Product Documentation

Credenciais derivadas para o iOS

As credenciais derivadas fornecem autenticação forte para dispositivos móveis. As credenciais, derivadas de um cartão inteligente, residem em um dispositivo móvel em vez do cartão. O cartão inteligente é um cartão de verificação de identidade pessoal (Personal Identity Verification - PIV).

As credenciais derivadas são um certificado de registro que contém o identificador de usuário, como UPN. O XenMobile armazena as credenciais obtidas do provedor de credenciais em um cofre seguro no dispositivo.

O XenMobile pode usar credenciais derivadas para registro e autenticação de dispositivos iOS. Se configurado para credenciais derivadas, XenMobile não dá suporte a convites de registro ou outros modos de registro para dispositivos iOS. A Citrix recomenda que você não registre dispositivos Android em servidores configurados para credenciais derivadas.

Requisitos

  • Uma das seguintes soluções de credenciais derivadas:
    • Intercede 3.14 ou posterior. Para obter informações sobre os requisitos do Intercede, consulte https://www.intercede.com/solutions-derived-credentials. A Citrix validou que o XenMobile suporta a solução de credenciais derivadas do Intercede. O nome do aplicativo na Apple App Store é MyID for Citrix.

      Os usuários devem instalar o MyID for Citrix em seus dispositivos antes de se registrarem no XenMobile.

    • Outras soluções de credenciais derivadas

      Embora seja provável que a maioria das outras soluções de credenciais seja compatível com o XenMobile, teste a integração antes de implantá-la em produção.

  • XenMobile Server 10.6 (versão mínima)
    • Configurado para o modo Empresarial (XME)
    • Deve ter o certificado raiz da autoridade que emite certificados ao servidor do Provedor de credenciais. Essa configuração permite que o XenMobile aceite os certificados assinados digitalmente durante o registro. Para obter informações sobre como adicionar certificados, consulte Certificados e autenticação.
    • Se o domínio de email de usuário for diferente do domínio LDAP, inclua o domínio de email na configuração Alias de domínio, em Configurações > LDAP. Por exemplo, se o domínio de endereços de email for myID.com e o nome do domínio LDAP for sample.com, defina Alias de domínio como sample.com, myID.com.
    • O XenMobile não suporta o uso de credenciais derivadas com dispositivos compartilhados.
  • Certificados de identidade de usuário:
    • O nome de usuário no campo Nome de entidade alternativo deve ser formatado como o campo otherName, rfc822Name ou dNSName da extensão SubjectAltName. Não há suporte para outros campos. Para obter mais informações sobre o Nome de entidade alternativo, consulte a RFC, https://www.ietf.org/rfc/rfc5280.txt.
    • Não há suporte para o campo Entidade em Email ou CN.
  • NetScaler Gateway configurado para autenticação de certificado ou autenticação de certificado mais token de segurança

    Para obter informações sobre a configuração de PKIs, consulte Entidades PKI.

  • Secure Hub 10.8.15 (versão mínima)
  • Secure Mail 10.8.20 (versão mínima)
    • Use o mesmo certificado de desenvolvedor para assinar todos os aplicativos na Apple App Store.

Arquitetura

Para registro, o XenMobile Server se conecta aos componentes descritos na seção “Requisitos” anterior, conforme mostrado no diagrama a seguir.

Diagrama da arquitetura de registro de credenciais derivadas

  • Durante o registro de dispositivos, o Secure Hub obtém certificados do aplicativo de credenciais derivadas.
  • O aplicativo de credenciais derivadas se comunica com o servidor de gerenciamento de credenciais durante o registro.
  • Você pode usar o mesmo servidor ou um servidor diferente para o servidor de gerenciamento de credenciais e um provedor de PKI de terceiros.
  • O XenMobile Server se conecta ao seu servidor de PKI de terceiros para obter certificados.

Após o registro, os componentes se conectam conforme mostrado no diagrama a seguir.

Diagrama da arquitetura de pós-registro de credenciais derivadas

As seções a seguir descrevem como configurar o XenMobile com um provedor de credenciais derivadas, ativar credenciais derivadas para registro e gerenciar dispositivos que usam credenciais derivadas.

Ativar credenciais derivadas

Por padrão, o console XenMobile não inclui a página Configurações > Credenciais derivadas. Para ativar a interface para credenciais derivadas, vá até Configurações > Propriedades do servidor, adicione a propriedade de servidor derived.credentials.enable e defina-a como true.

Imagem da tela de configuração de propriedades do servidor

Configurar credenciais derivadas

Estas instruções pressupõem que você tenha uma configuração funcional para o provedor de credenciais derivadas que planeja integrar com o XenMobile. Em seguida, você poderá configurar o XenMobile para se comunicar com esse servidor. Você também escolhe um certificado de CA de credenciais derivadas já adicionado ao XenMobile ou importa esse certificado.

