产品文档
Citrix Endpoint Management
查看 PDF

MDX 应用程序的 SSO 和代理注意事项

April 11, 2023
投稿者: 
C

通过 Endpoint Management 与 Citrix Gateway 的集成,您可以向用户提供通过单点登录 (SSO) 访问所有后端 HTTP/HTTPS 资源的功能。根据您的 SSO 身份验证要求,将 MDX 应用程序的用户连接配置为使用 Secure Browse(通道 - Web SSO),这是一种无客户端 VPN。

重要:

Citrix 弃用了对 iOS 和 Android 设备的完整 VPN 通道部署使用完整 VPN 通道和代理自动配置 (PAC) 文件的支持。有关详细信息,请参阅弃用

如果 Citrix Gateway 不是在您的环境中提供 SSO 的最佳方法,则可以为 MDX 应用程序设置基于策略的本地密码缓存。本文探讨了各种 SSO 和代理选项,重点探讨 Secure Web。这些概念适用于其他 MDX 应用程序。

下面的流程图概括了 SSO 和用户连接的决策流程。

SSO 和用户连接的决策流程

Citrix Gateway 身份验证方法

本节提供了有关 Citrix Gateway 支持的身份验证方法的常规信息。

SAML 身份验证

将 Citrix Gateway 配置为使用安全声明标记语言 (SAML) 时,用户可以连接到支持使用 SAML 协议进行单点登录的 Web 应用程序。Citrix Gateway 支持对 SAML Web 应用程序进行身份提供程序 (IdP) 单点登录。

所需的配置:

  • 在 Citrix Gateway 流量配置文件中配置 SAML SSO。
  • 为请求的服务配置 SAML IdP。

NTLM 身份验证

如果在会话配置文件中启用了通过 SSO 登录 Web 应用程序的功能,Citrix Gateway 将自动执行 NTLM 身份验证。

所需的配置:

  • 在 Citrix Gateway 会话或流量配置文件中启用 SSO。

Kerberos 模拟

Endpoint Management 仅支持对 Secure Web 使用 Kerberos。将 Citrix Gateway 配置为进行 Kerberos SSO 时,Citrix Gateway 将在用户密码对 Citrix Gateway 可用时使用模拟。模拟是指 Citrix Gateway 使用用户凭据获得获取对 Secure Web 等服务的访问权限所需的令牌。

所需的配置:

  • 配置 Citrix Gateway Worx 会话策略以允许其识别来自您的连接的 Kerberos 领域。
  • 在 Citrix Gateway 上配置 Kerberos 约束委派 (KCD) 帐户。将该帐户配置为无密码,并将其绑定到您的 Endpoint Management 网关上的流量策略。
  • 有关这些配置及其他配置的详细信息,请参阅 Citrix 博客:WorxWeb and Kerberos Impersonation SSO(WorxWeb 和 Kerberos 模拟 SSO)。

Kerberos 约束委派

Endpoint Management 仅支持对 Secure Web 使用 Kerberos。将 Citrix Gateway 配置为进行 Kerberos SSO 时,Citrix Gateway 将在用户密码对 Citrix Gateway 不可用时使用约束委派。

启用了约束委派时,Citrix Gateway 将使用指定的管理员帐户代表用户和服务获取令牌。

所需的配置:

  • 在 Active Directory 中配置具有所需权限的 KCD 帐户,并在 Citrix Gateway 上配置 KDC 帐户。
  • 在 Citrix Gateway 流量配置文件中启用 SSO。
  • 将后端 Web 站点配置为进行 Kerberos 身份验证。

表单填充身份验证

将 Citrix Gateway 配置为进行基于表单的单点登录时,用户登录一次即可访问您的网络中所有受保护的应用程序。此身份验证方法适用于使用“通道 - Web SSO”模式的应用程序。

所需的配置:

  • 在 Citrix Gateway 流量配置文件中配置基于表单的 SSO。

摘要式 HTTP 身份验证

如果在会话配置文件中启用通过 SSO 登录 Web 应用程序的功能,Citrix Gateway 将自动执行摘要式 HTTP 身份验证。此身份验证方法适用于使用“通道 - Web SSO”模式的应用程序。

