Product Documentation

Citrix Secure Hub

Apr 20, 2018

Citrix Secure Hub ist die Basis für die Citrix XenMobile-Erfahrung. Benutzer registrieren ihre Geräte in Secure Hub, um Zugriff auf den Store zu erhalten. Im Store können sie von Citrix entwickelte XenMobile Apps und Apps von Drittanbietern hinzufügen.

Sie können Secure Hub und andere XenMobile-Komponenten von der Downloadseite für XenMobile herunterladen.

Angaben zu den Systemanforderungen für Secure Hub und andere XenMobile Apps finden Sie unter Systemanforderungen für XenMobile Apps

Verwalten von Secure Hub

Important

Das MDX Toolkit 10.7.10 ist das letzten Release, das Umschließen von XenMobile Apps unterstützt. Benutzer greifen über den öffentlichen App-Store auf XenMobile Apps Version 10.7.5 und höher zu. Eine Tabelle mit den XenMobile Apps, die Sie mit dem MDX Toolkit 10.7.10 umschließen können, finden Sie im Abschnitt XenMobile-Kompatibilität.

Sie führen die meisten Verwaltungsaufgaben für Secure Hub bei der Erstkonfiguration von XenMobile aus. Um Secure Hub unter iOS und Android zur Verfügung zu stellen, laden Sie Secure Hub in den iOS App Store und den Google Play Store hoch.

Secure Hub stellt ein Portal für Citrix Apps bereit und aktualisiert die meisten auf dem XenMobile-Server für die installierten Apps gespeicherten MDX-Richtlinien, wenn die Sitzung eines Benutzers nach Authentifizierung mit NetScaler Gateway aktualisiert wird.

Important

Bei Änderungen an einer der folgenden Richtlinien muss der Benutzer die App löschen und neu installieren, damit die aktualisierte Richtlinie angewendet wird: Sicherheitsgruppe, Verschlüsselung aktivieren und Secure Mail Exchange Server.

Citrix-PIN

Sie können Secure Hub zur Verwendung der Citrix PIN konfigurieren. Die Citrix PIN ist ein Sicherheitsfeature, das in der XenMobile-Konsole unter Einstellungen > Clienteigenschaften aktiviert wird. Durch diese Einstellung müssen sich Benutzer von Mobilgeräten bei Secure Hub anmelden und alle mit MDX umschlossenen Apps über eine persönliche Identifikationsnummer (PIN) aktivieren.

Die Citrix PIN vereinfacht die Benutzerauthentifizierung bei der Anmeldung bei gesicherten umschlossenen Apps, da die Benutzer keine anderen Anmeldeinformationen, wie Active Directory-Benutzernamen und -Kennwort, mehrfach eingeben müssen.

Bei der ersten Anmeldung bei Secure Hub müssen die Benutzer ihren Active Directory-Benutzernamen und das Kennwort eingeben. Während der Anmeldung speichert Secure Hub die Active Directory-Anmeldeinformationen oder ein Clientzertifikat auf dem Benutzergerät und fordert die Benutzer dann zur Eingabe einer PIN auf. Wenn Benutzer sich erneut anmeldet, geben sie die PIN ein und erhalten bis zum Ablauf des nächsten Leerlauftimeouts für die aktive Sitzung sicheren Zugriff auf Citrix Apps und den Store. In den zugehörigen Clienteigenschaften können Sie mit der PIN Geheimnisse verschlüsseln und den Passcodetyp sowie Stärke und Länge der PIN festlegen. Einzelheiten finden Sie unter Clienteigenschaften.

Ist die Authentifizierung per Fingerabdruck aktiviert, können Benutzer können sich per Fingerabdruck anmelden, wenn Offlineauthentifizierung aufgrund von Inaktivität in der App erforderlich ist. Bei der Erstanmeldung bei Secure Hub, beim Neustart des Geräts und nach Ablauf des Inaktivitätstimers müssen Benutzer jedoch immer noch eine PIN eingeben. Authentifizierung per Fingerabdruck wird für iOS 9- und iOS 10.3-Geräte und einige Android-Geräte unterstützt. Informationen zum Aktivieren der Authentifizierung per Fingerabdruck, finden Sie in der Einstellung ENABLE_TOUCH_ID_AUTH in den Clienteigenschaften.

