为 macOS 用户设置 Citrix SSO

适用于 macOS 的 Citrix SSO 应用程序提供 Citrix 网关提供的最佳应用程序访问和数据保护解决方案。现在,您可以随时随地安全访问关键业务应用程序、虚拟桌面和企业数据。 Citrix SSO 是 Citrix 网关的下一代 VPN 客户端,用于从 macOS 设备创建和管理 VPN 连接。Citrix SSO 是使用苹果的网络扩展 (NE) 框架构建的。来自 Apple 的 NE 框架是一个现代化的库,其中包含可用于自定义和扩展 macOS 的核心网络功能的 API。支持 SSL VPN 的网络扩展可在运行 MacOS 10.11+ 的设备上使用。

Citrix SSO 应用程序替换了基于内核扩展 (KE) 的传统 Citrix 网关插件,该插件将很快被苹果弃用。Citrix SSO 应用程序支持高级功能,如服务器启动的连接和 DTLS。

Citrix SSO 应用程序在 macOS 上提供完整的移动设备管理 (MDM) 支持。借助 MDM 服务器,管理员现在可以远程配置和管理设备级 VPN 配置文件和每个应用程序 VPN 配置文件。适用于 macOS 的 Citrix SSO 应用程序可以从 Mac 应用程序商店安装。

思杰 VPN 和思杰 SSO 之间的功能比较

下表比较了 Citrix VPN 和 Citrix SSO 之间的各种功能的可用性。

功能 思杰 VPN 思杰 SSO
应用程序分发方法 思杰下载页面 应用商店
隧道连接数 128 128
从浏览器访问 支持 不支持
从本机应用程序访问 支持 支持
分割隧道(关闭/反向) 支持 支持
拆分 DNS(本地/远程/两者) 远程 远程
局域网接入 启用/禁用 始终启用
服务器启动的连接 (SIC) 支持 不支持 支持
转移登录 支持 支持
客户端代理 支持 不支持
经典/opswat EPA 支持 支持 支持
设备证书支持 支持 支持
会话超时支持 支持 支持
强制超时支持 支持 支持
空闲超时支持 支持 不支持
IPV6 不支持 支持
网络漫游(在 Wi-Fi、以太网等之间切换) 支持 支持
内联网应用程序支助 支持 支持
对 UDP 的 DTLS 支持 不支持 支持
欧洲联合会支助 支持 支持
应用程序 + 接收器集成 支持 不支持
身份验证 — 本地、LDAP、RADIUS 支持 支持
客户端证书身份验证 支持 支持
TLS 支持(TLS1、TLS1.1 和 TLS1.2) 支持 支持
双因素身份验证 支持 支持

与 MDM 产品的兼容性

Citrix SSO 的 macOS 是与大多数 MDM 提供商,如思杰 XenMobile 兼容, 微软 Intune 等. 它支持名为 “网络访问控制 (NAC)” 的功能,MDM 管理员可以通过该功能在连接到 Citrix Gateway 之前强制执行最终用户设备合规性。思杰 SSO 上的 NAC 需要 MDM 服务器,如 XenMobile 或 Intune 和 Citrix 网关。有关 NAC 的更多信息,请点击此处

为 Citrix SSO 配置 MDM 托管 VPN 配置文件

以下部分介绍了使用 Citrix 端点管理(以前称为 XenMobile)为 Citrix SSO 配置设备范围和每个应用程序 VPN 配置文件的分步说明。使用 Citrix SSO 时,其他 MDM 解决方案可以使用此文档作为参考。

注意: 本部分介绍了基本设备范围和每个应用程序 VPN 配置文件的配置步骤。此外,您还可以按照 Citrix 端点管理(以前称为 XenMobile)文档或 Apple 的配置按需、始终在线代理MDM VPN 有效负载配置

设备级 VPN 配置文件

设备级 VPN 配置文件用于设置系统范围的 VPN。根据 Citrix ADC 中定义的 VPN 策略(如全隧道、分割隧道、反向拆分隧道),来自所有应用程序和服务的流量都会通道到 Citrix 网关。

