Abgeleitete Anmeldeinformationen für die Registrierung von iOS-Geräten

Abgeleitete Anmeldeinformationen bieten eine starke Authentifizierung für mobile Geräte. Sie werden von einer Smartcard abgeleitet und residieren auf einem Mobilgerät anstelle einer Karte. Bei der Smartcard handelt es sich um eine PIV-Karte (Personal Identity Verification).

Bei den abgeleiteten Anmeldeinformationen handelt es sich um ein Registrierungszertifikat, das die Benutzer-ID, z. B. den UPN, enthält. Die vom Anbieter erhaltenen Anmeldeinformationen speichert Endpoint Management in einem sicheren Tresor auf dem Gerät.

Abgeleitete Anmeldeinformationen können von Endpoint Management für die Registrierung und Authentifizierung von iOS-Geräten verwendet werden. Wenn Endpoint Management für abgeleitete Anmeldeinformationen konfiguriert ist, unterstützt es keine Registrierungseinladungen oder andere Registrierungsmodi für iOS-Geräte. Citrix empfiehlt, dass keine Android-Geräte auf Servern zu registrieren, die für abgeleitete Anmeldeinformationen eingerichtet sind.

Anforderungen

  • Eine der folgenden Lösungen für abgeleitete Anmeldeinformationen:
    • Intersede ab Version 3.14. Informationen zu den Anforderungen für Intercede finden Sie unter https://www.intercede.com/solutions-derived-credentials. Citrix hat validiert, dass Endpoint Management die Intercede-Lösung für abgleitete Anmeldeinformationen unterstützt. Der App-Name im App-Store von Apple lautet MyID for Citrix.

      Die Benutzer müssen MyID for Citrix auf ihren Geräten installieren bevor sie sich bei Endpoint Management registrieren.

    • Weitere Lösungen für abgeleitete Anmeldeinformationen

      Die meisten anderen Lösungen sind zwar wahrscheinlich mit Endpoint Management kompatibel, Sie sollten die Integration jedoch vor der Implementierung in der Produktion testen.

    • Wenn die E-Mail-Domäne eines Benutzers sich von der LDAP-Domäne unterscheidet, schließen Sie die E-Mail-Domäne in die Einstellung Domänenalias unter Einstellungen > LDAP ein. Wenn die Domäne für E-Mail-Adressen beispielsweise myID.com lautet und der Namen der LDAP-Domäne sample.com, legen Sie Domänenalias auf sample.com, myID.com fest.
    • Endpoint Management unterstützt die Verwendung abgeleiteter Anmeldeinformationen auf gemeinsam genutzten Geräten nicht.
  • Benutzerdentitätszertifikate:
    • Der Benutzername im Feld “Subject alternative name” muss in der SubjectAltName-Erweiterung als otherName-, rfc822Name- oder dNSName-Feld formatiert sein. Andere Felder werden nicht unterstützt. Weitere Informationen zu alternativen Antragstellernamen finden Sie unter https://www.ietf.org/rfc/rfc5280.txt.
    • Die Angabe der Benutzeridentität im Feld “Subject” in Form von E-Mail-Adresse oder CN wird nicht unterstützt.
  • Citrix Gateway für Clientzertifikat-Authentifizierung oder Authentifizierung mit Zertifikat und Sicherheitstoken konfiguriert

    Informationen zur PKI-Konfiguration finden Sie unter PKI-Entitäten.

  • Secure Hub 10.8.15 (Mindestversion)
  • Secure Mail 10.8.20 (Mindestversion)
    • Verwenden Sie das gleiche Developer-Zertifikat zum Signieren aller Apps im Apple-App-Store.

Architektur

Für die Registrierung stellt der Endpoint Management-Server eine Verbindung mit den weiter oben unter “Anforderungen” beschriebenen Komponenten in der nachfolgend dargestellten Reihenfolge her.

Darstellung der Architektur bei Registrierung mit abgeleiteten Anmeldeinformationen

  • Während der Geräteregistrierung ruft Secure Hub Zertifikate aus der App für abgeleitete Anmeldeinformationen ab.
  • Die App für abgeleitete Anmeldeinformationen kommuniziert bei der Registrierung mit dem Verwaltungsserver für Anmeldeinformationen.
  • Für den Verwaltungsserver für Anmeldeinformationen und einen PKI-Anbieter von Drittanbietern können Sie denselben oder verschiedene Server verwenden.
  • Der Endpoint Management-Server stellt eine Verbindung mit dem Drittanbieter-PKI-Server zum Abrufen von Zertifikaten her.

Nach der Registrierung stellen die Komponenten die nachfolgend dargestellten Verbindungen her.

Darstellung der Architektur nach der Registrierung mit abgeleiteten Anmeldeinformationen

In den folgenden Abschnitten wird beschrieben, wie ein Anbieter für abgeleitete Anmeldeinformationen in Endpoint Management konfiguriert wird, wie abgeleitete Anmeldeinformationen für die Registrierung aktiviert werden und wie Geräte, die abgeleitete Anmeldeinformationen verwenden, verwaltet werden.

