Autenticação
Em uma implantação do XenMobile®, várias considerações entram em jogo ao decidir como configurar a autenticação. Esta seção ajuda você a entender os vários fatores que afetam a autenticação, discutindo o seguinte:
- As principais políticas MDX, propriedades do cliente XenMobile e configurações do Citrix Gateway envolvidas na autenticação.
- As formas como essas políticas, propriedades do cliente e configurações interagem.
- As compensações de cada escolha.
Este artigo também inclui três exemplos de configurações recomendadas para graus crescentes de segurança.
De modo geral, uma segurança mais forte resulta em uma experiência de usuário menos ideal, porque as pessoas precisam se autenticar com mais frequência. Como você equilibra essas preocupações depende das necessidades e prioridades da sua organização. Ao revisar as três configurações recomendadas, você obterá uma compreensão maior da interação das medidas de autenticação disponíveis e de como implantar melhor seu próprio ambiente XenMobile.
Modos de Autenticação
Autenticação online: Permite que as pessoas acessem a rede XenMobile. Requer uma conexão com a Internet.
Autenticação offline: Ocorre no dispositivo. As pessoas desbloqueiam o cofre seguro e têm acesso offline a itens, como e-mails baixados, sites em cache e notas.
Métodos de Autenticação
Fator Único
LDAP: Você pode configurar uma conexão no XenMobile para um ou mais diretórios, como o Active Directory, que é compatível com o Lightweight Directory Access Protocol (LDAP). Este é um método comumente usado para fornecer logon único (SSO) para ambientes corporativos. Você pode optar pelo PIN do Citrix com cache de senha do Active Directory para melhorar a experiência do usuário com LDAP, ao mesmo tempo em que oferece a segurança de senhas complexas no registro, expiração de senha e bloqueio de conta.
Para obter mais detalhes, consulte Domínio ou domínio mais STA.
Certificado de cliente: O XenMobile pode se integrar a autoridades de certificação padrão da indústria para usar certificados como o único método de autenticação online. O XenMobile fornece este certificado após o registro do usuário, que requer uma senha de uso único, URL de convite ou credenciais LDAP. Ao usar um certificado de cliente como método principal de autenticação, um PIN do Citrix é necessário em ambientes somente com certificado de cliente para proteger o certificado no dispositivo.
O XenMobile oferece suporte à Lista de Revogação de Certificados (CRL) apenas para uma Autoridade de Certificação de terceiros. Se você tiver uma CA da Microsoft configurada, o XenMobile usará o Citrix ADC para gerenciar a revogação. Ao configurar a autenticação baseada em certificado de cliente, considere se você precisa configurar a configuração da Lista de Revogação de Certificados (CRL) do Citrix ADC, Habilitar Atualização Automática de CRL. Esta etapa garante que a pessoa que usa um dispositivo no modo somente MAM não possa se autenticar usando um certificado existente no dispositivo. O XenMobile reemite um novo certificado, pois não restringe uma pessoa de gerar um certificado de usuário se um for revogado. Essa configuração aumenta a segurança das entidades PKI quando a CRL verifica entidades PKI expiradas.
Para um diagrama que mostra a implantação necessária se você planeja usar autenticação baseada em certificado para usuários ou se precisa usar sua Autoridade de Certificação (CA) corporativa para emitir certificados de dispositivo, consulte Arquitetura de Referência para Implantações Locais.
Dois Fatores
LDAP + Certificado de Cliente: No ambiente XenMobile, esta configuração é a melhor combinação de segurança e experiência do usuário, com as melhores possibilidades de SSO acopladas à segurança fornecida pela autenticação de dois fatores no Citrix ADC. O uso de LDAP e certificados de cliente oferece segurança com algo que as pessoas sabem (suas senhas do Active Directory) e algo que elas têm (certificados de cliente em seus dispositivos). O Secure Mail (e alguns outros aplicativos de produtividade móvel) pode configurar e fornecer automaticamente uma experiência de usuário perfeita pela primeira vez com autenticação de certificado de cliente, com um ambiente de servidor de acesso de cliente Exchange configurado corretamente. Para usabilidade ideal, você pode combinar esta opção com o PIN do Citrix e o cache de senha do Active Directory.
