Abgeleitete Anmeldeinformationen

Abgeleitete Anmeldeinformationen bieten eine starke Authentifizierung für mobile Geräte. Sie werden von einer Smartcard abgeleitet und residieren auf einem Mobilgerät anstelle einer Karte. Bei der Smartcard handelt es sich um eine PIV-Karte (Personal Identity Verification).

Bei den abgeleiteten Anmeldeinformationen handelt es sich um ein Registrierungszertifikat, das die Benutzer-ID, z. B. den UPN, enthält. Die vom Anbieter erhaltenen Anmeldeinformationen speichert XenMobile in einem sicheren Tresor auf dem Gerät.

Abgeleitete Anmeldeinformationen können von XenMobile für die Registrierung und Authentifizierung von Geräten verwendet werden. Wenn XenMobile für abgeleitete Anmeldeinformationen konfiguriert ist, unterstützt es keine Registrierungseinladungen oder andere Registrierungsmodi. Citrix unterstützt die Verwendung von abgeleiteten Anmeldeinformationen bei der iOS-Registrierung.

Architektur

Für die Registrierung stellt XenMobile Server eine Verbindung mit den Komponenten in der nachfolgend dargestellten Reihenfolge her.

Darstellung der Architektur bei Registrierung mit abgeleiteten Anmeldeinformationen

  • Während der Geräteregistrierung ruft Secure Hub Zertifikate aus der App für abgeleitete Anmeldeinformationen ab.
  • Die App für abgeleitete Anmeldeinformationen kommuniziert bei der Registrierung mit dem Verwaltungsserver für Anmeldeinformationen.
  • Für den Verwaltungsserver für Anmeldeinformationen und einen PKI-Anbieter von Drittanbietern können Sie denselben oder verschiedene Server verwenden.
  • Der XenMobile Server stellt eine Verbindung mit dem Drittanbieter-PKI-Server zum Abrufen von Zertifikaten her.

Anforderungen

  • Laden Sie Citrix Secure Hub herunter und installieren Sie es.
  • Laden Sie die App gemäß Ihrer Lösung für abgeleitete Anmeldeinformationen herunter und konfigurieren Sie sie:

    • Entrust Datacard:
      • Laden Sie Citrix Derived Credential Manager herunter und installieren Sie die App auf den Geräten, bevor Sie diese bei XenMobile registrieren. Derived Credentials Manager ist die Identitätsanbieter-App für Citrix. Das Logo sieht folgendermaßen aus: Abbildung des Logos der App für abgeleitete Anmeldeinformationen

        Hinweis:

        Citrix Derived Credentials Manager unterstützt nur neue Registrierungen. Die Geräte müssen erneut registriert werden.

      • XenMobile Server Version 10.8 oder höher.
      • XenMobile Server, konfiguriert für den Enterprise-Modus.
    • Andere Lösungen für abgeleitete Anmeldeinformationen: Die meisten anderen Lösungen sind zwar wahrscheinlich mit XenMobile kompatibel, Sie sollten die Integration jedoch vor der Implementierung in der Produktion testen.
  • Muss das Stammzertifikat der Zertifizierungsstelle haben, die Zertifikate an den Anmeldeinformationsanbieterserver ausstellt. Durch diese Einrichtung kann XenMobile bei der Registrierung digital signierte Zertifikate akzeptieren. Informationen zum Hinzufügen der Zertifikate finden Sie unter Zertifikate und Authentifizierung.
    • Wenn die E-Mail-Domäne eines Benutzers sich von der LDAP-Domäne unterscheidet, schließen Sie die E-Mail-Domäne in die Einstellung Domänenalias unter Einstellungen > LDAP ein. Wenn die Domäne für E-Mail-Adressen beispielsweise citrix.com lautet und der Namen der LDAP-Domäne sample.com, legen Sie Domänenalias auf sample.com, citrix.com fest.
    • XenMobile unterstützt die Verwendung abgeleiteter Anmeldeinformationen auf gemeinsam genutzten Geräten nicht.
  • Benutzerdentitätszertifikate:
    • Der Benutzername im Feld “Subject alternative name” muss in der SubjectAltName-Erweiterung als otherName-, rfc822Name- oder dNSName-Feld formatiert sein. Andere Felder werden nicht unterstützt. Weitere Informationen zu alternativen Antragstellernamen finden Sie unter https://www.ietf.org/rfc/rfc5280.txt.
    • Die Angabe der Benutzeridentität im Feld “Subject” in Form von E-Mail-Adresse oder CN wird nicht unterstützt.
  • Citrix Gateway für Clientzertifikat-Authentifizierung oder Authentifizierung mit Zertifikat und Sicherheitstoken konfiguriert

