Citrix Endpoint Management

Zertifikate und Authentifizierung

Mehrere Komponenten spielen für die Authentifizierung bei Endpoint Management-Operationen eine Rolle:

  • Endpoint Management: Auf dem Endpoint Management-Server legen Sie Registrierungssicherheit und die Registrierungserfahrung fest. Optionen für das Onboarding von Benutzern:
    • Registrierung für alle oder nur auf Einladung.
    • Zweistufige oder dreistufigen Authentifizierung. Clienteigenschaften in Endpoint Management ermöglichen es Ihnen, die Citrix-PIN-Authentifizierung zu aktivieren und die Komplexität sowie den Ablauf der PIN zu konfigurieren.
  • Citrix Gateway: Citrix Gateway ermöglicht das Beenden von Micro-VPN-SSL-Sitzungen. Citrix Gateway bietet zudem Sicherheit bei der Datenübertragung im Netzwerk und ermöglicht das Definieren der Authentifizierungserfahrung beim Zugriff auf Apps durch Benutzer.
  • Secure Hub: Secure Hub und Endpoint Management Server wirken bei der Registrierung zusammen. Secure Hub ist auf Geräten die Entität, die mit Citrix Gateway kommuniziert: Wenn eine Sitzung abläuft, erhält Secure Hub ein Authentifizierungsticket von Citrix Gateway und übergibt es an die MDX-Apps. Citrix empfiehlt das Zertifikatpinning zum Schutz vor Man-in-the-Middle-Angriffen. Weitere Informationen finden Sie in diesem Abschnitt im Secure Hub-Artikel zum Zertifikatpinning.

    Secure Hub moderiert zudem den MDX-Sicherheitscontainer durch Übertragen von Richtlinien, Erstellen einer Sitzung mit Citrix Gateway bei einem App-Timeout und durch Festlegen des MDX-Timeouts und der Benutzererfahrung. Außerdem ist Secure Hub für die Erkennung von Jailbreaks, Geolocation-Prüfungen und alle von Ihnen angewendeten Richtlinien verantwortlich.

  • MDX-Richtlinien: MDX-Richtlinien erstellen den Datentresor auf Geräten. MDX-Richtlinien leiten Micro-VPN-Verbindungen zurück zu Citrix Gateway und erzwingen Einschränkungen für den Offlinemodus sowie die Einhaltung von Clientrichtlinien (z. B. Timeouts).

Citrix Endpoint Management authentifiziert Benutzer mit den folgenden Authentifizierungsmethoden für ihre Ressourcen:

  • Mobilgeräteverwaltung
    • Cloudgehostete Identitätsanbieter (IdPs)
    • Lightweight Directory Access Protocol (LDAP)
      • Einladungs-URL + PIN
      • Zweistufige Authentifizierung
  • Mobilanwendungsverwaltung (MAM)
    • LDAP
    • Zertifikat
    • MAM-Authentifizierung mit Sicherheitstoken erfordert Citrix Gateway.

Informationen zu weiteren Konfigurationsdetails finden Sie in den folgenden Artikeln:

Zertifikate

Endpoint Management generiert bei der Installation ein selbstsigniertes SSL-Zertifikat (Secure Socket Layer) zum Sichern der Kommunikation mit dem Server. Ersetzen Sie das SSL-Zertifikat durch ein vertrauenswürdiges SSL-Zertifikat von einer allgemein bekannten Zertifizierungsstelle.

Endpoint Management verwendet zudem den eigenen PKI-Dienst bzw. ruft Zertifikate von der Zertifizierungsstelle (ZS) für Clientzertifikate ab. Alle Citrix Produkte unterstützen Platzhalter- und SAN-Zertifikate (Subject Alternative Name). Für die meisten Bereitstellungen genügen zwei Platzhalter- bzw. SAN Zertifikate.

Die Clientzertifikatauthentifizierung bietet zusätzliche Sicherheit für mobile Apps und ermöglicht den Benutzern den direkten Zugriff auf HDX-Apps. Bei konfigurierter Clientzertifikatauthentifizierung geben die Benutzer ihre Citrix-PIN für Single Sign-On (SSO) ein, um Zugriff auf Endpoint Management-aktivierte Apps zu erhalten. Citrix-PIN vereinfacht zudem die Benutzerauthentifizierung. Mit Citrix-PIN können Clientzertifikate gesichert oder Active Directory-Anmeldeinformationen lokal auf einem Gerät gespeichert werden.

