Credenciais derivadas

As credenciais derivadas fornecem autenticação forte para dispositivos móveis. As credenciais, derivadas de um cartão inteligente, residem em um dispositivo móvel em vez do cartão. O cartão inteligente é um cartão de verificação de identidade pessoal (Personal Identity Verification - PIV).

As credenciais derivadas são um certificado de registro que contém o identificador de usuário, como UPN. O XenMobile salva as credenciais obtidas do provedor de credenciais em um cofre seguro no dispositivo.

O XenMobile pode usar credenciais derivadas para registro e autenticação do dispositivo. Se configurado para credenciais derivadas, o XenMobile não dá suporte a convites de registro ou outros modos de registro. A Citrix suporta o uso de um aplicativo de credenciais derivadas durante o registro do iOS.

Arquitetura

Para o registro, o XenMobile Server se conecta aos componentes, conforme mostrado no diagrama a seguir.

Diagrama da arquitetura de registro de credenciais derivadas

  • Durante o registro de dispositivos, o Secure Hub obtém certificados do aplicativo de credenciais derivadas.
  • O aplicativo de credenciais derivadas se comunica com o servidor de gerenciamento de credenciais durante o registro.
  • Você pode usar o mesmo servidor ou um servidor diferente para o servidor de gerenciamento de credenciais e um provedor de PKI de terceiros.
  • O XenMobile Server se conecta ao seu servidor de PKI de terceiros para obter certificados.

Requisitos

  • Baixe e instale o Citrix Secure Hub.
  • Com base na sua solução de credencial derivada, baixe e configure o aplicativo:

    • Para Entrust Datacard:
      • Baixe e instale o aplicativo Citrix Derived Credential Manager em seus dispositivos antes de se registrar no XenMobile. O aplicativo Derived Credentials Manager é o aplicativo provedor de identidade da Citrix. Segue o logotipo desse aplicativo. Imagem do logotipo do aplicativo de credenciais derivadas

        Nota:

        O aplicativo Citrix Derived Credential Manager suporta apenas novos registros. Os usuários do dispositivo devem se registrar novamente.

      • XenMobile Server versão 10.8 ou posterior.
      • O XenMobile Server deve ser configurado no modo Empresarial.
    • Para outros provedores de credenciais derivadas: embora seja provável que a maioria das outras soluções de credenciais seja compatível com o XenMobile, teste a integração antes de colocá-la em produção.
  • Deve ter o certificado raiz da autoridade que emite certificados ao servidor do Provedor de credenciais. Essa configuração permite que o XenMobile aceite os certificados assinados digitalmente durante o registro. Para obter informações sobre como adicionar certificados, consulte Certificados e autenticação.
    • Se o domínio de email de usuário for diferente do domínio LDAP, inclua o domínio de email na configuração Alias de domínio, em Configurações > LDAP. Por exemplo, se o domínio de endereços de email for citrix.com e o nome do domínio LDAP for sample.com, defina Alias de domínio como sample.com, citrix.com.
    • O XenMobile não suporta o uso de credenciais derivadas com dispositivos compartilhados.
  • Certificados de identidade de usuário:
    • O nome de usuário no campo Nome de entidade alternativo deve ser formatado como o campo otherName, rfc822Name ou dNSName da extensão SubjectAltName. Não há suporte para outros campos. Para obter mais informações sobre o Nome de entidade alternativo, consulte a RFC, https://www.ietf.org/rfc/rfc5280.txt.
    • Não há suporte para o campo Entidade em Email ou CN.
  • Citrix Gateway configurado para autenticação de certificado ou autenticação de certificado mais token de segurança

Ativar credenciais derivadas

Por padrão, o console XenMobile não inclui a página Configurações > Credenciais derivadas.

Para ativar a interface para credenciais derivadas:

  • Vá até Configurações > Propriedades do servidor, adicione derived.credentials.enable como a propriedade de servidor e defina o valor da propriedade como true.