Zertifikatpinning

Secure Hub für iOS und Android unterstützt SSL-Zertifikatpinning. Dieses Feature stellt sicher, dass das Zertifikat Ihrer Firma für die Kommunikation zwischen Clients und XenMobile verwendet wird. Auf diese Weise werden Verbindungen von Citrix Clients mit XenMobile vermieden, wenn die Installation eines Stammzertifikats auf dem Gerät die SSL-Sitzung gefährdet. Wenn Secure Hub Änderungen am öffentlichen Schlüssel des Servers erkennt, wird die Verbindung verweigert.

Ab Android N lässt das Betriebssystem keine vom Benutzer hinzugefügten Zertifizierungsstellen (ZS) mehr zu. Citrix empfiehlt stattdessen die Verwendung einer öffentlichen Stamm-ZS.

Nach einem Upgrade auf Android N können bei Verwendung privater oder selbstsignierter ZS Probleme auftreten. Verbindungen werden auf Android N-Geräten in folgenden Situationen getrennt:

  • Private oder selbstsignierte ZS und die Option "Required Trusted CA for XenMobile" in XenMobile Autodiscovery Service ist auf ON festgelegt.
  • Private oder selbstsignierte ZS und Autodiscovery Service (ADS) ist nicht erreichbar. Aus Sicherheitsgründen wird die Option "Required Trusted CA" aktiviert, wenn ADS nicht erreichbar ist, selbst wenn sie zuvor auf OFF festgelegt wurde.

Bevor Sie Geräte registrieren oder Secure Hub aktualisieren, erwägen Sie die Aktivierung von Zertifikatpinning, das standardmäßig deaktiviert ist und von XenMobile Autodiscovery Service (ADS) verwaltet wird.

Für die Verwendung des Zertifikatpinnings fordern Sie bei Citrix das Hochladen von Zertifikaten auf den Citrix ADS-Server an. Öffnen Sie im Citrix Support-Portal einen Supportfall und geben Sie die folgenden Informationen an:

  • Die Domäne mit den Konten, mit denen Benutzer Geräte registrieren.
  • Vollqualifizierter Domänenname (FQDN) des XenMobile-Servers.
  • XenMobile-Instanzname. Standardmäßig lautet der Instanzname (Groß-/Kleinschreibung beachten) zdm.
  • Benutzer-ID-Typ (entweder UPN oder E-Mail). Standardeinstellung ist UPN.
  • Der für die iOS-Registrierung verwendete Port, wenn Sie die standardmäßige Portnummer 8443 geändert haben.
  • Der Port, über den der XenMobile-Server Verbindungen annimmt, wenn Sie die standardmäßige Portnummer 443 geändert haben.
  • Vollständige URL von NetScaler Gateway.
  • E-Mail-Adresse des XenMobile-Administrators (optional).
  • PEM-Zertifikate, die der Domäne hinzugefügt werden sollen.
  • Verfahren mit einem ggf. vorhandenen Serverzertifikat: Ob dieses sofort entfernt werden soll (da es kompromittiert ist) oder bis zum Ablaufen weiterverwendet werden soll.

Ihr Supportfall wird aktualisiert, sobald Ihre Daten und das Zertifikat den Citrix Servern hinzugefügt wurden.

Konfigurieren der Authentifizierung mit Zertifikat und Einmalkennwort für Secure Hub

Sie können NetScaler so konfigurieren, dass die Authentifizierung in Secure Hub mit einem Zertifikat und einem Sicherheitstoken, das als Einmalkennwort dient, ausgeführt wird. Diese Konfiguration bietet hohe Sicherheit, die keine Active Directory-Spur auf Benutzergeräten hinterlässt.

Damit Secure Hub diesen Authentifizierungstyp verwendet, fügen Sie eine Rewrite-Aktion und eine Rewrite-Richtlinie in NetScaler hinzu, sodass ein benutzerdefinierter Antwortheader der Form X-Citrix-AM-GatewayAuthType: CertAndRSA eingefügt wird, um den NetScaler Gateway-Anmeldetyp anzugeben.

Normalerweise verwendet Secure Hub den in der XenMobile-Konsole konfigurierten NetScaler Gateway-Anmeldetyp. Secure Hub verfügt jedoch erst nach der ersten Anmeldung über diese Informationen und daher ist der benutzerdefinierte Header erforderlich, damit Secure Hub diesen Vorgang ausführen kann.

