Citrix Secure Hub
Citrix Secure Hub는 Citrix Endpoint Management(이전 명칭: XenMobile) 환경의 실행 패드입니다. 사용자가 Secure Hub에 장치를 등록하여 저장소 액세스 권한을 얻습니다. 사용자는 스토어에서 Citrix가 개발한 모바일 생산성 앱 및 타사 앱을 추가할 수 있습니다.
Secure Hub 및 기타 모바일 생산성 앱 시스템 요구 사항은 시스템 요구 사항을 참조하십시오.
Secure Hub 관리
Endpoint Management 초기 구성 중에 Secure Hub와 관련된 관리 작업의 대부분이 수행됩니다. iOS 및 Android에서 사용자가 Secure Hub를 사용할 수 있게 하려면 iOS App Store 및 Google Play Store에 Secure Hub를 업로드합니다.
Citrix 앱 포털을 제공하는 것 외에, Secure Hub는 인증된 이후 사용자의 Citrix Gateway 세션이 갱신될 때 Citrix Gateway를 사용하여 설치된 앱에 대해 Endpoint Management에 저장된 대부분의 MDX 정책을 새로 고칩니다.
중요:
보안 그룹, 암호화 사용 및 Secure Mail Exchange Server 정책 중 하나를 변경한 경우 사용자가 앱을 삭제하고 다시 설치하여 업데이트된 정책을 적용해야 합니다.
Citrix PIN
Endpoint Management 콘솔의 설정 > 클라이언트 속성에 설정된 보안 기능인 Citrix PIN을 사용하도록 Secure Hub를 구성할 수 있습니다. 이 설정에서는 등록된 모바일 장치 사용자가 Secure Hub에 로그온하고 MDX 래핑된 앱을 PIN(개인 식별 번호)을 사용하여 활성화해야 합니다.
Citrix PIN 기능을 사용하면 래핑된 보안 앱에 로그온할 때 사용자 인증 환경이 간소화됩니다. 사용자는 Active Directory 사용자 이름 및 암호 같은 다른 자격 증명을 반복적으로 입력하지 않아도 됩니다.
Secure Hub에 처음 로그인하는 사용자는 Active Directory 사용자 이름 및 암호를 입력해야 합니다. 로그인 중에 Secure Hub는 Active Directory 자격 증명 또는 클라이언트 인증서를 사용자 장치에 저장한 후, 사용자에게 PIN을 입력하라는 메시지를 표시합니다. 사용자가 다시 로그온할 경우, 사용자는 PIN을 입력하여 활성 사용자 세션에 대한 다음 유휴 시간 초과 기간이 끝날 때까지 Citrix 앱 및 저장소에 안전하게 액세스합니다. 관련된 클라이언트 속성을 통해 PIN을 사용하여 비밀 정보를 암호화할 수 있으며 PIN 암호 유형을 지정하고 PIN 강도 및 길이 요구 사항을 지정할 수 있습니다. 자세한 내용은 클라이언트 속성을 참조하십시오.
지문 인증을 사용 설정하면 사용자는 앱이 비활성화되어 오프라인 인증이 필요한 경우에 지문을 사용하여 로그인할 수 있습니다. 사용자는 Secure Hub에 처음 로그인할 때, 장치를 재시작할 때 그리고 비활성화 타이머가 만료된 후에는 여전히 PIN을 입력해야 합니다. 지문 인증 사용에 대한 자세한 내용은 지문 또는 Touch ID 인증을 참조하십시오.
인증서 고정
iOS 및 Android용 Secure Hub는 SSL 인증서 고정을 지원합니다. 이 기능을 사용하면 Citrix 클라이언트가 Endpoint Management와 통신할 때 회사에서 서명한 인증서가 사용됩니다. 인증서 고정은 장치의 루트 인증서 설치가 SSL 세션을 손상시키는 경우 클라이언트에서 Endpoint Management로의 연결을 차단합니다. Secure Hub에서 서버 공개 키 변경을 감지하면 Secure Hub는 연결을 거부합니다.
Android N의 경우, 이 운영 체제는 사용자가 추가한 CA(인증 기관)를 더 이상 허용하지 않습니다. Citrix에서는 사용자가 추가한 CA 대신 공용 루트 CA를 사용하도록 권장합니다.
