Product Documentation

Szenarios für Authentifizierungsaufforderungen

In verschiedenen Szenarios werden Benutzer zur Authentifizierung bei XenMobile durch Eingabe ihrer Anmeldeinformationen auf ihrem Gerät aufgefordert.

Die Szenarios hängen von den folgenden Faktoren ab:

  • MDX-App-Richtlinie und Konfiguration der Clienteigenschaft in den Einstellungen der XenMobile-Konsole.
  • Ob die Authentifizierung offline oder online erfolgen muss (Netzwerkverbindung mit XenMobile erforderlich).

Auch die Art der Anmeldeinformationen die Benutzer eingeben ‒ Active Directory-Kennwort, Citrix PIN oder Passcode, Einmalkennwort, Authentifizierung per Fingerabdruck (in iOS Touch ID genannt) ‒, hängen von Typ und Häufigkeit der benötigten Authentifizierung ab.

Nachfolgend werden zunächst die Szenarios vorgestellt, die zu einer Authentifizierungsaufforderung führen.

  • Neustart des Geräts: Wenn Benutzer ihr Gerät neu starten, müssen sie sich neu bei Secure Hub authentifizieren.

  • Offline/Inaktivität (Timeout): Wenn die MDX-Richtlinie “App-Passcode” aktiviert ist (was standardmäßig der Fall ist), wird die XenMobile-Clienteigenschaft “Inactivity Timer” relevant. Der Inaktivitätstimer legt die Zeitdauer fest, die ohne Benutzeraktivität an einer der Apps, die den sicheren Container verwenden, verstreichen darf.

Wenn der Inaktivitätstimer abläuft, muss sich der Benutzer bei dem sicheren Container auf dem Gerät neu authentifizieren. Wenn ein Benutzer beispielsweise sein Gerät unbeaufsichtigt lässt, kann mit dem Gerät nach Ablauf des Inaktivitätstimer nicht von anderen Personen auf vertrauliche Daten im Container zugegriffen werden. Die Clienteigenschaft “Inactivity Timer” wird in der XenMobile-Konsole festgelegt. Der Standardwert ist 15 Minuten. Die Kombination aus App-Passcode = Ein und der Clienteigenschaft “Inactivity Timer” ist wahrscheinlich das häufigste Szenario für Authentifizierungsaufforderungen.

  • Abmelden von Secure Hub: Wenn Benutzer sich von Secure Hub abmelden, müssen sie sich beim nächsten Zugriff auf Secure Hub oder eine MDX-App neu authentifizieren, wenn gemäß MDX-Passcode-Richtlinie und Status des Inaktivitätstimers ein Passcode erforderlich ist.

  • Maximale Offlinezeit: Dieses Szenario ist App-spezifisch, da es über MDX-Richtlinien für jede App gesteuert wird. Die MDX-Richtlinie “Maximale Offlinezeit” hat eine Standardeinstellung von 3 Tagen. Wenn der zulässige Zeitraum abläuft, den eine App ohne Onlineauthentifizierung bei Secure Hub ausgeführt werden darf, wird ein Check-in beim XenMobile-Server erforderlich, um App-Anspruch zu bestätigen und die Richtlinien zu aktualisieren. Bei diesem Check-in löst die App bei Secure Hub die Aufforderung zur Onlineauthentifizierung aus. Der Benutzer muss sich neu authentifizieren, bevor er Zugriff auf die MDX-App erhält.

Zwischen den MDX-Richtlinien “Maximale Offlinezeit” und “Aktives Abfrageintervall” besteht folgende Beziehung:

  • Das aktive Abfrageintervall ist der Zeitraum, während dessen eine App beim XenMobile-Server zum Ausführen von Sicherheitsaktionen, wie z. B. App sperren und löschen, eincheckt. Außerdem prüft die App zu diesem Zeitpunkt auf aktualisierte App-Richtlinien.
  • Nach einer erfolgreichen Prüfung auf Richtlinien gemäß dem aktiven Abfrageintervall wird der Timer “Maximale Offlinezeit” zurückgesetzt.

