This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
MDX 应用程序的 SSO 和代理注意事项
Citrix Endpoint Management 与 NetScaler Gateway 的集成使您能够为用户提供所有后端 HTTP/HTTPS 资源的单点登录 (SSO)。根据您的 SSO 身份验证要求,将 MDX 应用程序的用户连接配置为使用 Secure Browse(通道 - Web SSO),这是一种无客户端 VPN。
重要提示:
Citrix 弃用了对 iOS 和 Android 设备的完整 VPN 通道部署使用完整 VPN 通道和代理自动配置 (PAC) 文件的支持。有关详细信息,请参阅弃用。
如果 NetScaler Gateway 不是在您的环境中提供 SSO 的最佳方法,则可以为 MDX 应用程序设置基于策略的本地密码缓存。本文探讨了各种 SSO 和代理选项,重点是 Citrix Secure Web。这些概念适用于其他 MDX 应用程序。
下面的流程图概括了 SSO 和用户连接的决策流程。
NetScaler Gateway 身份验证方法
本节提供有关 NetScaler Gateway 支持的身份验证方法的一般信息。
SAML 身份验证
当您为安全断言标记语言 (SAML) 配置 NetScaler Gateway 时,用户可以连接到支持单点登录的 SAML 协议的网络应用程序。NetScaler Gateway 支持对 SAML Web 应用程序进行身份提供程序 (IdP) 单点登录。
所需的配置:
- 在 NetScaler Gateway 流量配置文件中配置 SAML SSO。
- 为请求的服务配置 SAML IdP。
NTLM 身份验证
如果在会话配置文件中启用了 SSO 到 Web 应用程序,NetScaler Gateway 会自动进行 NTLM 身份验证。
所需的配置:
- 在 NetScaler Gateway 会话或流量配置文件中启用 SSO。
Kerberos 模拟
Citrix Endpoint Management 仅支持适用于 Citrix Secure Web 的 Kerberos。在为 Kerberos SSO 配置 NetScaler Gateway 时,当 NetScaler Gateway 有用户密码可用时,NetScaler Gateway 会使用模拟。模拟意味着 NetScaler Gateway 使用用户凭据来获取访问服务(例如 Citrix Secure Web)所需的票证。
所需的配置:
- 配置 NetScaler Gateway
Worx会话策略,使其能够从您的连接中识别 Kerberos 领域。 - 在 NetScaler Gateway 上配置 Kerberos 约束委托 (KCD) 帐户。在没有密码的情况下配置该帐户,并将其绑定到您的 Citrix Endpoint Management 网关上的流量策略。
- 有关这些配置及其他配置的详细信息,请参阅 Citrix 博客:WorxWeb and Kerberos Impersonation SSO(WorxWeb 和 Kerberos 模拟 SSO)。
Kerberos 约束委派
Citrix Endpoint Management 仅支持适用于 Citrix Secure Web 的 Kerberos。在为 Kerberos SSO 配置 NetScaler Gateway 时,当 NetScaler Gateway 无法使用用户密码时,NetScaler Gateway 会使用受限委托。
在授权受限的情况下,NetScaler Gateway 使用指定的管理员帐户来获取用户和服务的票证。
所需的配置:
- 在 Active Directory 中配置具有所需权限的 KCD 帐户,并在 NetScaler Gateway 上配置 KDC 帐户。
- 在 NetScaler Gateway 流量配置文件中启用 SSO。
- 将后端 Web 站点配置为进行 Kerberos 身份验证。
表单填充身份验证
将 NetScaler Gateway 配置为进行基于表单的单点登录时,用户登录一次即可访问您的网络中所有受保护的应用程序。此身份验证方法适用于使用“通道 - Web SSO”模式的应用程序。
所需的配置:
- 在 NetScaler Gateway 流量配置文件中配置基于表单的 SSO。
摘要式 HTTP 身份验证
