nFactor 支持 iOS 上的 Citrix SSO 应用程序和 macOS 上的 Citrix Secure Access 代理

多因素 (nFactor) 身份验证要求用户提供多个身份证明才能获得访问权限,从而增强了应用程序的安全性。管理员可以配置不同的身份验证因素,包括客户端证书、LDAP、RADIUS、OAuth、SAML 等。这些身份验证因素可以根据组织的需要按任意顺序进行配置。

iOS 上的 Citrix SSO 应用程序和 macOS 上的 Citrix Secure Access 代理支持以下身份验证协议:

  • nFactor — 当身份验证虚拟服务器绑定到网关上的 VPN 虚拟服务器时,将使用 nFactor 协议。由于身份验证因素的顺序是动态的,因此客户端使用在应用程序上下文中呈现的浏览器实例来呈现身份验证 GUI。

  • 经典 — 经典协议是在网关的 VPN 虚拟服务器上配置经典身份验证策略时使用的默认回退协议。如果 nFactor 对于特定的身份验证方法(例如 NAC)失败,则经典协议是后备协议。

  • Citrix 身份平台 — 在向 CloudGateway 或网关服务进行身份验证时使用 Citrix 身份平台协议,并且需要向 Citrix Cloud 注册 MDM。

下表总结了每种协议支持的各种身份验证方法。

身份验证方法 nFactor 经典 Citrix IdP
客户端证书 支持 支持 不支持
LDAP 支持 支持 不支持
本地 支持 支持 不支持
RADIUS 支持 不支持 不支持
SAML 支持 不支持 不支持
OAuth 支持 不支持 不支持
TACACS 支持 不支持 不支持
Webauth 支持 不支持 不支持
谈判 支持 不支持 不支持
EPA 支持 支持 不支持
NAC 不支持 支持 不支持
StoreFront 不支持 不支持 不支持
ADAL 不支持 不支持 不支持
DS-AUTH 不支持 不支持 支持

nFactor 配置

有关配置 nFactor 的详细信息,请参阅 配置 nFactor 身份验证

重要:

要将 nFactor 协议用于 iOS 上的 Citrix SSO 应用程序和 macOS 上的 Citrix Secure Access 代理,建议的 Citrix Gateway 本地版本为 12.1.50.xx 及更高版本。

限制

  • 移动设备特定的身份验证策略(例如 NAC(网络访问控制)要求客户端发送签名的设备标识符,作为 Citrix Gateway 身份验证的一部分。签名的设备标识符是一个可旋转的私有密钥,用于唯一标识在 MDM 环境中注册的移动设备。此密钥嵌入在由 MDM 服务器管理的 VPN 配置文件中。可能无法将此密钥注入 WebView 上下文。如果在 MDM VPN 配置文件上启用了 NAC,则 iOS 上的 Citrix SSO 应用程序和 macOS 上的 Citrix Secure Access 代理会自动回退到经典身份验证协议。

  • 你无法使用适用于 macOS 的 Intune 配置 NAC 检查,因为与 iOS 不同,Intune 没有提供为 macOS 启用 NAC 的选项。

nFactor 支持 iOS 上的 Citrix SSO 应用程序和 macOS 上的 Citrix Secure Access 代理

在本文中