Citrix Gateway

为 Citrix Gateway 虚拟服务器配置网络访问控制设备检查以实现单因素登录

重要

以下部分列出了使用 Citrix Gateway 配置 Intune 的步骤。有关在 Azure 门户上配置 Citrix Gateway 应用程序以获取 客户端 ID客户端密钥租户 ID的信息,请参阅 Azure 产品文档。

以下功能需要Citrix ADC 高级版 许可证。

为网关部署添加具有 nFactor 的 Citrix Gateway 虚拟服务器

  1. 导航到 Citrix Gateway 树节点下的虚拟服务器。

    虚拟服务器页面

  2. 单击添加

    添加虚拟服务器

  3. 在“基本设置”区域中提供所需信息,然后单击“确定”。

    设置基本设置

  4. 选择 服务器证书

    选择服务器证书

  5. 选择所需的服务器证书,然后单击“绑定”。

    绑定服务器证书

  6. 单击继续

  7. 单击继续

  8. 单击继续

  9. 单击策略旁边的加号图标 [+],然后从选择策略列表中选择会话,然后从选择类型列表中选择请求,然后单击继续

  10. 单击选 择策略+[+]**旁边的加号图标。

  11. 在“创建 NetScaler Gateway 会话策略”页面上,提供会话策略的名称。

  12. 单击配置文件旁边的加号图标 [+],并在创建 NetScaler Gateway 会话配置文件页面上,提供会话配置文件的名称。

  13. 在“客户端体验”选项卡上,单击“无客户端访问”旁边的复选框,然后从列表中选择“关闭”。

  14. 单击插件类型旁边的复选框,然后从列表中选择 Windows/MAC OS X。

  15. 单击“高级设置”,然后选中“客户端选择”旁边的复选框,并将其值设置为“”。

  16. 在“ 全”选项卡上,单击“默认授权操 作”旁边的复选框,然后从列表中选择“允许”。

  17. 在“已发布的应用程序”选项卡上,单击 ICA 代理 旁边的复选框,然后 列表中选择关。

  18. 单击创建

  19. 在“创建 NetScaler Gateway 会话策略”页上的“表达式”区域下输入 NS_TRUE

  20. 单击创建

  21. 单击 Bind(绑定)。

  22. 高级设置 中选择 身份验证配置 文件。

    选择身份验证配置文件

  23. 单击加号图标[+]并提供身份验证配置文件的名称。

    身份验证配置文件名称

  24. 单击加号图标[+]以创建身份验证虚拟服务器。

    添加身份验证虚拟服务器

  25. 在“基本设置”区域下指定身份验证虚拟服务器的名称和 IP 地址类型,然后单 击“确 定”。IP 地址类型也可以是 不可寻址 的。

    设置基本设置

  26. 单击 身份验证策略

    身份验证策略

  27. 在策略绑定视图下,单击加号图标 [+] 以创建身份验证策略。

    创建身份验证策略

  28. 选择 OAUTH 作为 操作类型,然后单击加号图标 [+] 为 NAC 创建 OAuth 操作。

    选择 OAuth 操作类型

  29. 使用 客户端 ID客户端密钥租户ID 创建 OAuth 操作。

    在 Azure 门上配置 Citrix Gateway 应用程序后,将生成客户端 ID、客户端密钥和租户 ID。

    确保您的设备上配置了适当的 DNS 名称服务器以解析和访问https://login.microsoftonline.com/https://graph.windows.net/、和 *.manage.microsoft.com。

    Azure 门户的 ID 和秘密

  30. OAuth 操作创建身份验证策略。

    规则: http.req.header(“User-Agent”).contains(“NAC/1.0”)&& ((http.req.header(“User-Agent”).contains(“iOS”) && http.req.header(“User-Agent”).contains(“NSGiOSplugin”))   (http.req.header(“User-Agent”).contains(“Android”) &&    http.req.header(“User-Agent”).contains(“CitrixVPN”)))

    身份验证策略规则

  31. 单击加号图标[+]以创建“下一因子”策略标签。

    创建下一个因子策略标签

  32. 单击加号图标[+]以创建登录架构。

    创建登录架构

  33. 选择 noschema 作为身份验证架构,然后单击“创建”。

    选择身份验证模式

  34. 选择创建的登录架构后,单击 继续

    点击继续

  35. 在“选择策略”中,选择用户登录的现有身份验证策略,或单击加号图标 + 以创建身份验证策略。有关创建身份验证策略 的详细信息,请参阅配置高级身份验证策略

    选择或创建身份验证策略

  36. 单击 Bind(绑定)。

    点击绑定

  37. 单击完成

    点击 完成

  38. 单击 Bind(绑定)。

    点击绑定

  39. 单击继续

    单击 Continue(继续)

  40. 单击完成

    点击 完成

  41. 单击创建

    单击创建

  42. 单击确定

    单击 OK(确定)

  43. 单击完成

    点击 完成

将身份验证登录架构绑定到身份验证虚拟服务器,以指示 VPN 插件作为 /cgi/login 请求的一部分发送设备 ID

  1. 导航到 安全 > AAA-应用程序流量 > 虚拟服务器

    虚拟服务器页面

  2. 选择先前选择的虚拟服务器,然后单击 编辑

    编辑虚拟服务器

  3. 单击“高级设置”下的 登录架构

    选择登录架构

  4. 单击 登录架构 进行绑定。

    绑定登录架构

  5. 单击 [>]以在登录架构策略中选择和绑定 NAC 设备检查的现有内部版本。

    绑定登录架构策略

  6. 选择适合您的身份验证部署的所需登录架构策略,然后单击“选择”。

    在上述部署中,使用单因素身份验证 (LDAP) 以及 NAC OAuth 操作策略,因此已选择 lschema_单因厂_设备eid

    选择单因子身份验证策略

  7. 单击 Bind(绑定)。

    点击绑定

  8. 单击完成

    点击 完成

为 Citrix Gateway 虚拟服务器配置网络访问控制设备检查以实现单因素登录