OTP 的推送通知

Citrix 网关支持 OTP 的推送通知。用户无需手动输入其注册设备上收到的 OTP 即可登录 Citrix 网关。管理员可以配置 Citrix 网关,以便使用推送通知服务将登录通知发送到用户注册的设备。当用户收到通知时,他们只需点击通知上的允许以登录 Citrix 网关。当网关收到来自用户的确认时,它会识别请求的来源,并向该浏览器连接发送响应。

如果在超时期限(30 秒)内未收到通知响应,则用户将被重定向到 Citrix Gateway 登录页面。然后,用户可以手动输入 OTP,或单击 重新发送通知 ,在注册的设备上再次接收通知。

管理员可以使用为推送通知创建的登录模式,将推送通知身份验证作为默认身份验证。

重要提示: 推送通知功能可用于 Citrix ADC 白金版许可证。

推送通知的优势

  • 推送通知提供了更安全的多重身份验证机制。在用户批准登录尝试之前,对 Citrix 网关的身份验证不会成功。
  • 推送通知易于管理和使用。用户必须下载并安装不需要任何管理员协助的 Citrix SSO 移动应用程序。
  • 用户无需复制或记住代码。他们必须简单地点击设备才能获得身份验证。
  • 用户可以注册多个设备。

推送通知的工作原理

推送通知工作流程可分为两类:

  • 设备注册
  • 最终用户登录

工作流程

使用推送通知的先决条件

  • 完成 Citrix 云登录过程。

    1. 创建 Citrix 云公司帐户或加入现有帐户。有关如何继续操作的详细过程和说明,请参阅为 Citrix 云注册。

    2. 登录https://citrix.cloud.com,然后选择客户。

    3. 从菜单中,选择 “身份和访问管理”,然后导航到 “API 访问” 选项卡,为客户创建客户端。

    4. 复制 ID、密码和客户 ID。将 Citrix ADC 中的推送服务分别配置为 “ClientiID” 和 “客户端密钥” 时,需要 ID 和密钥。

重要:

  • 相同的 API 凭据可用于多个数据中心。
  • 在本地思杰 ADC 设备必须能够解析服务器地址 mfa.cloud.com 和信任 .Citrixworksapi.net,并且可以从设备访问。这是为了确保这些服务器通过端口 443 没有防火墙或 IP 地址块。
  • 分别从适用于 iOS 设备和 Android 设备的 App Store 和 Play 应用商店下载 Citrix SSO 移动应用程序。推送通知在自 2.3.5 起的 iOS 上以及自 2.3.5 起的 Android 上受支持。

  • 确保 Active Directory 的以下内容。

    • 最小属性长度必须至少为 256 个字符。
    • 属性类型必须是 “目录字符串”,如用户参数。这些属性可以包含字符串值。
    • 如果设备名称为非英文字符,则属性字符串类型必须为 Unicode。
    • Citrix ADC LDAP 管理员必须具有对所选 AD 属性的写入权限。
    • Citrix ADC 和客户端计算机必须同步到通用的网络时间服务器。

推送通知配置

以下是使用推送通知功能必须完成的高级步骤。

  • Citrix 网关管理员必须配置界面以管理和验证用户。

    1. 配置推送服务。

    2. 为 OTP 管理和最终用户登录配置 Citrix 网关。

  • 用户必须将其设备注册到网关才能登录到 Citrix 网关。

    1. 使用 Citrix 网关注册您的设备。

    2. 登录到思杰网关。

创建推送服务

1. 导航到 “ 安全 ” > “ AAA-应用程序流量 ” > “ 策略 ” > “ 高级策略 ” > “ 操作 ” > “ 推送服务 ”,然后单击 “ 添加 ”。

2. 在 “ 名称” 中,输入推送服务的名称。

3. 在 客户端 ID中,输入用于与云中 Citrix Push 服务器通信的信赖方的唯一标识。

4. 在 “ 客户端密钥” 中,输入与云中 Citrix Push 服务器通信的信赖方的唯一密钥。

5. 在 客户 ID中,输入用于创建客户 ID 和客户密钥对的云中帐户的客户 ID 或名称。

为 OTP 管理和最终用户登录配置 Citrix 网关

完成 OTP 管理和最终用户登录的以下步骤。

  • 创建 OTP 管理的登录架构
  • 配置身份验证、授权和审核虚拟服务器
  • 配置 VPN 或负载平衡虚拟服务器
  • 配置策略标签
  • 为最终用户登录创建登录架构

有关配置的详细信息,请参阅本地检察官办公室支助

重要提示:对于推送通知,管理员必须明确配置以下内容:

  • 创建推送服务。
  • 为 OTP 管理创建登录架构时,请根据需要选择单个 AuthManagorotp.xml 登录架构或等效。
  • 在为最终用户登录创建登录模式时,请根据需要选择 dualAuthorpush.xml 登录模式或等效模式。