Android N으로 업그레이드하는 사용자는 개인 또는 자체 서명 CA를 사용할 경우 문제를 겪을 수 있습니다. 다음 시나리오에서는 Android N 장치에서의 연결이 끊깁니다.
- 자동 검색 서비스의 Endpoint Management에 대한 개인/자체 서명 CA 및 필요한 신뢰된 CA 옵션은 켜짐으로 설정되어 있습니다. 자세한 내용은 Endpoint Management Autodiscovery Service(Endpoint Management 자동 검색 서비스)를 참조하십시오.
- 개인/자체 서명 CA와 ADS(자동 검색 서비스)는 연결할 수 없습니다. ADS에 연결할 수 없으면, 보안을 고려하여 필요한 신뢰할 수 있는 CA가 초기에 꺼짐으로 설정되었더라도 켜짐으로 바뀝니다.
장치를 등록하거나 Secure Hub를 업그레이드하기 전에 인증서 고정을 사용하도록 설정하는 것이 좋습니다. 이 옵션은 기본적으로 꺼짐으로 설정되며 Endpoint Management ADS(Auto Discovery Service)를 통해 관리됩니다. 인증서 고정을 사용하도록 설정하면 사용자가 자체 서명된 인증서로 Endpoint Management에 등록할 수 없습니다. 자체 서명된 인증서로 등록하려고 하면 인증서를 신뢰할 수 없다는 내용의 경고가 표시됩니다. 사용자가 인증서를 수락하지 않으면 등록이 실패합니다.
인증서 고정을 사용하려면 Citrix에 인증서를 Citrix ADS 서버에 업로드해 달라고 요청합니다. Citrix 지원 포털을 사용하여 기술 지원 사례를 엽니다. 이후 다음 정보를 입력합니다.
- 사용자가 등록될 계정을 포함하는 도메인
- Endpoint Management의 FQDN(정규화된 도메인 이름)
- Endpoint Management의 인스턴스 이름. 기본적으로 인스턴스 이름은 zdm이고 대/소문자를 구분합니다.
- 사용자 ID 유형(UPN 또는 전자 메일일 수 있음). 기본적으로 이 유형은 UPN입니다.
- iOS 등록에 사용된 포트(포트 번호를 기본 포트 8443에서 변경한 경우)
- Endpoint Management가 연결을 받아들이는 포트(포트 번호를 기본 포트 443에서 변경한 경우)
- Citrix Gateway의 전체 URL.
- 또는 Endpoint Management 관리자의 전자 메일 주소
- 도메인에 추가하려는 PEM 형식의 인증서
Secure Hub에 대한 인증서 + 일회용 암호 인증 구성
Secure Hub가 인증서 및 일회용 암호 역할을 하는 보안 토큰을 사용하여 인증되도록 Citrix ADC를 구성할 수 있습니다. 이 구성은 Active Directory 흔적을 장치에 남기지 않는 강력한 보안 옵션을 제공합니다.
Secure Hub가 이 인증 유형을 사용하도록 설정하려면 Citrix Gateway 로그온 유형을 나타내기 위해 X-Citrix-AM-GatewayAuthType: CertAndRSA 형태의 사용자 지정 응답 헤더를 삽입하는 다시 쓰기 작업 및 다시 쓰기 정책을 Citrix ADC에서 추가합니다.
일반적으로 Secure Hub는 Endpoint Management 콘솔에서 구성한 Citrix Gateway 로그온 유형을 사용합니다. 그러나 Secure Hub가 로그온을 처음 완료할 때까지는 Secure Hub에서 이 정보를 사용할 수 없기 때문에 따라서 Secure Hub가 이를 수행하도록 허용하려면 사용자 지정 헤더가 필요합니다.
참고:
여러 가지 로그온 유형이 Endpoint Management 및 Citrix ADC에 설정된 경우, Citrix ADC 구성이 Endpoint Management 구성보다 우선합니다. 자세한 내용은 Citrix Gateway 및 Endpoint Management를 참조하십시오.
-
Citrix ADC에서 Configuration(구성) > AppExpert > Rewrite(다시 쓰기) > Actions(작업)로 이동합니다.
