身份验证提示情景
不同情景会提示用户在其设备上输入凭据以在 Secure Hub 中执行身份验证。
这些情景将随以下因素而变化:
- Endpoint Management 控制台设置中的 MDX 应用程序策略和客户端属性配置。
- 执行脱机身份验证,还是执行联机身份验证(设备需要通过网络连接到 Endpoint Management)。
此外,用户输入的凭据类型(例如 Active Directory 密码、Citrix PIN 码或通行码、一次性密码、指纹身份验证,后者在 iOS 中称为 Touch ID)也会根据身份验证的类型和频率而变化。
首先说明会生成身份验证提示的情景。
-
设备重新启动: 用户启动其设备时,必须通过 Secure Hub 重新进行身份验证。
-
脱机不活动(超时): 在启用了”应用程序通行码 MDX”策略的情况下(默认),称为“不活动计时器”的 Endpoint Management 客户端属性开始起作用。不活动计时器会限制时间长度,在此期限内,任何使用安全容器的应用程序中可不存在用户活动。
当不活动计时器到期时,用户必须在设备上对安全容器重新进行身份验证。例如,如果用户设定了其设备然后离开,则当不活动计时器已经到期时,别人无法取走设备并访问容器内的敏感数据。您可以在 Endpoint Management 控制台中设置不活动计时器客户端属性。默认值为 15 分钟。通过将应用程序通行码设置为开以及使用“不活动计时器”客户端属性,可控制最常见的身份验证提示情景。
-
从 Secure Hub 注销:。当用户从 Secure Hub 注销后,如果应用程序要求使用通行码(由应用程序通行码 MDX 策略和不活动计时器状态决定),用户在下次访问 Secure Hub 或任何 MDX 应用程序时必须重新进行身份验证。
-
最长脱机期限:。此情景由 MDX 策略控制,因此特定于每个应用程序。最长脱机期限 MDX 策略的默认设置为 3 天。如果应用程序在 Secure Hub 中运行而无需进行联机身份验证的时间期限已过,需要在 Endpoint Management 中执行签入以确认应用程序授权和刷新策略。当执行此签入时,应用程序会触发 Secure Hub 进行联机身份验证。用户必须重新进行身份验证才能访问 MDX 应用程序。
请注意最长脱机期限和活动轮询期限 MDX 策略之间的关系:
- 活动轮询期限是指应用程序在 Endpoint Management 中执行签入以执行安全操作(例如应用程序锁定和应用程序擦除)的期限。此外,应用程序还会检查更新的应用程序策略。
- 在通过活动轮询期限策略成功检查策略后,最长脱机期限计时器重置并再次开始倒计时。
在 Endpoint Management 中针对活动轮询期限和最长脱机期限过期执行的签入均要求在设备上使用有效 Citrix Gateway 令牌。如果设备具有有效的 Citrix Gateway 令牌,则应用程序会从 Endpoint Management 检索新策略,而不会导致用户服务发生任何中断。如果应用程序需要使用 Citrix Gateway 令牌,则会切换到 Secure Hub,并且用户会在 Secure Hub 中看到身份验证提示。
在 Android 设备上,Secure Hub 活动屏幕会直接在当前应用程序屏幕的上方打开。但是,在 iOS 设备上,Secure Hub 必须在前台运行,这会暂时取代当前的应用程序。
用户输入其凭据后,Secure Hub 将切换回原始应用程序。在这种情况下,如果您允许使用缓存的 Active Directory 凭据,或者您配置了客户端证书,用户可以输入 PIN、密码或指纹身份验证。否则,用户必须输入其完整 Active Directory 凭据。
Citrix ADC 令牌可能由于 Citrix Gateway 会话处于不活动状态或强制执行的会话超时策略而变得无效,如下面的 Citrix Gateway 策略列表中所述。当用户再次登录 Secure Hub 时,他们可以继续运行应用程序。
-
Citrix Gateway 会话策略: 当系统提示用户进行身份验证时,两个 Citrix Gateway 策略也会产生影响。在这些情况下,用户将执行身份验证以与 Citrix ADC 创建联机会话,以连接到 Endpoint Management。
- 会话超时: 如果在设定的时段内没有发生网络活动,Endpoint Management 的 Citrix ADC 会话将断开连接。默认值为 30 分钟。但是,如果您使用 Citrix Gateway 向导配置该策略,默认值将为 1440 分钟。系统会向用户显示身份验证提示以重新连接其企业网络。
