Abgeleitete Anmeldeinformationen

Abgeleitete Anmeldeinformationen bieten eine starke Authentifizierung für mobile Geräte. Sie werden von einer Smartcard abgeleitet und residieren auf einem Mobilgerät anstelle einer Karte. Bei der Smartcard handelt es sich um eine PIV-Karte (Personal Identity Verification).

Bei den abgeleiteten Anmeldeinformationen handelt es sich um ein Registrierungszertifikat, das die Benutzer-ID, z. B. den UPN, enthält. Die vom Anbieter erhaltenen Anmeldeinformationen speichert Endpoint Management in einem sicheren Tresor auf dem Gerät.

Abgeleitete Anmeldeinformationen können von Endpoint Management für die Registrierung und Authentifizierung von Geräten verwendet werden. Wenn Endpoint Management für abgeleitete Anmeldeinformationen konfiguriert ist, unterstützt es keine Registrierungseinladungen oder andere Registrierungsmodi. Citrix unterstützt die Verwendung von abgeleiteten Anmeldeinformationen bei der iOS-Registrierung.

Architektur

Bei der Registrierung stellt Endpoint Management mit den Komponenten die nachfolgend dargestellten Verbindungen her.

Architektur bei Registrierung mit abgeleiteten Anmeldeinformationen

  • Während der Geräteregistrierung ruft Secure Hub Zertifikate aus der App für abgeleitete Anmeldeinformationen ab.
  • Die App für abgeleitete Anmeldeinformationen kommuniziert bei der Registrierung mit dem Verwaltungsserver für Anmeldeinformationen.
  • Für den Verwaltungsserver für Anmeldeinformationen und einen PKI-Anbieter von Drittanbietern können Sie denselben oder verschiedene Server verwenden.
  • Endpoint Management stellt eine Verbindung mit dem Drittanbieter-PKI-Server zum Abrufen von Zertifikaten her.

Anforderungen

  • Laden Sie Citrix Secure Hub herunter und installieren Sie es.
  • Laden Sie die App gemäß Ihrer Lösung für abgeleitete Anmeldeinformationen herunter und konfigurieren Sie sie:

    • Entrust Datacard:
      • Laden Sie Citrix Derived Credential Manager herunter und installieren Sie die Anwendung auf den Geräten, bevor Sie diese bei Endpoint Management registrieren. Derived Credentials Manager ist die Identitätsanbieter-App für Citrix. Das Logo sieht folgendermaßen aus: Logo der App für abgeleitete Anmeldeinformationen

        Hinweis:

        Citrix Derived Credentials Manager unterstützt nur neue Registrierungen. Die Geräte müssen erneut registriert werden.

      • Endpoint Management muss für MDM+MAM-Modus konfiguriert werden.
    • Andere Lösungen für abgeleitete Anmeldeinformationen: Die meisten anderen Lösungen sind zwar wahrscheinlich mit XenMobile kompatibel, Sie sollten die Integration jedoch vor der Implementierung in der Produktion testen.
  • Muss das Stammzertifikat der Zertifizierungsstelle haben, die Zertifikate an den Anmeldeinformationsanbieterserver ausstellt. Durch diese Einrichtung kann Endpoint Management bei der Registrierung digital signierte Zertifikate akzeptieren. Informationen zum Hinzufügen der Zertifikate finden Sie unter Zertifikate und Authentifizierung.
    • Wenn die E-Mail-Domäne eines Benutzers sich von der LDAP-Domäne unterscheidet, schließen Sie die E-Mail-Domäne in die Einstellung Domänenalias unter Einstellungen > LDAP ein. Wenn die Domäne für E-Mail-Adressen beispielsweise citrix.com lautet und der Namen der LDAP-Domäne sample.com, legen Sie Domänenalias auf sample.com, citrix.com fest.
    • Endpoint Management unterstützt die Verwendung abgeleiteter Anmeldeinformationen auf gemeinsam genutzten Geräten nicht.
  • Benutzerdentitätszertifikate:
    • Der Benutzername im Feld “Subject alternative name” muss in der SubjectAltName-Erweiterung als otherName-, rfc822Name- oder dNSName-Feld formatiert sein. Andere Felder werden nicht unterstützt. Weitere Informationen zu alternativen Antragstellernamen finden Sie unter https://www.ietf.org/rfc/rfc5280.txt.
    • Die Angabe der Benutzeridentität im Feld “Subject” in Form von E-Mail-Adresse oder CN wird nicht unterstützt.
  • Citrix Gateway für Clientzertifikat-Authentifizierung oder Authentifizierung mit Zertifikat und Sicherheitstoken konfiguriert

