Product Documentation

Informations d’identification dérivées pour l’inscription d’appareils iOS

10 mai 2018

Les informations d’identification dérivées fournissent une authentification forte pour les appareils mobiles. Les informations d’identification, dérivées d’une carte à puce, se trouvent dans un appareil mobile plutôt que sur la carte. La carte à puce est une carte Personal Identity Verification (PIV).

Les informations d’identification dérivées sont un certificat d’inscription qui contient l’identifiant de l’utilisateur, tel qu’un UPN (nom d’utilisateur principal). XenMobile stocke les informations d’identification obtenues à partir du fournisseur d’informations d’identification dans un coffre sécurisé sur l’appareil.

XenMobile peut utiliser les informations d’identification dérivées pour l’inscription et l’authentification d’appareils iOS. S’il est configuré pour des informations d’identification dérivées, XenMobile ne prend pas en charge les invitations d’inscription ou autres modes d’inscription pour les appareils iOS. Citrix vous recommande de ne pas inscrire d’appareils Android sur les serveurs configurés pour les informations d’identification dérivées.

Exigences

  • Une des solutions d’informations d’identification dérivées suivantes :
    • Intercede 3.14 ou version ultérieure. Pour plus d’informations sur Intercede, voir https://www.intercede.com/solutions-derived-credentials. Citrix a validé le fonctionnement de XenMobile avec la solution d’informations d’identification dérivées Intercede. Le nom de l’application dans l’App Store d’Apple est MyID for Citrix.

      Les utilisateurs doivent installer MyID for Citrix sur leurs appareils avant l’inscription dans XenMobile.

    • Autres solutions d’informations d’identification dérivées

      S’il est probable que la plupart des autres solutions d’informations d’identification soient compatibles avec XenMobile, testez leur intégration avant de les déployer en production.

  • XenMobile Server 10.6 (version minimum)
    • Configuré pour le mode d’entreprise (XME)
    • Doit avoir le certificat racine de l’autorité de certification qui émet des certificats sur le serveur du fournisseur d’informations d’identification. Cette configuration permet à XenMobile d’accepter les certificats signés numériquement lors de l’inscription. Pour de plus amples informations sur l’ajout de certificats, consultez la section Certificats et authentification.
    • Si le domaine de messagerie utilisateur diffère du domaine LDAP, ajoutez le domaine de messagerie dans le paramètre Alias de domaine sous Paramètres > LDAP. Par exemple, si le domaine pour les adresses e-mail est myID.com et le nom de domaine LDAP est sample.com, définissez Alias de domaine sur sample.com, myID.com.
    • XenMobile ne prend pas en charge l’utilisation d’informations d’identification dérivées avec les appareils partagés.
  • Certificats d’identité utilisateur :
    • Le nom d’utilisateur dans le champ Autre nom de l’objet doit être formaté en tant que champ otherName, rfc822Name ou dNSName de l’extension SubjectAltName. Les autres champs ne sont pas pris en charge. Pour plus d’informations sur Autre nom de l’objet, veuillez consulter le RFC, https://www.ietf.org/rfc/rfc5280.txt.
    • L’identité utilisateur dans le champ Objet pour E-mail ou CN n’est pas prise en charge.
  • NetScaler Gateway configuré pour l’authentification par certificat ou l’authentification par certificat + jeton de sécurité

    Pour plus d’informations sur la configuration PKI, consultez la section Entités PKI.

  • Secure Hub 10.8.15 (version minimum)
  • Secure Mail 10.8.20 (version minimum)
    • Utilisez le même certificat développeur pour signer toutes les applications dans l’App Store d’Apple.

Architecture

Pour l’inscription, XenMobile Server se connecte aux composants décrits dans la section « Configuration requise » précédente, comme illustré dans le diagramme suivant.

Diagramme de l'architecture d'inscription des informations d'identification dérivées

  • Lors de l’inscription d’appareil, Secure Hub obtient les certificats à partir de l’application des informations d’identification dérivées.
  • L’application des informations d’identification dérivées communique avec le serveur de gestion d’informations d’identification lors de l’inscription.
  • Vous pouvez utiliser le même serveur ou un autre serveur comme serveur de gestion d’informations d’identification et un fournisseur PKI tiers.
  • XenMobile Server se connecte à votre serveur PKI tiers pour obtenir les certificats.

Après l’inscription, les composants se connectent comme indiqué dans le diagramme suivant.

Diagramme de l'architecture de post-inscription des informations d'identification dérivées

Les sections suivantes décrivent comment configurer XenMobile avec un fournisseur d’informations d’identification dérivées, activer les informations d’identification dérivées pour l’inscription et gérer des appareils qui utilisent des informations d’identification dérivées.

Activer les informations d’identification dérivées

Par défaut, la console XenMobile n’inclut pas la page Paramètres > Informations d’identification dérivées. Pour activer l’interface d’informations d’identification dérivées, accédez à Paramètres > Propriétés du serveur, ajoutez la propriété de serveur derived.credentials.enable et définissez-la sur true.

Image de l'écran de configuration Propriétés du serveur

Configurer les informations d’identification dérivées

Ces instructions supposent que vous disposez d’une configuration qui fonctionne pour le fournisseur d’informations d’identification dérivées que vous prévoyez d’intégrer à XenMobile. Vous pouvez ensuite configurer XenMobile pour communiquer avec ce serveur. Vous devez aussi choisir un certificat d’autorité de certification d’informations d’identification dérivées déjà ajouté à XenMobile ou importer le certificat.

