Credenciais derivadas
As credenciais derivadas fornecem autenticação forte para dispositivos móveis. Um cartão inteligente fornece as credenciais, que residem em um dispositivo móvel em vez do cartão. Um cartão inteligente é um cartão de verificação de identidade pessoal (Personal Identity Verification - PIV).
As credenciais derivadas são um certificado de registro que contém o identificador de usuário, como UPN. O XenMobile salva as credenciais obtidas do provedor de credenciais em um cofre seguro no dispositivo.
O XenMobile pode usar credenciais derivadas para registro e autenticação do dispositivo. Se configurado para credenciais derivadas, o XenMobile não dá suporte a convites de registro ou outros modos de registro. A Citrix suporta o uso de um aplicativo de credenciais derivadas durante o registro do iOS.
Arquitetura
Para o registro, o XenMobile Server se conecta aos componentes, conforme mostrado no diagrama a seguir.
- Durante o registro de dispositivos, o Secure Hub obtém certificados do aplicativo de credenciais derivadas.
- O aplicativo de credenciais derivadas se comunica com o servidor de gerenciamento de credenciais durante o registro.
- Você pode usar o mesmo servidor ou um servidor diferente para o servidor de gerenciamento de credenciais e um provedor de PKI de terceiros.
- O XenMobile Server se conecta ao seu servidor de PKI de terceiros para obter certificados.
Requisitos
- Baixe e instale o Citrix Secure Hub.
-
Com base na sua solução de credencial derivada, baixe e configure o aplicativo:
-
Para Entrust Datacard:
- Baixe e instale o aplicativo Citrix Derived Credential Manager em seus dispositivos antes de se registrar no XenMobile. O aplicativo Derived Credentials Manager é o aplicativo provedor de identidade da Citrix. Segue o logotipo desse aplicativo.
- O aplicativo Citrix Derived Credential Manager suporta apenas novos registros. Os usuários do dispositivo devem se registrar novamente.
- XenMobile Server versão 10.8 ou posterior.
- Requer o registro de dispositivo no MDM+MAM.
- Baixe e instale o aplicativo Citrix Derived Credential Manager em seus dispositivos antes de se registrar no XenMobile. O aplicativo Derived Credentials Manager é o aplicativo provedor de identidade da Citrix. Segue o logotipo desse aplicativo.
- Para outros provedores de credenciais derivadas: embora seja provável que a maioria das outras soluções de credenciais seja compatível com o XenMobile, teste a integração antes de colocá-la em produção.
-
Para Entrust Datacard:
- Deve ter o certificado raiz da autoridade que emite certificados ao servidor do Provedor de credenciais. Essa configuração permite que o XenMobile aceite os certificados assinados digitalmente durante o registro. Para obter informações sobre como adicionar certificados, consulte Certificados e autenticação.
- Se o domínio de email de usuário for diferente do domínio LDAP, inclua o domínio de email na configuração Alias de domínio, em Configurações > LDAP. Por exemplo, se o domínio de endereços de email for
citrix.com
e o nome do domínio LDAP forsample.com
, defina Alias de domínio comosample.com, citrix.com
. - O XenMobile não suporta o uso de credenciais derivadas com dispositivos compartilhados.
- Se o domínio de email de usuário for diferente do domínio LDAP, inclua o domínio de email na configuração Alias de domínio, em Configurações > LDAP. Por exemplo, se o domínio de endereços de email for
- Certificados de identidade de usuário:
- O nome de usuário no campo Nome de entidade alternativo deve ser formatado como o campo otherName, rfc822Name ou dNSName da extensão SubjectAltName. Não há suporte para outros campos. Para obter mais informações sobre o Nome de entidade alternativo, consulte a RFC, https://www.ietf.org/rfc/rfc5280.txt.
- Não há suporte para o campo Entidade em Email ou CN.
- Citrix Gateway configurado para autenticação de certificado ou autenticação de certificado mais token de segurança
Ativar credenciais derivadas
Por padrão, o console XenMobile não inclui a página Configurações > Credenciais derivadas.
Para ativar a interface para credenciais derivadas:
- Vá até Configurações > Propriedades do servidor, adicione derived.credentials.enable como a propriedade de servidor e defina o valor da propriedade como true.
Configurar credenciais derivadas
Parte-se do pressuposto que você tenha uma configuração funcional para o provedor de credenciais derivadas que planeja integrar com o XenMobile. Você poderá configurar o XenMobile para se comunicar com esse servidor. Você também pode escolher um certificado de CA de credenciais derivadas já adicionado ao XenMobile ou importar o certificado.
É possível ativar o suporte ao protocolo OCSP para esse certificado de CA. Para obter mais informações sobre o protocolo OCSP, consulte “CAs discricionárias”, em Entidades PKI.
-
No console XenMobile, vá até Configurações > Credenciais derivadas para iOS.
-
Em Escolher o provedor de credenciais derivadas, escolha Outro para Entrust Datacard. Digite
dcapp://mode=SecureHub
em URL de aplicativo (iOS). -
Parâmetros opcionais: alguns provedores de credenciais derivadas podem exigir que você forneça parâmetros para a conexão. Por exemplo, um fornecedor pode exigir que você especifique as URLs de um servidor back-end. Clique em Adicionar para fornecer parâmetros.
-
Especifique um certificado para credenciais derivadas: se o certificado já estiver carregado no XenMobile, escolha-o em AC emissora. Caso contrário, clique em Importar para adicionar um certificado. A caixa de diálogo Importar certificado é exibida.
-
Na caixa de diálogo Importar certificado, clique em Procurar para navegar até o certificado. Em seguida, clique em Procurar para navegar até o arquivo de chave privada.