Aktivieren abgeleiteter Anmeldeinformationen

Standardmäßig enthält die Endpoint Management-Konsole die Seite Einstellungen > Abgeleitete Anmeldeinformationen nicht.

Aktivieren der Schnittstelle für abgeleitete Anmeldeinformationen:

  • Gehen Sie zu der Seite Einstellungen > Servereigenschaften fügen Sie die Servereigenschaft derived.credentials.enable hinzu und legen Sie sie auf true fest.

Bildschirm zur Konfiguration von Servereigenschaften

Abgeleitete Anmeldeinformationen

Es wird davon ausgegangen, dass Sie eine funktionierende Konfiguration für den Anbieter für abgeleitete Anmeldeinformationen haben, den Sie in Endpoint Management integrieren möchten. Sie können Endpoint Management für die Kommunikation mit diesem Server konfigurieren. Sie können außerdem ein ZS-Zertifikat für abgeleitete Anmeldeinformationen wählen, das Sie Endpoint Management bereits hinzugefügt haben oder Sie importieren das Zertifikat.

Sie können Online Certificate Status Protocol (OCSP) für dieses ZS-Zertifikat aktivieren. Weitere Informationen über OCSP finden Sie unter “Eigenverwaltete Zertifizierungsstellen” im Artikel PKI-Entitäten.

  1. Navigieren Sie in der Endpoint Management-Konsole zu Einstellungen > Abgeleitete Anmeldeinformationen für iOS.

  2. Wählen Sie unter Anbieter für abgeleitete Anmeldeinformationen wählen die Option Andere für Entrust Datacard. Geben Sie für App-URL (iOS) dcapp://mode=SecureHub ein.

    Bildschirm zur Konfiguration abgeleiteter Anmeldeinformationen

  3. Optionale Parameter: Einige Anbieter für abgeleitete Anmeldeinformationen erfordern evtl. die Angabe von Parametern für die Verbindung. Dabei kann es sich beispielsweise um die URL eines Backend-Servers handeln. Klicken Sie auf Hinzufügen, um Parameter anzugeben.

  4. Geben Sie ein Zertifikat für abgeleitete Anmeldeinformationen an: Wenn das Zertifikat bereits in Endpoint Management hochgeladen wurde, wählen Sie es unter Ausstellende ZS aus. Klicken Sie andernfalls auf Importieren, um ein Zertifikat hinzuzufügen. Das Dialogfeld Zertifikat importieren wird angezeigt.

  5. Klicken Sie im Dialogfeld Zertifikat importieren auf Durchsuchen, um zu dem Zertifikat zu navigieren. Klicken Sie dann auf Durchsuchen und navigieren Sie zu der Datei mit dem privaten Schlüssel.

    Bildschirm zur Konfiguration abgeleiteter Anmeldeinformationen

  6. Konfigurieren Sie die Einstellungen.
    • Für die Citrix Derived Credential Manager-App: Benutzer-ID-Feld ist Alternativer Antragstellername und Benutzer-ID-Typ ist userPrincipalName.
    • Bringen Sie bei Verwendung eines anderen Anbieters diese Informationen beim Hersteller in Erfahrung.
  7. Optional können Sie einen OCSP-Responder zum Überprüfen von Zertifikatsperrlisten verwenden. Citrix empfiehlt, einen OCSP-Responder für Sicherheitszwecke zu verwenden. Standardmäßig ist die OCSP-Prüfung auf Aus festgelegt.

