Abgeleitete Anmeldeinformationen für die Registrierung von iOS-Geräten

Abgeleitete Anmeldeinformationen bieten eine starke Authentifizierung für mobile Geräte. Sie werden von einer Smartcard abgeleitet und residieren auf einem Mobilgerät anstelle einer Karte. Bei der Smartcard handelt es sich um eine PIV-Karte (Personal Identity Verification).

Bei den abgeleiteten Anmeldeinformationen handelt es sich um ein Registrierungszertifikat, das die Benutzer-ID, z. B. den UPN, enthält. Die vom Anbieter erhaltenen Anmeldeinformationen speichert XenMobile in einem sicheren Tresor auf dem Gerät.

Abgeleitete Anmeldeinformationen können von XenMobile für die Registrierung und Authentifizierung von iOS-Geräten verwendet werden. Wenn XenMobile für abgeleitete Anmeldeinformationen konfiguriert ist, unterstützt es keine Registrierungseinladungen oder andere Registrierungsmodi für iOS-Geräte. Citrix empfiehlt, dass keine Android-Geräte auf Servern zu registrieren, die für abgeleitete Anmeldeinformationen eingerichtet sind.

Anforderungen

  • Eine der folgenden Lösungen für abgeleitete Anmeldeinformationen:
    • Intersede ab Version 3.14. Informationen zu den Anforderungen für Intercede finden Sie unter https://www.intercede.com/solutions-derived-credentials. Citrix hat die Unterstützung von Intercede durch XenMobile validiert. Der App-Name im App-Store von Apple lautet MyID for Citrix.

      Die Benutzer müssen MyID for Citrix auf ihren Geräten installieren bevor sie sie bei XenMobile registrieren.

    • Weitere Lösungen für abgeleitete Anmeldeinformationen

      Die meisten anderen Lösungen sind zwar wahrscheinlich mit XenMobile kompatibel, Sie sollten die Integration jedoch vor der Implementierung in der Produktion testen.

  • XenMobile Server 10.6 (Mindestversion)
    • Für Enterprise-Modus (XME) konfiguriert
    • Muss das Stammzertifikat der Zertifizierungsstelle haben, die Zertifikate an den Anmeldeinformationsanbieterserver ausstellt. Durch diese Einrichtung kann XenMobile bei der Registrierung digital signierte Zertifikate akzeptieren. Informationen zum Hinzufügen der Zertifikate finden Sie unter Zertifikate und Authentifizierung.
    • Wenn die E-Mail-Domäne eines Benutzers sich von der LDAP-Domäne unterscheidet, schließen Sie die E-Mail-Domäne in die Einstellung Domänenalias unter Einstellungen > LDAP ein. Wenn die Domäne für E-Mail-Adressen beispielsweise myID.com lautet und der Namen der LDAP-Domäne sample.com, legen Sie Domänenalias auf sample.com, myID.com fest.
    • XenMobile unterstützt die Verwendung abgeleiteter Anmeldeinformationen auf gemeinsam genutzten Geräten nicht.
  • Benutzerdentitätszertifikate:
    • Der Benutzername im Feld “Subject alternative name” muss in der SubjectAltName-Erweiterung als otherName-, rfc822Name- oder dNSName-Feld formatiert sein. Andere Felder werden nicht unterstützt. Weitere Informationen zu alternativen Antragstellernamen finden Sie unter https://www.ietf.org/rfc/rfc5280.txt.
    • Die Angabe der Benutzeridentität im Feld “Subject” in Form von E-Mail-Adresse oder CN wird nicht unterstützt.
  • NetScaler Gateway für Clientzertifikat-Authentifizierung oder Authentifizierung mit Zertifikat und Sicherheitstoken konfiguriert

    Informationen zur PKI-Konfiguration finden Sie unter PKI-Entitäten.

  • Secure Hub 10.8.15 (Mindestversion)
  • Secure Mail 10.8.20 (Mindestversion)
    • Verwenden Sie das gleiche Developer-Zertifikat zum Signieren aller Apps im Apple-App-Store.

Architektur

Für die Registrierung stellt XenMobile Server eine Verbindung mit den weiter oben unter “Anforderungen” beschriebenen Komponenten in der nachfolgend dargestellten Reihenfolge her.