Vous pouvez activer la prise en charge du protocole OCSP pour ce certificat d’autorité de certification. Pour plus d’informations sur le protocole OCSP, consultez la section « Autorités de certification discrétionnaire » dans Entités PKI.

  1. Dans la console XenMobile, accédez à Paramètres > Informations d’identification dérivées pour iOS.

    Image de l'écran de configuration Informations d’identification dérivées

  2. Sous Fournisseur :

    • Choisissez le fournisseur d’informations d’identification dérivées. Citrix a validé le fonctionnement de XenMobile avec Intercede. Si vous choisissez Autre comme fournisseur, testez l’intégration avant de placer votre serveur en production.

    • URL de l’application (iOS) : si vous choisissez Intercede en tant que fournisseur, XenMobile remplit l’URL d’application. Si vous choisissez Autre en tant que fournisseur, obtenez l’adresse URL de l’application à partir de votre fournisseur d’informations d’identification dérivées.

      Si un appareil ne peut pas contacter votre fournisseur, vérifiez l’adresse URL de l’application avec le fournisseur. Vous devrez peut-être la modifier.

    • Paramètres facultatifs : certains fournisseurs d’informations d’identification dérivées exigent que des paramètres soient spécifiés pour la connexion. Par exemple, un fournisseur peut nécessiter que les adresses URL d’un serveur back-end soient spécifiées. Cliquez sur Ajouter pour fournir des paramètres.

  3. Spécifiez un certificat pour les informations d’identification dérivées : si le certificat est déjà chargé sur XenMobile, choisissez ce certificat depuis AC émettrice. Sinon, cliquez sur Importer pour ajouter un certificat. La boîte de dialogue Importer le certificat apparaît.

  4. Dans la boîte de dialogue Importer le certificat, cliquez sur Parcourir pour accéder à l’emplacement du certificat. Cliquez sur Parcourir pour accéder au fichier de clé privée.

    Image de l'écran de configuration Fournisseurs d'identités

  5. Si vous choisissez Intercede comme fournisseur, XenMobile remplit les champs Champ d’identificateur d’utilisateur et Type d’identificateur d’utilisateur. Pour Intercede, Champ d’identificateur d’utilisateur est Autre nom de l’objet et Type d’identificateur d’utilisateur est userPrincipalName. Contactez les autres fournisseurs d’informations d’identification dérivées pour obtenir des informations et configurer les paramètres.

  6. Vous pouvez également utiliser un répondeur OCSP pour la vérification de révocation de certificat. Par défaut, la vérification OSP est désactivée. Pour activer la prise en charge d’OCSP pour le certificat d’autorité de certification :

    • Définissez Vérification OCSP sur ON.

    Image de l'écran de configuration Fournisseurs d'identités

    • Choisissez une option pour Utiliser URL OCSP personnalisée. Par défaut, XenMobile récupère l’adresse URL du protocole OCSP depuis le certificat (l’option Utiliser définition du certificat pour la révocation). Pour spécifier une adresse URL de réponse, cliquez sur Utiliser URL personnalisée et entrez l’adresse URL.
    • AC répondeur : dans AC répondeur, choisissez un certificat. Ou, cliquez sur Importer, puis utilisez la boîte de dialogue Importer le certificat pour localiser le certificat.
  7. Cliquez sur Enregistrer. La boîte de dialogue Informations d’identification dérivées s’affiche.

    Image de l'écran de configuration Fournisseurs d'identités

    • Pour activer la configuration des informations d’identification dérivées, cliquez sur Enregistrer. Pour utiliser les informations d’identification dérivées, vous devez également configurer les paramètres d’inscription.

    • Pour activer la configuration des informations d’identification dérivées, puis accéder immédiatement à Paramètres > Inscription, cliquez sur Enregistrer et aller à Inscription.

  8. Pour activer les informations d’identification dérivées pour l’inscription : sur la page Paramètres > Inscription sous Inscription avancée, sélectionnez Informations d’identification dérivées (iOS uniquement), puis cliquez sur Activer.

    Image de l'écran de configuration Inscription

  9. Une boîte de dialogue de confirmation s’affiche. Pour activer les informations d’identification dérivées, sélectionnez la case à cocher et cliquez sur Activer.

    Image de l'écran de configuration Inscription

  10. Pour modifier les options des informations d’identification dérivées pour l’inscription, accédez à la page Paramètres > Inscription, sélectionnez Informations d’identification dérivées (iOS uniquement), puis cliquez sur Modifier.

Après avoir activé les informations d’identification dérivées : dans le rapport Inscription d’appareils, la colonne Mode d’inscription affiche derived_credentials.

Vous trouverez les étapes d’inscription lors de l’utilisation d’informations d’identification dérivées dans la section Appareils iOS utilisant des informations d’identification dérivées.

Important :

Après avoir effectué ces étapes, vous devrez peut-être redémarrer XenMobile Server.

Configurer XenMobile Server pour Secure Mail

Pour que Secure Mail fonctionne correctement avec les informations d’identification dérivées, ajoutez la propriété client Attributs LDAP.

Suivez les étapes pour ajouter une propriété client dans l’article Propriétés du client. Utilisez les informations suivantes :

  • Clé : SEND_LDAP_ATTRIBUTES
  • Valeur : userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname},displayName=${user.displayName},mail=${user.mail}

Image de l'écran de configuration Propriétés du client

Remarque :

Vous trouverez un exemple de processus d’inscription à l’aide d’informations d’identification dérivées dans la section Inscription à l’aide d’informations d’identification dérivées.

Informations d’identification dérivées pour l’inscription d’appareils iOS