- Defina as configurações.
- No aplicativo Citrix Derived Credentials Manager: o Campo de identificador do usuário é o Nome de entidade alternativo, e o Tipo de identificador do usuário é userPrincipalName.
- Entre em contato com outros provedores de credenciais derivadas para obter suas informações.
-
Você tem a opção de usar um respondedor OCSP para verificação da revogação de certificados. A Citrix recomenda o uso de um respondedor OCSP para fins de segurança. Por padrão, a verificação OSP é Desativado.
- Se você ativar o suporte OCSP para o certificado de CA, escolha uma opção para Use a URL de OCSP personalizada. Por padrão, o XenMobile extrai a URL OCSP do certificado (a opção Usar definição de certificado para revogação). Para especificar uma URL de respondedor, clique em Usar definido pelo usuário e digite a URL.
- AC respondedora: em AC respondedora, escolha um certificado. Ou clique em Importar e use a caixa de diálogo Importar certificado para localizar o certificado.
-
Clique em Salvar. A caixa de diálogo Ativação de credenciais derivadas é exibida.
-
Para ativar a configuração de credenciais derivadas, clique em Salvar. Para usar credenciais derivadas, você também deve definir as configurações de registro.
-
Para ativar a configuração de credenciais derivadas e ir imediatamente para Configurações > Registro, clique em Salvar e Ir para Registro.
-
-
Para ativar credenciais derivadas para registro: na página Configurações > Registro, em Registro avançado, selecione Credenciais derivadas (apenas iOS) e clique em Ativar.
-
Uma caixa de diálogo de confirmação é exibida. Para ativar credenciais derivadas, marque a caixa de seleção e clique em Ativar.
- Para editar opções de registro de credenciais derivadas, acesse Configurações > Registro, selecione Credenciais derivadas (apenas iOS) e clique em Editar.
Depois que você ativar credenciais derivadas, no relatório Registro de dispositivos, a coluna Modo de registro mostrará derived_credentials.
Importante:
Depois de adicionar o provedor de credenciais derivadas, reinicie o XenMobile Server.
Configurar o XenMobile Server para Secure Mail
Para que o Secure Mail dê suporte a credenciais derivadas, adicione a propriedade de cliente SEND_LDAP_ATTRIBUTES
. Para obter informações sobre como adicionar uma propriedade de cliente, consulte Propriedades do cliente.
Use as seguintes informações para a propriedade do cliente:
-
Chave:
SEND_LDAP_ATTRIBUTES
-
Valor:
userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname},displayName=${user.displayName},mail=${user.mail}
Ativação de credenciais derivadas do Entrust Datacard em dispositivos iOS
Nota:
Ao utilizar o site da Entrust:
- Certifique-se de que o navegador Internet Explorer esteja habilitado para Java quando você programar o cartão PIV.
- Limpe o cache do navegador quando trocar de cartão PIV.
-
Para solicitar novas credenciais inteligentes, utilize um computador ou outro dispositivo para iniciar uma sessão no site da Entrust. Faça login usando o botão em Smart Credential Log In, na parte inferior da página. Os usuários inserem o cartão inteligente em um leitor acoplado ao computador.
-
Em Self-Administration Actions, selecione I’d like to enroll for a derived mobile smart credential e clique em Done.
- Na tela Derived Mobile Smart Credential, forneça o nome de identidade em Identity Name. O usuário pode escolher um nome exclusivo, como um nome de usuário ou números de ID.
-
Selecione Citrix DCAPP no menu aplicativo de credenciais derivadas e clique em Ok.
A tela de ativação de código QR aparece e solicita ao usuário que escaneie o código com o dispositivo móvel.
Nota:
Por padrão, o código QR de credenciais derivadas expira em 3 minutos.
-
Escaneie o código QR usando o aplicativo Derived Credential Manager no dispositivo para concluir a ativação.
Registro do dispositivo
Depois de concluir a instalação descrita anteriormente neste artigo, os usuários podem registrar seus dispositivos usando credenciais derivadas.
Nota:
As capturas de tela desta seção usam o Entrust Datacard como exemplo.
- Toque para abrir o Secure Hub. Quando solicitado, digite o nome de domínio totalmente qualificado do XenMobile Server e clique em Avançar.
-
Clique em Sim, registrar. O registro do dispositivo no Secure Hub é iniciado.
Se o XenMobile Server oferecer suporte a credenciais derivadas, o Secure Hub solicita ao usuário que crie e confirme o PIN da Citrix.
Depois de confirmar o PIN da Citrix, aparece a tela de abertura de configuração de Credenciais Derivadas. Siga as instruções para ativar as credenciais inteligentes.
-
Toque em Escanear código. A câmera do telefone celular é ativada.
Nota:
Para escanear o código QR, certifique-se de que sua câmera e microfone estão ativados e têm as permissões de acesso necessárias.
-
No aplicativo de credenciais derivadas, escaneie o código QR que foi criado em etapas anteriores.
-
Depois de escanear o código QR, na tela Importar novo certificado aparece uma caixa de diálogo de senha: digite a senha e clique em OK.
A tela Importar novo certificado é exibida com os campos preenchidos automaticamente.
-
Depois que os certificados forem adicionados com êxito, na tela de Credenciais derivadas, clique em Continue to Secure Hub.
-
No Secure Hub, insira um novo PIN quando solicitado.
Depois de autenticar o PIN, o Secure Hub baixa os certificados. Siga os prompts para concluir o registro.
Para exibir informações do dispositivo no console XenMobile:
- Vá para Gerenciar > Dispositivos e selecione um dispositivo para exibir uma caixa de comando. Clique em Mostrar mais.
- Vá para Analisar > Painel.