Zum Registrieren und Verwalten von iOS-Geräten mit Endpoint Management müssen Sie ein Zertifikat von Apple für den Apple Dienst für Push-Benachrichtigungen (APNs) erstellen und einrichten. Anweisungen finden Sie unter APNs-Zertifikate.

In der folgenden Tabelle werden Format und Typ des Zertifikats für jede Endpoint Management-Komponente aufgeführt:

Endpoint Management-Komponenten Zertifikatformat Erforderlicher Zertifikattyp
Citrix Gateway PEM (BASE64), PFX (PKCS #12) SSL, Stamm (Citrix Gateway konvertiert PFX automatisch in PEM).
Endpoint Management .p12 (.pfx auf Windows-basierten Computern) SSL, SAML, APNs (Endpoint Management generiert während des Installationsprozesses auch eine vollständige PKI.) Wichtig: Endpoint Management unterstützt keine Zertifikate mit der Erweiterung “.pem”. Für die Verwendung eines PEM-Zertifikats müssen Sie die PEM-Datei in ein Zertifikat und einen Schlüssel unterteilen und diese einzeln in Endpoint Management importieren.
StoreFront PFX (PKCS #12) SSL, Stamm

Endpoint Management unterstützt Clientzertifikate einer Bitlänge von 4096 und 2048.

Für Citrix Gateway und Endpoint Management empfiehlt Citrix das Abrufen von Serverzertifikaten einer öffentlichen Zertifizierungsstelle, z. B. Verisign, DigiCert oder Thawte. Sie können eine Zertifikatsignieranforderung (CSR) mit dem Citrix Gateway- oder dem Endpoint Management-Konfigurationsprogramm erstellen. Übermitteln Sie die CSR dann zum Signieren an die Zertifizierungsstelle. Wenn die Zertifizierungsstelle das signierte Zertifikat zurückgesendet hat, können Sie es unter Citrix Gateway oder Endpoint Management installieren.

Wichtig:

Anforderungen für vertrauenswürdige Zertifikate in iOS, iPadOS und macOS

Apple stellt neue Anforderungen an TLS-Serverzertifikate. Stellen Sie sicher, dass alle Zertifikate den Apple-Anforderungen entsprechen. Siehe Apple-Veröffentlichung https://support.apple.com/en-us/HT210176.

Apple verkürzt die Gültigkeitsdauer von TLS-Serverzertifikaten. Diese Änderung betrifft nur Serverzertifikate, die nach September 2020 ausgestellt werden. Siehe Apple-Veröffentlichung https://support.apple.com/en-us/HT211025.

LDAP-Authentifizierung

Endpoint Management unterstützt die domänenbasierte Authentifizierung für ein oder mehrere Lightweight Directory Access Protocol-konforme Verzeichnisse. LDAP ist ein Softwareprotokoll, das Zugriff auf Informationen über Gruppen, Benutzerkonten und zugehörige Eigenschaften bietet. Weitere Informationen finden Sie unter Authentifizierung mit Domäne bzw. mit Domäne und Sicherheitstoken.

Authentifizierung von Identitätsanbietern

Sie können einen Identitätsanbieter (IdP) über Citrix Cloud zum Registrieren und Verwalten von Benutzergeräten konfigurieren.

Unterstützte Anwendungsfälle für IdPs:

  • Azure Active Directory über Citrix Cloud
    • Workspace-Integration ist optional
    • Citrix Gateway, konfiguriert für die zertifikatbasierte Authentifizierung
    • Android Enterprise (Preview. Unterstützt BYOD, vollständig verwaltete Geräte und erweiterte Registrierungsprofile)
    • iOS für die MDM+MAM- und MDM-Registrierung
    • iOS und macOS für die Apple Business Manager-Registrierung
    • Legacy-Android (DA)

    Features für die automatische Registrierung (z. B. Apple School Manager) werden derzeit nicht unterstützt.