Beide Check-in-Vorgänge beim XenMobile-Server (für “Aktives Abfrageintervall” und “Maximale Offlinezeit”) erfordern ein gültiges NetScaler Gateway-Token auf dem Gerät. Wenn das Gerät ein gültiges NetScaler Gateway-Token hat, ruft die App ohne Unterbrechung für den Benutzer neue Richtlinien von XenMobile ab. Wenn die App kein NetScaler Gateway-Token hat, erfolgt ein Wechsel zu Secure Hub, wo eine Aufforderung zur Authentifizierung bei Secure Hub angezeigt wird.

Auf Android-Geräten werden Secure Hub-Aktivitätsseiten direkt über der aktuellen App geöffnet. Auf iOS-Geräten muss Secure Hub stattdessen in den Vordergrund treten, wodurch die aktuelle App vorübergehend verdeckt wird.

Nach der Eingabe von Anmeldeinformationen durch die Benutzer wechselt Secure Hub zurück zur ursprünglichen App. In diesem Fall, wenn Sie zwischengespeicherte Active Directory-Anmeldeinformationen zulassen oder ein Clientzertifikat konfiguriert haben, können Benutzer eine PIN, ein Kennwort oder die Authentifizierung per Fingerabdruck verwenden. Ist dies nicht der Fall, müssen die Benutzer ihre vollständigen Active Directory-Anmeldeinformationen eingeben.

Das NetScaler-Token kann aufgrund einer Inaktivität der NetScaler Gateway-Sitzung oder einer erzwungenen Sitzungstimeoutrichtlinie (siehe nachfolgende Liste von NetScaler Gateway-Richtlinien) ungültig werden. Benutzer können die App jedoch weiter verwenden, wenn sie sich wieder bei Secure Hub anmelden.

  • NetScaler Gateway-Sitzungsrichtlinien: Zwei NetScaler Gateway-Richtlinien beeinflussen, wann Benutzer zur Authentifizierung aufgefordert werden. In diesen Fällen erfolgt die Authentifizierung zum Erstellen einer Onlinesitzung mit NetScaler zur Herstellung einer Verbindung mit dem XenMobile-Server.

    • Session time-out: Die NetScaler-Sitzung für XenMobile wird getrennt, wenn während eines vorgegebenen Zeitraums keine Netzwerkaktivität stattfindet. Der Standardwert ist 30 Minuten. Wenn Sie den NetScaler Gateway-Assistenten verwenden, um die Richtlinie zu konfigurieren, ist der Standardwert jedoch 1440 Minuten. Die Benutzer werden zur Authentifizierung für die Verbindung mit dem Unternehmensnetzwerk aufgefordert.
    • Forced time-out: Wird diese Richtlinie aktiviert, dann werden NetScaler-Sitzungen mit XenMobile getrennt, wenn der festgelegte Zeitraum abläuft. Durch das erzwungene Timeout wird eine erneute Authentifizierung nach dem festgelegten Zeitraum obligatorisch. Die Benutzer werden bei der nächsten Verwendung zur Authentifizierung für die Verbindung mit dem Unternehmensnetzwerk aufgefordert. Der Standardwert ist Aus. Wenn Sie den NetScaler Gateway-Assistenten verwenden, um die Richtlinie zu konfigurieren, ist der Standardwert jedoch 1440 Minuten.

Arten von Anmeldeinformationen

In den Abschnitten oben wurde beschrieben, wann die Benutzer zur Authentifizierung aufgefordert werden. In diesem Abschnitt wird erläutert, welche Art von Anmeldeinformationen sie eingeben müssen. Es sind verschiedene Authentifizierungen erforderlich, um Zugriff auf verschlüsselte Daten auf einem Gerät zu erhalten. Beim ersten Entsperren eines Geräts wird dessen primärer Container entsperrt. Wird dieser anschließend wieder gesperrt, muss für den erneuten Zugriff ein sekundärer Container entsperrt werden.