在 Citrix 终端节点管理上配置设备级 VPN

执行以下步骤来配置设备级 VPN。

1. 在 Citrix 端点管理 MDM 控制台上,导航至 配置 > 设备策 略 > 添加新策略

2. 在左侧的策略平台窗格中选择 macOS 。在右侧窗格中选择 VPN 策略

3. 在 “ 策略信息 ” 页面上,输入有效的策略名称和描述,然后单击 “ 一步”。

4. 在 macOS 的 策略详细信息 页面上,键入有效的连接名称,然后在 连接类型 中选择 自定义 SSL

注意:在 MDM VPN 负载中,连接名称对应于 用户定义的名称密钥, VPN 类型密钥必须设置为 VPN

5. 在 自定义 SSL 标识符(反向 DNS 格式)中,输入网络扩展器网关。这是 macOS 上 Citrix SSO 应用程序的捆绑标识符。

注意:在 MDM VPN 负载中,自定义 SSL 标识符对应于 VPNsubtype键。

6. 在 提供商捆绑标识符中,输入网络扩展器网关 。这是 Citrix SSO macOS 应用程序二进制文件中包含的网络扩展的捆绑标识符。

注意:在 MDM VPN 负载中,提供程序捆绑标识符对应于提 供程序捆绑标识符密钥。

7. 在 服务器名称或 IP 地址 中,输入与此 Citrix 端点管理实例关联的 Citrix ADC 的 IP 地址或 FQDN。

配置页面中的其余字段是可选的。这些字段的配置可在 Citrix 端点管理文档中找到。

8. 点击 下一步

本地化后的图片

9. 单击保存

每个应用程序 VPN 配置文件

每个应用程序的 VPN 配置文件用于为特定应用程序设置 VPN。只有特定应用程序的流量才会被隧道传送到 Citrix 网关。每个应用程序 VPN 负载支持设备范围 VPN 的所有密钥以及一些附加密钥。

在 Citrix 终端节点管理上配置每个应用程序级别的 VPN

执行以下步骤在 Citrix 端点管理上配置每个应用程序 VPN:

1. 完成 Citrix 端点管理上的设备级 VPN 配置。

2. 打开 “ 每个应用程序 VPN” 部分中的 “启 用每个应用程序 VPN” 开关。

3. 如果应 在启动匹配应用程序 时自动启动 Citrix SSO,则启用按需匹配应用程序开关。建议在大多数每个应用程序的情况下使用此功能。

注意:在 MDM VPN 有效负载中,此字段对应于 需求的密钥。

5. Safari 域配置是可选的。配置 Safari 域后,Citrix SSO 会在用户启动 Safari 并导航到与 “ ” 字段中的 URL 匹配的 URL 时自动启动。如果您想限制特定应用的 VPN,则不建议使用此操作。

注意:在 MDM VPN 负载中,此字段对应于密钥 安全域

配置页面中的其余字段是可选的。这些字段的配置可在 Citrix 端点管理(以前称为 XenMobile)文档中找到。

本地化后的图片

13. 单击下一步

14. 单击保存

要将此 VPN 配置文件关联到设备上的特定应用程序,您必须按照本指南创建 应用程序清单策略和凭据提供程序策略-https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/

在每个应用程序 VPN 中配置分割隧道

MDM 客户可以在每个应用程序 VPN 中为 Citrix SSO 配置分割隧道。为此,必须将以下键/值对添加到 MDM 服务器上创建的 VPN 配置文件的供应商配置部分。

-  密钥 = “穿越应用程序分割隧道”
-  值 = “真或 1 或是”

密钥区分大小写,并且应该完全匹配,而值不区分大小写。

注意:用于配置供应商配置的用户界面不是 MDM 供应商的标准。您必须与 MDM 供应商联系,以查找 MDM 用户控制台上的供应商配置部分。

以下是 Citrix 终端节点管理中配置(供应商特定设置)的示例屏幕截图。

分裂隧道每 App-CEM

以下是 Microsoft Intune 中配置(供应商特定设置)的示例屏幕截图。

每应用程序内部分裂隧道

禁用用户创建的 VPN 配置文件

MDM 客户可以阻止用户从 Citrix SSO 应用程序中手动创建 VPN 配置文件。为此,必须将以下键/值对添加到 MDM 服务器上创建的 VPN 配置文件的供应商配置部分。

