XenMobile® Server

MDX 앱을 위한 SSO 및 프록시 고려 사항

XenMobile과 Citrix ADC의 통합을 통해 모든 백엔드 HTTP/HTTPS 리소스에 대한 단일 Sign-On(SSO)을 사용자에게 제공할 수 있습니다. SSO 인증 요구 사항에 따라 MDX 앱의 사용자 연결을 다음 옵션 중 하나를 사용하도록 구성할 수 있습니다.

  • 클라이언트 없는 VPN 유형인 Secure Browse
  • 전체 VPN 터널

Citrix ADC가 환경에서 SSO를 제공하는 최적의 방법이 아닌 경우, 정책 기반 로컬 암호 캐싱을 사용하여 MDX 앱을 설정할 수 있습니다. 이 문서에서는 Secure Web에 중점을 두고 다양한 SSO 및 프록시 옵션을 살펴봅니다. 이 개념은 다른 MDX 앱에도 적용됩니다.

다음 순서도는 SSO 및 사용자 연결에 대한 의사 결정 흐름을 요약합니다.

SSO 및 사용자 연결 의사 결정 흐름 다이어그램

Citrix ADC 인증 방법

이 섹션에서는 Citrix ADC에서 지원하는 인증 방법에 대한 일반 정보를 제공합니다.

SAML 인증

Citrix ADC를 SAML(Security Assertion Markup Language)용으로 구성하면 사용자는 SAML 프로토콜을 지원하는 웹 앱에 단일 Sign-On으로 연결할 수 있습니다. Citrix Gateway는 SAML 웹 앱에 대한 IdP(ID 공급자) 단일 Sign-On을 지원합니다.

필수 구성:

  • Citrix ADC 트래픽 프로필에서 SAML SSO를 구성합니다.
  • 요청된 서비스에 대한 SAML IdP를 구성합니다.

NTLM 인증

세션 프로필에서 웹 앱에 대한 SSO가 활성화된 경우 Citrix ADC는 NTLM 인증을 자동으로 수행합니다.

필수 구성:

  • Citrix ADC 세션 또는 트래픽 프로필에서 SSO를 활성화합니다.

Kerberos 가장

XenMobile®은 Secure Web에 대해서만 Kerberos를 지원합니다. Kerberos SSO용으로 Citrix ADC를 구성할 때 Citrix ADC는 사용자 암호를 사용할 수 있는 경우 가장을 사용합니다. 가장은 Citrix ADC가 사용자 자격 증명을 사용하여 Secure Web과 같은 서비스에 액세스하는 데 필요한 티켓을 얻는 것을 의미합니다.

필수 구성:

  • 연결에서 Kerberos Realm을 식별할 수 있도록 Citrix ADC “Worx” 세션 정책을 구성합니다.
  • Citrix ADC에 KCD(Kerberos Constrained Delegation) 계정을 구성합니다. 해당 계정을 암호 없이 구성하고 XenMobile Gateway의 트래픽 정책에 바인딩합니다.
  • 이러한 구성 및 기타 구성 세부 정보는 Citrix 블로그 WorxWeb and Kerberos Impersonation SSO를 참조하십시오.

Kerberos 제한 위임

XenMobile은 Secure Web에 대해서만 Kerberos를 지원합니다. Kerberos SSO용으로 Citrix ADC를 구성할 때 Citrix ADC는 사용자 암호를 사용할 수 없는 경우 제한 위임을 사용합니다.

제한 위임을 통해 Citrix ADC는 지정된 관리자 계정을 사용하여 사용자 및 서비스를 대신하여 티켓을 가져옵니다.

필수 구성:

  • 필요한 권한을 가진 Active Directory에 KCD 계정을 구성하고 Citrix ADC에 KCD 계정을 구성합니다.
  • Citrix ADC 트래픽 프로필에서 SSO를 활성화합니다.
  • Kerberos 인증을 위해 백엔드 웹 사이트를 구성합니다.

양식 채우기 인증

양식 기반 단일 Sign-On용으로 Citrix ADC를 구성하면 사용자는 한 번 로그인하여 네트워크의 모든 보호된 앱에 액세스할 수 있습니다. 이 인증 방법은 Secure Browse 또는 전체 VPN 모드를 사용하는 앱에 적용됩니다.

필수 구성:

  • Citrix ADC 트래픽 프로필에서 양식 기반 SSO를 구성합니다.

다이제스트 HTTP 인증

세션 프로필에서 웹 앱에 대한 SSO를 활성화하면 Citrix ADC는 다이제스트 HTTP 인증을 자동으로 수행합니다. 이 인증 방법은 Secure Browse 또는 전체 VPN 모드를 사용하는 앱에 적용됩니다.

필수 구성:

  • Citrix ADC 세션 또는 트래픽 프로필에서 SSO를 활성화합니다.

기본 HTTP 인증

세션 프로필에서 웹 앱에 대한 SSO를 활성화하면 Citrix ADC는 기본 HTTP 인증을 자동으로 수행합니다. 이 인증 방법은 Secure Browse 또는 전체 VPN 모드를 사용하는 앱에 적용됩니다.

필수 구성:

  • Citrix ADC 세션 또는 트래픽 프로필에서 SSO를 활성화합니다.

Secure Browse, 전체 VPN 터널 또는 PAC를 사용한 전체 VPN 터널

다음 섹션에서는 Secure Web의 사용자 연결 유형에 대해 설명합니다. 자세한 내용은 Citrix 설명서의 Secure Web 문서인 사용자 연결 구성을 참조하십시오.

