OTP-Verwaltung und die Endbenutzer-Anmeldung.

      Benutzer müssen ihre Geräte beim Gateway registrieren, um sich bei Citrix Gateway anmelden zu können.

    3. Registrieren Sie Ihr Gerät bei Citrix Gateway.

    4. Melden Sie sich bei Citrix Gateway an.

Erstellen Sie einen Push-Dienst

  1. Navigieren Sie zu Sicherheit > AAA-Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Aktionen > Push-Dienst und klicken Sie auf Hinzufügen.

  2. Geben Sie unter Nameden Namen des Push-Dienstes ein.

  3. Geben Sie im Feld Client-IDdie eindeutige Identität der vertrauenden Partei für die Kommunikation mit dem Citrix Push-Server in der Cloud ein.

  4. Geben Sie in Client Secretdas eindeutige Geheimnis der vertrauenden Partei für die Kommunikation mit dem Citrix Push-Server in der Cloud ein.

  5. Geben Sie im Feld Kunden-IDdie Kunden-ID oder den Namen des Kontos in der Cloud ein, das zum Erstellen der Client-ID und des Client Secret-Paares verwendet wird.

Wichtig

Die TLS 1.2-Version wird für den Push-Service benötigt. Weitere Informationen finden Sie unter TLS 1.2-Konfigurationsdetails.

Konfigurieren von Citrix Gateway für OTP-Verwaltung und Endbenutzeranmeldung

Führen Sie die folgenden Schritte für die OTP-Verwaltung und die Endbenutzer-Anmeldung aus.

  • Erstellen eines Anmeldeschemas für die OTP-Verwaltung
  • Konfigurieren des virtuellen Servers für Authentifizierung, Autorisierung und Überwachung
  • Konfigurieren von VPN- oder Lastausgleichs-Servern
  • Konfigurieren des Policy Label
  • Anmeldeschema für Endbenutzer-Anmeldung erstellen

Weitere Informationen zur Konfiguration finden Sie unter Native OTP-Unterstützung.

Wichtig: Für Pushbenachrichtigungen müssen Administratoren Folgendes explizit konfigurieren:

  • Erstellen Sie einen Push-Dienst.
  • Wählen Sie beim Erstellen eines Anmeldeschemas für die OTP-Verwaltung je nach Bedarf das Anmeldeschema SingleAuthManageOTP.xml oder ein Äquivalent aus.
  • Wählen Sie beim Erstellen eines Anmeldeschemas für die Endbenutzeranmeldung je nach Bedarf das Anmeldeschema DualAuthOrPush.xml oder ein Äquivalent aus.

Registrieren Sie Ihr Gerät bei Citrix Gateway

Benutzer müssen ihre Geräte bei Citrix Gateway registrieren, um die Pushbenachrichtigungsfunktion nutzen zu können.

  1. Navigieren Sie in Ihrem Webbrowser zu Ihrem Citrix Gateway FQDN und setzen Sie /manageotp an den FQDN an.

    Dadurch wird die Authentifizierungsseite geladen. Beispiel:https://gateway.company.com/manageotp

  2. Melden Sie sich je nach Bedarf mit Ihren LDAP-Anmeldeinformationen oder geeigneten Zwei-Faktor-Authentifizierungsmechanismen an.

    Anmelden

  3. Klicken Sie auf Gerät hinzufügen.

  4. Geben Sie einen Namen für Ihr Gerät ein und klicken Sie auf Start.

    Ein QR-Code wird auf der Citrix Gateway-Browserseite angezeigt.

    Scannen

  5. Scannen Sie diesen QR-Code mit der Citrix SSO-App von dem zu registrierenden Gerät.

    Citrix SSO validiert den QR-Code und registriert sich dann beim Gateway für Pushbenachrichtigungen. Wenn der Registrierungsprozess keine Fehler aufweist, wird das Token erfolgreich zur Kennwort-Token-Seite hinzugefügt.

    Wichtig:

    Die Anmeldung schlägt fehl, wenn Sie den im QR-Code angegebenen geheimen Schlüssel manuell eingeben.

    Token

  6. Wenn es keine zusätzlichen Geräte zum Hinzufügen/Verwalten gibt, melden Sie sich mit der Liste oben rechts auf der Seite ab.

Testen der Einmalkennwort-Authentifizierung

  1. Um das OTP zu testen, klicken Sie in der Liste auf Ihr Gerät und dann auf Testen.

  2. Geben Sie das OTP ein, das Sie auf Ihrem Gerät erhalten haben, und klicken Sie auf Los.

    Die Meldung “OTP-Überprüfung erfolgreich” wird angezeigt.

  3. Melden Sie sich mit der Liste oben rechts auf der Seite ab.

Hinweis: Sie können das OTP-Verwaltungsportal jederzeit verwenden, um die Authentifizierung zu testen, registrierte Geräte zu entfernen oder weitere Geräte zu registrieren.

Melden Sie sich bei Citrix Gateway an

Nach der Registrierung ihrer Geräte bei Citrix Gateway können Benutzer die Pushbenachrichtigungsfunktion für die Authentifizierung verwenden.

  1. Navigieren Sie zu Ihrer Citrix Gateway-Authentifizierungsseite (z. B.: https://gateway.company.com)

    Abhängig von der Konfiguration des Anmeldeschemas werden Sie aufgefordert, nur Ihre LDAP-Anmeldeinformationen einzugeben.

    Token

  2. Geben Sie Ihren LDAP-Benutzernamen und Ihr Kennwort ein und wählen Sie dann Sendenaus.

    Eine Benachrichtigung wird an Ihr registriertes Gerät gesendet.