Aktivieren abgeleiteter Anmeldeinformationen

Standardmäßig enthält die Endpoint Management-Konsole die Seite Einstellungen > Abgeleitete Anmeldeinformationen nicht. Zum Aktivieren der Seite für abgeleitete Anmeldeinformationen fügen Sie auf der Seite Einstellungen > Servereigenschaften die Servereigenschaft derived.credentials.enable hinzu und legen Sie sie auf true fest.

Abbildung des Bildschirms zur Konfiguration von Servereigenschaften

Abgeleitete Anmeldeinformationen

Bei diesen Anweisungen wird davon ausgegangen, dass Sie eine funktionierende Konfiguration für den Anbieter für abgeleitete Anmeldeinformationen haben, den Sie in Endpoint Management integrieren möchten. Anschließend können Sie Endpoint Management für die Kommunikation mit diesem Server konfigurieren. Sie wählen außerdem ein ZS-Zertifikat für abgeleitete Anmeldeinformationen, das Sie Endpoint Management bereits hinzugefügt haben oder Sie importieren das Zertifikat.

Sie können Online Certificate Status Protocol (OCSP) für dieses ZS-Zertifikat aktivieren. Weitere Informationen über OCSP finden Sie unter “Eigenverwaltete Zertifizierungsstellen” im Artikel PKI-Entitäten.

  1. Navigieren Sie in der Endpoint Management-Konsole zu Einstellungen > Abgeleitete Anmeldeinformationen für iOS.

    Abbildung des Bildschirms zur Konfiguration abgeleiteter Anmeldeinformationen

  2. Legen Sie unter Anbieter Folgendes fest:

    • Anbieter für abgeleitete Anmeldeinformationen wählen. Citrix hat überprüft, dass Endpoint Management Intercede unterstützt. Wenn Sie für den Anbieter Anderer wählen, testen Sie die Integration, bevor Sie den Server in der Produktion einsetzen.

    • App-URL (iOS): Wenn Sie Intercede als Anbieter wählen, wird das Feld App-URL von Endpoint Management automatisch ausgefüllt. Bei Auswahl von Andere bringen Sie die App-URL Ihres Anbieters für abgeleitete Anmeldeinformationen in Erfahrung.

      Wenn ein Gerät den Anbieter nicht kontaktieren kann, überprüfen Sie die App-URL beim Anbieter. Sie müssen sie u. U. ändern.

    • Optionale Parameter: Einige Anbieter für abgeleitete Anmeldeinformationen erfordern evtl. die Angabe von Parametern für die Verbindung. Dabei kann es sich beispielsweise um die URL eines Backend-Servers handeln. Klicken Sie auf Hinzufügen, um Parameter anzugeben.

  3. Geben Sie ein Zertifikat für abgeleitete Anmeldeinformationen an: Wenn das Zertifikat bereits in Endpoint Management hochgeladen wurde, wählen Sie es unter Ausstellende ZS aus. Klicken Sie andernfalls auf Importieren, um ein Zertifikat hinzuzufügen. Das Dialogfeld Zertifikat importieren wird angezeigt.

  4. Klicken Sie im Dialogfeld Zertifikat importieren auf Durchsuchen, um zu dem Zertifikat zu navigieren. Klicken Sie dann auf Durchsuchen und navigieren Sie zu der Datei mit dem privaten Schlüssel.

    Abbildung des Bildschirms zur Konfiguration abgeleiteter Anmeldeinformationen

  5. Bei Auswahl Intercede als der Anbieter werden die Felder Benutzer-ID-Feld und Benutzer-ID-Typ automatisch ausgefüllt. Für Intercede lautet die Eingabe für Benutzer-ID-Feld Alternativer Antragstellername und für Benutzer-ID-Typ lautet sie userprincipalname. Bringen Sie bei Verwendung eines anderen Anbieters diese Informationen beim Hersteller in Erfahrung und konfigurieren Sie die Einstellungen entsprechend.

  6. Optional können Sie einen OCSP-Responder für die Überprüfung von Zertifikatsperrlisten verwenden. Standardmäßig ist die OSP-Prüfung deaktiviert. Zum Aktivieren der OCSP-Unterstützung für das ZS-Zertifikat gehen Sie folgendermaßen vor:

    • Legen Sie OCSP-Prüfung auf EIN fest.

    Abbildung des Bildschirms zur Konfiguration abgeleiteter Anmeldeinformationen

    • Wählen Sie eine Option für Benutzerdefinierte OCSP-URL verwenden. Standardmäßig extrahiert Endpoint Management die OCSP-URL aus dem Zertifikat (Option Zertifikatdefinition für Sperre verwenden). Zum Angeben einer Responder-URL klicken Sie auf Benutzerdef. verwenden und geben Sie die URL ein.
    • Responder-ZS: Wählen Sie unter Responder-ZS ein Zertifikat. Klicken Sie alternativ auf Importieren und steuern Sie über das Dialogfeld Zertifikat importieren das Zertifikat an.
  7. Klicken Sie auf Speichern. Das Dialogfeld Abgeleitete Anmeldeinformationen wird angezeigt.