  • Okta über Citrix Cloud
    • Workspace-Integration ist optional
    • Citrix Gateway, konfiguriert für die zertifikatbasierte Authentifizierung
    • Android Enterprise (Preview. Unterstützt BYOD, vollständig verwaltete Geräte und erweiterte Registrierungsprofile)
    • iOS für die MDM+MAM- und MDM-Registrierung
    • iOS und macOS für die Apple Business Manager-Registrierung
    • Legacy-Android (DA)

    Features für die automatische Registrierung (z. B. Apple School Manager) werden derzeit nicht unterstützt.

  • On-Premises-Citrix Gateway über Citrix Cloud
    • Citrix Gateway, konfiguriert für die zertifikatbasierte Authentifizierung
    • Android Enterprise (Preview. Unterstützt BYOD, vollständig verwaltete Geräte und erweiterte Registrierungsprofile)
    • iOS für die MDM+MAM- und MDM-Registrierung
    • Legacy-Android (DA) Features für die automatische Registrierung (z. B. Apple-Bereitstellungsprogramm) werden derzeit nicht unterstützt.

Authentifizierung von Identitätsanbietern ohne Cloud Connector (Preview)

Dieses Feature ist als öffentliche Preview verfügbar. Wenden Sie sich an den zuständigen Mitarbeiter von Citrix, um das Feature zu aktivieren.

Endpoint Management unterstützt die Konfiguration von Identitätsanbietern (IdPs) wie Azure AD und Okta als Authentifizierungsmethoden. Mit diesem Feature, das jetzt als Preview verfügbar ist, können Sie IdPs konfigurieren, ohne einen Cloud Connector zu verwenden. Sie können auch den Zugriff auf Benutzerressourcen über diese IdPs verwalten. Durch die Verwendung eines IdP für die Zugriffsverwaltung können Sie Cloudservices wie Office 365 besser integrieren und den Bedarf an On-Premises-Ressourcen reduzieren.

Für Folgendes erfordert Endpoint Management weiterhin einen Cloud Connector:

  • LDAP
  • PKI-Server
  • Interne DNS-Abfragen
  • Citrix Virtual Apps

Für den Aufbau der Kommunikation zwischen Endpoint Management und einem cloudgehosteten Identitätsanbieter ohne Cloud Connector müssen Sie Citrix-Identität als IdP-Typ für Endpoint Management konfigurieren. Die Services, die einen Cloud Connector erfordern (siehe oben), sind jedoch nicht verfügbar.

Wenn Sie LDAP bereits konfiguriert haben, führt die Verwendung dieses Features zu einer Hybridumgebung, in der LDAP als Fallback für die Gruppenmitgliedschaft und die Suche nach Benutzern und Gruppen fungiert. Ohne LDAP-Einrichtung sind Sie vollständig auf den IdP angewiesen.

Nach Abschluss dieser Konfiguration können Sie keine LDAP-Einstellungen in Endpoint Management hinzufügen. Wenn Sie LDAP eingerichtet haben und einen IdP hinzufügen, synchronisiert Endpoint Management IdP-spezifische Informationen aus den Active Directory-Gruppen mit der Endpoint Management-Datenbank. Wenn Sie Richtlinien, Apps und Medien für Benutzer bereitstellen, erhalten nur die IdP-Gruppen die Ressourcen.

Voraussetzungen

Je nach Ihrer aktuellen Endpoint Management-Konfiguration müssen Sie zwei Gruppen von Voraussetzungen berücksichtigen:

