Push-Benachrichtigung für OTP

Citrix Gateway unterstützt Push-Benachrichtigungen für OTP. Benutzer müssen den auf ihren registrierten Geräten empfangenen OTP nicht manuell eingeben, um sich bei Citrix Gateway anzumelden. Administratoren können Citrix Gateway so konfigurieren, dass Anmeldebenachrichtigungen über Push-Benachrichtigungsdienste an registrierte Geräte gesendet werden. Wenn Benutzer die Benachrichtigung erhalten, müssen sie bei der Benachrichtigung einfach auf Zulassen tippen, um sich bei Citrix Gateway anzumelden. Wenn Gateway eine Bestätigung vom Benutzer erhält, identifiziert es die Quelle der Anforderung und sendet eine Antwort an diese Browserverbindung.

Wenn die Benachrichtigungsantwort nicht innerhalb des Zeitüberschreitungszeitraums (30 Sekunden) empfangen wird, werden Benutzer zur Citrix Gateway-Anmeldeseite weitergeleitet. Die Benutzer können dann den OTP manuell eingeben oder auf Benachrichtigung erneut senden klicken, um die Benachrichtigung erneut auf dem registrierten Gerät zu erhalten.

Administratoren können Push-Benachrichtigungsauthentifizierung als Standardauthentifizierung vornehmen, indem sie die Anmeldeschemas verwenden, die für Push-Benachrichtigungen erstellt wurden.

Wichtig: Die Push-Benachrichtigungsfunktion ist mit einer Citrix ADC Premium Edition Lizenz verfügbar.

Vorteile von Push-Benachrichtigungen

  • Push-Benachrichtigungen bieten einen sichereren Multi-Faktor-Authentifizierungsmechanismus. Die Authentifizierung bei Citrix Gateway ist erst erfolgreich, wenn der Benutzer den Anmeldeversuch genehmigt hat.
  • Push-Benachrichtigung ist einfach zu verwalten und zu verwenden. Benutzer müssen die mobile Citrix SSO-App herunterladen und installieren, für die keine Administratorunterstützung erforderlich ist.
  • Benutzer müssen den Code nicht kopieren oder merken. Sie müssen einfach auf das Gerät tippen, um authentifiziert zu werden.
  • Benutzer können mehrere Geräte registrieren.

Funktionsweise von Push-Benachrichtigungen

Der Workflow für Pushbenachrichtigungen kann in zwei Kategorien eingeteilt werden:

  • Geräteregistrierung
  • Endbenutzer-Anmeldung

Workflow

Voraussetzungen für die Verwendung von Push-Benachrichtigungen

  • Schließen Sie den Citrix Cloud-Onboarding-Prozess ab.

    1. Erstellen Sie ein Citrix Cloud-Unternehmenskonto oder treten Sie einem vorhandenen Konto bei. Detaillierte Prozesse und Anweisungen zum Fortfahren finden Sie unter Registrieren für Citrix Cloud.

    2. Melden Sie sich bei anhttps://citrix.cloud.comund wählen Sie den Kunden aus.

    3. Wählen Sie im Menü Identitäts- und Zugriffsverwaltung aus, und navigieren Sie dann zur Registerkarte API-Zugriff, um einen Client für das Konto zu erstellen.

    4. Kopieren Sie die ID, die geheime und die Kunden-ID. Die ID und der geheime Schlüssel sind erforderlich, um den Push-Dienst in Citrix ADC als “ClientID” bzw. “ClientSecret” zu konfigurieren.

Wichtig:

  • Gleiche API-Anmeldeinformationen können in mehreren Rechenzentren verwendet werden.
  • Citrix ADC-Appliances müssen in der Lage sein, die Serveradressen mfa.cloud.com und trust.citrixworkspacesapi.net aufzulösen und von der Appliance aus zu erreichen. Damit soll sichergestellt werden, dass keine Firewalls oder IP-Adressblöcke für diese Server über Port 443 vorhanden sind.
  • Laden Sie die Citrix SSO mobile App aus dem App Store und dem Play Store für iOS-Geräte bzw. Android-Geräte herunter. Push-Benachrichtigung wird unter iOS ab Build 1.1.13 auf Android ab 2.3.5 unterstützt.