Imagem da tela de configuração de propriedades do servidor

Configurar credenciais derivadas

Parte-se do pressuposto que você tenha uma configuração funcional para o provedor de credenciais derivadas que planeja integrar com o XenMobile. Você poderá configurar o XenMobile para se comunicar com esse servidor. Você também pode escolher um certificado de CA de credenciais derivadas já adicionado ao XenMobile ou importar o certificado.

É possível ativar o suporte ao protocolo OCSP para esse certificado de CA. Para obter mais informações sobre o protocolo OCSP, consulte “CAs discricionárias”, em Entidades PKI.

  1. No console XenMobile, vá até Configurações > Credenciais derivadas para iOS.

  2. Em Escolher o provedor de credenciais derivadas, escolha Outro para Entrust Datacard. Digite dcapp://mode=SecureHub em URL de aplicativo (iOS).

    Imagem da tela de configuração de credenciais derivadas

  3. Parâmetros opcionais: alguns provedores de credenciais derivadas podem exigir que você forneça parâmetros para a conexão. Por exemplo, um fornecedor pode exigir que você especifique as URLs de um servidor back-end. Clique em Adicionar para fornecer parâmetros.

  4. Especifique um certificado para credenciais derivadas: se o certificado já estiver carregado no XenMobile, escolha-o em AC emissora. Caso contrário, clique em Importar para adicionar um certificado. A caixa de diálogo Importar certificado é exibida.

  5. Na caixa de diálogo Importar certificado, clique em Procurar para navegar até o certificado. Em seguida, clique em Procurar para navegar até o arquivo de chave privada.

    Imagem da tela de configuração de credenciais derivadas

  6. Defina as configurações.
    • No aplicativo Citrix Derived Credentials Manager: o Campo de identificador do usuário é o Nome de entidade alternativo, e o Tipo de identificador do usuário é userPrincipalName.
    • Entre em contato com outros provedores de credenciais derivadas para obter suas informações.
  7. Você tem a opção de usar um respondedor OCSP para verificação da revogação de certificados. A Citrix recomenda o uso de um respondedor OCSP para fins de segurança. Por padrão, a verificação OSP é Desativado.

    • Se você ativar o suporte OCSP para o certificado de CA, escolha uma opção para Use o URL de OCSP personalizada. Por padrão, o XenMobile extrai a URL OCSP do certificado (a opção Usar definição de certificado para revogação). Para especificar uma URL de respondedor, clique em Usar definido pelo usuário e digite a URL.
    • AC respondedora: em AC respondedora, escolha um certificado. Ou clique em Importar e use a caixa de diálogo Importar certificado para localizar o certificado.
  8. Clique em Salvar. A caixa de diálogo Ativação de credenciais derivadas é exibida.

    Imagem da tela de configuração de credenciais derivadas

    • Para ativar a configuração de credenciais derivadas, clique em Salvar. Para usar credenciais derivadas, você também deve definir as configurações de registro.

    • Para ativar a configuração de credenciais derivadas e ir imediatamente para Configurações > Registro, clique em Salvar e Ir para Registro.

  9. Para ativar credenciais derivadas para registro: na página Configurações > Registro, em Registro avançado, selecione Credenciais derivadas (apenas iOS) e clique em Ativar.

    Imagem da tela de configuração do registro

  10. Uma caixa de diálogo de confirmação é exibida. Para ativar credenciais derivadas, marque a caixa de seleção e clique em Ativar.

    Imagem da tela de configuração do registro

  11. Para editar opções de registro de credenciais derivadas, acesse Configurações > Registro, selecione Credenciais derivadas (apenas iOS) e clique em Editar.

Depois que você ativar credenciais derivadas, no relatório Registro de dispositivos, a coluna Modo de registro mostrará derived_credentials.

Importante:

Depois de adicionar o provedor de credenciais derivadas, reinicie o XenMobile Server.

Configurar o XenMobile Server para Secure Mail

Para que o Secure Mail funcione com credenciais derivadas, adicione a propriedade do cliente LDAP Attributes. Para obter informações sobre como adicionar uma propriedade de cliente, consulte Propriedades do cliente.