    Abbildung des Bildschirms zur Konfiguration abgeleiteter Anmeldeinformationen

    • Zum Aktivieren der Konfiguration für abgeleitete Anmeldeinformationen klicken Sie auf Speichern. Zur Verwendung abgeleiteter Anmeldeinformationen müssen Sie außerdem Registrierungseinstellungen konfigurieren.

    • Zum Aktivieren der Konfiguration für abgeleitete Anmeldeinformationen und zum direkten Aufrufen von Einstellungen > Registrierung klicken Sie auf Speichern und zur Registrierung gehen.

  8. Abgeleitete Anmeldeinformationen für die Registrierung aktivieren: Wählen Sie auf der Seite Einstellungen > Registrierung unter Erweiterte Registrierung die Option Abgeleitete Anmeldeinformationen (nur iOS) und klicken Sie auf Aktivieren.

    Abbildung des Bildschirms zur Registrierungskonfiguration

  9. Ein Bestätigungsdialogfeld wird angezeigt. Zum Aktivieren abgeleiteter Anmeldeinformationen aktivieren Sie das Kontrollkästchen und klicken Sie auf Aktivieren.

    Abbildung des Bildschirms zur Registrierungskonfiguration

  10. Zum Bearbeiten der Optionen für abgeleitete Anmeldeinformationen für die Registrierung wählen Sie auf der Seite Einstellungen > Registrierung die Option Abgeleitete Anmeldeinformationen (nur iOS) und klicken Sie auf Bearbeiten.

Nach dem Aktivieren abgeleiteter Anmeldeinformationen enthält der Geräteregistrierungsbericht in der Spalte Registrierungsmodus den Eintrag derived_credentials.

Informationen zu den Schritten bei der Registrierung mit abgeleiteten Anmeldeinformationen finden Sie unter iOS-Geräte mit abgeleiteten Anmeldeinformationen.

Konfigurieren von Endpoint Management für Secure Mail

Damit Secure Mail ordnungsgemäß mit abgeleiteten Anmeldeinformationen funktioniert, fügen Sie die Clienteigenschaft “LDAP Attributes” hinzu.

Folgen Sie den Anweisungen zum Hinzufügen einer Clienteigenschaft im Artikel Clienteigenschaften. Verwenden Sie die folgenden Informationen:

  • Schlüssel: SEND_LDAP_ATTRIBUTES
  • Wert: userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname},displayName=${user.displayName},mail=${user.mail}

Abbildung des Bildschirms zur Konfiguration von Clienteigenschaften

Hinweis:

Ein Beispiel für die Registrierung mit abgeleiteten Anmeldeinformationen finden Sie unter Registrieren von Geräten mit abgeleiteten Anmeldeinformationen.

iOS-Geräte, auf denen abgeleitete Anmeldeinformationen verwendet werden

Die Registrierung erfordert, dass Benutzer ihre Smartcard in einen an den Desktop angeschlossenen Smartcardleser einlegen.

  1. Der Benutzer installiert Secure Hub und die App des Anbieters für abgeleitete Anmeldeinformationen.

    Die App für Intercede heißt MyID for Citrix. Das Logo sieht folgendermaßen aus:

    Abbildung des Intercede-Logos

  2. Der Benutzer startet Secure Hub. Wenn sie dazu aufgefordert werden, geben Benutzer den vollqualifizierten Domänennamen für den Endpoint Management-Server ein und klicken auf Weiter. Die Registrierung wird in Secure Hub gestartet. Wenn der Endpoint Management-Server abgeleitete Anmeldeinformationen unterstützt, fordert Secure Hub den Benutzer auf, eine Citrix-PIN zu erstellen.

    Abbildung des Bildschirms zur Registrierung bei Secure Hub

    Abbildung der Schaltfläche "Ja, registrieren"

    Abbildung des Bildschirms zur Eingabe der Citrix PIN

  3. Der Benutzer folgt den Anweisungen zum Aktivieren der Smartcard-Anmeldeinformationen. Ein Begrüßungsbildschirm wird angezeigt, gefolgt von einer Eingabeaufforderung zum Scannen eines QR-Codes.

    Abbildung des Bildschirms zum Scannen des QR-Codes

  4. Der Benutzer legt die Smartcard in den Smartcardleser ein, der an den Desktop angeschlossen ist. In der Desktop-App wird dann ein QR-Code angezeigt und der Benutzer zum Scannen des Codes mit dem Mobilgerät aufgefordert.

    Abbildung des Bildschirms zur Identitätsbestätigung

  5. Der Benutzer gibt bei entsprechender Aufforderung seine Secure Hub-PIN ein.

    Abbildung des Bildschirms für die PIN-Eingabe

  6. Nach der Authentifizierung der PIN lädt Secure Hub die Zertifikate herunter. Der Benutzer folgt anschließend den Anweisungen zum Abschließen der Registrierung.

Zum Anzeigen von Geräteinformationen in der Endpoint Management-Konsole:

  • Gehen Sie zu Verwalten > Geräte und wählen Sie ein Gerät zum Anzeigen eines Befehlsfelds aus. Klicken Sie auf Mehr anzeigen.

  • Gehen Sie zu Analysieren > Dashboard.