SSO- und Proxy-Überlegungen für MDX-Apps

Durch die Endpoint Management-Integration in Citrix Gateway können Sie Benutzern Single Sign-On (SSO) für alle Back-End-HTTP- und -HTTPS-Ressourcen bereitstellen. Je nach Ihren SSO-Authentifizierungsanforderungen können Sie zwei Arten der Benutzerverbindung für eine MDX-App konfigurieren:

  • Secure Browse (Tunnel - Web-SSO) als Variante eines clientlosen VPNs
  • Vollständiger VPN-Tunnel

Wichtig:

Das MDX Toolkit Version 18.12.0 enthält neue Richtlinien, die ältere Richtlinien kombinieren oder ersetzen. Die Richtlinie “Netzwerkzugriff” kombiniert “Netzwerkzugriff”, “Bevorzugter VPN-Modus” und “VPN-Moduswechsel zulassen”. Die Richtlinie “Ausschlussliste” ersetzt “Split-Tunnelausschlussliste”. Die Richtlinie “Micro-VPN-Sitzung erforderlich” ersetzt “Micro-VPN-Sitzung”. Einzelheiten finden Sie unter Neue Features im MDX Toolkit 18.12.0.

“Tunnel - Web-SSO” ist der Name für Secure Browse in den Einstellungen. Das Verhalten ist dasselbe.

Bietet Citrix Gateway nicht die bestgeeignete SSO-Methode für Ihre Umgebung, können Sie eine MDX-App mit richtlinienbasiertem lokalem Kennwortcaching einrichten. In diesem Artikel werden die verschiedenen SSO- und Proxyoptionen erläutert, wobei der Schwerpunkt auf Secure Web liegt. Die Konzepte gelten für weitere MDX-Apps.

Das folgende Flussdiagramm stellt die Entscheidungsfindung bei der Wahl der SSO- und Benutzerverbindungen zusammen.

Wahl der SSO- und Benutzerverbindungen

Citrix Gateway-Authentifizierungsmethoden

Dieser Abschnitt enthält allgemeine Informationen zu den von Citrix Gateway unterstützten Authentifizierungsmethoden.

SAML-Authentifizierung

Wenn Sie Citrix Gateway für Security Assertion Markup Language (SAML) konfigurieren, können die Benutzer eine Verbindung mit Web-Apps herstellen, die SAML für Single Sign-On unterstützen. Citrix Gateway unterstützt Single Sign-On per Identitätsanbieter (IdP) für SAML-Web-Apps.

Erforderliche Konfiguration:

  • Konfigurieren von SAML-SSO im Citrix Gateway-Traffic-Profil.
  • Konfigurieren des SAML-IdP für den angeforderten Dienst.

NTLM-Authentifizierung

Wenn SSO bei Web-Apps im Sitzungsprofil aktiviert ist, führt Citrix Gateway die NTLM-Authentifizierung automatisch durch.

Erforderliche Konfiguration:

  • Aktivieren von SSO im Citrix Gateway-Session- oder Traffic-Profil.

Kerberos-Identitätswechsel

Endpoint Management unterstützt Kerberos nur für Secure Web. Wenn Sie Citrix Gateway für Kerberos SSO konfigurieren, verwendet Citrix Gateway den Identitätswechsel, wenn ein Benutzerkennwort für Citrix Gateway verfügbar ist. Das bedeutet, dass Citrix Gateway die Benutzeranmeldeinformationen verwendet, um das für den Zugriff auf Dienste wie Secure Web erforderliche Ticket zu erhalten.

Erforderliche Konfiguration:

  • Konfigurieren der Citrix Gateway-Sitzungsrichtlinie “Worx”, sodass sie den Kerberos-Bereich der Verbindung identifizieren kann.
  • Konfigurieren eines Kontos zur eingeschränkten Kerberos-Delegierung (KCD) auf Citrix Gateway. Konfigurieren Sie dieses Konto ohne Kennwort und binden Sie es an eine Trafficrichtlinie im Endpoint Management-Gateway.
  • Einzelheiten zu dieser und weiteren Konfigurationen finden Sie im Citrix BlogWorxWeb and Kerberos Impersonation SSO.

Eingeschränkte Kerberos-Delegierung

Endpoint Management unterstützt Kerberos nur für Secure Web. Wenn Sie Citrix Gateway für Kerberos SSO konfigurieren, verwendet Citrix Gateway die eingeschränkte Delegierung, wenn kein Benutzerkennwort für Citrix Gateway verfügbar ist.