Hinweis: Wenn in XenMobile und NetScaler unterschiedliche Anmeldetypen festgelegt sind, hat die NetScaler-Konfiguration Vorrang vor der XenMobile-Konfiguration. Einzelheiten finden Sie unter NetScaler Gateway und XenMobile.

1. Navigieren Sie in NetScaler zu Configuration > AppExpert > Rewrite > Actions.

2. Klicken Sie auf Hinzufügen.

Der Bildschirm Create Rewrite Action wird angezeigt.

3. Nehmen Sie Eingaben in den Feldern vor (siehe Abbildung unten) und klicken Sie auf Create.

localized image

Auf dem Hauptbildschirm Rewrite Actions wird das folgende Ergebnis angezeigt.

localized image

4. Binden Sie die Rewrite-Aktion an den virtuellen Server als Rewrite-Richtlinie. Wechseln Sie zu Configuration > NetScaler Gateway > Virtual Servers und wählen Sie den virtuellen Server.

localized image

5. Klicken Sie auf Edit.

6. Führen Sie auf der Seite Virtual Servers configuration einen Bildlauf zu Policies aus.

7. Klicken Sie auf +, um eine Richtlinie hinzuzufügen.

localized image

8. Geben Sie Rewrite im Feld Choose Policy ein.

9. Wählen Sie Response im Feld Choose Type aus.

localized image

10. Klicken Sie auf Continue.

Der Abschnitt Policy Binding wird erweitert.

localized image

11. Klicken Sie auf Select Policy.

Ein Bildschirm mit den verfügbaren Richtlinien wird angezeigt.

localized image

12. Klicken Sie auf die Zeile der Richtlinie, die Sie gerade erstellt haben, und klicken Sie dann auf Select. Der Bildschirm Policy Binding wird wieder angezeigt. Er enthält die ausgewählte Richtlinie.

localized image

13. Klicken Sie auf Bind.

Wenn die Bindung erfolgreich ist, wird der Konfigurationsbildschirm mit der vollständigen Rewrite-Richtlinie angezeigt.

localized image

14. Zum Anzeigen der Richtliniendetails klicken Sie auf Rewrite Policy.

localized image

Portanforderungen für die ADS-Verbindung bei Android-Geräten

Die Portkonfiguration gewährleistet, dass Android-Geräte über Secure Hub innerhalb des Unternehmensnetzwerks auf den Citrix ADS zugreifen können. Der Zugriff auf ADS ist zum Herunterladen von Sicherheitsupdates wichtig, die über diesen Dienst zur Verfügung gestellt werden. ADS-Verbindungen sind eventuell nicht mit dem vorhandenen Proxyserver kompatibel. Lassen Sie in diesem Fall zu, dass ADS-Verbindungen den Proxyserver umgehen.

Wichtig: Für Secure Hub für Android und iOS müssen Sie auf Android-Geräten den Zugriff auf ADS zulassen. Weitere Informationen finden Sie unter Portanforderungen in der Dokumentation zu XenMobile. Diese Verbindung erfolgt über den ausgehenden Port 443. Ihre vorhandene Umgebung lässt diesen Zugriff sehr wahrscheinlich bereits zu. Kunden, die diese Verbindung nicht gewährleisten können, wird von einem Upgrade auf Secure Hub 10.2 dringend abgeraten. Wenn Sie Fragen haben, wenden Sie sich an den Citrix Support.

Für das Zertifikatpinning müssen die folgenden Voraussetzungen erfüllt sein:

  • Sammeln von XenMobile- und NetScaler-Zertifikaten: Die Zertifikate müssen im PEM-Format vorliegen und öffentlich sein, d. h. keine privaten Schlüssel sind zulässig.
  • Öffnen Sie einen Supportfall beim Citrix Support, um Zertifikatpinning zu aktivieren. Bei diesem Prozess werden Ihre Zertifikate angefordert.

Die neuen Verbesserungen beim Zertifikatpinning erfordern, dass Geräte vor der Registrierung eine Verbindung mit dem ADS herstellen. Damit wird sichergestellt, dass Secure Hub über die aktuellen Sicherheitsinformationen für die Umgebung verfügt, in der das Gerät registriert wird. Kann ein Gerät den ADS nicht erreichen, lässt Secure Hub die Registrierung nicht zu. Daher ist die Aktivierung des Zugriffs auf den ADS im internen Netzwerk erforderlich, damit Geräte registriert werden können.