如果您在会话配置文件中启用 SSO 到 Web 应用程序,NetScaler Gateway 会自动摘要 HTTP 身份验证。此身份验证方法适用于使用“通道 - Web SSO”模式的应用程序。
所需的配置:
- 在 NetScaler Gateway 会话或流量配置文件中启用 SSO。
基本 HTTP 身份验证
如果您在会话配置文件中启用 SSO 到 Web 应用程序,NetScaler Gateway 会自动进行基本的 HTTP 身份验证。此身份验证方法适用于使用“通道 - Web SSO”模式的应用程序。
所需的配置:
- 在 NetScaler Gateway 会话或流量配置文件中启用 SSO。
安全通道 - Web SSO
本节介绍了 Citrix Secure Web 的通道 - Web SSO 用户连接类型。
通过通道连接到内部网络的连接可以使用无客户端 VPN 的变体(称为“通道 - Web SSO”)。 隧道——Web SSO 是为 Citrix Secure Web 首选 VPN 模式策略指定的默认配置。 Citrix 建议您对需要单点登录的连接使用通道 - Web SSO。
在 Tunneled-Web SSO 模式下,NetScaler Gateway 将 HTTPS 会话分为两部分:
- 从客户机到 NetScaler Gateway
- 从 NetScaler Gateway 到后端资源服务器。
通过这种方式,NetScaler Gateway 可以完全查看客户机与服务器之间的所有交易,从而能够提供 SSO。
在 Tunneled-Web SSO 模式下使用时,您还可以为 Citrix Secure Web 配置代理服务器。有关详细信息,请参阅博客 Citrix Endpoint Management 在 Secure Browse 模式下通过代理服务器进行的 WorxWeb 流量。
注意:
Citrix 宣布弃用了带有 PAC 的完整 VPN 通道。请参阅弃用。
Citrix Endpoint Management 支持 NetScaler Gateway 提供的代理身份验证。PAC 文件具有定义网络浏览器如何选择代理来访问给定 URL 的规则。PAC 文件规则可以指定对外部和内部站点的处理方式。Citrix Secure Web 解析 PAC 文件规则并将代理服务器信息发送到 NetScaler Gateway。NetScaler Gateway 无法识别 PAC 文件或代理服务器。
对于 HTTPS 网站进行身份验证:Citrix Secure Web MDX 策略启用 Web 密码缓存允许 Citrix Secure Web 通过 MDX 向代理服务器进行身份验证并提供 SSO。
NetScaler Gateway 拆分隧道
在规划 SSO 和代理配置时,您还必须决定是否使用 NetScaler Gateway 拆分隧道。Citrix 建议您仅在需要时使用 NetScaler Gateway 拆分隧道。本节概述了分割隧道的工作原理:NetScaler Gateway 根据其路由表确定流量路径。当 NetScaler Gateway 拆分隧道开启时,Citrix Secure Hub 会区分内部(受保护的)网络流量和互联网流量。Citrix Secure Hub 根据 DNS 后缀和内联网应用程序做出这一决定。然后,Citrix Secure Hub 仅通过隧道传输内部网络流量。当 NetScaler Gateway 拆分隧道关闭时,所有流量都将通过 VPN 隧道。
如果您出于安全考虑倾向于监视所有流量,请禁用 NetScaler Gateway 拆分隧道。这样,所有流量都通过 VPN 通道传输。
NetScaler Gateway 还具有 Micro VPN 反向拆分通道模式。此配置支持未通过隧道传送到 NetScaler Gateway 的 IP 地址排除列表。这些地址通过使用设备 Internet 连接发送。有关反向拆分通道的详细信息,请参阅 NetScaler Gateway 文档。
Citrix Endpoint Management 包括 反向分割隧道排除清单。为防止某些网站通过 NetScaler Gateway 进行隧道传输:添加以逗号分隔的完全限定域名 (FQDN) 或 DNS 后缀列表,改为使用局域网进行连接。NetScaler Gateway 配置为使用反向拆分通道时,此列表仅适用于“通道 - Web SSO”模式。
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.