Aktivieren abgeleiteter Anmeldeinformationen

Standardmäßig enthält die XenMobile-Konsole die Seite Einstellungen > Abgeleitete Anmeldeinformationen nicht.

Aktivieren der Schnittstelle für abgeleitete Anmeldeinformationen:

  • Gehen Sie zu der Seite Einstellungen > Servereigenschaften fügen Sie die Servereigenschaft derived.credentials.enable hinzu und legen Sie sie auf true fest.

Abbildung des Bildschirms zur Konfiguration von Servereigenschaften

Abgeleitete Anmeldeinformationen

Es wird davon ausgegangen, dass Sie eine funktionierende Konfiguration für den Anbieter für abgeleitete Anmeldeinformationen haben, den Sie in XenMobile integrieren möchten. Sie können XenMobile für die Kommunikation mit dem Server konfigurieren. Sie können außerdem ein ZS-Zertifikat für abgeleitete Anmeldeinformationen wählen, das Sie XenMobile bereits hinzugefügt haben oder Sie importieren das Zertifikat.

Sie können Online Certificate Status Protocol (OCSP) für dieses ZS-Zertifikat aktivieren. Weitere Informationen über OCSP finden Sie unter “Eigenverwaltete Zertifizierungsstellen” im Artikel PKI-Entitäten.

  1. Navigieren Sie in der XenMobile-Konsole zu Einstellungen > Abgeleitete Anmeldeinformationen für iOS.

  2. Wählen Sie unter Anbieter für abgeleitete Anmeldeinformationen wählen die Option Andere für Entrust Datacard. Geben Sie für App-URL (iOS) dcapp://mode=SecureHub ein.

    Abbildung des Bildschirms zur Konfiguration abgeleiteter Anmeldeinformationen

  3. Optionale Parameter: Einige Anbieter für abgeleitete Anmeldeinformationen erfordern evtl. die Angabe von Parametern für die Verbindung. Dabei kann es sich beispielsweise um die URL eines Backend-Servers handeln. Klicken Sie auf Hinzufügen, um Parameter anzugeben.

  4. Geben Sie ein Zertifikat für abgeleitete Anmeldeinformationen an: Wenn das Zertifikat bereits in XenMobile hochgeladen wurde, wählen Sie es unter Ausstellende ZS aus. Klicken Sie andernfalls auf Importieren, um ein Zertifikat hinzuzufügen. Das Dialogfeld Zertifikat importieren wird angezeigt.

  5. Klicken Sie im Dialogfeld Zertifikat importieren auf Durchsuchen, um zu dem Zertifikat zu navigieren. Klicken Sie dann auf Durchsuchen und navigieren Sie zu der Datei mit dem privaten Schlüssel.

    Abbildung des Bildschirms zur Konfiguration abgeleiteter Anmeldeinformationen

  6. Konfigurieren Sie die Einstellungen.
    • Für Citrix Derived Credential Manager lautet die Eingabe für Benutzer-ID-Feld Alternativer Antragstellername und für Benutzer-ID-Typ lautet sie userprincipalname.
    • Bringen Sie bei Verwendung eines anderen Anbieters diese Informationen beim Hersteller in Erfahrung.
  7. Optional können Sie einen OCSP-Responder für die Überprüfung von Zertifikatsperrlisten verwenden. Citrix empfiehlt, einen OCSP-Responder für Sicherheitszwecke zu verwenden. Standardmäßig ist die OCSP-Prüfung auf Aus festgelegt.

