Product Documentation

SSO und Proxy für MDX-Apps

21. Februar 2018

Durch die XenMobile-Integration mit NetScaler können Sie Benutzern Single Sign-On (SSO) für alle Backend-HTTP- und -HTTPS-Ressourcen bereitstellen. Je nach Ihren SSO-Authentifizierungsanforderungen können Sie zwei Arten der Benutzerverbindung für eine MDX-App konfigurieren:

  • Secure Browse (eine Variante des clientlosen VPNs)
  • Vollständiger VPN-Tunnel

Bietet NetScaler nicht die bestgeeignete SSO-Methode für Ihre Umgebung, können Sie eine MDX-App mit richtlinienbasiertem lokalem Kennwortcaching einrichten. In diesem Artikel werden die verschiedenen SSO- und Proxyoptionen erläutert, wobei der Schwerpunkt auf Secure Web liegt. Die Konzepte gelten für weitere MDX-Apps.

Das folgende Flussdiagramm stellt die Entscheidungsfindung bei der Wahl der SSO- und Benutzerverbindungen zusammen.

Diagramm zur Wahl der SSO- und Benutzerverbindungen

NetScaler-Authentifizierungsmethoden

Dieser Abschnitt enthält allgemeine Informationen zu den von NetScaler unterstützten Authentifizierungsmethoden.

SAML-Authentifizierung

Wenn Sie NetScaler für Security Assertion Markup Language (SAML) konfigurieren, können die Benutzer eine Verbindung mit Web-Apps herstellen, die SAML für Single Sign-On unterstützen. NetScaler Gateway unterstützt Single Sign-On per Identitätsanbieter (IdP) für SAML-Web-Apps.

Erforderliche Konfiguration:

  • Konfigurieren von SAML-SSO im NetScaler Traffic-Profil.
  • Konfigurieren des SAML-IdP für den angeforderten Dienst.

NTLM-Authentifizierung

Wenn SSO bei Web-Apps im Sitzungsprofil aktiviert ist, führt NetScaler die NTLM-Authentifizierung automatisch durch.

Erforderliche Konfiguration:

  • Aktivieren von SSO im NetScaler-Session- oder Traffic-Profil.

Kerberos-Identitätswechsel

XenMobile unterstützt Kerberos nur für Secure Web. Wenn Sie NetScaler für Kerberos-SSO konfigurieren, verwendet NetScaler einen Identitätswechsel, wenn ein Benutzerkennwort für NetScaler verfügbar ist. Das bedeutet, dass NetScaler die Benutzeranmeldeinformationen verwendet, um das für den Zugriff auf Dienste wie Secure Web erforderliche Ticket zu erhalten.

Erforderliche Konfiguration:

  • Konfigurieren der NetScaler-Sitzungsrichtlinie “Worx”, sodass sie den Kerberos-Bereich der Verbindung identifizieren kann.
  • Konfigurieren eines Kontos zur eingeschränkten Kerberos-Delegierung auf NetScaler. Konfigurieren Sie dieses Konto ohne Kennwort und binden Sie es an eine Traffic-Richtlinie im XenMobile-Gateway.
  • Einzelheiten zu dieser und weiteren Konfigurationen finden Sie im Citrix Blog unter WorxWeb and Kerberos Impersonation SSO.

Eingeschränkte Kerberos-Delegierung

XenMobile unterstützt Kerberos nur für Secure Web. Wenn Sie NetScaler für Kerberos-SSO konfigurieren, verwendet NetScaler die eingeschränkte Delegierung, wenn kein Benutzerkennwort für NetScaler verfügbar ist.

Bei der eingeschränkten Delegierung verwendet NetScaler ein spezifisches Administratorkonto für den Abruf von Tickets für Benutzer und Dienste.