전체 VPN 터널

내부 네트워크로 터널링하는 연결은 전체 VPN 터널을 사용할 수 있습니다. Secure Web 기본 VPN 모드 정책을 사용하여 전체 VPN 터널을 구성합니다. Citrix는 내부 네트워크의 리소스에 클라이언트 인증서 또는 종단 간 SSL을 사용하는 연결에 전체 VPN 터널을 권장합니다. 전체 VPN 터널은 TCP를 통한 모든 프로토콜을 처리합니다. Windows, Mac, iOS 및 Android 장치에서 전체 VPN 터널을 사용할 수 있습니다.

전체 VPN 터널 모드에서 Citrix ADC는 HTTPS 세션 내부를 볼 수 없습니다.

Secure Browse

내부 네트워크로 터널링하는 연결은 Secure Browse라고 하는 클라이언트 없는 VPN의 변형을 사용할 수 있습니다. Secure Browse는 Secure Web 기본 VPN 모드 정책에 지정된 기본 구성입니다. Citrix는 단일 Sign-On(SSO)이 필요한 연결에 Secure Browse를 권장합니다.

Secure Browse 모드에서 Citrix ADC는 HTTPS 세션을 두 부분으로 나눕니다.

  • 클라이언트에서 Citrix ADC로
  • Citrix ADC에서 백엔드 리소스 서버로

이러한 방식으로 Citrix ADC는 클라이언트와 서버 간의 모든 트랜잭션을 완벽하게 파악하여 SSO를 제공할 수 있습니다.

Secure Browse 모드에서 Secure Web을 사용할 때 프록시 서버를 구성할 수도 있습니다. 자세한 내용은 블로그 Secure Browse 모드에서 프록시 서버를 통한 XenMobile WorxWeb 트래픽을 참조하십시오.

PAC를 사용한 전체 VPN 터널

iOS 및 Android 장치에서 Secure Web에 대한 전체 VPN 터널 배포와 함께 PAC(Proxy Automatic Configuration) 파일을 사용할 수 있습니다. XenMobile은 Citrix ADC에서 제공하는 프록시 인증을 지원합니다. PAC 파일에는 웹 브라우저가 특정 URL에 액세스하기 위해 프록시를 선택하는 방법을 정의하는 규칙이 포함되어 있습니다. PAC 파일 규칙은 내부 및 외부 사이트 모두에 대한 처리를 지정할 수 있습니다. Secure Web은 PAC 파일 규칙을 구문 분석하고 프록시 서버 정보를 Citrix Gateway로 보냅니다. Citrix Gateway는 PAC 파일 또는 프록시 서버를 인식하지 못합니다.

HTTPS 웹 사이트에 대한 인증의 경우: Secure Web MDX 정책인 웹 암호 캐싱 활성화는 Secure Web이 MDX를 통해 프록시 서버에 인증하고 SSO를 제공할 수 있도록 합니다.

Citrix ADC 분할 터널링

SSO 및 프록시 구성을 계획할 때 Citrix ADC 분할 터널링 사용 여부도 결정해야 합니다. Citrix는 필요한 경우에만 Citrix ADC 분할 터널링을 사용할 것을 권장합니다. 이 섹션에서는 분할 터널링 작동 방식에 대한 개략적인 설명을 제공합니다. Citrix ADC는 라우팅 테이블을 기반으로 트래픽 경로를 결정합니다. Citrix ADC 분할 터널링이 켜져 있으면 Secure Hub는 내부(보호된) 네트워크 트래픽과 인터넷 트래픽을 구분합니다. Secure Hub는 DNS 접미사 및 인트라넷 응용 프로그램을 기반으로 이를 결정합니다. 그런 다음 Secure Hub는 내부 네트워크 트래픽만 VPN 터널을 통해 터널링합니다. Citrix ADC 분할 터널링이 꺼져 있으면 모든 트래픽이 VPN 터널을 통해 이동합니다.

  • 보안상의 이유로 모든 트래픽을 모니터링하려면 Citrix ADC 분할 터널링을 비활성화하십시오. 결과적으로 모든 트래픽은 VPN 터널을 통해 이동합니다.
  • PAC와 함께 전체 VPN 터널을 사용하는 경우 Citrix Gateway 분할 터널링을 비활성화해야 합니다. 분할 터널링이 켜져 있고 PAC 파일을 구성하면 PAC 파일 규칙이 Citrix ADC 분할 터널링 규칙을 재정의합니다. 트래픽 정책에 구성된 프록시 서버는 Citrix ADC 분할 터널링 규칙을 재정의하지 않습니다.

기본적으로 Secure Web의 네트워크 액세스 정책은 내부 네트워크로 터널링됨으로 설정됩니다. 이 구성에서는 MDX 앱이 Citrix ADC 분할 터널 설정을 사용합니다. 네트워크 액세스 정책 기본값은 다른 일부 모바일 생산성 앱의 경우 다릅니다.

Citrix Gateway에는 마이크로 VPN 역방향 분할 터널 모드도 있습니다. 이 구성은 Citrix ADC로 터널링되지 않는 IP 주소의 제외 목록을 지원합니다. 대신 해당 주소는 장치 인터넷 연결을 사용하여 전송됩니다. 역방향 분할 터널링에 대한 자세한 내용은 Citrix Gateway 설명서를 참조하십시오.

XenMobile에는 역방향 분할 터널 제외 목록이 포함되어 있습니다. 특정 웹 사이트가 Citrix Gateway를 통해 터널링되는 것을 방지하려면 LAN을 사용하여 연결하는 FQDN(정규화된 도메인 이름) 또는 DNS 접미사의 쉼표로 구분된 목록을 추가하십시오. 이 목록은 역방향 분할 터널링용으로 구성된 Citrix Gateway가 있는 Secure Browse 모드에만 적용됩니다.

MDX 앱을 위한 SSO 및 프록시 고려 사항