Bei der eingeschränkten Delegierung verwendet Citrix Gateway ein spezifisches Administratorkonto für den Abruf von Tickets für Benutzer und Dienste.

Erforderliche Konfiguration:

  • Konfigurieren von je einem Konto für die eingeschränkte Kerberos-Delegierung (KCD) in Active Directory (mit den erforderlichen Berechtigungen) und auf Citrix Gateway.
  • Aktivieren von SSO im Citrix Gateway-Traffic-Profil.
  • Konfigurieren Sie die Backend-Website für die Kerberos-Authentifizierung.
  • Einzelheiten zu dieser und weiteren Konfigurationen finden Sie im Citrix Blog Configuring Kerberos Single Sign-on for WorxWeb.

Formularbasierte Authentifizierung

Wenn Sie Citrix Gateway für formularbasiertes Single Sign-On konfigurieren, können sich die Benutzer einmal anmelden und dann auf alle geschützten Apps im Netzwerk zuzugreifen. Diese Authentifizierungsmethode gilt für Apps, für die der Modus “Tunnel - Web-SSO” oder “Vollständiges VPN” verwendet wird.

Erforderliche Konfiguration:

  • Konfigurieren von formularbasiertem SSO im Citrix Gateway-Traffic-Profil.

Digest-HTTP-Authentifizierung

Wenn SSO bei Web-Apps im Sitzungsprofil aktiviert ist, führt Citrix Gateway die Digest-HTTP-Authentifizierung automatisch durch. Diese Authentifizierungsmethode gilt für Apps, für die der Modus “Tunnel - Web-SSO” oder “Vollständiges VPN” verwendet wird.

Erforderliche Konfiguration:

  • Aktivieren von SSO im Citrix Gateway-Session- oder Traffic-Profil.

Einfache HTTP-Authentifizierung

Wenn SSO bei Web-Apps im Sitzungsprofil aktiviert ist, führt Citrix Gateway die einfache HTTP-Authentifizierung automatisch durch. Diese Authentifizierungsmethode gilt für Apps, für die der Modus “Tunnel - Web-SSO” oder “Vollständiges VPN” verwendet wird.

Erforderliche Konfiguration:

  • Aktivieren von SSO im Citrix Gateway-Session- oder Traffic-Profil.

Tunnel - Web-SSO, vollständiger VPN-Tunnel oder vollständiger VPN-Tunnel mit PAC

In den folgenden Abschnitten werden die Benutzerverbindungsarten von Secure Web beschrieben.

Vollständiger VPN-Tunnel

Verbindungen, die einen Tunnel zum internen Netzwerk benötigen, können einen vollständigen VPN-Tunnel verwenden. Verwenden Sie die Secure Web-Richtlinie “Bevorzugter VPN-Modus” zum Konfigurieren des vollständigen VPN-Tunnels. Citrix empfiehlt die Einstellung “Vollständiger VPN-Tunnel” für Verbindungen, die Clientzertifikate oder End-To-End-SSL für Ressourcen im internen Netzwerk einsetzen. Vollständiger VPN-Tunnel unterstützt beliebige Protokolle über TCP. Sie können einen vollständigen VPN-Tunnel für Windows-, Mac-, iOS- und Android-Geräte verwenden.

Bei Verwendung eines vollständigen VPN-Tunnels genießt Citrix Gateway keine Transparenz in HTTPS-Sitzungen.

Tunnel - Web-SSO

Verbindungen, die einen Tunnel zum internen Netzwerk benötigen, können “Tunnel - Web-SSO” verwenden, eine Variante eines clientlosen VPNs. “Tunnel - Web-SSO” ist die Standardkonfiguration für die Secure Web-Richtlinie Bevorzugter VPN-Modus. Citrix empfiehlt den Modus “Tunnel - Web-SSO” für Verbindungen, die Single Sign-On (SSO) erfordern.

Bei Verwendung von “Tunnel - Web-SSO” unterteilt Citrix Gateway die HTTPS-Sitzung in zwei Teile:

  • Client zu Citrix Gateway
  • Citrix Gateway zum Back-End-Ressourcenserver.

Auf diese Weise genießt Citrix Gateway volle Transparenz in allen Transaktionen zwischen dem Client und dem Server und kann SSO bereitstellen.