Darstellung der Architektur bei Registrierung mit abgeleiteten Anmeldeinformationen

  • Während der Geräteregistrierung ruft Secure Hub Zertifikate aus der App für abgeleitete Anmeldeinformationen ab.
  • Die App für abgeleitete Anmeldeinformationen kommuniziert bei der Registrierung mit dem Verwaltungsserver für Anmeldeinformationen.
  • Für den Verwaltungsserver für Anmeldeinformationen und einen PKI-Anbieter von Drittanbietern können Sie denselben oder verschiedene Server verwenden.
  • Der XenMobile Server stellt eine Verbindung mit dem Drittanbieter-PKI-Server zum Abrufen von Zertifikaten her.

Nach der Registrierung stellen die Komponenten die nachfolgend dargestellten Verbindungen her.

Darstellung der Architektur nach der Registrierung mit abgeleiteten Anmeldeinformationen

In den folgenden Abschnitten wird beschrieben, wie ein Anbieter für abgeleitete Anmeldeinformationen in XenMobile konfiguriert wird, wie abgeleitete Anmeldeinformationen für die Registrierung aktiviert werden und wie Geräte, die abgeleitete Anmeldeinformationen verwenden, verwaltet werden.

Aktivieren abgeleiteter Anmeldeinformationen

Standardmäßig enthält die XenMobile-Konsole die Seite Einstellungen > Abgeleitete Anmeldeinformationen nicht. Zum Aktivieren der Seite für abgeleitete Anmeldeinformationen fügen Sie auf der Seite Einstellungen > Servereigenschaften die Servereigenschaft derived.credentials.enable hinzu und legen Sie sie auf true fest.

Abbildung des Bildschirms zur Konfiguration von Servereigenschaften

Abgeleitete Anmeldeinformationen

Bei diesen Anweisungen wird davon ausgegangen, dass Sie eine funktionierende Konfiguration für den Anbieter für abgeleitete Anmeldeinformationen haben, den Sie in XenMobile integrieren möchten. Sie können XenMobile dann für die Kommunikation mit dem Server konfigurieren. Sie wählen außerdem ein ZS-Zertifikat für abgeleitete Anmeldeinformationen, das Sie XenMobile bereits hinzugefügt haben oder Sie importieren das Zertifikat.

Sie können Online Certificate Status Protocol (OCSP) für dieses ZS-Zertifikat aktivieren. Weitere Informationen über OCSP finden Sie unter “Eigenverwaltete Zertifizierungsstellen” im Artikel PKI-Entitäten.

  1. Navigieren Sie in der XenMobile-Konsole zu Einstellungen > Abgeleitete Anmeldeinformationen für iOS.

    Abbildung des Bildschirms zur Konfiguration abgeleiteter Anmeldeinformationen

  2. Legen Sie unter Anbieter Folgendes fest:

    • Anbieter für abgeleitete Anmeldeinformationen wählen. Citrix hat überprüft, dass XenMobile Intercede unterstützt. Wenn Sie für den Anbieter Anderer wählen, testen Sie die Integration, bevor Sie den Server in der Produktion einsetzen.

    • App-URL (iOS): Wenn Sie Intercede als Anbieter wählen, wird das Feld App-URL von XenMobile automatisch ausgefüllt. Bei Auswahl von Andere bringen Sie die App-URL Ihres Anbieters für abgeleitete Anmeldeinformationen in Erfahrung.

      Wenn ein Gerät den Anbieter nicht kontaktieren kann, überprüfen Sie die App-URL beim Anbieter. Sie müssen sie u. U. ändern.

    • Optionale Parameter: Einige Anbieter für abgeleitete Anmeldeinformationen erfordern evtl. die Angabe von Parametern für die Verbindung. Dabei kann es sich beispielsweise um die URL eines Backend-Servers handeln. Klicken Sie auf Hinzufügen, um Parameter anzugeben.

  3. Geben Sie ein Zertifikat für abgeleitete Anmeldeinformationen an: Wenn das Zertifikat bereits in XenMobile hochgeladen wurde, wählen Sie es unter Ausstellende ZS aus. Klicken Sie andernfalls auf Importieren, um ein Zertifikat hinzuzufügen. Das Dialogfeld Zertifikat importieren wird angezeigt.

  4. Klicken Sie im Dialogfeld Zertifikat importieren auf Durchsuchen, um zu dem Zertifikat zu navigieren. Klicken Sie dann auf Durchsuchen und navigieren Sie zu der Datei mit dem privaten Schlüssel.