    • Wenn Sie OCSP für das Zertifizierungsstellenzertifikat aktivieren, wählen Sie eine Option für Benutzerdefinierte OCSP-URL verwenden. Standardmäßig extrahiert Endpoint Management die OCSP-URL aus dem Zertifikat (Option Zertifikatdefinition für Sperre verwenden). Zum Angeben einer Responder-URL klicken Sie auf Benutzerdef. verwenden und geben Sie die URL ein.
    • Responder-ZS: Wählen Sie unter Responder-ZS ein Zertifikat. Klicken Sie alternativ auf Importieren und steuern Sie über das Dialogfeld Zertifikat importieren das Zertifikat an.
  8. Klicken Sie auf Speichern. Das Dialogfeld Aktivieren von abgeleiteten Anmeldeinformationen wird angezeigt.

    Bildschirm zur Konfiguration abgeleiteter Anmeldeinformationen

    • Zum Aktivieren der Konfiguration für abgeleitete Anmeldeinformationen klicken Sie auf Speichern. Zur Verwendung abgeleiteter Anmeldeinformationen müssen Sie außerdem Registrierungseinstellungen konfigurieren.

    • Zum Aktivieren der Konfiguration für abgeleitete Anmeldeinformationen und zum direkten Aufrufen von Einstellungen > Registrierung klicken Sie auf Speichern und zur Registrierung gehen.

  9. Abgeleitete Anmeldeinformationen für die Registrierung aktivieren: Wählen Sie auf der Seite Einstellungen > Registrierung unter Erweiterte Registrierung die Option Abgeleitete Anmeldeinformationen (nur iOS) und klicken Sie auf Aktivieren.

    Bildschirm zur Registrierungskonfiguration

  10. Ein Bestätigungsdialogfeld wird angezeigt. Zum Aktivieren abgeleiteter Anmeldeinformationen aktivieren Sie das Kontrollkästchen und klicken Sie auf Aktivieren.

    Bildschirm zur Registrierungskonfiguration

  11. Zum Bearbeiten der Optionen für abgeleitete Anmeldeinformationen für die Registrierung wählen Sie auf der Seite Einstellungen > Registrierung die Option Abgeleitete Anmeldeinformationen (nur iOS) und klicken Sie auf Bearbeiten.

Nach dem Aktivieren abgeleiteter Anmeldeinformationen enthält der Geräteregistrierungsbericht in der Spalte Registrierungsmodus den Eintrag derived_credentials.

Konfigurieren von Endpoint Management für Secure Mail

Damit Secure Mail mit abgeleiteten Anmeldeinformationen funktioniert, fügen Sie die Clienteigenschaft LDAP Attributes hinzu. Weitere Informationen zum Hinzufügen einer Clienteigenschaft finden Sie unter Clienteigenschaften.

Verwenden Sie die folgenden Informationen für die Clienteigenschaft:

  • Schlüssel: SEND_LDAP_ATTRIBUTES
  • Wert: userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname},displayName=${user.displayName},mail=${user.mail}

Bildschirm zur Konfiguration von Clienteigenschaften

Aktivieren abgeleiteter Anmeldeinformationen mit Entrust Datacard auf iOS-Geräten

Hinweis:

Beachten Sie bei Verwendung der Entrust-Website Folgendes:

  • Stellen Sie sicher, dass im Internet Explorer-Browser Java aktiviert ist, wenn Sie die PIV-Karte programmieren.
  • Leeren Sie den Browsercache bei Änderung der PIV-Karte.
  1. Um neue Smart-Anmeldeinformationen anzufordern, verwenden Sie einen Desktopcomputer oder ein beliebiges Gerät zur Anmeldung bei der Entrust-Website. Melden Sie sich mit der Schaltfläche Smart Credential Login unten auf der Webseite an. Die Benutzer legen ihre Smartcard in einen an den Desktop angeschlossenen Smartcardleser ein.

    Anmeldeseite von Entrust

  2. Wählen Sie unter Self-Administration Actions die Option I’d like to enroll for a derived mobile smart credential und klicken Sie auf Done.