  • Stellen Sie für Active Directory Folgendes sicher.

    • Die minimale Attributlänge muss mindestens 256 Zeichen lang sein.
    • Attributtyp muss “DirectoryString” sein, z. B. UserParameters. Diese Attribute können Zeichenfolgenwerte enthalten.
    • Der Typ der Attributzeichenfolge muss Unicode sein, wenn der Gerätename nicht englische Zeichen enthält.
    • Der Citrix ADC LDAP-Administrator muss Schreibzugriff auf das ausgewählte AD-Attribut haben.
    • Citrix ADC und der Clientcomputer müssen mit einem gemeinsamen Netzwerkzeitserver synchronisiert werden.

Konfiguration von Push-Benachrichtigungen

Im Folgenden werden die Schritte auf hoher Ebene aufgeführt, die ausgeführt werden müssen, um die Push-Benachrichtigungsfunktion zu verwenden.

  • Der Citrix Gateway-Administrator muss die Schnittstelle konfigurieren, um Benutzer zu verwalten und zu validieren.

    1. Konfigurieren Sie einen Push-Service.

    2. Konfigurieren Sie Citrix Gateway für die OTP-Verwaltung und die Endbenutzeranmeldung.

      Benutzer müssen ihre Geräte beim Gateway registrieren, um sich bei Citrix Gateway anzumelden.

    3. Registrieren Sie Ihr Gerät bei Citrix Gateway.

    4. Melden Sie sich bei Citrix Gateway an.

Erstellen eines Push-Service

  1. Navigieren Sie zu Sicherheit > AAA-Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Aktionen > Push-Dienst, und klicken Sie auf Hinzufügen .

  2. Geben Sie unter Nameden Namen des Push-Dienstes ein.

  3. Geben Sie unter Client-IDdie eindeutige Identität der vertrauenden Partei für die Kommunikation mit dem Citrix Push-Server in der Cloud ein.

  4. Geben Sie unter Client Secretdas eindeutige Geheimnis der vertrauenden Partei für die Kommunikation mit dem Citrix Push-Server in der Cloud ein.

  5. Geben Sie unter Kunden-IDdie Kunden-ID oder den Namen des Kontos in der Cloud ein, mit dem Client-ID und Client-geheimes Paar erstellt werden.

Konfigurieren von Citrix Gateway für OTP-Verwaltung und Endbenutzeranmeldung

Führen Sie die folgenden Schritte für die OTP-Verwaltung und die Endbenutzeranmeldung aus.

  • Anmeldeschema für die OTP-Verwaltung erstellen
  • Konfigurieren der Authentifizierung, Autorisierung und Überwachung des virtuellen Servers
  • Konfigurieren von VPN- oder Lastausgleichs-Servern
  • Richtlinienlabel konfigurieren
  • Anmeldeschema für Endbenutzer-Anmeldung erstellen

Weitere Informationen zur Konfiguration finden Sie unterNative OTP-Unterstützung.

Wichtig: Für Push-Benachrichtigungen müssen Administratoren Folgendes explizit konfigurieren:

  • Erstellen Sie einen Push-Service.
  • Wählen Sie beim Erstellen des Anmeldeschemas für die OTP-Verwaltung das Anmeldeschema SingleAuthManageOTP.xml oder ein Äquivalent gemäß der Notwendigkeit aus.
  • Wählen Sie beim Erstellen des Anmeldeschemas für die Endbenutzeranmeldung das Anmeldeschema DualAuthOrPush.xml oder ein Äquivalent gemäß der Notwendigkeit aus.