- 强制超时:如果设置为开,Endpoint Management 的 Citrix ADC 会话将在超过强制超时期限后断开连接。实施的超时将使得在设定的时段后强制重新执行身份验证。然后,在用户下次使用时,会向用户显示身份验证提示以重新连接到其企业网络。默认值为关。但是,如果您使用 Citrix Gateway 向导配置该策略,默认值将为 1440 分钟。
凭据类型
上一节讨论系统会在何时提示用户进行身份验证。本部分内容探讨用户必须输入的各种凭据。必须通过多种身份验证方法执行身份验证以访问设备上的加密数据。要初始解锁设备,您需要解锁主要容器。在执行此操作并且再次保护容器(以重新获取访问权限)之后,您需要解锁次要容器。
注意:
术语托管应用程序是指由 MDX Toolkit 封装的应用程序,其中,您已保留默认启用的“应用程序通行码 MDX”策略,并使用“不活动计时器”客户端属性。
需确定凭据类型的情形如下所示:
-
主容器解锁: 需要 Active Directory 密码、Citrix PIN 或通行码、一次性密码、Touch ID 或指纹 ID 才能解锁主要容器。
- 在 iOS 上,当用户打开 Secure Hub 或在设备上安装托管应用程序后首次打开该应用程序时。
- 在 iOS 上,当用户重新启动设备然后打开 Secure Hub 时。
- 在 Android 上,当用户在 Secure Hub 未运行的情况下打开托管应用程序时。
- 在 Android 上,当用户因任何理由(包括设备重启)重新启动 Secure Hub 时。
-
次要容器解锁: 需要指纹身份验证(如果已配置)、Citrix PIN 或通行码或者 Active Directory 凭据才能解锁次要容器。
- 当用户在不活动计时器到期后打开托管应用程序时。
- 当用户从 Secure Hub 注销然后打开托管应用程序时。
当满足下列条件时,需为任一种容器解锁过程使用 Active Directory 凭据:
- 用户更改与其公司帐户相关联的通行码时。
- 当您未在 Endpoint Management 控制台中设置客户端属性以启用 Citrix PIN 时:ENABLE_PASSCODE_AUTH 和 ENABLE_PASSWORD_CACHING。
- 当 NetScaler Gateway 会话结束时,会话结束在以下情况下发生:会话超时或实施的超时策略计时器超时时,如果设备不缓存凭据或不具有客户端证书。
启用了指纹身份验证时,用户可以在由于应用程序不活动而需要进行脱机身份验证时进行登录。当用户首次登录 Secure Hub 和重新启动设备时,用户仍必须输入 PIN。有关启用指纹身份验证的信息,请参阅指纹或 Touch ID 身份验证。
下面的流程图概述了用于确定用户在系统提示进行身份验证时必须输入哪些凭据的决策流程。
关于 Secure Hub 屏幕切换
还需要注意的是,当从应用程序切换到 Secure Hub 然后需切回到应用程序的情况。切换过程会显示一条必须由用户响应的通知。在这种情况下不需要执行身份验证。在 Endpoint Management 中执行签入(由最长脱机期限和活动轮询期限 MDX 策略指定),并且 Endpoint Management 检测到需要通过 Secure Hub 推送到设备的更新后的策略后,会出现此情况。
设备密码的密码复杂度 (Android 12+)
密码复杂度的优先级高于自定义密码要求。密码复杂度级别是预定义的其中一个级别。因此,最终用户无法设置复杂度级别较低的密码。
Android 12+ 上的设备的密码复杂度如下所示:
- 应用密码复杂性: 要求密码的复杂度级别由平台定义,而非自定义密码要求。仅适用于 Android 12+ 和使用 Secure Hub 22.9 或更高版本的设备。
-
复杂程度: 预定义的密码复杂程度。
- 无: 无需密码。
-
低: 密码可以是:
- 一种模式
- 至少包含四位数字的 PIN 码
-
中: 密码可以是:
- 不包含重复序列 (4444) 或有序序列 (1234) 且至少有四位数字的 PIN 码
- 按字母顺序,最少包含四个字符
- 至少包含四个字符的字母数字
-
高: 密码可以是:
- 不包含重复序列 (4444) 或有序序列 (1234) 且至少有八位数字的 PIN 码
- 按字母顺序,最少包含六个字符
- 至少包含六个字符的字母数字
备注:
- 对于 BYOD 设备,“最小长度”、“需含字符”、“生物特征识别”和“高级规则”等密码设置不适用于 Android 12+。请改为使用密码复杂度。
- 如果启用了面向工作配置文件的密码复杂度,还必须启用设备端的密码复杂度。
有关详细信息,请参阅 Citrix Endpoint Management 文档中的 Android Enterprise 设置。