    • Wenn Sie OCSP für das Zertifizierungsstellenzertifikat aktivieren, wählen Sie eine Option für Benutzerdefinierte OCSP-URL verwenden. Standardmäßig extrahiert XenMobile die OCSP-URL aus dem Zertifikat (Option Zertifikatdefinition für Sperre verwenden). Zum Angeben einer Responder-URL klicken Sie auf Benutzerdef. verwenden und geben Sie die URL ein.
    • Responder-ZS: Wählen Sie unter Responder-ZS ein Zertifikat. Klicken Sie alternativ auf Importieren und steuern Sie über das Dialogfeld Zertifikat importieren das Zertifikat an.
  8. Klicken Sie auf Speichern. Das Dialogfeld Aktivieren von abgeleiteten Anmeldeinformationen wird angezeigt.

    Abbildung des Bildschirms zur Konfiguration abgeleiteter Anmeldeinformationen

    • Zum Aktivieren der Konfiguration für abgeleitete Anmeldeinformationen klicken Sie auf Speichern. Zur Verwendung abgeleiteter Anmeldeinformationen müssen Sie außerdem Registrierungseinstellungen konfigurieren.

    • Zum Aktivieren der Konfiguration für abgeleitete Anmeldeinformationen und zum direkten Aufrufen von Einstellungen > Registrierung klicken Sie auf Speichern und zur Registrierung gehen.

  9. Abgeleitete Anmeldeinformationen für die Registrierung aktivieren: Wählen Sie auf der Seite Einstellungen > Registrierung unter Erweiterte Registrierung die Option Abgeleitete Anmeldeinformationen (nur iOS) und klicken Sie auf Aktivieren.

    Abbildung des Bildschirms zur Registrierungskonfiguration

  10. Ein Bestätigungsdialogfeld wird angezeigt. Zum Aktivieren abgeleiteter Anmeldeinformationen aktivieren Sie das Kontrollkästchen und klicken Sie auf Aktivieren.

    Abbildung des Bildschirms zur Registrierungskonfiguration

  11. Zum Bearbeiten der Optionen für abgeleitete Anmeldeinformationen für die Registrierung wählen Sie auf der Seite Einstellungen > Registrierung die Option Abgeleitete Anmeldeinformationen (nur iOS) und klicken Sie auf Bearbeiten.

Nach dem Aktivieren abgeleiteter Anmeldeinformationen enthält der Geräteregistrierungsbericht in der Spalte Registrierungsmodus den Eintrag derived_credentials.

Wichtig:

Starten Sie XenMobile Server neu, nachdem Sie den Anbieter für abgeleitete Anmeldeinformationen hinzugefügt haben.

Konfigurieren des XenMobile-Servers für Secure Mail

Damit Secure Mail mit abgeleiteten Anmeldeinformationen funktioniert, fügen Sie die Clienteigenschaft “LDAP Attributes” hinzu. Weitere Informationen zum Hinzufügen einer Clienteigenschaft finden Sie unter Clienteigenschaften.

Verwenden Sie die folgenden Informationen für die Clienteigenschaft:

  • Schlüssel: SEND_LDAP_ATTRIBUTES
  • Wert: userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname},displayName=${user.displayName},mail=${user.mail}

Abbildung des Bildschirms zur Konfiguration von Clienteigenschaften

Aktivieren abgeleiteter Anmeldeinformationen mit Entrust Datacard auf iOS-Geräten

Hinweis:

Beachten Sie bei Verwendung der Entrust-Website Folgendes:

  • Stellen Sie sicher, dass im Internet Explorer-Browser Java aktiviert ist, wenn Sie die PIV-Karte programmieren.
  • Leeren Sie den Browsercache bei Änderung der PIV-Karte.
  1. Um neue Smart-Anmeldeinformationen anzufordern, verwenden Sie einen Desktopcomputer oder ein beliebiges Gerät zur Anmeldung bei der Entrust-Website. Melden Sie sich mit der Schaltfläche Smart Credential Login unten auf der Webseite an. Die Benutzer legen ihre Smartcard in einen an den Desktop angeschlossenen Smartcardleser ein.