Erforderliche Konfiguration:

  • Konfigurieren Sie ein Konto für die eingeschränkte Kerberos-Delegierung mit den erforderlichen Berechtigungen in Active Directory und ein weiteres auf NetScaler.
  • Aktivieren Sie SSO im NetScaler-Traffic-Profil.
  • Konfigurieren Sie die Backend-Website für die Kerberos-Authentifizierung.
  • Einzelheiten zu dieser und weiteren Konfigurationen finden Sie im Citrix Blog unter Configuring Kerberos Single Sign-on for WorxWeb.

Formularbasierte Authentifizierung

Wenn Sie NetScaler für formularbasiertes Single Sign-On konfigurieren, können sich die Benutzer einmal anmelden und dann auf alle geschützten Apps im Netzwerk zuzugreifen. Diese Authentifizierungsmethode gilt für Apps, für die Secure Browse oder ein vollständiges VPN verwendet wird.

Erforderliche Konfiguration:

  • Konfigurieren von formularbasiertem SSO im NetScaler Traffic-Profil.

Digest-HTTP-Authentifizierung

Wenn SSO bei Web-Apps im Sitzungsprofil aktiviert ist, führt NetScaler die Digest-HTTP-Authentifizierung automatisch durch. Diese Authentifizierungsmethode gilt für Apps, für die Secure Browse oder ein vollständiges VPN verwendet wird.

Erforderliche Konfiguration:

  • Aktivieren von SSO im NetScaler-Session- oder Traffic-Profil.

Einfache HTTP-Authentifizierung

Wenn SSO bei Web-Apps im Sitzungsprofil aktiviert ist, führt NetScaler die einfache HTTP-Authentifizierung automatisch durch. Diese Authentifizierungsmethode gilt für Apps, für die Secure Browse oder ein vollständiges VPN verwendet wird.

Erforderliche Konfiguration:

  • Aktivieren von SSO im NetScaler-Session- oder Traffic-Profil.

Secure Browse, vollständiger VPN-Tunnel oder vollständiger VPN-Tunnel mit PAC

In den folgenden Abschnitten werden die Benutzerverbindungsarten von Secure Web beschrieben. Weitere Informationen finden Sie in dem Artikel zu Secure Web unter Konfigurieren von Benutzerverbindungen.

Vollständiger VPN-Tunnel

Verbindungen, die einen Tunnel zum internen Netzwerk benötigen, können einen vollständigen VPN-Tunnel verwenden. Verwenden Sie die Secure Web-Richtlinie “Bevorzugter VPN-Modus” zum Konfigurieren des vollständigen VPN-Tunnels. Citrix empfiehlt die Einstellung “Vollständiger VPN-Tunnel” für Verbindungen, die Clientzertifikate oder End-To-End-SSL für Ressourcen im internen Netzwerk einsetzen. Full VPN tunnel unterstützt beliebige Protokolle über TCP. Sie können einen vollständigen VPN-Tunnel für Windows-, Mac-, iOS- und Android-Geräte verwenden.

Bei Verwendung eines vollständigen VPN-Tunnels genießt NetScaler keine Transparenz in HTTPS-Sitzungen.

Secure Browse

Verbindungen, die einen Tunnel zum internen Netzwerk benötigen, können eine Variante eines clientlosen VPNs (Secure Browse) verwenden. Secure Browse ist die Standardkonfiguration für die Secure Web-Richtlinie Bevorzugter VPN-Modus. Citrix empfiehlt Secure Browse für Verbindungen, die Single Sign-On (SSO) erfordern.

Bei Verwendung von Secure Browse teilt NetScaler die HTTPS-Sitzung in zwei Teile auf:

  • Client zu NetScaler
  • NetScaler zum Backend-Ressourcenserver.

Auf diese Weise genießt NetScaler volle Transparenz in allen Transaktionen zwischen dem Client und dem Server und kann SSO bereitstellen.

Sie können auch Proxyserver für Secure Web konfigurieren, wenn derSecure Browse-Modus aktiviert ist. Weitere Informationen finden Sie in dem Blog XenMobile WorxWeb Traffic Through Proxy Server in Secure Browse Mode.