LDAP + Token: Esta configuração permite a configuração clássica de credenciais LDAP, mais uma senha de uso único, usando o protocolo RADIUS. Para usabilidade ideal, você pode combinar esta opção com o PIN do Citrix e o cache de senha do Active Directory.
Políticas, Configurações e Propriedades do Cliente Importantes Envolvidas na Autenticação
As seguintes políticas, configurações e propriedades do cliente entram em jogo com as três configurações recomendadas a seguir:
Políticas MDX
Senha do aplicativo: Se Ativado, um PIN ou senha do Citrix é necessário para desbloquear o aplicativo quando ele inicia ou é retomado após um período de inatividade. O padrão é Ativado.
Para configurar o temporizador de inatividade para todos os aplicativos, defina o valor de INACTIVITY_TIMER em minutos no console do XenMobile em Propriedades do Cliente na guia Configurações. O padrão é 15 minutos. Para desabilitar o temporizador de inatividade, de modo que um prompt de PIN ou senha apareça apenas quando o aplicativo iniciar, defina o valor como zero.
Observação:
Se você selecionar Seguro offline para a política de chaves de criptografia, esta política será habilitada automaticamente.
Sessão online necessária: Se Ativado, a pessoa deve ter uma conexão com a rede corporativa e uma sessão ativa para acessar o aplicativo no dispositivo. Se Desativado, uma sessão ativa não é necessária para acessar o aplicativo no dispositivo. O padrão é Desativado.
Período offline máximo (horas): Define o período máximo que um aplicativo pode ser executado sem reconfirmar o direito do aplicativo e atualizar as políticas do XenMobile. Ao definir o Período offline máximo, se o Secure Hub para iOS tiver um token Citrix Gateway válido, o aplicativo recuperará novas políticas para aplicativos MDX do XenMobile sem qualquer interrupção para as pessoas. Se o Secure Hub não tiver um token Citrix ADC válido, as pessoas deverão se autenticar através do Secure Hub para que as políticas do aplicativo sejam atualizadas. O token Citrix ADC pode se tornar inválido devido à inatividade da sessão do Citrix Gateway ou a uma política de tempo limite de sessão forçada. Quando as pessoas fazem logon no Secure Hub novamente, elas podem continuar executando o aplicativo.
As pessoas são lembradas de fazer logon 30, 15 e 5 minutos antes do período expirar. Após a expiração, o aplicativo é bloqueado até que as pessoas façam logon. O padrão é 72 horas (3 dias). O período mínimo é de 1 hora.
Observação:
Lembre-se de que, em um cenário em que as pessoas viajam com frequência e podem usar roaming internacional, o padrão de 72 horas (3 dias) pode ser muito curto.
Expiração do tíquete de serviços em segundo plano: O período de tempo em que um tíquete de serviço de rede em segundo plano permanece válido. Quando o Secure Mail se conecta através do Citrix Gateway a um Exchange Server executando o ActiveSync, o XenMobile emite um token que o Secure Mail usa para se conectar ao Exchange Server interno. Esta configuração de propriedade determina a duração que o Secure Mail pode usar o token sem exigir um novo token para autenticação e a conexão com o Exchange Server. Quando o limite de tempo expira, as pessoas devem fazer logon novamente para gerar um novo token. O padrão é 168 horas (7 dias). Quando este tempo limite expira, as notificações de e-mail são interrompidas.
Período de carência da sessão online necessária: Determina quantos minutos uma pessoa pode usar o aplicativo offline antes que a política de sessão online necessária a impeça de usá-lo (até que a sessão online seja validada). O padrão é 0 (sem período de carência).
Para obter informações sobre políticas de autenticação, consulte:
- Se você usa o SDK MAM: Visão geral do SDK MAM
- Se você usa o MDX Toolkit: Políticas MDX para iOS e Políticas MDX para Android
Propriedades do cliente XenMobile
Observação:
As propriedades do cliente são uma configuração global que se aplica a todos os dispositivos conectados ao XenMobile.