Damit der Zugriff auf den ADS für Secure Hub 10.2 für Android möglich ist, öffnen Sie Port 443 für die folgenden IP-Adressen und FQDNs:

FQDN IP address Port IP and port usage

discovery.mdm.zenprise.com

52.5.138.94

443

Secure Hub - ADS-Kommunikation

discovery.mdm.zenprise.com

52.1.30.122

443

Secure Hub - ADS-Kommunikation

ads.xm.cloud.com*

34.194.83.188

443

Secure Hub - ADS-Kommunikation

ads.xm.cloud.com*

34.193.202.23

443

Secure Hub - ADS-Kommunikation

* Secure Hub Version 10.6.15 und höher verwendet ads.xm.cloud.com.

Wenn Zertifikatpinning aktiviert ist:

  • Secure Hub pinnt das Unternehmenszertifikat während der Geräteregistrierung.
  • Während des Upgrades verwirft Secure Hub alle aktuell gepinnten Zertifikate und pinnt das Serverzertifikat auf die erste Verbindung bei registrierten Benutzern.

Hinweis: Wenn Sie das Zertifikatpinning nach einem Upgrade aktivieren, müssen Benutzer sich erneut registrieren.

  • Die Erneuerung des Zertifikats erfordert keine erneute Registrierung, sofern der öffentliche Schlüssel des Zertifikats sich nicht geändert hat.

Zertifikatpinning unterstützt untergeordnete Zertifikate, aber keine Zwischen- oder Ausstellerzertifikate. Zertifikatpinning gilt für Citrix Server, z. B. XenMobile und NetScaler Gateway, jedoch nicht für die Server Dritter.

Secure Hub-Features

Mit Secure Hub können Sie Richtlinien für mobile Geräte überwachen und durchsetzen, Zugriff auf den Store erteilen und Live-Support bieten. Zu Beginn laden Benutzer Secure Hub aus dem App Store von Apple, Android oder Windows auf ihr Gerät herunter.

Wenn Secure Hub geöffnet wird, geben die Benutzer ihre von ihrem Unternehmen erhaltenen Anmeldeinformationen ein, um ihr Gerät bei Secure Hub zu registrieren. Weitere Informationen zur Geräteregistrierung finden Sie unter Registrieren von Geräten.

Secure Hub für Android fragt bei der Erstinstallation und Registrierung, ob Sie Secure Hub den Zugriff auf Fotos, Medien und Dateien auf Ihrem Gerät erlauben wollen.

Beachten Sie, dass diese Nachricht vom Betriebssystem Android stammt und nicht von Citrix. Wenn Sie auf Zulassen tippen, sehen Citrix und die Administratoren von Secure Hub Ihre persönlichen Daten zu keinem Zeitpunkt. Wenn Sie jedoch eine Remotesupportsitzung mit Ihrem Administrator durchführen, kann der Administrator Ihre persönlichen Dateien innerhalb der Sitzung anzeigen. 

localized image

Nach der Registrierung sehen Benutzer die Apps und Desktops, die Sie ihnen auf der Registerkarte "Eigene Apps" bereitgestellt haben. Benutzer können weitere Apps aus dem Store hinzufügen. Der Store-Link findet sich auf Telefonen unter dem Symbol "Einstellungen" in der oberen linken Ecke.

localized image

Auf Tablets gibt es eine separate Registerkarte für den Store.

localized image

Wenn Benutzer auf einem iPhone ab iOS 9 XenMobile Apps aus dem XenMobile Store installieren, wird eine Meldung angezeigt, dass dem Unternehmensapp-Entwickler Citrix auf dem iPhone nicht vertraut wird und die App erst dann verwendet werden kann, wenn dem Entwickler vertraut wird. Die Benutzer werden dann von Secure Hub aufgefordert, eine Anleitung zum Herstellen einer Vertrauensstellung für Citrix-Unternehmensapps für ihr iPhone aufzurufen.

Für Nur-MAM-Bereitstellungen können Sie XenMobile so konfigurieren, dass Benutzer, die sich mit einem iOS- oder Android-Gerät bei Secure Hub mit E-Mail-Anmeldeinformationen registrieren, automatisch bei Secure Mail registriert werden. Die Benutzer müssen für die Registrierung bei Secure Mail keine weiteren Informationen eingeben und keine zusätzlichen Schritte ausführen.

