Citrix Endpoint Management

SSO 帐户设备策略

SSO 帐户设备策略允许您在 Citrix Endpoint Management 中创建单点登录 (SSO) 帐户。这些帐户仅允许用户一次性登录,以便通过各种应用程序访问 Citrix Endpoint Management 和您的公司内部资源。用户无需在设备上存储任何凭据。可以跨应用程序(包括 App Store 中的应用程序)使用此 SSO 帐户企业用户凭据。此策略专为 Kerberos 身份验证后端而设计。

要添加或配置此策略,请转到配置 > 设备策略。有关详细信息,请参阅设备策略

iOS 设置

  • 帐户名称: 输入显示在用户设备上的 Kerberos SSO 帐户名称。此字段为必填字段。
  • Kerberos 主体名称: 输入 Kerberos 主体名称。此字段为必填字段。
  • 身份凭据(密钥库或 PKI 凭据): 在下拉列表中单击可选的身份凭据,该凭据可用于续订 Kerberos 凭据,无需用户交互。
  • Kerberos 领域: 输入此策略的 Kerberos 领域。该值通常是您的全部大写字母的域名(例如,EXAMPLE.COM)。此字段为必填字段。
  • 允许访问的 URL: 对于需要 SSO 的每个 URL,单击添加,然后执行以下操作:
    • 允许访问的 URL: 输入当用户从 iOS 设备访问时需要 SSO 的 URL。

      例如,当用户尝试浏览某个站点而该网站发起了 Kerberos 挑战赛时:如果该网站不在 URL 列表中,则 iOS 设备不会通过提供 Kerberos 之前登录时可能在设备上缓存的 Kerberos 令牌来尝试 SSO。URL 的主机部分必须完全匹配。例如,https://shopping.apple.com 有效,但 https://*.apple.com 无效。

      此外,如果未根据主机匹配激活 Kerberos,该 URL 仍会回退到标准 HTTP 调用。这可能意味着几乎任何事情,包括标准密码质询或 HTTP 错误(如果仅使用 Kerberos 为 SSO 配置 URL)。

    • 单击添加以添加 URL,或单击取消以取消添加 URL。

  • 应用程序标识符: 对于允许使用此登录的每个应用程序,单击添加,然后执行以下操作:
    • 应用程序标识符: 输入允许使用此登录的应用程序的应用程序标识符。如果不添加任何应用程序标识符,此登录将匹配所有应用程序标识符。
  • 策略设置
    • 删除策略: 选择计划删除策略的方法。可用选项包括选择日期删除前的持续时间(小时)
      • 选择日期: 单击日历可选择具体删除日期。
      • 删除前的持续时间(小时): 键入发生策略删除操作之前的小时数。仅适用于 iOS 6.0 及更高版本。
SSO 帐户设备策略