-
추가를 클릭합니다.
Create Rewrite Action(다시 쓰기 작업 만들기) 화면이 나타납니다.
-
다음 그림과 같이 각 필드를 채우고 Create(만들기)를 클릭합니다.
기본 Rewrite Actions(다시 쓰기 작업) 화면에 다음 결과가 나타납니다.
-
다시 쓰기 작업을 가상 서버에 다시 쓰기 정책으로 바인딩합니다. Configuration(구성) > NetScaler Gateway > Virtual Servers(가상 서버)로 이동한 후, 가상 서버를 선택합니다.
-
편집을 클릭합니다.
-
Virtual Servers configuration(가상 서버 구성) 화면에서 아래로 스크롤하여 Policies(정책)로 이동합니다.
-
+를 클릭하여 정책을 추가합니다.
-
Choose Policy(정책 선택) 필드에서 Rewrite(다시 쓰기)를 선택합니다.
-
Choose Type(유형 선택) 필드에서 Response(응답)를 선택합니다.
-
Continue(계속)을 클릭합니다.
Policy Binding(정책 바인딩) 섹션이 확장됩니다.
-
Select Policy(정책 선택)를 클릭합니다.
사용 가능한 정책을 포함하는 화면이 나타납니다.
-
앞에서 생성한 정책의 행을 클릭한 후 Select(선택)를 클릭합니다. 선택한 정책이 채워진 채로 Policy Binding(정책 바인딩) 화면이 다시 나타납니다.
-
Bind(바인딩)를 클릭합니다.
바인딩이 성공적이면 기본 구성 화면이 나타나고 완성된 다시 쓰기 정책이 표시됩니다.
-
정책 세부 정보를 보려면 Rewrite Policy(다시 쓰기 정책)를 클릭합니다.
Android 장치의 ADS 연결을 위한 포트 요구 사항
포트 구성은 Secure Hub로부터 연결되는 Android 장치가 회사 네트워크 내에서 Citrix ADS에 액세스할 수 있도록 합니다. ADS를 통해 사용 가능해진 보안 업데이트를 다운로드할 경우 ADS에 액세스할 수 있는 것이 중요합니다. 프록시 서버에서 ADS 연결이 작동하지 않을 수 있습니다. 이 시나리오에서는 ADS 연결이 프록시 서버를 우회할 수 있게 허용합니다.
중요:
Android 및 iOS용 Secure Hub의 경우 Android 장치가 ADS에 액세스하도록 허용해야 합니다. 자세한 내용은 Endpoint Management 설명서에서 포트 요구 사항을 참조하십시오. 이 통신은 아웃바운드 포트 443을 통해 이루어집니다. 기존 환경은 이 액세스를 허용하도록 설계되었을 가능성이 매우 높습니다. 이 통신을 지원할 수 없는 고객은 Secure Hub 10.2로 업그레이드하지 않는 것이 좋습니다. 궁금한 점이 있으면 Citrix 지원 팀에 문의하십시오.
인증서 고정을 사용하려면 다음 사전 요구 사항을 수행해야 합니다.
- Endpoint Management 및 Citrix ADC 인증서를 수집합니다. 인증서는 PEM 형식이어야 하고 공용 인증서여야 하며 개인 키가 아니어야 합니다.
- Citrix 지원 팀에 연락하여 인증서 고정을 사용하기 위한 요청을 제출하십시오. 이 과정에서 인증서를 요구받게 됩니다.
개선된 새 인증서 고정에서는 장치 등록 전에 장치가 ADS에 연결되어야 합니다. 그러면 장치가 등록되고 있는 환경에서 Secure Hub가 최신 보안 정보를 사용할 수 있게 됩니다. 장치가 ADS에 연결할 수 없으면 Secure Hub는 장치 등록을 허용하지 않습니다. 따라서 내부 네트워크 내에서 ADS 액세스를 가능하게 하는 것은 장치가 등록될 수 있게 하는 데 매우 중요합니다.
Android용 Secure Hub에 대해 ADS 액세스를 허용하려면 다음 IP 주소 및 FQDN으로 포트 443을 엽니다.