Bei der ersten Verwendung von Secure Mail werden die E-Mail-Adresse des Benutzers, die Domäne und die Benutzer-ID von Secure Hub abgerufen. Secure Mail verwendet die E-Mail-Adresse für Autodiscovery. Der Exchange Server wird anhand von Domäne und Benutzer-ID gesucht, sodass eine automatische Authentifizierung des Benutzers in Secure Mail ermöglicht wird. Der Benutzer wird zur Eingabe des Kennworts aufgefordert, wenn die Richtlinie nicht auf Kennwort-Passthrough festgelegt ist, er muss jedoch keine weiteren Informationen eingeben.

Erstellen Sie zur Nutzung dieses Features drei Eigenschaften:

  • Die Servereigenschaft MAM_MACRO_SUPPORT. Anweisungen finden Sie unter Servereigenschaften.
  • Die Clienteigenschaften ENABLE_CREDENTIAL_STORE und SEND_LDAP_ATTRIBUTES. Anweisungen finden Sie unter Clienteigenschaften.

Wenn Sie den Store anpassen möchten, gehen Sie zu Einstellungen > Clientbranding. Sie können den Namen ändern, ein Logo hinzufügen und festlegen, wie Anwendungen angezeigt werden.

localized image

Sie können App-Beschreibungen in der XenMobile-Konsole bearbeiten. Klicken Sie auf Konfigurieren und auf Apps. Wählen Sie die App in der Tabelle aus und klicken Sie auf Bearbeiten. Wählen Sie die Plattformen aus, für die Sie die Beschreibung bearbeiten möchten, und geben Sie Text in das Feld Beschreibung ein.

localized image

Im Store können Benutzer nur die Apps und Desktops durchsuchen, die Sie in XenMobile konfiguriert und gesichert haben. Zum Hinzufügen der App tippen Benutzer auf Details und dann auf Hinzufügen.

localized image

Secure Hub bietet Benutzern ebenfalls verschiedene Wege, um Hilfe zu erhalten. Auf Tablets werden durch Antippen des Fragezeichens oben rechts die Hilfeoptionen aufgerufen. Auf Telefonen tippen Benutzer oben links auf das Symbol für Einstellungen und dann auf Hilfe.

localized image

Ihre IT-Abteilung: Die Telefonnummer und E-Mail-Adresse des Helpdesks Ihrer Firma. Sie geben die Telefonnummern und E-Mail-Adressen in der XenMobile-Konsole ein. Klicken Sie oben rechts auf das Zahnradsymbol. Die Seite Einstellungen wird angezeigt. Klicken Sie auf Mehr und dann auf Clientsupport. Der Bildschirm zum Eingeben der Informationen wird angezeigt.

localized image

Problem melden: Eine Liste der Apps wird angezeigt. Benutzer wählen die App, die das Problem aufweist. Secure Hub erstellt automatisch Protokolle und öffnet dann in Secure Mail eine Nachricht, an die die Protokolle als ZIP-Datei angefügt sind. Benutzer fügen Betreffzeilen und Problembeschreibungen hinzu. Sie können auch einen Screenshot anfügen.

localized image

Feedback an Citrix senden: In Secure Mail wird eine Nachricht an den Citrix Support geöffnet. Der Benutzer kann Verbesserungsvorschläge für Secure Mail eingeben. Wenn Secure Mail nicht auf dem Gerät installiert ist, wird das native E-Mail-Programm geöffnet.

Benutzer können auch auf Citrix Support tippen. Damit wird das Citrix Knowledge Center geöffnet. Dort können sie nach Supportartikeln für alle Citrix Produkte suchen.

Unter Einstellungen werden Benutzern Informationen über ihre Konten und Geräte angezeigt.

localized image

Secure Hub bietet auch Geolocation- und Geotrackingrichtlinien, mit denen Sie bei Bedarf sicherstellen können, dass Geräte des Unternehmens einen bestimmten geografischen Bereich nicht verlassen. Weitere Informationen finden Sie unter Standortrichtlinien für Geräte. Darüber hinaus ermöglichen Ihnen die von Secure Hub automatisch gesammelten und analysierten Fehlerinformationen das Ermitteln der Fehlerursache. Diese Funktion wird von Crashlytics-Software unterstützt.