Citrix Endpoint Management

通过 Citrix Gateway 向 Okta 进行身份验证以进行 MAM 注册

Citrix Endpoint Management 支持通过 Citrix Gateway 使用 Okta 凭据进行身份验证。这种身份验证方法仅适用于通过 Citrix Secure Hub 在 MAM 中注册的用户。

必备条件

要将 Citrix Endpoint Management 配置为通过 Citrix Gateway 使用 Okta 作为在 MAM 中注册的设备的身份提供商 (IdP),请确保满足以下必备条件:

  • 对于在 MDM 中注册的设备,请通过 Citrix Cloud 将使用 Okta 的 Citrix Endpoint Management 配置为 IdP。有关为 MDM 配置 Okta 的更多信息,请参阅通过 Citrix Cloud 使用 Okta 进行身份验证
  • 根据平台分别启用以下相关功能标志:
    • iOS:
      • iOS-V3Form-MAM
      • iOS-SAMLAuth-MAM
    • Android:
      • Android-V3Form-MAM
      • Android-SAMLAuth-MAM

    注意:

    要在您的环境中启用相关功能标志,请填写 Podio 表单

  • 下载并安装最新版本的 Citrix Secure Hub。
  • 请确保 Okta 服务可供贵组织使用,并且相关的用户和组已创建或导入到 Okta。

在 Citrix Endpoint Management 中配置 Citrix Gateway

  1. 登录 Citrix Endpoint Management 控制台,然后 **单击“**设置”图标。

  2. 单击服务器下的 Citrix Gateway

  3. 启用身份验证切换按钮。

    启用 Citrix Gateway 身份验证切换按钮

  4. 确保网关的登录类型身份提供商

  5. 单击保存

准备本地 Citrix Gateway

  1. 如果您没有为 Citrix Endpoint Management 配置本地 Citrix Gateway,请执行以下步骤:

    1. 在 Citrix Endpoint Management 控制台中,单击 设置 设置 图标。

    2. 单击服务器下的 Citrix Gateway

    3. 单击编辑

    4. 单击登录类型下拉菜单,然后选择仅限域

      登录类型为“仅限域”

    5. 单击导出配置脚本

      下载导出配置脚本 导出配置脚本已下载。

    6. 单击登录类型下拉菜单,然后选择身份提供商

      更新“登录类型”为“身份提供商”

    7. 单击保存

    8. 打开下载的 zip 文件并从中提取文件。

    9. 运行提取的 .txt 文件中的脚本以准备本地 Citrix Gateway。

      提取 zip 文件信息

  2. 登录 Citrix ADC 管理控制台,然后导航到 Citrix Gateway > 虚拟服务器

  3. 单击与您的 Citrix Endpoint Management 设置相关的网关。

  4. 在本地 Citrix Gateway 上取消绑定任何现有身份验证策略。

配置 Okta

  1. 以管理员身份登录 Okta。

  2. 单击应用程序 > 应用程序 > 浏览应用程序目录

    在 Okta 中浏览应用程序目录

  3. 浏览应用程序集成目录下的搜索栏中键入 Citrix Gateway,然后选择 Citrix Gateway (SAML、SWA)

    在浏览应用程序集成目录中搜索 Citrix Gateway

  4. 单击添加集成

    Citrix Gateway 添加集成

  5. 应用程序标签字段中输入相关名称。

  6. 登录 URL 字段中输入网关虚拟服务器 URL,然后单击下一步

    Citrix Gateway 常规设置

    注意:

    登录 URL 字段中输入的 URL 必须与 Citrix Endpoint Management 设置的 Citrix Gateway URL 相同。

  7. 需要登录选项 > 登录方法下,选择 SAML 2.0

    Citrix Gateway - SAML 2.0

  8. 单击查看设置说明,然后按照页面中提供的说明在 Citrix 本地网关管理控制台中创建 SAML 策略。

    Citrix Gateway SAML - 查看设置说明

    注意:

    • 在配置 Netscaler Gateway 版本 11.1 或更高版本时安装 CA 证书后,创建 SAML 操作。要创建 SAML 操作,请导航到安全 > AAA - 应用程序流量 > 策略 > 身份验证 > 高级策略 > 操作 > SAML 操作。单击添加并填写上一页中提、供的信息。请勿按照页面中提供的导航进行操作,即 Netscaler Gateway > 策略 > 身份验证 > SAML > 服务器
    • 此外,请勿按照提供的步骤创建 SAML 策略,因为这些步骤使用的是经典策略。我们现在正在使用高级策略。请执行以下步骤 9,以使用高级策略创建 SAML 策略。
  9. 为 SAML 操作创建相应的 SAML 策略,并将该策略绑定到身份验证虚拟服务器,如下所示:

    1. 导航到“安全”>“AAA 应用程序流量”>“策略”>“身份验证”>“高级策略”,然后单击“添加”。

    2. 在“创建身份验证策略”页面上,提供以下详细信息:

      • 名称 - 指定 SAML 策略的名称。
      • 操作类型 - 选择 SAML 作为身份验证操作类型。
      • 操作 - 选择要绑定 SAML 策略的 SAML 服务器配置文件。
      • 表达式 - 显示规则或表达式的名称,SAML 策略使用该规则或表达式来确定用户是否必须通过 SAML 服务器进行身份验证。在文本框中,设置值 rule = true 以使 SAML 策略生效并运行相应的 SAML 操作。
    3. 将 SAML 策略绑定到 VPN 虚拟服务器,并通过身份验证配置文件将 VPN 虚拟服务器链接到身份验证虚拟服务器。有关绑定过程的更多信息,请参阅绑定身份验证策略

  10. 使用使用 GUI 设置身份验证虚拟服务器创建 AAA 虚拟服务器。

  11. 使用配置身份验证虚拟服务器配置 AAA 虚拟服务器。

  12. 使用身份验证配置文件创建和配置身份验证配置文件。

  13. 将身份验证配置文件与网关虚拟服务器绑定并保存所有配置。

  14. 在 Citrix 本地网关管理控制台中创建 SAML 策略后,单击“完成”。

    现在,您必须能够看到两个用于 Citrix Endpoint Management 集成的应用程序,即用于 Citrix Cloud 的 Web 应用程序和用于 Citrix Endpoint Management MAM 身份验证的 SAML 应用程序。

  15. 将相关的用户和组分配给您刚刚创建的 SAML 应用程序。

现在,Okta 被添加为在 MAM 中注册的设备的身份提供商,您可以使用 Okta 对其进行身份验证。

预期行为

下例使用的是 Android 设备:

  1. 在您的移动设备上,打开 Citrix Secure Hub 应用程序。

    Citrix Secure Hub 应用程序图标

  2. 提供所需的权限。

  3. 在登录页面上,输入贵组织提供的证书,然后轻按下一步

    Citrix Secure Hub 登录页面

    您将被重定向到 Okta 登录页面。

  4. 在 Okta 登录页面上,输入您的证书,然后轻按登录

    Okta 登录页面

  5. 让我们设置您的工作配置文件页面上,轻按接受并继续

    “让我们设置您的配置文件”页面

  6. 为 Citrix Secure Hub 应用程序创建 PIN 码并进行确认。

    Citrix Secure Hub 密码

    您已成功重定向到 Citrix Secure Hub 主页。

通过 Citrix Gateway 向 Okta 进行身份验证以进行 MAM 注册