PIN Citrix: Para uma experiência de logon simples, você pode optar por habilitar o PIN Citrix. Com o PIN, os usuários não precisam inserir outras credenciais repetidamente, como seus nomes de usuário e senhas do Active Directory. Você pode configurar o PIN Citrix como uma autenticação offline autônoma ou combinar o PIN com o cache de senha do Active Directory para otimizar a autenticação e a usabilidade. Você configura o PIN Citrix em “Configurações” > “Cliente” > “Propriedades do Cliente” no console do XenMobile.
A seguir, um resumo de algumas propriedades importantes. Para obter mais informações, consulte Propriedades do cliente.
ENABLE_PASSCODE_AUTH
Nome de exibição: “Habilitar Autenticação por PIN Citrix”
Esta chave permite ativar a funcionalidade de PIN Citrix. Com o PIN ou código de acesso Citrix, os usuários são solicitados a definir um PIN para usar em vez de sua senha do Active Directory. Você deve habilitar esta configuração se ENABLE_PASSWORD_CACHING estiver habilitado ou se o XenMobile estiver usando autenticação por certificado.
Valores possíveis: true ou false
Valor padrão: false
ENABLE_PASSWORD_CACHING
Nome de exibição: “Habilitar Cache de Senha do Usuário”
Esta chave permite que a senha do Active Directory dos usuários seja armazenada em cache localmente no dispositivo móvel. Quando você define esta chave como true, os usuários são solicitados a definir um PIN ou código de acesso Citrix. A chave ENABLE_PASSCODE_AUTH deve ser definida como true quando você define esta chave como true.
Valores possíveis: true ou false
Valor padrão: false
PASSCODE_STRENGTH
Nome de exibição: “Requisito de Força do PIN”
Esta chave define a força do PIN ou código de acesso Citrix. Quando você altera esta configuração, os usuários são solicitados a definir um novo PIN ou código de acesso Citrix na próxima vez que forem solicitados a autenticar.
Valores possíveis: Baixa, Média ou Forte
Valor padrão: Média
INACTIVITY_TIMER
Nome de exibição: “Tempo limite de inatividade”
Esta chave define o tempo em minutos que os usuários podem deixar seus dispositivos inativos e, em seguida, acessar um aplicativo sem serem solicitados a inserir um PIN ou código de acesso Citrix. Para habilitar esta configuração para um aplicativo MDX, você deve definir a configuração “Código de Acesso do Aplicativo” como “Ativado”. Se a configuração “Código de Acesso do Aplicativo” estiver definida como “Desativado”, os usuários são redirecionados para o Secure Hub para realizar uma autenticação completa. Quando você altera esta configuração, o valor entra em vigor na próxima vez que os usuários forem solicitados a autenticar. O padrão é 15 minutos.
ENABLE_TOUCH_ID_AUTH
Nome de exibição: “Habilitar Autenticação por Touch ID”
Permite o uso do leitor de impressão digital (somente no iOS) para autenticação offline. A autenticação online ainda requer o método de autenticação primário.
ENCRYPT_SECRETS_USING_PASSCODE
Nome de exibição: “Criptografar segredos usando Código de Acesso”
Esta chave permite que dados confidenciais sejam armazenados no dispositivo móvel em um cofre secreto, em vez de em um armazenamento nativo baseado em plataforma, como o chaveiro do iOS. Esta chave de configuração permite uma criptografia forte de artefatos de chave, mas também adiciona entropia do usuário (um código PIN aleatório gerado pelo usuário que somente o usuário conhece).
Valores possíveis: true ou false
Valor padrão: false
Configurações do Citrix ADC
Tempo limite da sessão: Se você habilitar esta configuração, o Citrix Gateway desconecta a sessão se o Citrix ADC não detectar atividade de rede durante o intervalo especificado. Esta configuração é aplicada a usuários que se conectam com o Citrix Gateway Plug-in, Citrix Receiver™, Secure Hub ou por meio de um navegador da web. O padrão é de 1440 minutos. Se você definir este valor como zero, a configuração será desabilitada.