FQDN | IP 주소 | 포트 | IP 및 포트 사용 |
---|---|---|---|
discovery.mdm.zenprise.com |
52.5.138.94 | 443 | Secure Hub - ADS 통신 |
discovery.mdm.zenprise.com |
52.1.30.122 | 443 | Secure Hub - ADS 통신 |
ads.xm.cloud.com : SecureHub 버전 10.6.15 이상 ads.xm.cloud.com . |
34.194.83.188 | 443 | Secure Hub - ADS 통신 |
ads.xm.cloud.com : SecureHub 버전 10.6.15 이상 ads.xm.cloud.com . |
34.193.202.23 | 443 | Secure Hub - ADS 통신 |
인증서 고정이 사용 설정된 경우:
- Secure Hub는 장치 등록 중에 엔터프라이즈 인증서를 고정합니다.
-
업그레이드 중에 Secure Hub는 현재 고정되어 있는 인증서를 폐기한 후 등록된 사용자의 첫 번째 연결에서 서버 인증서를 고정합니다.
참고:
업그레이드 이후 인증서 고정을 사용하도록 설정한 경우 사용자가 다시 등록해야 합니다.
- 인증서 공개 키가 변경되지 않은 경우 인증서 갱신에는 재등록이 필요하지 않습니다.
인증서 고정은 중간 또는 발급자 인증서가 아니라 리프 인증서를 지원합니다. 인증서 고정은 타사 서버가 아니라 Endpoint Management 및 Citrix Gateway 등의 Citrix 서버에 적용됩니다.
Secure Hub 기능
Secure Hub는 저장소 및 라이브 지원에 대한 액세스를 제공하면서 모바일 정책을 모니터링하고 적용할 수 있게 합니다. 사용자는 먼저 Apple, Android 또는 Windows 앱 스토어에서 장치로 Secure Hub를 다운로드합니다.
Secure Hub가 열리면 사용자는 회사에서 제공한 자격 증명을 입력하여 Secure Hub에 장치를 등록합니다. 장치 등록에 대한 자세한 내용은 사용자, 계정, 역할 및 등록을 참조하십시오.
Android용 Secure Hub에서 초기 설치 및 등록 시 다음 메시지가 나타납니다. “Allow Secure Hub to access photos, media, and files on your device?(Secure Hub가 장치의 사진, 미디어 및 파일에 액세스하도록 허용하시겠습니까?)”
이 메시지는 Citrix가 아닌 Android 운영 체제의 메시지입니다. Allow(허용)을 탭하더라도 Citrix와 Secure Hub를 관리하는 관리자가 사용자의 개인 데이터를 아무 때나 보는 것은 아닙니다. 하지만 관리자와 원격 지원 세션을 수행하는 경우 관리자가 세션 내에서 사용자의 개인 파일을 볼 수 있습니다.
등록된 후에 사용자는 내 앱 탭에서 푸시한 앱 및 데스크톱을 볼 수 있습니다. 사용자는 저장소의 앱을 더 추가할 수 있습니다. 전화기에서 저장소 링크는 왼쪽 맨 위의 설정 햄버거 아이콘 아래에 있습니다.
태블릿에서는 저장소가 별도 탭입니다.
iOS 9 이상이 실행되는 iPhone을 보유한 사용자가 Endpoint Management 앱 스토어에서 모바일 생산성 앱을 설치하는 경우, 엔터프라이즈 개발자 Citrix가 해당 iPhone에서 신뢰되지 않고 이 개발자가 신뢰될 때까지는 앱을 사용할 수 없다는 내용의 메시지가 표시됩니다. 이 메시지가 나타나면 Secure Hub는 Citrix 엔터프라이즈 앱이 iPhone에서 신뢰되도록 하는 과정을 안내하는 가이드를 살펴볼 것을 사용자에게 요청합니다.
MAM 전용 배포의 경우, 전자 메일 자격 증명을 사용하여 Secure Hub에 등록한 Android 또는 iOS 장치 사용자가 자동으로 Secure Mail에서 등록되도록 Endpoint Management를 구성할 수 있습니다. 따라서 Secure Mail에서 등록하기 위해 사용자가 더 많은 정보를 입력하거나 더 많은 절차를 거치지 않아도 됩니다.
