为 iOS 用户设置 Citrix SSO,为 macOS 用户设置 Citrix Secure Access

重要提示:

Citrix VPN 不能在 iOS 12 及更高版本上使用。要继续使用 VPN,请使用 Citrix SSO 应用程序。

下表比较了 Citrix VPN、适用于 iOS 用户的 Citrix SSO 和适用于 macOS 用户的 Citrix Secure Access 之间各种功能的可用性

功能 Citrix VPN 适用于 iOS 用户的 Citrix SSO /macOS 用户的 Citrix Secure Access
设备级 VPN 支持 支持
PerApp VPN(仅限 MDM) 支持 支持
Per-App 拆分通道 不支持 支持
MDM 配置的 VPN 配置文件 支持 支持
按需 VPN 支持 支持
密码令牌(基于 T-OTP) 不支持 支持
基于推送通知登录(来自注册手机的第二重身份验证) 不支持 支持
基于证书的身份验证 支持 支持
用户名/密码身份验证 支持 支持
使用 Citrix Endpoint Management(以前称为 XenMobile)进行网络访问控制检查 不支持 支持
使用 Microsoft Intune 进行网络访问控制检查 支持 支持
DTLS 支持 不支持 支持
阻止用户创建的 VPN 配置文件 支持 支持
适用于 Citrix Cloud 托管的本机应用程序的单点登录 不支持 支持
客户端代理 支持 支持
支持的操作系统版本 iOS 9、10、11(不适用于 iOS 12 以上的版本) iOS 9+

与 MDM 产品的兼容性

Citrix SSO (iOS) 和 Citrix Secure Access (macOS) 与大多数 MDM 提供商兼容,例如 Citrix Endpoint Management(以前是 XenMobile)、Microsoft Intune 等。

Citrix SSO (iOS) 和 Citrix Secure Access (macOS) 还支持一项名为网络访问控制 (NAC) 的功能。有关 NAC 的详细信息,请参阅为 单因素登录配置 Citrix Gateway 虚拟服务器的网络访问控制设备检查。借助 NAC,MDM 管理员可以在连接到 Citrix ADC 设备之前强制执行最终用户设备合规性。Citrix SSO (iOS) 和 Citrix Secure Access (macOS) 上的 NAC 需要 MDM 服务器,例如 Citrix Endpoint Management 或 Intune 和 Citrix ADC。

注意:

要在 iOS 上使用 Citrix SSO 应用程序或在不带 MDM 的 Citrix Gateway VPN 的 macOS 上使用 Citrix Secure Access 代理,必须添加 VPN 配置。您可以从 Citrix SSO (iOS) 和 Citrix Secure Access (macOS) 主页在 iOS 上添加 VPN 配置。

为 Citrix SSO 应用程序 (iOS) 或 Citrix Secure Access 代理 (macOS) 配置 MDM 托管 VPN 配置文件

以下部分介绍了使用 Citrix ECitrix Endpoint Management dpoint Management(以前称为 XenMobile)为 Citrix SSO 应用程序 (iOS) 或 Citrix Secure Access 代理 (macOS) 配置设备范围和 PerApp VPN 配置文件的分步说明。其他 MDM 解决方案在使用 Citrix SSO (iOS) 和 Citrix Secure Access (macOS) 时可以使用本文档作为参考。

注意:

本部分说明基本的设备范围和 PerApp VPN 配置文件的配置步骤。此外,您还可以按照 Citrix Endpoint Management(以前称为 XenMobile)文档或 Apple 的 MDM VPN 有效负载配置来配置按需、始终在线、代理。

设备级 VPN 配置文件

设备级 VPN 配置文件用于设置系统范围的 VPN。根据 Citrix ADC 中定义的 VPN 策略(例如全隧道、拆分隧道、反向拆分隧道),将来自所有应用程序和服务的流量通道传输到 Citrix Gateway。

在 Citrix Endpoint Management 上配置设备级 VPN

执行以下步骤在 Citrix Endpoint Management 上配置设备级别的 VPN。

  1. 在 Citrix Endpoint Management MDM 控制台上,导航到 配置 > 设备策 略 > 添加新策略

  2. 在左侧的 “策略平台” 窗格中选择 iOS 。在右窗格中选择 VPN

  3. 策略信息 页面上,输入有效的策略名称和描述,然后单击 下一步

  4. 在适用于 iOS 的 VPN 策略 页面上,键入有效的连接名称,然后在 连接类型 中选择 自定义 SSL

    在 MDM VPN 有效负载中,连接名称对应于 UserDefinedName 密钥, VPN 类型密钥 必须设置为 VPN

  5. 自定义 SSL 标识符(反向 DNS 格式)中,输入 com.citrix.netscalerGateway.ios.app。这是 iOS 上 Citrix SSO 应用程序的捆绑包标识符。

    在 MDM VPN 有效负载中,自定义 SSL 标识符对应于 VPNSubtype 密钥。

  6. 提供商捆绑包标识符 中输入 com.citrix.netscalerGateway.ios.App.VPlugin。这是 Citrix SSO iOS 应用程序二进制文件中包含的网络扩展的捆绑包标识符。

    在 MDM VPN 有效负载中,提供程序捆绑包标识符与 ProviderBundleIdifier 密钥相对应。

  7. 服务器名称或 IP 地址 中,输入与此 Citrix Citrix Endpoint Management 实例关联的 Citrix ADC 的 IP 地址或 FQDN(完全限定域名)。

    配置页面中的其余字段是可选的。这些字段的配置可以在 Citrix Endpoint Management(以前称为 XenMobile)文档中找到。

  8. 单击下一步

    CEM VPN 策略页面

  9. 单击保存

PerApp VPN 配置文件

PerApp VPN 配置文件用于为特定应用程序设置 VPN。仅来自特定应用程序的流量会通过隧道传输到 Citrix Gateway。PerApp VPN 有效负载 支持设备范围 VPN 的所有密钥以及其他一些密钥。

