Citrix ADC

Push-Benachrichtigung für OTP

Citrix Gateway unterstützt Push-Benachrichtigungen für OTP. Benutzer müssen das auf ihren registrierten Geräten empfangene OTP nicht manuell eingeben, um sich bei Citrix Gateway anzumelden. Administratoren können Citrix Gateway so konfigurieren, dass Anmeldebenachrichtigungen mithilfe von Push-Benachrichtigungsdiensten an die registrierten Geräte der Benutzer gesendet werden. Wenn Benutzer die Benachrichtigung erhalten, müssen sie einfach in der Benachrichtigung auf Zulassen tippen, um sich bei Citrix Gateway anzumelden. Wenn das Gateway eine Bestätigung vom Benutzer erhält, identifiziert es die Quelle der Anfrage und sendet eine Antwort an diese Browserverbindung.

Wenn die Benachrichtigungsantwort nicht innerhalb des Timeout-Zeitraums (30 Sekunden) empfangen wird, werden Benutzer zur Citrix Gateway-Anmeldeseite weitergeleitet. Die Benutzer können das OTP dann manuell eingeben oder auf Benachrichtigung erneut senden klicken, um die Benachrichtigung erneut auf dem registrierten Gerät zu erhalten.

Administratoren können mithilfe der für Push-Benachrichtigungen erstellten Anmeldeschemas die Push-Benachrichtigung als Standardauthentifizierung vornehmen.

Wichtig:

Die Push-Benachrichtigungsfunktion ist mit einer Citrix ADC Premium Edition-Lizenz verfügbar.

Vorteile von Push-Benachrichtigungen

  • Push-Benachrichtigungen bieten einen sichereren Multifaktor-Authentifizierungsmechanismus. Die Authentifizierung bei Citrix Gateway ist erst erfolgreich, wenn der Benutzer den Anmeldeversuch genehmigt.
  • Push-Benachrichtigungen sind einfach zu verwalten und zu verwenden. Benutzer müssen die Citrix SSO Mobile App herunterladen und installieren, für die keine Administratorunterstützung erforderlich ist.
  • Benutzer müssen den Code nicht kopieren oder sich merken. Sie müssen einfach auf das Gerät tippen, um sich authentifizieren zu lassen.
  • Benutzer können mehrere Geräte registrieren.

Funktionsweise von Pushbenachrichtigungen

Der Workflow für Push-Benachrichtigungen kann in zwei Kategorien eingeteilt werden:

  • Geräteregistrierung
  • Login für Endbenutzer

Workflow

Voraussetzungen für die Verwendung von Push-Benachrichtigungen

  • Schließen Sie den Citrix Cloud-Onboarding-Prozess ab.

    1. Erstellen Sie ein Citrix Cloud-Unternehmenskonto oder treten Sie einem vorhandenen bei. Ausführliche Prozesse und Anweisungen zum weiteren Vorgehen finden Sie unter Anmelden für Citrix Cloud.

    2. Melden Sie sich bei an https://citrix.cloud.comund wählen Sie den Kunden aus.

    3. Wählen Sie im Menü Identitäts- und Zugriffsverwaltung aus und navigieren Sie dann zur Registerkarte API-Zugriff, um einen Client für das Konto zu erstellen.

    4. Kopieren Sie die ID, das Geheimnis und die Kunden-ID. Die ID und das Geheimnis sind erforderlich, um den Push-Dienst in Citrix ADC als “ClientID” bzw. “ClientSecret” zu konfigurieren.

Wichtig:

  • Dieselben API-Anmeldeinformationen können in mehreren Rechenzentren verwendet werden.
  • Lokal müssen Citrix ADC-Appliances in der Lage sein, die Serveradressen mfa.cloud.com und trust.citrixworkspacesapi.net aufzulösen und sind von der Appliance aus zugänglich. Dies soll sicherstellen, dass es keine Firewalls oder IP-Adressblöcke für diese Server über Port 443 gibt.
  • Laden Sie die Citrix SSO Mobil-App aus dem App Store und Play Store für iOS-Geräte bzw. Android-Geräte herunter. Push-Benachrichtigungen werden auf iOS ab Build 1.1.13 auf Android ab 2.3.5 unterstützt.

