Product Documentation

Authentifizierung

Bei einer XenMobile-Bereitstellung sind bei der Konfiguration der Authentifizierung verschiedene Faktoren zu berücksichtigen. Diese werden in diesem Abschnitt eingehend erläutert und es wird insbesondere auf Folgendes eingegangen:

  • Die wichtigsten MDX-Richtlinien, XenMobile-Clienteigenschaften und NetScaler Gateway-Einstellungen, die mit der Authentifizierung verbunden sind.
  • Die Interaktion dieser Richtlinien, Clienteigenschaften und Einstellungen miteinander.
  • Die Vor- und Nachteile jeder Auswahl.

Der Artikel enthält auch drei empfohlene Konfigurationsbeispiele, mit denen die Sicherheit erhöht werden kann.

Im Allgemeinen geht eine verstärkte Sicherheit zu Lasten der Benutzererfahrung, da Benutzer sich häufiger authentifizieren müssen. Wie Sie hier einen Ausgleich schaffen, hängt ab von den Anforderungen und Prioritäten Ihrer Organisation. Die drei empfohlenen Konfigurationen verdeutlichen das Zusammenspiel der verfügbaren Authentifizierungsmaßnahmen und zeigen, wie Sie Ihre eigene XenMobile-Umgebung am besten bereitstellen.

Authentifizierungsmodi

Onlineauthentifizierung: ermöglicht Benutzern den Zugriff auf das XenMobile-Netzwerk. Eine Internetverbindung ist hierfür erforderlich.

Offlineauthentifizierung: wird auf dem Gerät ausgeführt. Benutzer entsperren den Tresor und erhalten Offlinezugriff auf heruntergeladene E-Mails, zwischengespeicherte Websites, Notizen und andere Elemente.

Methoden der Authentifizierung

Einstufig

LDAP: Sie können in XenMobile eine Verbindung mit einem oder mehreren LDAP-kompatiblen Verzeichnissen, z. B. Active Directory, herstellen. Dies ist eine häufig verwendete Methode, um in Unternehmensumgebungen einen Single Sign-On (SSO) mit einmaliger Anmeldung bereitzustellen. Bei Authentifizierung mit Citrix PIN mit Active Directory-Kennwortzwischenspeicherung können Sie den Benutzerkomfort mit LDAP verbessern und gleichzeitig die Sicherheit durch Registrierung mit komplexem Kennwort, Kennwortablauf und Kontosperrung gewährleisten.

Weitere Informationen finden Sie unter Domäne oder Domäne plus STA.

Clientzertifikat: XenMobile ermöglicht die Integration mit branchenüblichen Zertifizierungsstellen zur Verwendung von Zertifikaten als einzige Methode für eine Online-Authentifizierung. XenMobile bietet dieses Zertifikat nach der Benutzerregistrierung, wofür entweder ein Einmalkennwort, eine Einladungs-URL oder die LDAP-Anmeldeinformationen erforderlich sind. Bei Verwendung eines Clientzertifikats als primäre Authentifizierungsmethode ist in Umgebungen, die nur ein Clientzertifikat verwenden, eine Citrix PIN erforderlich, um die Sicherheit des Gerätezertifikats zu gewährleisten.

XenMobile unterstützt Zertifikatsperrlisten nur für Drittanbieterzertifizierungsstellen. Wenn Sie eine Microsoft-Zertifizierungsstelle konfiguriert haben, wird in XenMobile zum Verwalten der Zertifikatsperre NetScaler verwendet. Bedenken Sie beim Konfigurieren der Clientzertifikatauthentifizierung, ob Sie die NetScaler-Einstellung für Zertifikatsperrlisten Enable CRL Auto Refresh konfigurieren müssen. Dadurch wird verhindert, dass Benutzer von Geräten im MAM-Only-Modus sich mit einem auf dem Gerät vorhandenen Zertifikat authentifizieren. XenMobile stellt ein neues Zertifikat aus, da die Generierung von Zertifikaten durch Benutzer nach Zertifikatsperre nicht unterbunden wird. Diese Einstellung erhöht die Sicherheit von PKI-Entitäten, wenn über die Zertifikatsperrliste auf abgelaufene PKI-Entitäten geprüft wird.

