MDX 应用程序的 SSO 和代理注意事项

通过 Endpoint Management 与 Citrix Gateway 的集成,您可以向用户提供通过单点登录 (SSO) 访问所有后端 HTTP/HTTPS 资源的功能。根据您的 SSO 身份验证要求,可以将 MDX 应用程序的用户连接配置为使用以下任一方式:

  • 安全浏览(通道 - Web SSO),这是一种无客户端 VPN
  • 完整 VPN 通道

重要:

MDX Toolkit 版本18.12.0 版本包括合并或替换较旧策略的新策略。 “网络访问” 策略将 “网络访问”、”首选 VPN 模式” 与 “允许 VPN 模式切换” 结合使用。排除列表策略取代了拆分通道排除列表。所需的微型 VPN 会话策略取代了所需的微型 VPN 会话。有关详细信息,请参阅 MDX Toolkit 18.12.0 中的新增功能

“通道 - Web SSO”是设置中安全浏览的名称。该行为是相同的。

如果 Citrix Gateway 不是在您的环境中提供 SSO 的最佳方法,则可以为 MDX 应用程序设置基于策略的本地密码缓存。本文探讨了各种 SSO 和代理选项,重点探讨 Secure Web。这些概念适用于其他 MDX 应用程序。

下面的流程图概括了 SSO 和用户连接的决策流程。

SSO 和用户连接的决策流程示意图

Citrix Gateway 身份验证方法

本节提供了有关 Citrix Gateway 支持的身份验证方法的常规信息。

SAML 身份验证

将 Citrix Gateway 配置为使用安全声明标记语言 (SAML) 时,用户可以连接到支持使用 SAML 协议进行单点登录的 Web 应用程序。Citrix Gateway 支持对 SAML Web 应用程序进行身份提供程序 (IdP) 单点登录。

所需的配置:

  • 在 Citrix Gateway 流量配置文件中配置 SAML SSO。
  • 为请求的服务配置 SAML IdP。

NTLM 身份验证

如果在会话配置文件中启用了通过 SSO 登录 Web 应用程序的功能,Citrix Gateway 将自动执行 NTLM 身份验证。

所需的配置:

  • 在 Citrix Gateway 会话或流量配置文件中启用 SSO。

Kerberos 模拟

Endpoint Management 仅支持 Secure Web 的 Kerberos。当您将 Citrix Gateway 用于 Kerberos SSO 时, Citrix Gateway 在 Citrix Gateway 使用用户密码时使用模拟。模拟是指 Citrix Gateway 使用用户凭据获得获取对 Secure Web 等服务的访问权限所需的令牌。

所需的配置:

  • 配置 Citrix Gateway Worx 会话策略以允许其识别来自您的连接的 Kerberos 领域。
  • 在 Citrix Gateway 上配置 Kerberos 约束委派 (KCD) 帐户。将该帐户配置为无密码,并将其绑定到您的 Endpoint Management 网关上的流量策略。
  • 有关这些配置及其他配置的详细信息,请参阅 Citrix 博客:WorxWeb 和 Kerberos 模拟 SSO

Kerberos 约束委派

Endpoint Management 仅支持 Secure Web 的 Kerberos。将 Citrix Gateway 配置为进行 Kerberos SSO 时,Citrix Gateway 将在用户密码对 Citrix Gateway 不可用时使用约束委派。

启用了约束委派时,Citrix Gateway 将使用指定的管理员帐户代表用户和服务获取令牌。

所需的配置:

  • 在 Active Directory 中为 KCD 帐户配置所需的权限并在 Citrix Gateway 上配置一个 KDC 帐户。
  • 在 Citrix Gateway 流量配置文件中启用 SSO。
  • 将后端 Web 站点配置为进行 Kerberos 身份验证。
  • 有关这些配置及其他配置的详细信息,请参阅 Citrix 博客:为 WorxWeb 配置 Kerberos 单点登录

表单填充身份验证

将 Citrix Gateway 配置为进行基于表单的单点登录时,用户登录一次即可访问您的网络中所有受保护的应用程序。此身份验证方法适用于使用“通道 - Web SSO”或完整 VPN 模式的应用程序。

所需的配置:

  • 在 Citrix Gateway 流量配置文件中配置基于表单的 SSO。

摘要式 HTTP 身份验证

如果在会话配置文件中启用通过 SSO 登录 Web 应用程序的功能,Citrix Gateway 将自动执行摘要式 HTTP 身份验证。此身份验证方法适用于使用“通道 - Web SSO”或完整 VPN 模式的应用程序。

所需的配置:

  • 在 Citrix Gateway 会话或流量配置文件中启用 SSO。

基本 HTTP 身份验证

如果在会话配置文件中启用通过 SSO 登录 Web 应用程序的功能,Citrix Gateway 将自动执行基本 HTTP 身份验证。此身份验证方法适用于使用“通道 - Web SSO”或完整 VPN 模式的应用程序。