É possível ativar o suporte ao protocolo OCSP para esse certificado de CA. Para obter mais informações sobre o protocolo OCSP, consulte “CAs discricionárias”, em Entidades PKI.

  1. No console XenMobile, vá até Configurações > Credenciais derivadas para iOS.

    Imagem da tela de configuração de credenciais derivadas

  2. Em Provedor:

    • Escolher o provedor de credenciais derivadas. A Citrix validou que o XenMobile suporta o Intercede. Se você escolher Outros para o provedor, teste a integração antes de colocar seu servidor em produção.

    • URL do aplicativo (iOS): se você escolher Intercede como o provedor, o XenMobile preencherá a URL do aplicativo. Se você escolher Outros como provedor, obtenha a URL do aplicativo com o provedor de credenciais derivadas.

      Se um dispositivo não puder entrar em contato com seu provedor, verifique a URL do aplicativo com o provedor. Talvez seja necessário alterá-la.

    • Parâmetros opcionais: alguns provedores de credenciais derivadas podem exigir que você forneça parâmetros para a conexão. Por exemplo, um fornecedor pode exigir que você especifique as URLs de um servidor back-end. Clique em Adicionar para fornecer parâmetros.

  3. Especifique um certificado para credenciais derivadas: se o certificado já estiver carregado no XenMobile, escolha-o em AC emissora. Caso contrário, clique em Importar para adicionar um certificado. A caixa de diálogo Importar certificado é exibida.

  4. Na caixa de diálogo Importar certificado, clique em Procurar para navegar até o certificado. Em seguida, clique em Procurar para navegar até o arquivo de chave privada.

    Imagem da tela de configuração de credenciais derivadas

  5. Se você escolher o Intercede como provedor, o XenMobile preencherá o Campo de identificador do usuário e o Tipo de identificador do usuário. Para o Intercede, o Campo de identificador do usuário é o Nome de entidade alternativo, e o Tipo de identificador do usuário é userPrincipalName. Entre em contato com outros provedores de credenciais derivadas para obter suas informações relacionadas e definir as configurações.

  6. Você tem a opção de usar um respondedor OCSP para verificação da revogação de certificados. Por padrão, a verificação OSP está desativada. Para ativar o suporte OCSP para o certificado de CA:

    • Defina Verificação OCSP como I.

    Imagem da tela de configuração de credenciais derivadas

    • Escolha uma opção para Use o URL de OCSP personalizada. Por padrão, o XenMobile extrai a URL OCSP do certificado (a opção Usar definição de certificado para revogação). Para especificar uma URL de respondedor, clique em Usar definido pelo usuário e digite a URL.
    • AC respondedora: em AC respondedora, escolha um certificado. Ou clique em Importar e use a caixa de diálogo Importar certificado para localizar o certificado.
  7. Clique em Salvar. A caixa de diálogo Credenciais derivadas é exibida.

    Imagem da tela de configuração de credenciais derivadas

    • Para ativar a configuração de credenciais derivadas, clique em Salvar. Para usar credenciais derivadas, você também deve definir as configurações de registro.

    • Para ativar a configuração de credenciais derivadas e ir imediatamente para Configurações > Registro, clique em Salvar e Ir para Registro.

  8. Para ativar credenciais derivadas para registro: na página Configurações > Registro, em Registro avançado, selecione Credenciais derivadas (apenas iOS) e clique em Ativar.

    Imagem da tela de configuração do registro

  9. Uma caixa de diálogo de confirmação é exibida. Para ativar credenciais derivadas, marque a caixa de seleção e clique em Ativar.

    Imagem da tela de configuração do registro

  10. Para editar opções de registro de credenciais derivadas, acesse Configurações > Registro, selecione Credenciais derivadas (apenas iOS) e clique em Editar.

Depois que você ativar credenciais derivadas, no relatório Registro de dispositivos, a coluna Modo de registro mostrará derived_credentials.

Para conhecer as etapas de registro ao usar credenciais derivadas, consulte Dispositivos iOS que usam credenciais derivadas.

Importante:

Depois de concluir estas etapas, talvez seja necessário reiniciar o XenMobile Server.

Configurar o XenMobile Server para Secure Mail

Para que o Secure Mail funcione corretamente com credenciais derivadas, adicione a propriedade do cliente LDAP Attributes.

Siga as etapas para adicionar uma propriedade de cliente no artigo Propriedades do cliente. Use as seguintes informações:

  • Chave: SEND_LDAP_ATTRIBUTES
  • Valor: userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname},displayName=${user.displayName},mail=${user.mail}

Imagem da tela de configuração das propriedades do cliente

Nota:

Para obter um exemplo do processo de regsitro usando credenciais derivadas, consulte Registro de dispositivos usando credenciais derivadas.