Bereitstellungsdiagramme für eine zertifikatbasierte Authentifizierung für Benutzer oder die Ausstellung von Gerätezertifikaten über die Zertifizierungsstelle (ZS) Ihres Unternehmens finden Sie unter Referenzarchitektur für on-premises Bereitstellungen.

Zweistufig

LDAP + Clientzertifikat: In der XenMobile-Umgebung bietet diese Konfiguration die beste Kombination aus Sicherheit und Benutzererfahrung, denn sie verbindet die besten SSO-Möglichkeiten mit der Sicherheit der zweistufigen Authentifizierung über NetScaler. Die Verwendung von LDAP und Clientzertifikat bietet Sicherheit durch etwas, das Benutzer wissen (ihr Active Directory-Kennwort) und etwas, das sie haben (Clientzertifikate auf ihrem Gerät). Secure Mail (und einige andere mobilen Produktivitätsapps) bieten eine intuitive Benutzererfahrung mit automatischer Konfiguration und Clientzertifikatauthentifizierung, bereitgestellt in einer ordnungsgemäß konfigurierten Exchange-Clientzugriffsserverumgebung. Die optimale Benutzerfreundlichkeit erreichen Sie, wenn Sie diese Option mit der Citrix PIN und der Active Directory-Kennwortzwischenspeicherung kombinieren.

LDAP + Token: Diese Konfiguration ermöglicht die Standardkonfiguration mit LDAP-Anmeldeinformationen und einem Einmalkennwort unter Verwendung des RADIUS-Protokolls. Die optimale Benutzerfreundlichkeit erreichen Sie, wenn Sie diese Option mit der Citrix PIN und der Active Directory-Kennwortzwischenspeicherung kombinieren.

Wichtige Richtlinien, Einstellungen und Clienteigenschaften für die Authentifizierung

Die folgenden Richtlinien, Einstellungen und Clienteigenschaften sind für die folgenden drei empfohlenen Konfigurationen von Bedeutung:

MDX-Richtlinien

App-Passcode: Bei der Einstellung Ein ist nach einem bestimmten Zeitraum der Inaktivität zum Starten bzw. Fortsetzen der App eine Citrix PIN oder ein Passcode erforderlich. Die Standardeinstellung ist Ein.

Sie konfigurieren den Inaktivitätstimer für alle Apps, indem Sie in der XenMobile-Konsole auf der Registerkarte Einstellungen unter Clienteigenschaften den Wert INACTIVITY_TIMER in Minuten festlegen. Der Standardwert ist 15 Minuten. Legen Sie den Wert auf 0 fest, um den Inaktivitätstimer zu deaktivieren, damit eine Eingabeaufforderung für PIN oder Passcode nur beim Start der App angezeigt wird.

Hinweis:

Wenn Sie für die Richtlinie “Verschlüsselungsschlüssel” den Wert “Sicherer Offlinezugriff” auswählen, wird diese Richtlinie automatisch aktiviert.

Onlinesitzung erforderlich: Bei der Einstellung Ein muss der Benutzer mit dem Unternehmensnetzwerk verbunden sein und eine aktive Sitzung haben, um auf die App auf dem Gerät zugreifen zu können. Bei Auswahl der Einstellung Aus ist für einen Zugriff auf die App auf dem Gerät keine aktive Sitzung erforderlich. Der Standardwert ist Aus.

Maximale Offlinezeit (Stunden): legt die maximale Zeit fest, die eine App ausgeführt werden kann, ohne dass der App-Anspruch und die Aktualisierungsrichtlinien von XenMobile neu bestätigt werden müssen. Wenn Sie die maximale Offlinezeit festlegen, ruft die App neue Richtlinien für MDX-Apps von XenMobile ab, ohne dass dies Benutzern Unterbrechungen verursacht, wenn Secure Hub für iOS einen gültigen NetScaler Gateway-Token hat. Wenn Secure Hub kein gültiges NetScaler-Token hat, müssen Benutzer sich über Secure Hub authentifizieren, damit App-Richtlinien aktualisiert werden. Das NetScaler-Token kann durch NetScaler Gateway-Sitzungsinaktivität oder eine erzwungene Sitzungstimeoutrichtlinie ungültig werden. Benutzer können die App jedoch weiter verwenden, wenn sie sich wieder bei Secure Hub anmelden.