    Hinweis: Wenn Sie das OTP manuell eingeben möchten, müssen Sie Klicken auswählen, um OTP manuell einzugeben, und das OTP in das Feld TOTP eingeben.

  3. Öffnen Sie die Citrix SSO-App auf Ihrem registrierten Gerät und tippen Sie auf Zulassen.

    Zulassen

    Hinweis:

    • Auf einem iOS-Gerät werden Sie als zusätzlichen Authentifizierungsfaktor zur Eingabe von Touch-ID/Face-ID/Passcode aufgefordert.

    • Der Authentifizierungsserver wartet auf die Antwort der Push-Server-Benachrichtigung, bis der konfigurierte Timeout-Zeitraum abgelaufen ist. Nach dem Timeout zeigt Citrix Gateway die Anmeldeseite an. Die Benutzer können das OTP dann manuell eingeben oder auf Benachrichtigung erneut senden klicken, um die Benachrichtigung erneut auf dem registrierten Gerät zu erhalten. Basierend auf der von Ihnen ausgewählten Option validiert das Gateway das von Ihnen eingegebene OTP oder sendet die Benachrichtigung erneut auf Ihrem registrierten Gerät.

    Fallback

    • Es wird keine Benachrichtigung über einen Fehler bei der Anmeldung an Ihr registriertes Gerät gesendet.

Bedingungen für Ausfälle

  • Die Geräteregistrierung schlägt in den folgenden Fällen möglicherweise fehl.
    • Das Serverzertifikat kann vom Endbenutzergerät nicht vertrauenswürdig sein.
    • Citrix Gateway, das zur Registrierung für OTP verwendet wird, ist für den Client nicht erreichbar.
  • Die Benachrichtigungen können in den folgenden Fällen fehlschlagen.
    • Das Benutzergerät ist nicht mit dem Internet verbunden
    • Benachrichtigungen auf dem Benutzergerät sind blockiert
    • Der Benutzer genehmigt die Benachrichtigung auf dem Gerät nicht

In diesen Fällen wartet der Authentifizierungsserver, bis der konfigurierte Timeout-Zeitraum abläuft. Nach dem Timeout zeigt Citrix Gateway eine Anmeldeseite mit den Optionen an, das OTP manuell einzugeben oder die Benachrichtigung erneut auf Ihrem registrierten Gerät zu senden. Basierend auf der ausgewählten Option erfolgt eine weitere Validierung.

Fehler-Protokolle

Im Folgenden sind die erwarteten Protokolle aufgeführt, wenn der OTP-Push-Dienst nicht erreichbar ist.

  • Pushbenachrichtigung fehlgeschlagen, wenn das Benutzergerät nicht mit dem Internet verbunden ist - Push: Push Request konnte nicht auf “client name” für den Push-Dienst vorbereitet werden.
  • Fehlerprotokoll für Geräteregistrierung - Push: Es sind keine Geräte registriert, um die Push-Anfrage an die Cloud für “client name” zu senden.
  • Falls der Benutzer den Push nicht akzeptiert - Push: Antwort wird vom Client nicht gesehen, für “user name”, überprüfen Sie die Wiederholungsoptionen.

Citrix SSO-App-Verhalten unter iOS — weist darauf hin

Verknüpfungen für Benachrichtigungen

Die Citrix SSO iOS-App bietet Unterstützung für umsetzbare Benachrichtigungen, um die Benutzerfreundlichkeit zu verbessern. Sobald eine Benachrichtigung auf einem iOS-Gerät eingegangen ist und das Gerät gesperrt ist oder sich die Citrix SSO-App nicht im Vordergrund befindet, können Benutzer die in der Benachrichtigung integrierten Verknüpfungen verwenden, um die Anmeldeanfrage entweder zu genehmigen oder abzulehnen.

Um auf Benachrichtigungsverknüpfungen zuzugreifen, müssen Benutzer je nach Hardware des Geräts entweder eine Berührung erzwingen (3D-Touch) oder die Benachrichtigung lange drücken. Durch Auswahl der Aktion Verknüpfung zulassen wird eine Anmeldeanfrage an Citrix ADC gesendet. Abhängig davon, wie die Authentifizierungsrichtlinie für den virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver konfiguriert ist;

  • Die Anmeldeanfrage kann im Hintergrund gesendet werden, ohne dass die App im Vordergrund gestartet oder das Gerät entsperrt werden muss.
  • Die App fordert möglicherweise als zusätzlichen Faktor zur Eingabe von Touch-ID/Face-ID/Passcode auf. In diesem Fall wird die App in den Vordergrund gestartet.

Verknüpfung

Löschen von Kennwort-Token von Citrix SSO

  1. Um ein für Push registriertes Kennwort-Token in der Citrix SSO-App zu löschen, müssen Benutzer die folgenden Schritte ausführen:

  2. Heben Sie die Registrierung des iOS/Android-Geräts auf dem Gateway auf (entfernen). Der QR-Code zum Entfernen der Registrierung vom Gerät wird angezeigt.
  3. Öffnen Sie die Citrix SSO-App und tippen Sie auf die Info-Schaltfläche des zu löschenden Kennwort-Tokens.
  4. Tippen Sie auf Token löschen und scannen Sie den QR-Code.

Hinweis:

  • Wenn der QR-Code gültig ist, wird das Token erfolgreich aus der Citrix SSO-App entfernt.
  • Benutzer können auf Löschen erzwingen tippen, um ein Kennwort-Token zu löschen, ohne den QR-Code scannen zu müssen, wenn das Gerät bereits aus dem Gateway entfernt wurde. Erzwungenes Löschen kann dazu führen, dass das Gerät weiterhin Benachrichtigungen erhält, wenn das Gerät nicht aus Citrix Gateway entfernt wurde.

Lösch-Token