Mit LDAP

  • Benutzergruppen in Active Directory müssen mit den Benutzergruppen in Azure Active Directory oder Okta übereinstimmen.
  • Benutzernamen und E-Mail-Adressen in Active Directory müssen mit den Informationen in Azure Active Directory oder Okta übereinstimmen.
  • Citrix Cloud-Konto mit installiertem Citrix Cloud Connector für die Synchronisierung der Verzeichnisdienste.
  • Citrix Gateway. Citrix empfiehlt die Aktivierung der zertifikatbasierten Authentifizierung für die komplette Single-Sign-On-Erfahrung. Wenn Sie die LDAP-Authentifizierung für das Citrix Gateway für die MAM-Registrierung verwenden, erhalten Endbenutzer bei der Registrierung zwei Authentifizierungsanforderungen. Weitere Informationen finden Sie unter Authentifizierung mit Clientzertifikat oder Zertifikat und Domäne.
  • Synchronisieren Sie Active Directory-SIDs in die jeweiligen IdPs. Azure AD- und Active Directory-SIDs bzw. Okta- und Active Directory-SIDs müssen übereinstimmen, damit Bereitstellungsgruppen ordnungsgemäß funktionieren.
  • Erstellen Sie in Azure AD oder Okta eine Gruppe Administratoren für Citrix Identität, um eine Verbindung zum Identitätsanbieter herzustellen.
  • Wenn mehrere LDAPs mit einem IdP synchronisiert sind, legen Sie die globale Servereigenschaft für den Kontext ldap.set.gc.rootcontext auf True fest. Diese Eigenschaft stellt sicher, dass der Cloud Connector nach allen übergeordneten und untergeordneten Domänen sucht.
  • Wenn LDAP- und IdP-Domänen nicht übereinstimmen, fügen Sie der LDAP-Konfiguration den entsprechenden IdP-Domänenalias hinzu.

Ohne LDAP

  • Erstellen Sie in Azure AD oder Okta eine Gruppe Administratoren für Citrix Identität, um eine Verbindung zum Identitätsanbieter herzustellen.

Konfiguration

Um Azure AD oder Okta als Identitätsanbieter über Citrix Cloud zu konfigurieren und für Endpoint Management einzurichten, folgen Sie der Anleitung in einem oder in beiden der folgenden Artikel:

Active Directory-Synchronisierung

Wenn Sie Active Directory-Gruppen eingerichtet haben, synchronisiert Endpoint Management IdP-spezifische Informationen von diesen Gruppen mit der Endpoint Management-Datenbank, nachdem Sie einen IdP konfiguriert haben. Um den Status des Synchronisationsprozesses anzuzeigen, navigieren Sie zu Einstellungen > Identitätsanbieter. Einer der folgenden Status wird unter Verzeichnissynchronisierung angezeigt.

  • Leer: Endpoint Management ist nicht für die Verwaltung dieses Identitätsanbieters konfiguriert. Überprüfen Sie die Konfiguration für Ihren IdP.
  • Fertig: Die Synchronisierung wurde erfolgreich abgeschlossen. Endpoint Management kann nun Ressourcen über diesen Identitätsanbieter verwalten.
  • Wird ausgeführt: Die Synchronisierung wird ausgeführt. Wenn die Datenbank viele Benutzergruppen enthält, benötigt Endpoint Management möglicherweise mehr Zeit für die Synchronisierung von IdP-Informationen für Ihre Active Directory-Gruppen.
  • Fehler: Ein Fehler ist aufgetreten bei der Synchronisierung. Dieses Problem kann auftreten, wenn der IdP getrennt wird oder ein Cloud Connector momentan nicht ordnungsgemäß funktioniert. Verwenden Sie Debugprotokolle zum Beheben des Problems oder versuchen Sie erneut, die IdP-Einstellungen hinzuzufügen.

Nach Abschluss der Synchronisierung können Sie Ihrer Bereitstellungsgruppe IdP-Gruppen als Zuweisungen in Konfigurieren > Bereitstellungsgruppen > Zuweisungen hinzufügen. Wenn Sie eine Domäne für eine Bereitstellungsgruppenzuweisung auswählen, wählen Sie den IdP aus, den Sie vor der Suche konfiguriert haben. Informationen finden Sie unter Hinzufügen einer Bereitstellungsgruppe.

Sie können auch RBAC-Berechtigungen auf IdP-Gruppen anwenden. Weitere Informationen finden Sie unter Verwenden der RBAC-Features.

Erwartungen an vorhandene Konfigurationen

Nach dem Aktivieren und Konfigurieren dieses Features ist für das vorhandene Setup Folgendes zu erwarten:

  • Vorhandene Bereitstellungsgruppen und RBAC-Zuweisungen und -Berechtigungen sind nicht betroffen. Benutzer haben den gleichen Zugriff und erhalten die gleichen Ressourcen wie vor der Konfiguration des Features.
  • Objektbezeichner für mit Endpoint Management synchronisierte Active Directory-Gruppen werden automatisch von den IdPs ausgefüllt.
  • Vorhandene registrierte Geräte sind nicht betroffen, sofern die Benutzerinformationen mit dem IdP synchronisiert sind. Wenn die Benutzerinformationen nicht mit dem IdP synchronisiert sind:
    • Wenn Sie LDAP eingerichtet haben, können sich registrierte Geräte für Benutzer, die nicht mit dem IdP synchronisiert sind, weiterhin über LDAP authentifizieren.
    • Wenn Sie LDAP nicht eingerichtet haben, werden registrierte Geräte für Benutzer, die nicht mit dem IdP synchronisiert sind, nicht aktualisiert oder erneut verbunden.
  • Für Benutzer, die im IdP gefunden werden, ermittelt Endpoint Management ihre Gruppenmitgliedschaft anhand von IdP-Informationen.

Löschen LDAP-kompatibler Verzeichnisse

Sie können nicht mehr benötigte LDAP-Profile löschen. Beispiel: LDAP-Profile, die keine Benutzer oder Gruppen enthalten, die von Endpoint Management verwendet werden.

  1. Wählen Sie in der Liste der LDAP-Profile das zu löschende Verzeichnis aus.

    Sie können mehrere Eigenschaften löschen, indem Sie die Kontrollkästchen daneben aktivieren.

  2. Klicken Sie auf Löschen. Wählen Sie im Bestätigungsdialogfeld eine der folgenden Optionen aus:

    Bestätigungsdialog für das Löschen

    • Klicken Sie auf Löschen, um alle Benutzer- und Gruppeninformationen aus dem ausgewählten LDAP-Verzeichnis zu löschen. Wenn Sie Azure AD oder Okta als Identitätsanbieter über Citrix Cloud konfigurieren, können Sie mit diesem Vorgang die Standard-LDAP-Domäne löschen.

    • Klicken Sie auf Synchronisierung beibehalten, um alle Benutzer- und Gruppeninformationen zu löschen, die nicht mit einem Identitätsanbieter synchronisiert sind. Endpoint Management behält nur Benutzer und Gruppen bei, die mit einem Identitätsanbieter synchronisiert sind. Alle mit diesem LDAP verknüpften Benutzergeräte, Bereitstellungsgruppen und RBAC-Berechtigungen werden mit dem Identitätsanbieter verknüpft. Wenn die Datenbank viele Benutzergruppen enthält, benötigt Endpoint Management möglicherweise mehr Zeit, dem IdP Active Directory-Objekte zuzuordnen. Dieser Vorgang läuft im Hintergrund ab.

Löschen von Identitätsanbietern

Wenn Sie einen Identitätsanbieter nicht mehr verwenden oder den Identitätsanbietertyp ändern möchten, müssen Sie den IdP löschen.

  1. Navigieren Sie in der Endpoint Management-Konsole zu Einstellungen > Identitätsanbieter.
  2. Wählen Sie in der IdP-Tabelle den Identitätsanbieter aus.
  3. Klicken Sie auf Löschen. Klicken Sie in einem Bestätigungsdialogfeld erneut auf Löschen.

Endpoint Management entfernt alle Benutzer- oder Gruppeninformationen aus der mit Ihrem Identitätsanbieter verbundenen Datenbank. Endpoint Management entfernt alle Bereitstellungsgruppen oder RBAC-Zuweisungen für diesen IdP. Alle über diesen IdP registrierten Benutzergeräte müssen sich erneut registrieren. Nach dem Löschen eines IdP können Sie einen anderen Identitätsanbietertyp konfigurieren oder LDAP erneut einrichten.

Einschränkungen

  • Dieses Feature unterstützt keine Geräte, die über die Citrix Workspace-App registriert werden.
  • Wenn Sie einen Identitätsanbieter konfigurieren, können Sie keine LDAP-Einstellungen in Endpoint Management hinzufügen.
  • Zum Ändern der Authentifizierungsdomäne müssen Sie Ihren Identitätsanbieter löschen.
  • Das Selbsthilfeportal unterstützt keine Authentifizierung mit Identitätsanbietern.
  • Wenn Sie übergeordnete und untergeordnete Domänen mit dem IdP synchronisieren und diese Domänen identische Gruppennamen enthalten, können diese Gruppen nicht Endpoint Management hinzugefügt werden. Stellen Sie sicher, dass Ihre Gruppennamen domänenübergreifend eindeutig sind.
Zertifikate und Authentifizierung