Benutzer werden 30, 15 und 5 Minuten vor Ablauf dieser Zeit daran erinnert, sich anzumelden. Nach Ablauf der Zeit wird die App gesperrt, bis sich Benutzer anmelden. Der Standardwert ist 72 Stunden (3 Tage). Der Mindestzeitraum ist 1 Stunde.

Hinweis:

Beachten Sie, dass in einem Szenario, bei dem Benutzer häufig unterwegs sind und auch internationales Roaming verwenden, die Standardeinstellung von 72 Stunden (3 Tagen) zu kurz sein kann.

Ticketablauf für Hintergrunddienste: die Zeitspanne, die ein Netzwerkdienstticket im Hintergrund gültig bleibt. Wenn Secure Mail über NetScaler Gateway die Verbindung mit einem Exchange-Server herstellt, auf dem ActiveSync ausgeführt wird, gibt XenMobile ein Token aus, das Secure Mail für die Verbindung mit dem internen Exchange-Server verwendet. Diese Eigenschaft bestimmt, wie lange Secure Mail den Token verwenden kann, ohne einen neuen Token für die Authentifizierung und die Verbindung zum Exchange Server zu benötigen. Wenn das Zeitlimit abläuft, müssen Benutzer sich neu anmelden, damit ein neuer Token generiert wird. Die Standardeinstellung ist 168 Stunden (7 Tage). Nach Ablauf des Zeitlimits werden keine weiteren E-Mail-Benachrichtigungen gesendet.

Kulanzzeitraum bis Onlinesitzung erforderlich: legt fest, wie viele Minuten ein Benutzer die App offline verwenden kann, bevor die Richtlinie “Onlinesitzung erforderlich” die weitere Verwendung verhindert (bis die Onlinesitzung validiert ist). Der Standardwert ist 0 (kein Kulanzzeitraum).

Weitere Informationen zu den Authentifizierungsrichtlinien im MDX Toolkit finden Sie unter XenMobile MDX-Richtlinien für iOS-Apps und XenMobile MDX-Richtlinien für Android-Apps.

XenMobile-Clienteigenschaften

Hinweis:

Clienteigenschaften sind eine globale Einstellung und gelten für alle Geräte, die mit XenMobile verbunden sind.

Citrix PIN: Durch Aktivieren der Citrix PIN ermöglichen Sie Benutzern eine einfache Anmeldung. Mit der PIN müssen Benutzer andere Anmeldeinformationen, z. B. ihren Active Directory-Benutzernamen und ihr Kennwort, nicht wiederholt eingeben. Konfigurieren Sie die Citrix PIN als eigenständige Option zur Authentifizierung im Offlinemodus, oder kombinieren Sie die PIN mit der Active Directory-Kennwortzwischenspeicherung, um den Authentifizierungsprozess zu vereinfachen. Sie konfigurieren die Citrix PIN in der XenMobile-Konsole unter Einstellungen > Client > Clienteigenschaften.

Es folgt eine Zusammenfassung der wichtigsten Eigenschaften. Weitere Informationen finden Sie unter Clienteigenschaften.

ENABLE_PASSCODE_AUTH

Anzeigename: Enable Worx PIN Authentication

Über diesen Schlüssel können Sie die Citrix PIN-Funktion aktivieren. Ist die Citrix PIN oder der Citrix Passcode aktiviert, werden die Benutzer aufgefordert, eine PIN zur Verwendung anstelle des Active Directory- Kennworts zu erstellen. Aktivieren Sie diese Einstellung, wenn ENABLE_PASSWORD_CACHING aktiviert ist oder wenn XenMobile die Zertifikatauthentifizierung verwendet.

Mögliche Werte: true oder false

Standardwert: false

ENABLE_PASSWORD_CACHING

Anzeigename: Enable User Password Caching

Über diesen Schlüssel können Sie die lokale Zwischenspeicherung des Active Directory-Kennworts auf dem Mobilgerät zulassen. Wenn Sie diesen Schlüssel auf “true” setzen, werden die Benutzer aufgefordert, eine Citrix PIN oder einen Citrix Passcode festzulegen. Der Schlüssel ENABLE_PASSCODE_AUTH muss auf “true” festgelegt werden, wenn Sie diesen Schlüssel auf true festlegen.