Hinweis:

Der Ausdruck verwaltete App bezieht sich in diesem Artikel auf Apps, die mit dem MDX Toolkit umschlossen wurden und für die die MDX-Richtlinie “App-Passcode” standardmäßig aktiviert ist und die Clienteigenschaft des Inaktivitätstimers richtig genutzt wird.

Die Art der Anmeldeinformationen hängen von folgenden Bedingungen ab:

  • Entsperren des primären Containers: Active Directory-Kennwort, Citrix PIN oder -Passcode, Einmalkennwort, Touch-ID oder Fingerabdruck-ID sind erforderlich, um den primären Container zu entsperren.
    • Unter iOS, wenn Benutzer Secure Hub oder eine verwaltete App zum ersten Mal nach der Installation auf dem Gerät öffnen
    • Unter iOS, wenn Benutzer das Gerät neu starten und dann Secure Hub öffnen
    • Unter Android, wenn Benutzer eine verwaltete App öffnen und Secure Hub nicht ausgeführt wird
    • Unter Android, wenn Benutzer Secure Hub neu starten (egal aus welchem Grund, einschließlich Geräteneustarts)
  • Entsperren des sekundären Containers: Authentifizierung per Fingerabdruck (sofern konfiguriert), Citrix PIN oder Passcode oder Active Directory-Anmeldeinformationen sind zum Entsperren des sekundären Containers erforderlich.
    • Wenn Benutzer eine verwaltete App nach Ablaufen des Inaktivitätstimers öffnen
    • Wenn Benutzer sich von Secure Hub abmelden und anschließend eine verwaltete App öffnen

Unter folgenden Bedingungen sind Active Directory-Anmeldeinformationen zum Entsperren beider Container erforderlich:

  • Wenn Benutzer den Passcode ändern, der ihrem Unternehmenskonto zugeordnet ist.
  • Wenn Sie in den Clienteigenschaften in der XenMobile-Konsole die Citrix PIN nicht aktiviert haben: ENABLE_PASSCODE_AUTH und ENABLE_PASSWORD_CACHING.
  • Wenn die NetScaler Gateway-Sitzung endet. Dies kann in folgenden Situationen geschehen: Ablauf des Timers der Richtlinie “Session time-out” oder “Forced time-out”, wenn auf dem Gerät keine Anmeldeinformationen zwischengespeichert werden oder das Gerät kein Clientzertifikat hat.

Ist die Authentifizierung per Fingerabdruck aktiviert, können Benutzer können sich per Fingerabdruck anmelden, wenn Offlineauthentifizierung aufgrund von Inaktivität in der App erforderlich ist. Benutzer müssen immer noch eine PIN eingeben, wenn sie sich zum ersten Mal bei Secure Hub anmelden und wenn sie das Gerät neu starten. Authentifizierung per Fingerabdruck wird für iOS 9- und iOS 10.3-Geräte und einige Android-Geräte unterstützt. Informationen zum Aktivieren der Authentifizierung per Fingerabdruck finden Sie in der Einstellung ENABLE_TOUCH_ID_AUTH in den Clienteigenschaften.

Im folgenden Flussdiagramm ist der Entscheidungsfluss dargestellt, durch den bestimmt wird, welche Anmeldeinformationen ein Benutzer für die Authentifizierung eingeben muss.

Abbildung des Flussdiagramms für die Benutzeranmeldung

Secure Hub-Bildschirmwechsel

Im Zusammenhang mit der Authentifizierung ist auch der Wechsel der Anzeige von einer App zu Secure Hub und zurück zu bedenken. Bei dem Wechsel wird eine Meldung angezeigt, die der Benutzer bestätigen muss. Eine Authentifizierung ist nicht erforderlich. Die Situation tritt nach dem Check-in beim XenMobile-Server auf, der gemäß der MDX-Richtlinien “Aktives Abfrageintervall” und “Maximale Offlinezeit” erfolgt, wenn XenMobile aktualisierte Richtlinien erkennt, die dem Gerät per Push über Secure Hub bereitgestellt werden müssen.

Szenarios für Authentifizierungsaufforderungen