Sie können auch Proxyserver für Secure Web konfigurieren, wenn “Tunnel - Web-SSO” aktiviert ist. Weitere Informationen finden Sie in dem Blogbeitrag Endpoint Management WorxWeb Traffic Through Proxy Server in Secure Browse Mode.

Vollständiger VPN-Tunnel mit PAC

Sie können eine PAC-Datei (Proxy Automatic Configuration) mit einem vollständigen VPN-Tunnel für Secure Web auf iOS- und Android-Geräten verwenden. Endpoint Management unterstützt die von Citrix Gateway bereitgestellte Proxyauthentifizierung. Eine PAC-Datei enthält Regeln, die festlegen, wie Webbrowser einen Proxy für den Zugriff auf eine URL auswählen. Mit Regeln in einer PAC-Datei kann die Handhabung von internen und externen Sites festgelegt werden. Secure Web analysiert die Regeln in der PAC-Datei und sendet die Proxyserverinformationen an Citrix Gateway. Citrix Gateway sieht weder PAC-Datei noch Proxyserver.

Für die Authentifizierung bei HTTPS-Websites ermöglicht die Secure Web-MDX-Richtlinie Webkennwortcaching aktivieren, dass Secure Web Authentifizierungen durchführen und Single Sign-On beim Proxyserver über MDX bereitstellen kann.

Split-Tunneling in Citrix Gateway

Bei der Planung der SSO- und Proxykonfiguration müssen Sie auch überlegen, ob Sie Split-Tunneling in Citrix Gateway verwenden möchten. Citrix empfiehlt, Split-Tunneling in Citrix Gateway nur zu verwenden, wenn es erforderlich ist. In diesem Abschnitt finden Sie einen Überblick über die Funktionsweise von Split-Tunneling: Citrix Gateway ermittelt den Datenverkehrspfad anhand seiner Routingtabelle. Wenn Split-Tunneling in Citrix Gateway aktiviert ist, unterscheidet Secure Hub internen (geschützten) Netzwerkverkehr und Internetverkehr. Secure Hub unterscheidet anhand des DNS-Suffixes und der Intranetanwendungen. Secure Hub leitet dann nur den internen Datenverkehr durch den VPN-Tunnel. Ist Split-Tunneling in Citrix Gateway deaktiviert, wird der gesamte Datenverkehr durch den VPN-Tunnel geleitet.

  • Wenn Sie aus Sicherheitsgründen den gesamten Datenverkehr überwachen möchten, deaktivieren Sie Split-Tunneling in Citrix Gateway. Der gesamte Datenverkehr fließt dann durch den VPN-Tunnel.
  • Wenn Sie einen vollständigen VPN-Tunnel mit PAC verwenden, müssen Sie Split-Tunneling in Citrix Gateway deaktivieren. Falls Sie bei aktiviertem Split-Tunneling eine PAC-Datei konfigurieren, setzen die Regeln der PAC-Datei die Split-Tunneling-Regeln in Citrix Gateway außer Kraft. Ein in einer Traffic-Richtlinie konfigurierter Proxyserver setzt keine Split-Tunneling-Regeln in Citrix Gateway außer Kraft.

Die Richtlinie Netzwerkzugriff ist für Secure Web standardmäßig auf Tunnel zum internen Netzwerk festgelegt. Bei dieser Konfiguration verwenden MDX-Apps die Split-Tunneling-Einstellungen von Citrix Gateway. Bei einigen anderen mobilen Citrix Produktivitätsapps gibt es eine andere Standardeinstellung für die Richtlinie Netzwerkzugriff.

Citrix Gateway bietet auch einen Modus mit Reverse-Split-Tunneling und Micro-VPN. In diesem Modus kann eine Ausschlussliste mit IP-Adressen verwendet werden, die nicht an Citrix Gateway getunnelt werden. Stattdessen wird die Internetverbindung des Geräts verwendet. Weitere Informationen über Reverse-Split-Tunneling finden Sie in der Citrix Gateway-Dokumentation.

Endpoint Management bietet eine Ausschlussliste für Reverse-Split-Tunneling. Wenn bestimmte Websites keinen Tunnel durch Citrix Gateway verwenden sollen, fügen Sie eine durch Kommas getrennte Liste mit vollqualifizierten Domänennamen (FQDN) oder DNS-Suffixen hinzu, die stattdessen eine Verbindung über das lokale Netzwerk (LAN) herstellen. Diese Liste wird nur im Modus “Tunnel - Web-SSO” verwendet, wenn Citrix Gateway für Reverse-Split-Tunneling konfiguriert ist.