Mögliche Werte: true oder false

Standardwert: false

PASSCODE_STRENGTH

Anzeigename: PIN Strength Requirement

Dieser Schlüssel definiert die Sicherheit der Citrix PIN bzw. des Citrix Passcodes. Wenn Sie diese Einstellung ändern, werden die Benutzer zum Festlegen einer neuen Citrix PIN bzw. eines neuen Citrix Passcodes aufgefordert, wenn sie sich das nächste Mal authentifizieren.

Mögliche Werte: Low, Medium und Strong

Standardwert: Medium

INACTIVITY_TIMER

Anzeigename: Inactivity Timer

Dieser Schlüssel definiert die Zeitdauer (in Minuten), die Geräte inaktiv sein dürfen, bevor Benutzer zur Eingabe von Citrix PIN bzw. Citrix Passcode aufgefordert werden, wenn sie auf eine App zugreifen möchten. Zum Aktivieren dieser Einstellung für eine MDX-App müssen Sie die Einstellung “App-Passcode” auf Ein festlegen. Wenn der App-Passcode auf Aus festgelegt ist, werden die Benutzer für eine vollständige Authentifizierung an Secure Hub umgeleitet. Wenn Sie diese Einstellung ändern, tritt der neue Wert erst in Kraft, wenn ein Benutzer das nächste Mal zur Authentifizierung aufgefordert wird. Der Standardwert ist 15 Minuten.

ENABLE_TOUCH_ID_AUTH

Anzeigename: Enable Touch ID Authentication

Ermöglicht die Verwendung des Fingerabdrucklesegeräts (nur iOS) zur Offlineauthentifizierung. Die Onlineauthentifizierung erfordert weiterhin die primäre Authentifizierungsmethode.

ENCRYPT_SECRETS_USING_PASSCODE

Anzeigename: Encrypt secrets using Passcode

Mit diesem Schlüssel können vertrauliche Daten auf Mobilgeräten in einem Geheimtresor statt in einem plattformbasierten systemeigenen Speicher (z. B. iOS-Schlüsselbund) gespeichert werden. Der Konfigurationsschlüssel ermöglicht eine starke Verschlüsselung von Schlüsselartefakten und erzeugt zudem Benutzerentropie (eine vom Benutzer generierte zufällige PIN, die nur dem Benutzer bekannt ist).

Mögliche Werte: true oder false

Standardwert: false

NetScaler-Einstellungen

Session time-out: Wenn Sie diese Einstellung aktivieren, wird die Sitzung getrennt, wenn NetScaler Gateway im angegebenen Zeitraum keine Netzwerkaktivität erkennt. Die Einstellung wird für Benutzer durchgesetzt, die eine Verbindung mit dem NetScaler Gateway Plug-in, Citrix Receiver, Secure Hub oder über einen Webbrowser herstellen. Der Standardwert ist 1440 Minuten. Wenn Sie diesen Wert auf Null setzen, wird die Einstellung deaktiviert.

Forced time-out: Mit dieser Einstellung trennt NetScaler Gateway die Sitzung nach Ablauf der Timeoutfrist, unabhängig von den aktuellen Aktivitäten des Benutzers. Benutzer haben keine Möglichkeit, diese Trennung nach Ablauf der Timeoutfrist zu vermeiden. Die Einstellung wird für Benutzer durchgesetzt, die eine Verbindung mit dem NetScaler Gateway Plug-in, Citrix Receiver, Secure Hub oder über einen Webbrowser herstellen. Bei Verwendung von STA, einem speziellen NetScaler-Modus in Secure Mail, wird die Einstellung “Forced Time-out” nicht auf Secure Mail-Sitzungen angewendet. Der Standardwert ist 1440 Minuten. Wenn Sie diesen Wert leer lassen, wird die Einstellung deaktiviert.

Weitere Informationen zu den Timeouteinstellungen in NetScaler Gateway finden Sie in der NetScaler Gateway-Dokumentation.

Weitere Informationen zu den Szenarios, bei denen Benutzer zur Authentifizierung bei XenMobile durch Eingabe der Anmeldeinformationen auf ihrem Gerät aufgefordert werden, finden Sie unter Szenarios für Authentifizierungsaufforderungen.

Standardkonfigurationseinstellungen

Dies sind die Standardeinstellungen, die vom NetScaler für XenMobile-Assistenten, dem MDX Toolkit und in der XenMobile-Konsole bereitgestellt werden.