Registrieren Sie Ihr Gerät bei Citrix Gateway

Benutzer müssen ihre Geräte bei Citrix Gateway registrieren, um die Push-Benachrichtigungsfunktion nutzen zu können.

  1. Navigieren Sie in Ihrem Webbrowser zu Ihrem Citrix Gateway-FQDN und Suffix /manageotp zum FQDN.

    Dadurch wird die Authentifizierungsseite geladen. Beispiel: https://gateway.company.com/manageotp

  2. Melden Sie sich bei Bedarf mit Ihren LDAP-Anmeldeinformationen oder geeigneten Zwei-Faktor-Authentifizierungsmechanismen an.

    Login

  3. Klicken Sie auf Gerät hinzufügen.

  4. Geben Sie einen Namen für Ihr Gerät ein, und klicken Sie auf Los.

    Ein QR-Code wird auf der Citrix Gateway-Browserseite angezeigt.

    Scan

  5. Scannen Sie diesen QR-Code mit der Citrix SSO-App vom zu registrierenden Gerät aus.

    Citrix SSO überprüft den QR-Code und registriert sich dann beim Gateway für Push-Benachrichtigungen. Wenn bei der Registrierung keine Fehler auftreten, wird das Token erfolgreich zur Seite Kennworttokens hinzugefügt.

    Zeichen

  6. Wenn es keine zusätzlichen Geräte zum Hinzufügen/Verwalten gibt, melden Sie sich mit der Liste oben rechts auf der Seite ab.

Testen der Einmalkennwortauthentifizierung

  1. Klicken Sie zum Testen des OTP in der Liste auf Ihr Gerät, und klicken Sie dann auf Testen.

  2. Geben Sie den OTP ein, den Sie auf Ihrem Gerät erhalten haben, und klicken Sie auf Los.**

    Die Meldung OTP-Überprüfung erfolgreich wird angezeigt.

  3. Melden Sie sich mit der Liste oben rechts auf der Seite ab.

Hinweis: Sie können das OTP-Verwaltungsportal jederzeit verwenden, um die Authentifizierung zu testen, registrierte Geräte zu entfernen oder weitere Geräte zu registrieren.**

Anmelden bei Citrix Gateway

Nach der Registrierung ihrer Geräte bei Citrix Gateway können Benutzer die Push-Benachrichtigungsfunktion für die Authentifizierung verwenden.

  1. Navigieren Sie zu der Citrix Gateway-Authentifizierungsseite (Beispiel:https://gateway.company.com)

    Je nach Konfiguration des Anmeldeschemas werden Sie aufgefordert, nur Ihre LDAP-Anmeldeinformationen einzugeben.

    Zeichen

  2. Geben Sie Ihren LDAP-Benutzernamen und Ihr Kennwort ein, und wählen Sie Absendenaus.

    Eine Benachrichtigung wird an Ihr registriertes Gerät gesendet.

    Hinweis: Wenn Sie den OTP manuell eingeben möchten, müssen Sie auf Klicken klicken, um OTP manuell einzugeben, und den OTP in das Feld TOTP eingeben.

  3. Öffnen Sie die Citrix SSO-App auf Ihrem registrierten Gerät und tippen Sie auf Zulassen.

    Zulassen

    Hinweis:

    • Der Authentifizierungsserver wartet auf Push-Server-Benachrichtigungsantwort, bis der konfigurierte Zeitüberschreitungszeitraum abgelaufen ist. Nach dem Timeout zeigt Citrix Gateway die Anmeldeseite an. Die Benutzer können dann den OTP manuell eingeben oder auf Benachrichtigung erneut senden klicken, um die Benachrichtigung erneut auf dem registrierten Gerät zu erhalten. Basierend auf Ihrer ausgewählten Option validiert Gateway den von Ihnen eingegebenen OTP oder sendet die Benachrichtigung erneut auf Ihrem registrierten Gerät.