在 Citrix Endpoint Management 上配置每应用程序级别的 VPN

要配置 PerApp VPN,请执行以下步骤:

  1. 在 Citrix Endpoint Management 上完成设备级别的 VPN 配置。

  2. 打开“PerApp VPN”部分中的启用 PerApp VPN 开关。

  3. 如果在启动匹配应用程序时必须自动启动 Citrix SSO (iOS) 和 Citrix Secure Access (macOS),请打开已启用按需匹配应用程序开关“开”。对于大多数每应用程序案例,建议使用此

    在 MDM VPN 有效负载中,此字段对应于键 onDemandMatchAppenabled

  4. 提供商类型中,选择 数据包隧道

    在 MDM VPN 有效负载中,此字段对应于密钥提 供程序类型

  5. Safari 域名配置是可选的。配置 Safari 域后,当用户启动 Safari 浏览器并导航到与字段中的网址匹配的 URL 时,Citrix SSO (iOS) 和 Citrix Secure Access (macOS) 会自动启动。如果要限制特定应用程序的 VPN,则不建议这样做。

    在 MDM VPN 有效负载中,此字段对应于密钥 SafaridOMAINS

    配置页面中的其余字段是可选的。这些字段的配置可以在 Citrix Endpoint Management(以前称为 XenMobile)文档中找到。

    CEM VPN 策略页面

  6. 单击 “ 下一步”。

  7. 单击保存

要将此 VPN 配置文件与设备上的特定应用程序关联,您必须按照本指南创建 应用程序清单策略和凭据提供程序策略- https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/

在 PerApp VPN 中配置拆分通道

MDM 客户可以在 PerApp VPN 中为 Citrix SSO (iOS) 和 Citrix Secure Access (macOS) 配置拆分通道。必须将以下键/值对添加到在 MDM 服务器上创建的 VPN 配置文件的供应商配置部分。

-  Key = "PerAppSplitTunnel"
-  Value = "true or 1 or yes"
<!--NeedCopy-->

键区分大小写,必须完全匹配,而值不区分大小写。

注意:

用于配置供应商配置的用户界面在 MDM 供应商中不是标准的。请与 MDM 供应商联系,在 MDM 用户控制台上查找供应商配置部分。

以下是 Citrix Endpoint Management 中配置(特定于供应商的设置)的示例屏幕截图。

每个应用程序 CEM 拆分隧道

以下是 Microsoft Intune 中配置(供应商特定设置)的示例屏幕截图。

![split-tunnel-per-app-Intune] (/en-us/citrix-gateway/media/split_tunnel_per_app_intune.png)

禁用用户创建的 VPN 配置式

MDM 客户可以阻止用户在 Citrix SSO (iOS) 应用程序和 Citrix Secure Access (macOS) 代理中手动创建 VPN 配置文件。为此,必须将以下键/值对添加到在 MDM 服务器上创建的 VPN 配置文件的供应商配置部分。

-  Key = "disableUserProfiles"
-  Value = "true or 1 or yes"
<!--NeedCopy-->

键区分大小写,必须完全匹配,而值不区分大小写。

注意:

用于配置供应商配置的用户界面在 MDM 供应商中不是标准的。请与 MDM 供应商联系,在 MDM 用户控制台上查找供应商配置部分。

以下是 Citrix Endpoint Management 中配置(特定于供应商的设置)的示例屏幕截图。

禁用 vpn-CEM

以下是 Microsoft Intune 中配置(供应商特定设置)的示例屏幕截图。

disable_VPN_Intune

DNS 处理

Citrix SSO 应用程序或 Citrix Secure Access 代理的建议使用 DNS 设置如下:

  • 如果拆分隧道设置为关,则拆分 DNS > REMOTE。
  • 如果拆分隧道设置为开,则拆分 DNS > 两者在这种情况下,管理员必须为 Intranet 域添加 DNS 后缀。属于 DNS 后缀的 FQDN 的 DNS 查询将通过隧道传输到 Citrix ADC 设备,其余查询将转到本地路由器。

注意:

  • 建议将 DNS 截断修复 标志始终打 。有关更多详细信息,请参阅https://support.citrix.com/article/CTX200243

  • 当拆分隧道设置为 并将拆分 DNS 设置为 REMOTE时,在连接 VPN 后解析 DNS 查询可能会出现问题。这与网络扩展框架未拦截所有 DNS 查询有关。

已知问题

问题描述:为包含 PerApp VPN 或按需 VPN 配置中的 “.local” 域的 FQDN 地址进行通道传输。Apple 的网络扩展框架中存在一个错误,它阻止了域部分中包含 .local 的 FQDN 地址(例如 http://wwww.abc.local)通过系统 TUN 接口进行通道传输。此地址的流量改为通过设备的物理接口发出。仅在 PerApp VPN 或按需 VPN 配置中观察到此问题,而在系统范围的 VPN 配置中不会出现此问题。Citrix 已向苹果公司提交了雷达错误报告,苹果已经指出 https://tools.ietf.org/html/rfc6762,根据 RFC-6762:,本地是多播 DNS(mDNS) 查询,因此不是错误。但是,苹果尚未关闭该错误,目前尚不清楚该问题是否会在未来的 iOS 版本中得到解决。

决办法:为解决方法之类的地址分配 non .local 域名。

限制

  • 尚不完全支持基于 FQDN 的拆分隧道。
  • iOS 不支持端点分析 (EPA)。
  • 不支持基于端口/协议的拆分隧道。
为 iOS 用户设置 Citrix SSO,为 macOS 用户设置 Citrix Secure Access