Einstellung Ort der Einstellung Standardeinstellung
Session time-out NetScaler Gateway 1440 Minuten
Force time-out NetScaler Gateway 1440 Minuten
Maximale Offlinezeit MDX-Richtlinien 72 Stunden
Ticketablauf für Hintergrunddienste MDX-Richtlinien 168 Stunden (7 Tage)
Onlinesitzung erforderlich MDX-Richtlinien Aus
Kulanzzeitraum bis Onlinesitzung erforderlich MDX-Richtlinien 0
App-Passcode MDX-Richtlinien Ein
Encrypt secrets using passcode XenMobile-Clienteigenschaften false
Enable Citrix PIN Authentication XenMobile-Clienteigenschaften false
PIN Strength Requirement XenMobile-Clienteigenschaften Mittel
PIN Type XenMobile-Clienteigenschaften Numerisch
Enable User Password Caching XenMobile-Clienteigenschaften false
Inactivity Timer XenMobile-Clienteigenschaften 15
Enable Touch ID Authentication XenMobile-Clienteigenschaften false

Empfohlene Konfigurationen

Der folgende Abschnitt enthält Beispiele für drei XenMobile-Konfigurationen. Die Beispiele reichen von niedrigster Sicherheit und optimaler Benutzererfahrung bis hin zu höchster Sicherheit bei eingeschränktem Benutzerkomfort. Die Beispiele sind als Referenzpunkte gedacht, anhand derer Sie bestimmen können, wo Sie die eigene Konfiguration auf der Skala platzieren möchten. Beachten Sie, dass möglicherweise auch andere Einstellungen angepasst werden müssen, wenn Sie diese Einstellungen ändern. Beispielsweise sollte die maximale Offlinezeit stets niedriger sein als das Sitzungstimeout.

Höchste Sicherheit

Diese Konfiguration bietet die höchste Sicherheit, jedoch verbunden mit beträchtlichen Einschränkungen bei der Benutzerfreundlichkeit.

       
Einstellung Ort der Einstellung Empfohlene Einstellung Auswirkungen
Session time-out NetScaler Gateway 1440 Benutzer geben ihre Anmeldeinformationen in Secure Hub nur bei erforderlicher Onlineauthentifizierung ein – alle 24 Stunden.
Force time-out NetScaler Gateway 1440 Obligatorische Onlineauthentifizierung alle 24 Stunden. Aktivität verlängert nicht die Sitzungsdauer.
Maximale Offlinezeit MDX-Richtlinien 23 Richtlinienaktualisierung jeden Tag erforderlich.
Ticketablauf für Hintergrunddienste MDX-Richtlinien 72 Stunden Das STA-Timeout ermöglicht längere Sitzungen ohne Sitzungstoken von NetScaler Gateway. In Secure Mail verhindert ein STA-Timeout, das länger ist als das Sitzungstimeout, dass E-Mail-Benachrichtigungen ohne Aufforderung beendet werden, wenn Benutzer die App nicht vor Ablauf der Sitzung öffnen.
Onlinesitzung erforderlich MDX-Richtlinien Aus Gewährleistet eine gültige Netzwerkverbindung und NetScaler Gateway-Sitzung zur Verwendung von Apps.
Kulanzzeitraum bis Onlinesitzung erforderlich MDX-Richtlinien 0 Kein Kulanzzeitraum (bei aktivierter Option “Onlinesitzung erforderlich”).
App-Passcode MDX-Richtlinien Ein Passcode für Anwendung erforderlich.
Encrypt secrets using passcode XenMobile-Clienteigenschaften wahr Tresor wird durch einen von der Benutzerentropie abgeleiteten Schlüssel geschützt.
Enable Citrix PIN Authentication XenMobile-Clienteigenschaften wahr Citrix PIN zur vereinfachten Benutzerauthentifizierung aktivieren.
PIN Strength Requirement XenMobile-Clienteigenschaften Gut Hohe Anforderungen an die Kennwortkomplexität.
PIN Type XenMobile-Clienteigenschaften Alphanumerisch PIN ist eine alphanumerische Sequenz.
Enable Password Caching XenMobile-Clienteigenschaften false Das Active Directory-Kennwort wird nicht zwischengespeichert, und die Citrix PIN wird für Offlineauthentifizierungen verwendet.
Inactivity Timer XenMobile-Clienteigenschaften 15 Aufforderung zur Offlineauthentifizierung anzeigen, wenn Benutzer keine MDX-Apps oder Secure Hub im festgelegten Zeitraum verwendet.
Enable Touch ID Authentication XenMobile-Clienteigenschaften false Deaktiviert die Offlineauthentifizierung per Touch ID in iOS.