  • Stellen Sie Folgendes für das Active Directory sicher.

    • Die minimale Attributlänge muss mindestens 256 Zeichen betragen.
    • Der Attributtyp muss ‘DirectoryString’ wie UserParameters sein. Diese Attribute können Zeichenfolgenwerte enthalten.
    • Der Typ der Attributzeichenfolge muss Unicode sein, wenn der Gerätename nicht-englische Zeichen enthält.
    • Der Citrix ADC LDAP-Administrator muss Schreibzugriff auf das ausgewählte AD-Attribut haben.
    • Citrix ADC und der Clientcomputer müssen mit einem gemeinsamen Netzwerkzeitserver synchronisiert werden.

Konfiguration von Push-Benachrichtigungen

Im Folgenden sind die übergeordneten Schritte aufgeführt, die ausgeführt werden müssen, um die Push-Benachrichtigungsfunktion verwenden zu können.

  • Der Citrix Gateway-Administrator muss die Schnittstelle für die Verwaltung und Validierung von Benutzern konfigurieren.

    1. Konfigurieren Sie einen Push-Dienst.

    2. Konfigurieren Sie Citrix Gateway für die OTP-Verwaltung und die Endbenutzer-Anmeldung.

      Benutzer müssen ihre Geräte beim Gateway registrieren, um sich bei Citrix Gateway anzumelden.

    3. Registrieren Sie Ihr Gerät bei Citrix Gateway.

    4. Melden Sie sich bei Citrix Gateway an.

Erstellen Sie einen Push-Dienst

  1. Navigieren Sie zu Sicherheit > AAA-Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Aktionen > Push-Dienst und klicken Sie auf Hinzufügen.

  2. Geben Sie unter Nameden Namen des Push-Dienstes ein.

  3. Geben Sie unter Client-IDdie eindeutige Identität der verständigen Partei für die Kommunikation mit dem Citrix Push Server in der Cloud ein.

  4. Geben Sie in Client Secretdas einzigartige Geheimnis der verständigen Partei für die Kommunikation mit dem Citrix Push Server in der Cloud ein.

  5. Geben Sie unter Kunden-IDdie Kunden-ID oder den Namen des Kontos in der Cloud ein, das zur Erstellung von Client-ID und Client Secret-Paar verwendet wird.

Wichtig

Die TLS 1.2-Version wird für den Push-Service benötigt. Weitere Informationen finden Sie unter TLS 1.2-Konfigurationsdetails.

Konfigurieren von Citrix Gateway für OTP-Verwaltung und Endbenutzeranmeldung

Führen Sie die folgenden Schritte für die OTP-Verwaltung und die Endbenutzer-Anmeldung aus.

  • Erstellen eines Anmeldeschemas für die OTP-Verwaltung
  • Konfigurieren des virtuellen Servers für Authentifizierung, Autorisierung und Überwachung
  • Konfigurieren von VPN- oder Lastausgleichs-Servern
  • Konfigurieren des Policy Label
  • Anmeldeschema für Endbenutzer-Anmeldung erstellen

Weitere Informationen zur Konfiguration finden Sie unter Native OTP-Unterstützung.

Wichtig: Für Push-Benachrichtigungen müssen Administratoren Folgendes explizit konfigurieren:

  • Erstellen Sie einen Push-Dienst.
  • Wählen Sie beim Erstellen des Anmeldeschemas für die OTP-Verwaltung je nach Bedarf das Anmeldeschema SingleAuthManageOTP.xml oder ein gleichwertiges Schema aus.
  • Wählen Sie beim Erstellen des Anmeldeschemas für die Endbenutzeranmeldung das Anmeldeschema oder ein gleichwertiges Schema von DualAuthOrPush.xml nach Bedarf aus.

Registrieren Sie Ihr Gerät bei Citrix Gateway

Benutzer müssen ihre Geräte bei Citrix Gateway registrieren, um die Push-Benachrichtigungsfunktion nutzen zu können.