所需的配置:

  • 在 Citrix Gateway 会话或流量配置文件中启用 SSO。

安全通道 - Web SSO、完整 VPN 通道或使用 PAC 的完整 VPN 通道

以下各节介绍了适用于 Secure Web 的用户连接类型。

完整 VPN 通道

通过通道连接到内部网络的连接可以使用完整 VPN 通道。可使用“Secure Web 首选 VPN 模式”策略配置完整 VPN 通道。Citrix 建议对通过客户端证书或端到端 SSL 与内部网络中的资源建立的连接使用完整 VPN 通道。完整 VPN 通道处理任何 TCP 协议。可以在 Windows、Mac、iOS 和 Android 设备上使用完整 VPN 通道。

在完整 VPN 通道模式下,Citrix Gateway 在 HTTPS 会话中不可见。

通道 - Web SSO

通过通道连接到内部网络的连接可以使用无客户端 VPN 的变体(称为“通道 - Web SSO”)。“通道 - Web SSO”是为 Secure Web 首选 VPN 模式策略指定的默认配置。Citrix 建议对需要单点登录 (SSO) 的连接使用通道 - Web SSO。

在通道-Web SSO 模式下, Citrix Gateway 将 HTTPS 会话分为两部分:

  • 从客户端到 Citrix Gateway
  • 从 Citrix Gateway 到后端资源服务器。

这样,Citrix Gateway 将在客户端与服务器之间的所有事务中完全可见,使其能够提供 SSO。

在“通道 - Web SSO”模式下使用时,还可以为 Secure Web 配置代理服务器。有关详细信息,请参阅此博客在安全浏览模式下通过代理服务器传输 Endpoint Management WorxWeb 流量

使用 PAC 的完整 VPN 通道

对于 iOS 和 Android 设备上的 Secure Web,可以在完整 VPN 通道部署中使用代理自动配置 (PAC) 文件。Endpoint Management 支持 Citrix Gateway 提供的代理身份验证。PAC 文件中包含的规则用于定义 Web 浏览器如何选择代理以访问指定 URL。PAC 文件规则可以指定对外部和内部站点的处理方式。Secure Web 解析 PAC 文件规则并将代理服务器信息发送到 Citrix Gateway。Citrix Gateway 无法识别 PAC 文件或代理服务器。

对于 HTTPS Web 站点的身份验证:Secure Web MDX 策略启用 Web 密码缓存允许 Secure Web 进行身份验证并通过 MDX 提供对代理服务器的 SSO。

Citrix Gateway 拆分通道

规划 SSO 和代理配置时,还必须决定是否要使用 Citrix Gateway 拆分通道。如有需要,Citrix 建议您仅使用 Citrix Gateway 拆分通道。本节从高层角度提供了拆分通道的工作原理:Citrix Gateway 根据其路由表确定流量路径。当 Citrix Gateway 拆分通道为“开”时,Secure Hub 将内部(受保护的)网络流量与 Internet 流量区分开。Secure Hub 根据 DNS 后缀和 Intranet 应用程序做出决定。然后,Secure Hub 仅通过 VPN 通道传输内部网络流量。Citrix Gateway 拆分通道设置为“关”时,所有流量都将通过 VPN 通道传输。

  • 如果出于安全考虑,您更希望监视所有流量,请关闭 Citrix Gateway 拆分通道。这样,所有流量都通过 VPN 通道传输。
  • 如果要在 PAC 中使用完整 VPN 通道,则必须禁用 Citrix Gateway 拆分通道。如果拆分通道设置为“开”,并且您配置了 PAC 文件,PAC 文件规则将覆盖 Citrix Gateway 拆分通道规则。在流量策略中配置的代理服务器不会覆盖 Citrix Gateway 拆分通道规则。

默认情况下,Secure Web 的网络访问策略设置为通过通道连接到内部网络。采用此配置时,MDX 应用程序使用 Citrix Gateway 拆分通道设置。某些其他 Citrix 移动生产力应用程序网络访问策略默认值有所差别。

Citrix Gateway 还具有 Micro VPN 反向拆分通道模式。此配置支持不通过通道连接到 Citrix Gateway 的 IP 地址的排除列表。这些地址通过使用设备 Internet 连接发送。有关反向拆分通道的详细信息,请参阅 Citrix Gateway 文档。

Endpoint Management 包括一个反向拆分通道排除列表。要防止通过 Citrix Gateway 使用通道连接某些 Web 站点:添加将通过局域网 (LAN) 连接的完全限定域名 (FQDN) 或 DNS 后缀的列表(以逗号分隔)。Citrix Gateway 配置为使用反向拆分通道时,此列表仅适用于“通道 - Web SSO”模式。