Tempo limite forçado: Se você habilitar esta configuração, o Citrix Gateway desconecta a sessão após o término do intervalo de tempo limite, independentemente do que o usuário esteja fazendo. Quando o intervalo de tempo limite expira, não há ação que o usuário possa tomar para evitar a desconexão. Esta configuração é aplicada a usuários que se conectam com o Citrix Gateway Plug-in, Citrix Receiver, Secure Hub ou por meio de um navegador da web. Se o Secure Mail estiver usando STA, um modo especial do Citrix ADC, a configuração de Tempo limite forçado não se aplica às sessões do Secure Mail. O padrão é de 1440 minutos. Se você deixar este valor em branco, a configuração será desabilitada.
Para obter mais informações sobre as configurações de tempo limite no Citrix Gateway, consulte a documentação do Citrix ADC.
Para obter mais informações sobre os cenários que solicitam que os usuários se autentiquem com o XenMobile inserindo credenciais em seus dispositivos, consulte Cenários de Solicitação de Autenticação.
Configurações de configuração padrão
Estas configurações são os padrões fornecidos por:
- Assistente NetScaler® para XenMobile
- MAM SDK ou MDX Toolkit
- Console XenMobile
| Configuração | Onde Encontrar a Configuração | Configuração Padrão |
|---|---|---|
| Tempo limite da sessão | Citrix Gateway | 1440 minutos |
| Tempo limite forçado | Citrix Gateway | 1440 minutos |
| Período offline máximo | Políticas MDX | 72 horas |
| Expiração do tíquete de serviços em segundo plano | Políticas MDX | 168 horas (7 dias) |
| Sessão online necessária | Políticas MDX | Desativado |
| Período de carência da sessão online necessária | Políticas MDX | 0 |
| Senha do aplicativo | Políticas MDX | Ativado |
| Criptografar segredos usando senha | Propriedades do cliente XenMobile | false |
| Habilitar Autenticação PIN Citrix | Propriedades do cliente XenMobile | false |
| Requisito de Força do PIN | Propriedades do cliente XenMobile | Médio |
| Tipo de PIN | Propriedades do cliente XenMobile | Numérico |
| Habilitar Cache de Senha do Usuário | Propriedades do cliente XenMobile | false |
| Temporizador de Inatividade | Propriedades do cliente XenMobile | 15 |
| Habilitar Autenticação Touch ID | Propriedades do cliente XenMobile | false |
Configurações Recomendadas
Esta seção apresenta exemplos de três configurações do XenMobile que variam da segurança mais baixa e experiência de usuário ideal à segurança mais alta e experiência de usuário mais intrusiva. Esses exemplos devem fornecer pontos de referência úteis para determinar onde, na escala, você deseja posicionar sua própria configuração. A modificação dessas configurações pode exigir que você altere outras configurações também. Por exemplo, o período offline máximo deve ser sempre menor que o tempo limite da sessão.
Segurança Mais Alta
Esta configuração oferece o mais alto nível de segurança, mas contém compensações significativas de usabilidade.
| Configuração | Onde Encontrar a Configuração | Configuração Recomendada | Impacto no Comportamento |
| Tempo limite da sessão | Citrix Gateway | 1440 | Os usuários inserem suas credenciais do Secure Hub somente quando a autenticação online é necessária — a cada 24 horas. |
| Tempo limite forçado | Citrix Gateway | 1440 | A autenticação online é estritamente exigida a cada 24 horas. A atividade não estende a vida útil da sessão. |
| Período offline máximo | Políticas MDX | 23 | Requer atualização da política todos os dias. |
| Expiração do tíquete de serviços em segundo plano | Políticas MDX | 72 horas | Tempo limite para STA, que permite sessões de longa duração sem um token de sessão do Citrix Gateway. No caso do Secure Mail, tornar o tempo limite do STA mais longo do que o tempo limite da sessão evita que as notificações de e-mail parem sem solicitar ao usuário se ele não abrir o aplicativo antes que a sessão expire. |
| Sessão online necessária | Políticas MDX | Desativado | Garante uma conexão de rede válida e uma sessão do Citrix Gateway para usar aplicativos. |