    Abbildung der Anmeldeseite von Entrust

  2. Wählen Sie unter Self-Administration Actions die Option I’d like to enroll for a derived mobile smart credential und klicken Sie auf Done.

    Abbildung der Admin-Aktionen von Entrust

  3. Geben Sie auf der Seite Derived Mobile Smart Credential den Namen im Feld Identity Name ein. Der Benutzer kann einen eindeutigen Namen (Benutzernamen oder ID-Nummer) wählen.
  4. Wählen Sie im Menü der App für abgeleitete Anmeldeinformationen Citrix DCAPP und klicken Sie auf Ok.

    Abbildung abgeleiteter Smart-Anmeldeinformationen für mobile Benutzer

    Ein Bildschirm zur Aktivierung des QR-Codes wird angezeigt und der Benutzer aufgefordert, den Code mit seinem Mobilgerät zu scannen.

    Hinweis:

    Standardmäßig läuft der QR-Code nach drei Minuten ab.

  5. Scannen Sie den QR-Code mit Derived Credential Manager auf dem Gerät, um die Aktivierung durchzuführen.

    Abbildung der QR-Code-Aktivierung für abgeleitete Smart- Anmeldeinformationen

Geräteregistrierung

Wenn Sie die weiter oben beschriebene Einrichtung abgeschlossen haben, können die Benutzer ihre Geräte unter Verwendung abgeleiteter Anmeldeinformationen registrieren.

Hinweis:

Die Screenshots in diesem Abschnitt zeigen als Beispiel “Entrust Datacard”.

  1. Tippen Sie auf Secure Hub, um die App zu öffnen. Wenn Sie dazu aufgefordert werden, geben Sie den vollqualifizierten Domänennamen für den XenMobile-Server ein und klicken Sie auf Weiter.
  2. Klicken Sie auf Ja, Registrieren. Die Geräteregistrierung wird in Secure Hub gestartet.

    Abbildung der Registrierung bei Secure Hub

    Wenn XenMobile Server abgeleitete Anmeldeinformationen unterstützt, fordert Secure Hub den Benutzer auf, eine Citrix-PIN zu erstellen und zu bestätigen.

    Abbildung der PIN-Bestätigung in Secure Hub

    Nach der Bestätigung der Citrix PIN wird der Begrüßungsbildschirm der App für abgeleitete Anmeldeinformationen angezeigt. Folgen Sie den Anweisungen zum Aktivieren der Smartcard-Anmeldeinformationen.

  3. Tippen Sie auf Scan code. Die Mobiltelefonkamera wird aktiviert.

    Abbildung des Begrüßungsbildschirms

    Hinweis:

    Um den QR-Code zu scannen, stellen Sie sicher, dass die Kamera und das Mikrofon aktiviert sind und über die erforderlichen Zugriffsberechtigungen verfügen.

  4. Scannen Sie in der App für abgeleitete Anmeldeinformationen den QR-Code, der bei früheren Schritten erstellt wurde.

    Abbildung: Scannen des QR-Codes

  5. Nach dem Scannen des QR-Codes wird auf dem Bildschirm Import New Certificate ein Dialogfeld angezeigt. Geben Sie hier das Kennwort ein und klicken Sie auf OK.

    Abbildung des Zertifikatkennworts

    Der Bildschirm Import New Certificate wird mit automatisch aufgefüllten Feldern angezeigt.

    Abbildung des neuen Zertifikats

  6. Nachdem die Zertifikate erfolgreich hinzugefügt wurden, klicken Sie im Bildschirm Derived Credentials auf Continue to Secure Hub.

    Abbildung: Starten der Registrierung

  7. Geben Sie in Secure Hub eine neue PIN ein, wenn Sie dazu aufgefordert werden.

    Nach der Authentifizierung der PIN lädt Secure Hub die Zertifikate herunter. Folgen Sie den Anweisungen zum Abschließen der Registrierung.

Anzeigen von Geräteinformationen in der XenMobile-Konsole

  • Gehen Sie zu Verwalten > Geräte und wählen Sie ein Gerät zum Anzeigen eines Befehlsfelds aus. Klicken Sie auf Mehr anzeigen.
  • Gehen Sie zu Analysieren > Dashboard.