  1. Navigieren Sie in Ihrem Webbrowser zu Ihrem Citrix Gateway FQDN und setzen Sie /manageotp an den FQDN an.

    Dadurch wird die Authentifizierungsseite geladen. Beispiel:https://gateway.company.com/manageotp

  2. Melden Sie sich je nach Bedarf mit Ihren LDAP-Anmeldeinformationen oder geeigneten Zwei-Faktor-Authentifizierungsmechanismen an.

    Anmelden

  3. Klicken Sie auf Gerät hinzufügen.

  4. Geben Sie einen Namen für Ihr Gerät ein und klicken Sie auf Start.

    Ein QR-Code wird auf der Citrix Gateway-Browserseite angezeigt.

    Scannen

  5. Scannen Sie diesen QR-Code mit der Citrix SSO-App von dem zu registrierenden Gerät.

    Citrix SSO überprüft den QR-Code und registriert sich dann beim Gateway für Pushbenachrichtigungen. Wenn der Registrierungsprozess keine Fehler aufweist, wird das Token erfolgreich zur Kennwort-Token-Seite hinzugefügt.

    Token

  6. Wenn es keine zusätzlichen Geräte zum Hinzufügen/Verwalten gibt, melden Sie sich mit der Liste oben rechts auf der Seite ab.

Testen der Einmalkennwort-Authentifizierung

  1. Um das OTP zu testen, klicken Sie in der Liste auf Ihr Gerät und dann auf Testen.

  2. Geben Sie das OTP ein, das Sie auf Ihrem Gerät erhalten haben, und klicken Sie auf Los.

    Die Meldung “OTP-Überprüfung erfolgreich” wird angezeigt.

  3. Melden Sie sich mit der Liste oben rechts auf der Seite ab.

Hinweis: Sie können das OTP-Verwaltungsportal jederzeit verwenden, um die Authentifizierung zu testen, registrierte Geräte zu entfernen oder weitere Geräte zu registrieren.

Melden Sie sich bei Citrix Gateway an

Nach der Registrierung ihrer Geräte bei Citrix Gateway können Benutzer die Push-Benachrichtigungsfunktion für die Authentifizierung verwenden.

  1. Navigieren Sie zu Ihrer Citrix Gateway-Authentifizierungsseite (z. B.: https://gateway.company.com)

    Abhängig von der Konfiguration des Anmeldeschemas werden Sie aufgefordert, nur Ihre LDAP-Anmeldeinformationen einzugeben.

    Token

  2. Geben Sie Ihren LDAP-Benutzernamen und Ihr Kennwort ein und wählen Sie dann Sendenaus.

    Eine Benachrichtigung wird an Ihr registriertes Gerät gesendet.

    Hinweis: Wenn Sie das OTP manuell eingeben möchten, müssen Sie Klicken auswählen, um OTP manuell einzugeben, und das OTP in das Feld TOTP eingeben.

  3. Öffnen Sie die Citrix SSO-App auf Ihrem registrierten Gerät und tippen Sie auf Zulassen.

    Zulassen

    Hinweis:

    • Im Falle eines iOS-Geräts werden Sie aufgefordert, Touch-ID/Face-ID/Passcode als zusätzlichen Authentifizierungsfaktor einzugeben.

    • Der Authentifizierungsserver wartet auf Push-Server-Benachrichtigungsantwort, bis der konfigurierte Zeitüberschreitungszeitraum abgelaufen ist. Nach dem Timeout zeigt Citrix Gateway die Anmeldeseite an. Die Benutzer können das OTP dann manuell eingeben oder auf Benachrichtigung erneut senden klicken, um die Benachrichtigung erneut auf dem registrierten Gerät zu erhalten. Basierend auf Ihrer ausgewählten Option validiert Gateway das von Ihnen eingegebene OTP oder sendet die Benachrichtigung auf Ihrem registrierten Gerät erneut.

    Fallback

    • Es wird keine Benachrichtigung über einen Fehler bei der Anmeldung an Ihr registriertes Gerät gesendet.