| Período de carência da sessão online necessária | Políticas MDX | 0 | Sem período de carência (se você habilitou a Sessão online necessária). |
| Senha do aplicativo | Políticas MDX | Ativado | Exige uma senha para o aplicativo. |
| Criptografar segredos usando senha | Propriedades do cliente XenMobile | true | Uma chave derivada da entropia do usuário protege o cofre. |
| Habilitar Autenticação PIN Citrix | Propriedades do cliente XenMobile | true | Habilita o PIN Citrix para uma experiência de autenticação simplificada. |
| Requisito de Força do PIN | Propriedades do cliente XenMobile | Forte | Requisitos de alta complexidade de senha. |
| Tipo de PIN | Propriedades do cliente XenMobile | Alfanumérico | O PIN é uma sequência alfanumérica. |
| Habilitar Cache de Senha | Propriedades do cliente XenMobile | false | A senha do Active Directory não é armazenada em cache e o PIN Citrix é usado para autenticações offline. |
| Temporizador de Inatividade | Propriedades do cliente XenMobile | 15 | Se o usuário não usar aplicativos MDX ou Secure Hub durante este período, solicitar autenticação offline. |
| Habilitar Autenticação Touch ID | Propriedades do cliente XenMobile | false | Desabilita o Touch ID para casos de uso de autenticação offline no iOS. |
Segurança Mais Elevada
Uma abordagem mais intermediária, esta configuração exige que os usuários se autentiquem com mais frequência — a cada 3 dias, no máximo, em vez de 7 — e com segurança mais forte. O número aumentado de autenticações bloqueia o contêiner com mais frequência, garantindo a segurança dos dados quando os dispositivos não estão em uso.
| Configuração | Onde Encontrar a Configuração | Configuração Recomendada | Impacto no Comportamento |
| Tempo limite da sessão | Citrix Gateway | 4320 | Os usuários inserem suas credenciais do Secure Hub somente quando a autenticação online é necessária — a cada 3 dias. |
| Tempo limite forçado | Citrix Gateway | Sem valor | As sessões são estendidas se houver alguma atividade. |
| Período offline máximo | Políticas MDX | 71 | Requer atualização da política a cada 3 dias. A diferença de horas é para permitir a atualização antes do tempo limite da sessão. |
| Expiração do tíquete de serviços em segundo plano | Políticas MDX | 168 horas | Tempo limite para STA, que permite sessões de longa duração sem um token de sessão do Citrix Gateway. No caso do Secure Mail, tornar o tempo limite do STA mais longo do que o tempo limite da sessão evita que as notificações de e-mail parem sem solicitar ao usuário se ele não abrir o aplicativo antes que a sessão expire. |
| Sessão online necessária | Políticas MDX | Desativado | Garante uma conexão de rede válida e uma sessão do Citrix Gateway para usar aplicativos. |
| Período de carência da sessão online necessária | Políticas MDX | 0 | Sem período de carência (se você habilitou a Sessão online necessária). |
| Senha do aplicativo | Políticas MDX | Ativado | Exige uma senha para o aplicativo. |
| Criptografar segredos usando senha | Propriedades do cliente XenMobile | false | Não exige entropia do usuário para criptografar o cofre. |
| Habilitar Autenticação PIN Citrix | Propriedades do cliente XenMobile | true | Habilita o PIN Citrix para uma experiência de autenticação simplificada. |
| Requisito de Força do PIN | Propriedades do cliente XenMobile | Médio | Impõe regras de complexidade de senha média. |
| Tipo de PIN | Propriedades do cliente XenMobile | Numérico | Um PIN é uma sequência numérica. |
| Habilitar Cache de Senha | Propriedades do cliente XenMobile | true | O PIN do usuário armazena em cache e protege a senha do Active Directory. |
| Temporizador de Inatividade | Propriedades do cliente XenMobile | 30 | Se o usuário não usar aplicativos MDX ou Secure Hub durante este período, solicitar autenticação offline. |
| Habilitar Autenticação Touch ID | Propriedades do cliente XenMobile | true | Habilita o Touch ID para casos de uso de autenticação offline no iOS. |
Segurança Alta
Esta configuração, a mais conveniente para os usuários, oferece segurança de nível básico.