所需的配置:

  • 在 Citrix Gateway 会话或流量配置文件中启用 SSO。

基本 HTTP 身份验证

如果在会话配置文件中启用通过 SSO 登录 Web 应用程序的功能,Citrix Gateway 将自动执行基本 HTTP 身份验证。此身份验证方法适用于使用“通道 - Web SSO”模式的应用程序。

所需的配置:

  • 在 Citrix Gateway 会话或流量配置文件中启用 SSO。

安全通道 - Web SSO

本部分介绍了 Secure Web 的通道 - Web SSO 用户连接类型。

通过通道连接到内部网络的连接可以使用无客户端 VPN 的变体(称为“通道 - Web SSO”)。“通道 - Web SSO”是为 Secure Web 首选 VPN 模式策略指定的默认配置。Citrix 建议您对需要单点登录的连接使用通道 - Web SSO。

在“通道 - Web SSO”模式下,Citrix Gateway 将 HTTPS 会话分为两个部分:

  • 从客户端到 Citrix Gateway
  • 从 Citrix Gateway 到后端资源服务器。

这样,Citrix Gateway 将在客户端与服务器之间的所有事务中完全可见,使其能够提供 SSO。

在“通道 - Web SSO”模式下使用时,还可以为 Secure Web 配置代理服务器。有关详细信息,请参阅博客 Endpoint Management WorxWeb 在 Secure Browse 模式下通过代理服务器的流量。

注意:

Citrix 宣布弃用了带有 PAC 的完整 VPN 通道。请参阅弃用

Endpoint Management 支持 Citrix Gateway 提供的代理身份验证。PAC 文件中包含的规则用于定义 Web 浏览器如何选择代理以访问指定 URL。PAC 文件规则可以指定对外部和内部站点的处理方式。Secure Web 解析 PAC 文件规则并将代理服务器信息发送到 Citrix Gateway。Citrix Gateway 无法识别 PAC 文件或代理服务器。

对于 HTTPS Web 站点的身份验证:Secure Web MDX 策略启用 Web 密码缓存允许 Secure Web 进行身份验证并通过 MDX 提供对代理服务器的 SSO。

Citrix Gateway 拆分通道

规划 SSO 和代理配置时,还必须决定是否要使用 Citrix Gateway 拆分通道。如有需要,Citrix 建议您仅使用 Citrix Gateway 拆分通道。本节从高层角度提供了拆分通道的工作原理:Citrix Gateway 根据其路由表确定流量路径。当 Citrix Gateway 拆分通道为“开”时,Secure Hub 将内部(受保护的)网络流量与 Internet 流量区分开。Secure Hub 根据 DNS 后缀和 Intranet 应用程序做出决定。然后,Secure Hub 仅通过 VPN 通道传输内部网络流量。Citrix Gateway 拆分通道设置为“关”时,所有流量都将通过 VPN 通道传输。

如果出于安全考虑,您更希望监视所有流量,请禁用 Citrix Gateway 拆分通道。这样,所有流量都通过 VPN 通道传输。

Citrix Gateway 还具有 Micro VPN 反向拆分通道模式。此配置支持不通过通道连接到 Citrix Gateway 的 IP 地址的排除列表。这些地址通过使用设备 Internet 连接发送。有关反向拆分通道的详细信息,请参阅 Citrix Gateway 文档。

Endpoint Management 包括 反向拆分隧道排除列表。要防止通过 Citrix Gateway 使用通道连接某些 Web 站点:添加将通过 LAN 连接的完全限定域名 (FQDN) 或 DNS 后缀的列表(以逗号分隔)。Citrix Gateway 配置为使用反向拆分通道时,此列表仅适用于“通道 - Web SSO”模式。

MDX 应用程序的 SSO 和代理注意事项
April 11, 2023
投稿者: 
C
April 11, 2023
投稿者: 
C

在本文中

站点反馈 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.