    Fallback

    • Es wird keine Benachrichtigung an Ihr registriertes Gerät über einen Fehler bei der Anmeldung gesendet.

Fehlerbedingungen

  • Die Geräteregistrierung schlägt in den folgenden Fällen möglicherweise fehl.
    • Das Serverzertifikat wird vom Endbenutzergerät möglicherweise nicht vertrauenswürdig.
    • Citrix Gateway, das zur Registrierung für OTP verwendet wird, ist vom Client nicht erreichbar.
  • Die Benachrichtigungen können in den folgenden Fällen fehlschlagen.
    • Benutzergerät ist nicht mit dem Internet verbunden
    • Benachrichtigungen auf dem Benutzergerät werden blockiert
    • Benutzer genehmigt die Benachrichtigung auf dem Gerät nicht

In diesen Fällen wartet der Authentifizierungsserver, bis der konfigurierte Zeitüberschreitungszeitraum abgelaufen ist. Nach dem Timeout zeigt Citrix Gateway eine Anmeldeseite mit den Optionen an, das OTP manuell einzugeben oder die Benachrichtigung erneut auf Ihrem registrierten Gerät erneut zu senden. Basierend auf der ausgewählten Option erfolgt eine weitere Validierung.

Citrix SSO-App-Verhalten unter iOS — weist darauf hin

Benachrichtigungsverknüpfungen

Citrix SSO iOS-App bietet Unterstützung für verwertbare Benachrichtigungen, um die Benutzerfreundlichkeit zu verbessern. Sobald eine Benachrichtigung auf einem iOS-Gerät empfangen wurde und das Gerät gesperrt ist oder sich die Citrix SSO-App nicht im Vordergrund befindet, können Benutzer die in der Benachrichtigung integrierten Verknüpfungen verwenden, um die Anmeldeanforderung entweder zu genehmigen oder zu verweigern.

Um auf Benachrichtigungsverknüpfungen zuzugreifen, müssen Benutzer entweder die Berührung erzwingen (3D-Touch) oder die Benachrichtigung je nach Hardware des Geräts lange drücken. Durch Auswahl der Aktion Verknüpfung zulassen wird eine Anmeldeanforderung an Citrix ADC gesendet. Je nachdem, wie die Authentifizierungsrichtlinie auf dem virtuellen Server für Authentifizierung, Autorisierung und Überwachung konfiguriert ist;

  • Die Anmeldeanforderung kann im Hintergrund gesendet werden, ohne die App in den Vordergrund zu starten oder das Gerät zu entsperren.
  • Die App kann als zusätzlicher Faktor für Touch-ID/Face -ID/Passcode auffordern. In diesem Fall wird die App in den Vordergrund gestartet.

Verknüpfung

Löschen von Kennwort-Token aus Citrix SSO

  1. Um ein Kennworttoken zu löschen, das für Push in der Citrix SSO-App registriert ist, müssen Benutzer die folgenden Schritte ausführen:

  2. Heben Sie die Registrierung des iOS/Android -Geräts auf dem Gateway auf (entfernen) auf. QR-Code zum Entfernen der Registrierung vom Gerät wird angezeigt.
  3. Öffnen Sie die Citrix SSO-App und tippen Sie auf die Info-Schaltfläche des zu löschenden Kennwort-Token.
  4. Tippen Sie auf Token löschen und scannen Sie den QR-Code.

Hinweis:

  • Wenn der QR-Code gültig ist, wird das Token erfolgreich aus der Citrix SSO-App entfernt.
  • Benutzer können auf Löschen erzwingen tippen, um ein Kennwort-Token zu löschen, ohne den QR-Code scannen zu müssen, wenn das Gerät bereits vom Gateway entfernt wurde. Das Löschen erzwingen kann dazu führen, dass das Gerät weiterhin Benachrichtigungen erhält, wenn das Gerät nicht aus Citrix Gateway entfernt wurde.

Token löschen