Secure Mail을 처음 사용할 때 Secure Mail은 사용자의 전자 메일 주소, 도메인 및 사용자 ID를 Secure Hub로부터 얻습니다. Secure Mail은 전자 메일 주소를 자동 검색에 사용합니다. Exchange Server는 도메인 및 사용자 ID를 사용하여 식별되고, 이를 통해 Secure Mail이 사용자를 자동으로 인증할 수 있습니다. 암호를 전달하지 못하도록 정책이 설정된 경우 암호를 입력하라는 메시지가 사용자에게 표시됩니다. 하지만 사용자는 이외의 정보를 입력하지 않아도 됩니다.
이 기능을 사용 설정하려면 다음 세 가지 속성을 생성합니다.
- 서버 속성 MAM_MACRO_SUPPORT. 지침은 서버 속성을 참조하십시오.
- 클라이언트 속성 ENABLE_CREDENTIAL_STORE 및 SEND_LDAP_ATTRIBUTES. 지침은 클라이언트 속성을 참조하십시오.
저장소를 사용자 지정하려면 설정 > 클라이언트 브랜딩으로 이동하여 이름을 변경하고 로고를 추가하고 앱 표시 방식을 지정합니다.
Endpoint Management 콘솔에서 앱 설명을 편집할 수 있습니다. 구성을 클릭한 후 앱을 클릭합니다. 테이블에서 앱을 선택하고 편집을 클릭합니다. 설명을 편집할 앱의 플랫폼을 선택하고 설명 상자에 텍스트를 입력합니다.
스토어에서 사용자는 Endpoint Management에서 구성되고 보안된 앱 및 데스크톱만 찾아볼 수 있습니다. 앱을 추가하려면 사용자가 세부 정보를 누른 후 추가를 누릅니다.
또한 Secure Hub는 도움을 받을 수 있는 다양한 방법을 사용자에게 제공합니다. 태블릿에서 오른쪽 위 모서리에 있는 물음표를 누르면 도움말 옵션이 열립니다. 전화기에서는 사용자가 왼쪽 위 모서리의 햄버거 메뉴 아이콘을 누른 후 도움말을 누릅니다.
IT 부서에는 사용자가 앱에서 바로 액세스할 수 있는 회사 지원 센터의 전화 및 전자 메일이 표시됩니다. 전화 번호 및 전자 메일 주소를 Endpoint Management 콘솔에 입력하십시오. 오른쪽 위 모서리에서 기어 아이콘을 클릭합니다. 설정 페이지가 나타납니다. 더 보기를 클릭하고 클라이언트 지원을 클릭합니다. 정보를 입력하는 화면이 나타납니다.
문제 보고에 앱 목록이 표시됩니다. 사용자가 문제 있는 앱을 선택합니다. Secure Hub는 로그를 자동으로 생성한 후 로그가 zip 파일로 첨부된 메시지를 Secure Mail에서 엽니다. 사용자가 제목 줄 및 문제에 대한 설명을 추가합니다. 스크린샷도 첨부할 수 있습니다.
Citrix에 피드백 보내기는 Citrix 지원 팀 주소가 채워진 메시지를 Secure Mail에서 엽니다. 메시지 본문에서 사용자는 Secure Mail 개선을 위한 제안을 입력할 수 있습니다. Secure Mail이 장치에 설치되지 않은 경우 기본 메일 프로그램이 열립니다.
사용자는 Citrix 지원을 눌러 Citrix Knowledge Center를 열 수도 있습니다. 여기에서 모든 Citrix 제품에 대한 지원 문서를 검색할 수 있습니다.
기본 설정에서는 사용자가 자신의 계정 및 장치에 대한 정보를 찾을 수 있습니다.
또한 Secure Hub는 회사 소유 장치가 특정 지리적 경계선을 벗어나지 못하게 하려는 경우 등에 지역 위치 및 지역 추적 정책을 제공합니다. 자세한 내용은 위치 장치 정책을 참조하십시오. 또한 Secure Hub는 실패 정보를 자동으로 수집 및 분석하므로 특정 실패의 원인이 무엇인지 파악할 수 있습니다. 이 기능은 Crashlytics 소프트웨어에 의해 지원됩니다.