    Abbildung des Bildschirms zur Konfiguration abgeleiteter Anmeldeinformationen

  5. Bei Auswahl Intercede als der Anbieter werden die Felder Benutzer-ID-Feld und Benutzer-ID-Typ automatisch ausgefüllt. Für Intercede lautet die Eingabe für Benutzer-ID-Feld Alternativer Antragstellername und für Benutzer-ID-Typ lautet sie userprincipalname. Bringen Sie bei Verwendung eines anderen Anbieters diese Informationen beim Hersteller in Erfahrung und konfigurieren Sie die Einstellungen entsprechend.

  6. Optional können Sie einen OCSP-Responder für die Überprüfung von Zertifikatsperrlisten verwenden. Standardmäßig ist die OSP-Prüfung deaktiviert. Zum Aktivieren der OCSP-Unterstützung für das ZS-Zertifikat gehen Sie folgendermaßen vor:

    • Legen Sie OCSP-Prüfung auf EIN fest.

    Abbildung des Bildschirms zur Konfiguration abgeleiteter Anmeldeinformationen

    • Wählen Sie eine Option für Benutzerdefinierte OCSP-URL verwenden. Standardmäßig extrahiert XenMobile die OCSP-URL aus dem Zertifikat (Option Zertifikatdefinition für Sperre verwenden). Zum Angeben einer Responder-URL klicken Sie auf Benutzerdef. verwenden und geben Sie die URL ein.
    • Responder-ZS: Wählen Sie unter Responder-ZS ein Zertifikat. Klicken Sie alternativ auf Importieren und steuern Sie über das Dialogfeld Zertifikat importieren das Zertifikat an.
  7. Klicken Sie auf Speichern. Das Dialogfeld Abgeleitete Anmeldeinformationen wird angezeigt.

    Abbildung des Bildschirms zur Konfiguration abgeleiteter Anmeldeinformationen

    • Zum Aktivieren der Konfiguration für abgeleitete Anmeldeinformationen klicken Sie auf Speichern. Zur Verwendung abgeleiteter Anmeldeinformationen müssen Sie außerdem Registrierungseinstellungen konfigurieren.

    • Zum Aktivieren der Konfiguration für abgeleitete Anmeldeinformationen und zum direkten Aufrufen von Einstellungen > Registrierung klicken Sie auf Speichern und zur Registrierung gehen.

  8. Abgeleitete Anmeldeinformationen für die Registrierung aktivieren: Wählen Sie auf der Seite Einstellungen > Registrierung unter Erweiterte Registrierung die Option Abgeleitete Anmeldeinformationen (nur iOS) und klicken Sie auf Aktivieren.

    Abbildung des Bildschirms zur Registrierungskonfiguration

  9. Ein Bestätigungsdialogfeld wird angezeigt. Zum Aktivieren abgeleiteter Anmeldeinformationen aktivieren Sie das Kontrollkästchen und klicken Sie auf Aktivieren.

    Abbildung des Bildschirms zur Registrierungskonfiguration

  10. Zum Bearbeiten der Optionen für abgeleitete Anmeldeinformationen für die Registrierung wählen Sie auf der Seite Einstellungen > Registrierung die Option Abgeleitete Anmeldeinformationen (nur iOS) und klicken Sie auf Bearbeiten.

Nach dem Aktivieren abgeleiteter Anmeldeinformationen enthält der Geräteregistrierungsbericht in der Spalte Registrierungsmodus den Eintrag derived_credentials.

Informationen zu den Schritten bei der Registrierung mit abgeleiteten Anmeldeinformationen finden Sie unter iOS-Geräte mit abgeleiteten Anmeldeinformationen.

Wichtig:

Nach Durchführung dieser Schritte müssen Sie möglicherweise den XenMobile-Server neu starten.

Konfigurieren des XenMobile-Servers für Secure Mail

Damit Secure Mail ordnungsgemäß mit abgeleiteten Anmeldeinformationen funktioniert, fügen Sie die Clienteigenschaft “LDAP Attributes” hinzu.

Folgen Sie den Anweisungen zum Hinzufügen einer Clienteigenschaft im Artikel Clienteigenschaften. Verwenden Sie die folgenden Informationen:

  • Schlüssel: SEND_LDAP_ATTRIBUTES
  • Wert: userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname},displayName=${user.displayName},mail=${user.mail}

Abbildung des Bildschirms zur Konfiguration von Clienteigenschaften

Hinweis:

Ein Beispiel für die Registrierung mit abgeleiteten Anmeldeinformationen finden Sie unter Registrieren von Geräten mit abgeleiteten Anmeldeinformationen.

Abgeleitete Anmeldeinformationen für die Registrierung von iOS-Geräten