| Configuração | Onde Encontrar a Configuração | Configuração Recomendada | Impacto no Comportamento |
| Tempo limite da sessão | Citrix Gateway | 10080 | Os usuários inserem suas credenciais do Secure Hub somente quando a autenticação online é necessária — a cada 7 dias. |
| Tempo limite forçado | Citrix Gateway | Sem valor | As sessões são estendidas se houver alguma atividade. |
| Período offline máximo | Políticas MDX | 167 | Requer atualização da política toda semana (a cada 7 dias). A diferença de horas é para permitir a atualização antes do tempo limite da sessão. |
| Expiração do tíquete de serviços em segundo plano | Políticas MDX | 240 | Tempo limite para STA, que permite sessões de longa duração sem um token de sessão do Citrix Gateway. No caso do Secure Mail, tornar o tempo limite do STA mais longo do que o tempo limite da sessão evita que as notificações de e-mail parem sem solicitar ao usuário se ele não abrir o aplicativo antes que a sessão expire. |
| Sessão online necessária | Políticas MDX | Desativado | Garante uma conexão de rede válida e uma sessão do Citrix Gateway para usar aplicativos. |
| Período de carência da sessão online necessária | Políticas MDX | 0 | Sem período de carência (se você habilitou a Sessão online necessária). |
| Senha do aplicativo | Políticas MDX | Ativado | Exige uma senha para o aplicativo. |
| Criptografar segredos usando senha | Propriedades do cliente XenMobile | false | Não exige entropia do usuário para criptografar o cofre. |
| Habilitar Autenticação PIN Citrix | Propriedades do cliente XenMobile | true | Habilita o PIN Citrix para uma experiência de autenticação simplificada. |
| Requisito de Força do PIN | Propriedades do cliente XenMobile | Baixo | Sem requisitos de complexidade de senha. |
| Tipo de PIN | Propriedades do cliente XenMobile | Numérico | Um PIN é uma sequência numérica. |
| Habilitar Cache de Senha | Propriedades do cliente XenMobile | true | O PIN do usuário armazena em cache e protege a senha do Active Directory. |
| Temporizador de Inatividade | Propriedades do cliente XenMobile | 90 | Se o usuário não usar aplicativos MDX ou Secure Hub durante este período, solicitar autenticação offline. |
| Habilitar Autenticação Touch ID | Propriedades do cliente XenMobile | true | Habilita o Touch ID para casos de uso de autenticação offline no iOS. |
Usando a Autenticação Step-Up
Alguns aplicativos podem exigir autenticação aprimorada (por exemplo, um fator de autenticação secundário, como um token ou tempos limite de sessão agressivos). Você controla este método de autenticação por meio de uma política MDX. O método também requer um servidor virtual separado para controlar os métodos de autenticação (no mesmo ou em appliances Citrix ADC separados).
| Configuração | Onde Encontrar a Configuração | Configuração Recomendada | Impacto no Comportamento |
|---|---|---|---|
| Citrix Gateway Alternativo | Políticas MDX | Requer o FQDN e a porta do appliance Citrix ADC secundário. | Permite autenticação aprimorada controlada pelas políticas de autenticação e sessão do appliance Citrix ADC secundário. |
Se um usuário abrir um aplicativo que faz logon na instância alternativa do Citrix Gateway, todos os outros aplicativos usarão essa instância do Citrix Gateway para se comunicar com a rede interna. A sessão só retorna para a instância do Citrix Gateway de segurança mais baixa quando a sessão expira da instância do Citrix Gateway com segurança aprimorada.
Usando a Sessão Online Necessária
Para certos aplicativos, como o Secure Web, você pode querer garantir que os usuários executem um aplicativo apenas quando tiverem uma sessão autenticada e enquanto o dispositivo estiver conectado a uma rede. Esta política impõe essa opção e permite um período de carência para que os usuários possam concluir seu trabalho.
| Configuração | Onde Encontrar a Configuração | Configuração Recomendada | Impacto no Comportamento |
|---|---|---|---|
| Sessão online necessária | Políticas MDX | Ativado | Garante que o dispositivo esteja online e tenha um token de autenticação válido. |
| Período de carência da sessão online necessária | Políticas MDX | 15 | Permite um período de carência de 15 minutos antes que o usuário não possa mais usar os aplicativos. |