    Admin-Aktionen von Entrust

  3. Geben Sie auf der Seite Derived Mobile Smart Credential den Namen im Feld Identity Name ein. Der Benutzer kann einen eindeutigen Namen (Benutzernamen oder ID-Nummer) wählen.
  4. Wählen Sie im Menü der App für abgeleitete Anmeldeinformationen Citrix DCAPP und klicken Sie auf Ok.

    Abgeleitete Smart-Anmeldeinformationen für mobile Benutzer

    Ein Bildschirm zur Aktivierung des QR-Codes wird angezeigt und der Benutzer aufgefordert, den Code mit seinem Mobilgerät zu scannen.

    Hinweis:

    Standardmäßig läuft der QR-Code nach drei Minuten ab.

  5. Scannen Sie den QR-Code mit Derived Credential Manager auf dem Gerät, um die Aktivierung durchzuführen.

    QR-Code-Aktivierung für abgeleitete Smart-Anmeldeinformationen für mobile Benutzer

Geräteregistrierung

Wenn Sie die weiter oben beschriebene Einrichtung abgeschlossen haben, können die Benutzer ihre Geräte unter Verwendung abgeleiteter Anmeldeinformationen registrieren.

Hinweis:

Die Screenshots in diesem Abschnitt zeigen als Beispiel “Entrust Datacard”.

  1. Tippen Sie auf Secure Hub, um die App zu öffnen. Wenn Sie dazu aufgefordert werden, geben Sie den vollqualifizierten Domänennamen des Endpoint Management-Servers ein und klicken Sie auf Weiter.
  2. Klicken Sie auf Ja, Registrieren. Die Geräteregistrierung wird in Secure Hub gestartet.

    Registrierung bei Secure Hub

    Wenn der Endpoint Management für abgeleitete Anmeldeinformationen konfiguriert ist, fordert Secure Hub den Benutzer auf, eine Citrix-PIN zu erstellen und zu bestätigen.

    PIN-Bestätigung in Secure Hub

    Nach der Bestätigung der Citrix-PIN wird der Begrüßungsbildschirm der App für abgeleitete Anmeldeinformationen angezeigt. Folgen Sie den Anweisungen zum Aktivieren der Smartcard-Anmeldeinformationen.

  3. Tippen Sie auf Scan code. Die Mobiltelefonkamera wird aktiviert.

    Begrüßungsbildschirm

    Hinweis:

    Um den QR-Code zu scannen, stellen Sie sicher, dass die Kamera und das Mikrofon aktiviert sind und über die erforderlichen Zugriffsberechtigungen verfügen.

  4. Scannen Sie in der App für abgeleitete Anmeldeinformationen den QR-Code, der bei früheren Schritten erstellt wurde.

    Scannen des QR-Codes

  5. Nach dem Scannen des QR-Codes wird auf dem Bildschirm Import New Certificate ein Dialogfeld angezeigt. Geben Sie hier das Kennwort ein und klicken Sie auf OK.

    Zertifikatkennwort

    Der Bildschirm Import New Certificate wird mit automatisch aufgefüllten Feldern angezeigt.

    Neues Zertifikat

  6. Nachdem die Zertifikate erfolgreich hinzugefügt wurden, klicken Sie im Bildschirm Abgeleitete Anmeldeinformationen auf Registrierung starten.

    Starten der Registrierung

  7. Geben Sie in Secure Hub eine neue PIN ein, wenn Sie dazu aufgefordert werden.

    Nach der Authentifizierung der PIN lädt Secure Hub die Zertifikate herunter. Folgen Sie den Anweisungen zum Abschließen der Registrierung.

Zum Anzeigen von Geräteinformationen in der Endpoint Management-Konsole:

  • Gehen Sie zu Verwalten > Geräte und wählen Sie ein Gerät zum Anzeigen eines Befehlsfelds aus. Klicken Sie auf Mehr anzeigen.
  • Gehen Sie zu Analysieren > Dashboard.