Höhere Sicherheit

Diese Konfiguration liegt im Mittelfeld und umfasst eine häufigere Authentifizierung von Benutzern (alle 3 Tage anstatt einmal pro Woche) und strengere Sicherheitsmaßnahmen. Die erhöhte Anzahl an Authentifizierungen führt häufiger zur Containersperre, was die Datensicherheit gewährleistet, wenn Geräte nicht verwendet werden.

       
Einstellung Ort der Einstellung Empfohlene Einstellung Auswirkungen
Session time-out NetScaler Gateway 4320 Benutzer geben ihre Anmeldeinformationen in Secure Hub nur bei erforderlicher Onlineauthentifizierung ein – alle 3 Tage.
Force time-out NetScaler Gateway Kein Wert Sitzungen werden bei Aktivität verlängert.
Maximale Offlinezeit MDX-Richtlinien 71 Erfordert alle 3 Tage eine Richtlinienaktualisierung. Die Differenz von einer Stunde ermöglicht die Aktualisierung vor dem Sitzungstimeout.
Ticketablauf für Hintergrunddienste MDX-Richtlinien 168 Stunden Das STA-Timeout ermöglicht längere Sitzungen ohne Sitzungstoken von NetScaler Gateway. In Secure Mail verhindert ein STA-Timeout, das länger ist als das Sitzungstimeout, dass E-Mail-Benachrichtigungen ohne Aufforderung beendet werden, wenn Benutzer die App nicht vor Ablauf der Sitzung öffnen.
Onlinesitzung erforderlich MDX-Richtlinien Aus Gewährleistet eine gültige Netzwerkverbindung und NetScaler Gateway-Sitzung zur Verwendung von Apps.
Kulanzzeitraum bis Onlinesitzung erforderlich MDX-Richtlinien 0 Kein Kulanzzeitraum (bei aktivierter Option “Onlinesitzung erforderlich”).
App-Passcode MDX-Richtlinien Ein Passcode für Anwendung erforderlich.
Encrypt secrets using passcode XenMobile-Clienteigenschaften false Keine Benutzerentropie zum Verschlüsseln des Tresors erforderlich.
Enable Citrix PIN Authentication XenMobile-Clienteigenschaften wahr Citrix PIN zur vereinfachten Benutzerauthentifizierung aktivieren.
PIN Strength Requirement XenMobile-Clienteigenschaften Mittel Erzwingt Kennwörter mittlerer Komplexität.
PIN Type XenMobile-Clienteigenschaften Numerisch PIN ist eine numerische Sequenz.
Enable Password Caching XenMobile-Clienteigenschaften wahr Die Benutzer-PIN speichert und schützt das Active Directory-Kennwort.
Inactivity Timer XenMobile-Clienteigenschaften 30 Aufforderung zur Offlineauthentifizierung anzeigen, wenn Benutzer keine MDX-Apps oder Secure Hub im festgelegten Zeitraum verwendet.
Enable Touch ID Authentication XenMobile-Clienteigenschaften wahr Aktiviert Touch ID für Anwendungsfälle mit Offlineauthentifizierung in iOS.

Hohe Sicherheit

Diese Konfiguration ist am benutzerfreundlichsten und bietet ein Mindestmaß an Sicherheit.