Bedingungen für Ausfälle

  • Die Geräteregistrierung schlägt in den folgenden Fällen möglicherweise fehl.
    • Das Serverzertifikat kann vom Endbenutzergerät nicht vertrauenswürdig sein.
    • Citrix Gateway, das zur Registrierung für OTP verwendet wurde, ist vom Client nicht erreichbar.
  • Die Benachrichtigungen können in den folgenden Fällen fehlschlagen.
    • Das Benutzergerät ist nicht mit dem Internet verbunden
    • Benachrichtigungen auf dem Benutzergerät sind blockiert
    • Der Benutzer genehmigt die Benachrichtigung auf dem Gerät nicht

In diesen Fällen wartet der Authentifizierungsserver, bis der konfigurierte Timeout-Zeitraum abläuft. Nach dem Timeout zeigt Citrix Gateway eine Anmeldeseite mit den Optionen an, das OTP manuell einzugeben oder die Benachrichtigung erneut auf Ihrem registrierten Gerät zu senden. Basierend auf der ausgewählten Option erfolgt eine weitere Validierung.

Fehler-Protokolle

Im Folgenden sind die erwarteten Protokolle aufgeführt, wenn der OTP-Push-Dienst nicht erreichbar ist.

  • Push-Benachrichtigung fehlgeschlagen, wenn das Benutzergerät nicht mit dem Internet verbunden ist - Push: Push Request konnte nicht auf “client name” für den Push-Dienst vorbereitet werden.
  • Fehlerprotokoll für Geräteregistrierung - Push: Es sind keine Geräte registriert, um die Push-Anfrage an die Cloud für “client name” zu senden.
  • Falls der Benutzer den Push nicht akzeptiert - Push: Response wird vom Client nicht angezeigt, für “user name”, überprüfen Sie Wiederholungsoptionen.

Citrix SSO-App-Verhalten unter iOS — weist darauf hin

Verknüpfungen für Benachrichtigungen

Die Citrix SSO iOS-App bietet Unterstützung für umsetzbare Benachrichtigungen, um die Benutzerfreundlichkeit zu verbessern. Sobald eine Benachrichtigung auf einem iOS-Gerät empfangen wurde und das Gerät gesperrt ist oder sich die Citrix SSO-App nicht im Vordergrund befindet, können Benutzer die in die Benachrichtigung integrierten Verknüpfungen verwenden, um die Anmeldeanforderung entweder zu genehmigen oder abzulehnen.

Um auf Benachrichtigungsverknüpfungen zuzugreifen, müssen Benutzer je nach Hardware des Geräts entweder eine Berührung erzwingen (3D-Touch) oder die Benachrichtigung lange drücken. Durch Auswahl der Aktion Verknüpfung zulassen wird eine Anmeldeanfrage an Citrix ADC gesendet. Abhängig davon, wie die Authentifizierungsrichtlinie für den virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver konfiguriert ist;

  • Die Anmeldeanfrage wird möglicherweise im Hintergrund gesendet, ohne dass die App in den Vordergrund gestellt oder das Gerät entsperrt werden muss.
  • Die App fordert möglicherweise zur Eingabe von Touch-ID/Face-ID/Passcode als zusätzlichen Faktor auf. In diesem Fall wird die App in den Vordergrund gestartet.

Verknüpfung

Löschen von Kennwort-Token von Citrix SSO

  1. Um ein für Push registriertes Kennwort-Token in der Citrix SSO-App zu löschen, müssen Benutzer die folgenden Schritte ausführen:

  2. Heben Sie die Registrierung des iOS/Android-Geräts auf dem Gateway auf (entfernen). Der QR-Code zum Entfernen der Registrierung vom Gerät wird angezeigt.
  3. Öffnen Sie die Citrix SSO-App und tippen Sie auf die Info-Schaltfläche des zu löschenden Kennwort-Tokens.
  4. Tippen Sie auf Token löschen und scannen Sie den QR-Code.

Hinweis:

  • Wenn der QR-Code gültig ist, wird das Token erfolgreich aus der Citrix SSO-App entfernt.
  • Benutzer können auf Löschen erzwingen tippen, um ein Kennwort-Token zu löschen, ohne den QR-Code scannen zu müssen, wenn das Gerät bereits vom Gateway entfernt wurde. Erzwungenes Löschen kann dazu führen, dass das Gerät weiterhin Benachrichtigungen erhält, wenn das Gerät nicht aus Citrix Gateway entfernt wurde.

Lösch-Token