Use as seguintes informações para a propriedade do cliente:

  • Chave: SEND_LDAP_ATTRIBUTES
  • Valor: userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname},displayName=${user.displayName},mail=${user.mail}

Imagem da tela de configuração das propriedades do cliente

Ativação de credenciais derivadas do Entrust Datacard em dispositivos iOS

Nota:

Ao utilizar o site da Entrust:

  • Certifique-se de que o navegador Internet Explorer esteja habilitado para Java quando você programar o cartão PIV.
  • Limpe o cache do navegador quando trocar de cartão PIV.
  1. Para solicitar novas credenciais inteligentes, utilize um computador ou outro dispositivo para iniciar uma sessão no site da Entrust. Faça login usando o botão em Smart Credential Log In, na parte inferior da página. Os usuários inserem o cartão inteligente em um leitor acoplado ao computador.

    Imagem da página de login do entrust

  2. Em Self-Administration Actions, selecione I’d like to enroll for a derived mobile smart credential e clique em Done.

    Imagem das ações administrativas do entrust

  3. Na tela Derived Mobile Smart Credential, forneça o nome de identidade em Identity Name. O usuário pode escolher um nome exclusivo, como um nome de usuário ou números de ID.
  4. Selecione Citrix DCAPP no menu aplicativo de credenciais derivadas e clique em Ok.

    Imagem das credenciais inteligentes de dispositivos móveis derivadas

    A tela de ativação de código QR aparece e solicita ao usuário que escaneie o código com o dispositivo móvel.

    Nota:

    Por padrão, o código QR de credenciais derivadas expira em 3 minutos.

  5. Escaneie o código QR usando o aplicativo Derived Credential Manager no dispositivo para concluir a ativação.

    Imagem da ativação do código QR de credenciais inteligentes de dispositivos móveis derivadas

Registro do dispositivo

Depois de concluir a instalação descrita anteriormente neste artigo, os usuários podem registrar seus dispositivos usando credenciais derivadas.

Nota:

As capturas de tela desta seção usam o Entrust Datacard como exemplo.

  1. Toque para abrir o Secure Hub. Quando solicitado, digite o nome de domínio totalmente qualificado do XenMobile Server e clique em Avançar.
  2. Clique em Sim, registrar. O registro do dispositivo no Secure Hub é iniciado.

    Imagem do registro no Secure Hub

    Se o XenMobile Server oferecer suporte a credenciais derivadas, o Secure Hub solicita ao usuário que crie e confirme o PIN da Citrix.

    Imagem da confirmação do PIN do Secure Hub

    Depois de confirmar o PIN da Citrix, aparece a tela de abertura de configuração de Credenciais Derivadas. Siga as instruções para ativar as credenciais inteligentes.

  3. Toque em Escanear código. A câmera do telefone celular é ativada.

    Imagem da tela de abertura

    Nota:

    Para escanear o código QR, certifique-se de que sua câmera e microfone estão ativados e têm as permissões de acesso necessárias.

  4. No aplicativo de credenciais derivadas, escaneie o código QR que foi criado em etapas anteriores.

    Imagem do código QR escaneado

  5. Depois de escanear o código QR, na tela Importar novo certificado aparece uma caixa de diálogo de senha: digite a senha e clique em OK.

    Imagem da senha do certificado

    A tela Importar novo certificado é exibida com os campos preenchidos automaticamente.

    Imagem do novo certificado

  6. Depois que os certificados forem adicionados com êxito, na tela de Credenciais derivadas, clique em Continue to Secure Hub.

    Imagem do início do registro

  7. No Secure Hub, insira um novo PIN quando solicitado.

    Depois de autenticar o PIN, o Secure Hub baixa os certificados. Siga os prompts para concluir o registro.

Para exibir informações do dispositivo no console XenMobile:

  • Vá para Gerenciar > Dispositivos e selecione um dispositivo para exibir uma caixa de comando. Clique em Mostrar mais.
  • Vá para Analisar > Painel.