       
Einstellung Ort der Einstellung Empfohlene Einstellung Auswirkungen
Session time-out NetScaler Gateway 10080 Benutzer geben ihre Anmeldeinformationen in Secure Hub nur bei erforderlicher Onlineauthentifizierung ein – alle 7 Tage.
Force time-out NetScaler Gateway Kein Wert Sitzungen werden bei Aktivität verlängert.
Maximale Offlinezeit MDX-Richtlinien 167 Erfordert eine wöchentliche Richtlinienaktualisierung (alle 7 Tage). Die Differenz von einer Stunde ermöglicht die Aktualisierung vor dem Sitzungstimeout.
Ticketablauf für Hintergrunddienste MDX-Richtlinien 240 Das STA-Timeout ermöglicht längere Sitzungen ohne Sitzungstoken von NetScaler Gateway. In Secure Mail verhindert ein STA-Timeout, das länger ist als das Sitzungstimeout, dass E-Mail-Benachrichtigungen ohne Aufforderung beendet werden, wenn Benutzer die App nicht vor Ablauf der Sitzung öffnen.
Onlinesitzung erforderlich MDX-Richtlinien Aus Gewährleistet eine gültige Netzwerkverbindung und NetScaler Gateway-Sitzung zur Verwendung von Apps.
Kulanzzeitraum bis Onlinesitzung erforderlich MDX-Richtlinien 0 Kein Kulanzzeitraum (bei aktivierter Option “Onlinesitzung erforderlich”).
App-Passcode MDX-Richtlinien Ein Passcode für Anwendung erforderlich.
Encrypt secrets using passcode XenMobile-Clienteigenschaften false Keine Benutzerentropie zum Verschlüsseln des Tresors erforderlich.
Enable Citrix PIN Authentication XenMobile-Clienteigenschaften wahr Citrix PIN zur vereinfachten Benutzerauthentifizierung aktivieren.
PIN Strength Requirement XenMobile-Clienteigenschaften Niedrig Keine Anforderungen an die Kennwortkomplexität.
PIN Type XenMobile-Clienteigenschaften Numerisch PIN ist eine numerische Sequenz.
Enable Password Caching XenMobile-Clienteigenschaften wahr Die Benutzer-PIN speichert und schützt das Active Directory-Kennwort.
Inactivity Timer XenMobile-Clienteigenschaften 90 Aufforderung zur Offlineauthentifizierung anzeigen, wenn Benutzer keine MDX-Apps oder Secure Hub im festgelegten Zeitraum verwendet.
Enable Touch ID Authentication XenMobile-Clienteigenschaften wahr Aktiviert Touch ID für Anwendungsfälle mit Offlineauthentifizierung in iOS.

Verwenden der verstärkten Authentifizierung

Einige Apps erfordern unter Umständen eine erweiterte Authentifizierung (z. B. sekundäre Authentifizierungsfaktoren wie einen Token oder aggressive Sitzungstimeouts). Sie können diese Authentifizierungsmethode über eine MDX-Richtlinie steuern. Dieses Verfahren erfordert einen eigenen virtuellen Server (auf demselben oder einem separaten NetScaler-Gerät) zur Steuerung der Authentifizierungsmethoden.

Einstellung Ort der Einstellung Empfohlene Einstellung Auswirkungen
Alternatives NetScaler Gateway MDX-Richtlinien Erfordert den FQDN und Port des sekundären NetScaler-Geräts. Ermöglicht eine erweiterte Authentifizierung, die durch die Authentifizierungs- und Sitzungsrichtlinien des sekundären NetScaler-Geräts gesteuert wird.

Öffnet ein Benutzer eine App, die sich an der alternativen NetScaler Gateway-Instanz anmeldet, verwenden alle übrigen Apps diese NetScaler Gateway-Instanz zur Kommunikation mit dem internen Netzwerk. Die Sitzung wechselt nur dann zurück zur NetScaler Gateway-Instanz mit geringerer Sicherheit, wenn bei der NetScaler Gateway-Instanz mit erhöhter Sicherheit ein Sitzungstimeout auftritt.

Erforderliche Verwendung einer Onlinesitzung

Für bestimmte Anwendungen wie Secure Web möchten Sie eventuell sicherstellen, dass Benutzer eine App nur dann ausführen, wenn sie eine authentifizierte Sitzung verwenden und wenn das Gerät mit einem Netzwerk verbunden ist. Diese Richtlinie erzwingt diese Option und ermöglicht einen Kulanzzeitraum, damit Benutzer ihre Arbeit beenden können.

Einstellung Ort der Einstellung Empfohlene Einstellung Auswirkungen
Onlinesitzung erforderlich MDX-Richtlinien Ein Gewährleistet, dass das Gerät online ist und einen gültigen Authentifizierungstoken hat.
Kulanzzeitraum bis Onlinesitzung erforderlich MDX-Richtlinien 15 Gewährt einen Kulanzzeitraum von 15 Minuten, bevor der Benutzer die Apps nicht mehr verwenden kann.