将您的设备注册到 Citrix 网关

用户必须将其设备注册到 Citrix 网关才能使用推送通知功能。

1. 在 Web 浏览器中,浏览到 Citrix 网关 FQDN,并将后缀 /管理 器转到 FQDN。

这将加载身份验证页面。 示例: https://gateway.company.com/manageotp

2. 根据需要,使用 LDAP 凭据或适当的双重身份验证机制登录。

登录

3. 点击 添加设备

4. 输入设备的名称,然后单击 “ 转到”。

QR 码将显示在 Citrix 网关浏览器页面上。

扫描

5. 使用 Citrix SSO 应用程序从要注册的设备扫描此二维码。

Citrix SSO 验证 QR 码,然后向网关注册推送通知。如果注册过程中没有错误,则该令牌将成功添加到密码令牌页面。

令牌

6. 如果没有其他设备可以添加/管理注销,请使用页面右上角的列表。

测试一次性密码身份验证

1. 要测试 OTP,请从列表中单击您的设备,然后单击 测试

2. 输入您在设备上收到的 OTP,然后单击 “ 到”。

将显示 OTP 验证成功消息。

3. 使用页面右上角的列表注销。

注意:您可以随时使用 OTP 管理门户测试身份验证、删除已注册的设备或注册更多设备。

登录到思杰网关

将其设备注册到 Citrix 网关后,用户可以使用推送通知功能进行身份验证。

1. 导航到 Citrix 网关身份验证页面(例如:https://gateway.company.com)

系统会提示您仅输入 LDAP 凭据,具体取决于登录架构配置。

Token2

2. 输入您的 LDAP 用户名和密码,然后选择 “ 提交”。

将向您注册的设备发送通知。

注意: 如果要手动输入 OTP,则必须选择 单击 手动输入 OTP,然后在 TOTP 字段中输入 OTP

3. 打开已注册设备上的 Citrix SSO 应用,然后点击 允许

允许

注意

  • 身份验证服务器等待推送服务器通知响应,直到配置的超时期限过期。超时后,Citrix 网关将显示登录页面。然后,用户可以手动输入 OTP,或单击 重新发送通知 ,在注册的设备上再次接收通知。根据您选择的选项,网关将验证您已输入的 OTP,或在注册的设备上重新发送通知。

后备

  • 不会向您注册的设备发送有关登录失败的通知。

以下图像捕获示例设备注册和推送通知工作流。

工作流程

失效条件

  • 在以下情况下,设备注册可能会失败。
    • 服务器证书可能不受最终用户设备的信任。
    • 用于注册 OTP 的 Citrix 网关无法由客户端访问。
  • 在以下情况下,通知可能会失败。
    • 用户设备未连接到互联网
    • 用户设备上的通知被阻止
    • 用户不批准设备上的通知

在这些情况下,身份验证服务器将等待,直到配置的超时期限过期。超时后,Citrix Gateway 会显示一个登录页面,其中包含手动输入 OTP 或在注册设备上重新发送通知的选项。根据所选选项,进一步验证。

思杰 SSO 应用程序在 iOS 上的行为-要注意的事项

通知快捷方式

Citrix SSO iOS 应用程序包括对可操作通知的支持,以增强用户体验。在 iOS 设备上收到通知后,如果设备已锁定或 Citrix SSO 应用程序未位于前台,则用户可以使用通知中内置的快捷方式批准或拒绝登录请求。

要访问通知快捷方式,用户需要强制触摸(3D 触摸)或长按通知,具体取决于设备的硬件。选择 “允许快捷方式” 操作将向 Citrix ADC 发送登录请求。根据身份验证、授权和审核虚拟服务器上配置身份验证策略的方式;

  • 登录请求可能会在后台发送,而无需将应用程序启动到前台或解锁设备。
  • 应用程序可能会提示输入触摸 ID/面部 ID/密码作为额外的因素,在这种情况下,应用程序将启动到前台。

快捷方式

从 Citrix SSO 中删除密码令牌

1. 要删除 Citrix SSO 应用程序中注册用于推送的密码令牌,用户必须执行以下步骤:

2. 取消注册(删除)网关上的 IOS/Android 设备。显示用于从设备中删除注册的 QR 码。

3. 打开 Citrix SSO 应用程序,然后点击要删除的密码令牌的信息按钮。

4. 点击 删除令牌 并扫描二维码。

注意

  • 如果 QR 码有效,则该令牌将从 Citrix SSO 应用程序中成功删除。
  • 如果设备已从网关中删除,用户可以点击 “强制删除” 即可删除密码令牌,而无需扫描二维码。如果设备尚未从 Citrix Gateway 中删除,则强制删除可能会导致设备继续接收通知。

删除令牌