-  键 = “禁用用户配置文件”
-  值 = “真或 1 或是”

密钥区分大小写,并且应该完全匹配,而值不区分大小写。

注意:用于配置供应商配置的用户界面不是 MDM 供应商的标准。您必须与 MDM 供应商联系,以查找 MDM 用户控制台上的供应商配置部分。

以下是 Citrix 终端节点管理中配置(供应商特定设置)的示例屏幕截图。

残疾人-VPN-CEM

以下是 Microsoft Intune 中配置(供应商特定设置)的示例屏幕截图。

禁用在调整中的任务

已知问题

以下是目前已知的问题。

  • 如果用户被置于隔离组,则 EPA 登录失败。
  • 不显示强制超时警告消息。
  • 如果分割隧道处于开启状态且未配置 Intranet 应用程序,则 SSO 应用程序允许登录。

限制

以下是目前的限制。

  • 某些 EPA 扫描(例如修补程序管理扫描、Web 浏览器扫描、终止进程)可能会失败,因为沙箱导致对 SSO 应用程序的访问受到限制。
  • 不支持基于端口/协议的分割隧道。

常见问题解答

本部分捕获 Citrix SSO 应用程序的常见问题。

如何思杰 SSO 应用程序从思杰 VPN 应用程序不同? 思杰 SSO 是思杰 ADC 的下一代 SSL VPN 客户端。该应用程序使用苹果的网络扩展框架来创建和管理 iOS 和 MacOS 设备上的 VPN 连接。Citrix VPN 是使用苹果的私有 VPN API 的传统 VPN 客户端,现已弃用。对 Citrix VPN 的支持将在未来几个月从应用商店中删除。

**什么是 NE? **Apple 的网络扩展 (NE) 框架是一个现代化的库,其中包含可用于自定义和扩展 iOS 和 macOS 的核心网络功能的 API。支持 SSL VPN 的网络 扩展可在运行 iOS 9+ 和 MacOS 10.11+ 的设备上使用。

**对于哪些版本的思杰 ADC 是 Citrix SSO 兼容的? **思杰 ADC 10.5 及更高版本支持 Citrix SSO 中的 VPN 功能。TOTP 可在思杰 ADC 12.0 及更高版本上使用。Citrix ADC 上的推送通知尚未 公开公布。该应用程序需要 iOS 9 以上和 MacOS 10.11 以上版本。

**非 MDM 客户的基于 CERT 的身份验证如何工作? **之前通过电子邮件或浏览器分发证书以在 Citrix VPN 中执行 客户端证书身份验证的客户应在使用 Citrix SSO 时注意此更改。这 主要适用于不使用 MDM 服务器分发用户证书的非 MDM 客户。请参阅 “通过电子邮件将证书导入 Citrix SSO” 以便能够 分发证书。

什么是网络访问控制 (NAC)?如何使用思杰 SSO 和思杰网关配置 NAC? 微软 Intune 和 Citrix 端点管理(以前称为 XenMobile)MDM 客户可以利用 Citrix SSO 中的网络访问控制 (NAC) 功能。借助 NAC,管理员 可以通过为由 MDM 服务器管理的移动设备添加额外的身份验证层来保护其企业内部网络的安全。管理员可以在 Citrix SSO 中进行身份验证时强制执行设备 合规性检查。

要将 NAC 与 Citrix SSO 一起使用,必须在 Citrix 网关和 MDM 服务器上启用它。

  • 要在思杰 ADC 上启用 NAC,请参阅此内容链接
  • 如果 MDM 供应商是 Intune,请参考这个链接
  • 如果 MDM 供应商是 Citrix 端点管理(以前称为 XenMobile),请参阅此操作链接

注意:最低支持的 Citrix SSO 版本为 1.1.6 及更高版本。