Vollständiger VPN-Tunnel mit PAC

Sie können eine PAC-Datei (Proxy Automatic Configuration) mit einem vollständigen VPN-Tunnel für Secure Web auf iOS- und Android-Geräten verwenden. XenMobile unterstützt die von NetScaler bereitgestellte Proxyauthentifizierung. Eine PAC-Datei enthält Regeln, die festlegen, wie Webbrowser einen Proxy für den Zugriff auf eine URL auswählen. Mit Regeln in einer PAC-Datei kann die Handhabung von internen und externen Sites festgelegt werden. Secure Web analysiert die Regeln in der PAC-Datei und sendet die Proxyserverinformationen an NetScaler Gateway. NetScaler Gateway sieht weder PAC-Datei noch Proxyserver.

Für die Authentifizierung bei HTTPS-Websites ermöglicht die Secure Web-MDX-Richtlinie Webkennwortcaching aktivieren, dass Secure Web Authentifizierungen durchführen und Single Sign-On beim Proxyserver über MDX bereitstellen kann.

NetScaler Split-Tunneling

Bei der Planung der SSO- und Proxykonfiguration müssen Sie auch überlegen, ob Sie NetScaler Split-Tunneling verwenden möchten. Citrix empfiehlt, NetScaler Split-Tunneling nur zu verwenden, wenn es erforderlich ist. In diesem Abschnitt finden Sie einen Überblick über die Funktionsweise von Split-Tunneling: NetScaler ermittelt den Datenverkehrspfad anhand seiner Routingtabelle. Wenn NetScaler Split-Tunneling aktiviert ist, unterscheidet Secure Hub internen (geschützten) Netzwerkverkehr und Internet-Verkehr. Diese Unterscheidung erfolgt anhand des DNS-Suffixes und der Intranetanwendungen. Secure Hub leitet dann nur den internen Datenverkehr durch den VPN-Tunnel. Ist das NetScaler Split-Tunneling deaktiviert, wird der gesamte Datenverkehr durch den VPN-Tunnel geleitet.

  • Wenn Sie aus Sicherheitsgründen den gesamten Datenverkehr überwachen möchten, deaktivieren Sie NetScaler Split-Tunneling. Der gesamte Datenverkehr fließt dann durch den VPN-Tunnel.
  • Wenn Sie einen vollständigen VPN-Tunnel mit PAC verwenden, müssen Sie das Split-Tunneling von NetScaler Gateway deaktivieren. Falls Split-Tunneling aktiviert und eine PAC-Datei konfiguriert ist, setzen die Regeln der PAC-Datei die NetScaler Split-Tunneling-Regeln außer Kraft. Ein in einer Traffic-Richtlinie konfigurierter Proxyserver setzt keine NetScaler Split-Tunneling-Regeln außer Kraft.

Die Richtlinie Netzwerkzugriff ist für Secure Web standardmäßig auf Tunnel zum internen Netzwerk festgelegt. Bei dieser Konfiguration verwenden MDX-Apps NetScaler Split-Tunneling-Einstellungen. Bei einigen anderen XenMobile Apps gibt es eine andere Standardeinstellung für die Richtlinie Netzwerkzugriff.

NetScaler Gateway bietet auch Modus mit umgekehrtem Split-Tunnel und Micro-VPN. In diesem Modus kann eine Ausschlussliste mit IP-Adressen verwendet werden, die nicht an NetScaler getunnelt werden. Stattdessen wird die Internetverbindung des Geräts verwendet. Weitere Informationen über umgekehrtes Split-Tunneling finden Sie in der NetScaler Gateway-Dokumentation.

XenMobile bietet eine Ausschlussliste für umgekehrten Split-Tunnel. Wenn bestimmte Websites keinen Tunnel durch NetScaler Gateway verwenden sollen, fügen Sie eine durch Kommas getrennte Liste mit vollqualifizierten Domänennamen (FQDN) oder DNS-Suffixen hinzu, die stattdessen eine Verbindung über das lokale Netzwerk (LAN) herstellen. Diese Liste wird nur im Secure Browse-Modus verwendet, wenn NetScaler Gateway für umgekehrtes Split-Tunneling konfiguriert ist.