Citrix Secure Hub

Citrix Secure Hub 是 Citrix Endpoint Management(以前称为 XenMobile)体验的启动板。用户在 Secure Hub 中注册其设备以获得访问应用商店的权限。在应用商店中,用户可以添加 Citrix 开发的移动生产力应用程序以及第三方应用程序。

有关 Secure Hub 以及其他移动生产力应用程序系统要求,请参阅系统要求

管理 Secure Hub

可在对 Endpoint Management 进行初始配置过程中执行与 Secure Hub 有关的大多数管理任务。对于 iOS 和 Android,要使 Secure Hub 对用户可用,请将 Secure Hub 上载到 iOS App Store 和 Google Play 应用商店。

除提供面向 Citrix 应用程序的门户外,Secure Hub 还会在用户的 Citrix Gateway 会话在使用 Citrix Gateway 进行身份验证后恢复时,刷新 Endpoint Management 中存储的适用于已安装应用程序的大多数 MDX 策略。

重要:

更改以下任何策略后都需要用户删除并重新安装应用程序,以应用更新后的策略:安全组、启用加密和 Secure Mail Exchange Server。

Citrix PIN

可以将 Secure Hub 配置为使用 Citrix PIN,这是在 Endpoint Management 控制台的设置 > 客户端属性中启用的一项安全功能。该设置要求已注册的移动设备用户登录 Secure Hub 并使用个人识别码 (PIN) 激活所有 MDX 打包的应用程序。

Citrix PIN 功能简化了登录到受保护的打包应用程序时的用户身份验证体验。用户不需要重复输入其他凭据,例如 Active Directory 用户名和密码。

首次登录 Secure Hub 的用户必须输入其 Active Directory 用户名和密码。登录过程中,Secure Hub 在用户设备上保存 Active Directory 凭据或客户端证书,然后提示用户输入 PIN。用户再次登录时,只需输入 PIN 即可安全地访问其 Citrix 应用程序和 Store,直至活动用户会话的下一个空闲超时期限结束。相关客户端属性允许您使用 PIN 加密机密信息、指定 PIN 的通行码类型以及指定 PIN 的强度和长度要求。有关详细信息,请参阅客户端属性

启用了指纹身份验证时,用户可以在由于应用程序不活动而需要进行脱机身份验证时进行登录。当用户首次登录 Secure Hub 和重新启动设备时,以及在不活动计时器过期后,用户仍必须输入 PIN。有关启用指纹身份验证的信息,请参阅 指纹或 Touch ID 身份验证

证书固定

Secure Hub for iOS 和 Secure Hub for Android 支持 SSL 证书固定。此功能可确保 Citrix 客户端在与 Endpoint Management 通信时使用贵企业签名的证书。证书固定可防止在设备上安装根证书时从客户端到 Endpoint Management 的连接危及 SSL 会话的安全。Secure Hub 检测到对服务器公钥所做的任何更改时,Secure Hub 都会拒绝连接。

自 Android N 起,操作系统不再允许使用用户添加的证书颁发机构 (CA)。Citrix 建议使用公共根 CA 代替用户添加的 CA。

升级到 Android N 的用户如果使用私有或自签名 CA,可能会遇到问题。在下列情况下,Android N 设备上的连接会断开:

  • 使用专用/自签名 CA,并且 AutoDiscovery Service 中的“Required Trusted CA for Endpoint Management”(Endpoint Management 所需的可信 CA)选项设置为 ON(开)。有关详细信息,请参阅 Endpoint Management AutoDiscovery Service
  • 使用私有/自签名 CA,且 AutoDiscovery Service (ADS) 不可访问。出于安全考虑,ADS 不可访问时,“Required Trusted CA”(所需的可信 CA)即使最初设置为 OFF(关)也会变为 ON(开)。

注册设备或升级 Secure Hub 之前,请考虑启用证书固定功能。该选项默认设置为 Off(关),并通过 Endpoint Management Auto Discovery Service (ADS) 进行管理。启用了证书固定时,用户无法使用自签名证书在 Endpoint Management 中注册。如果用户尝试使用自签名证书进行注册,系统会警告其证书不可信。如果用户不接受证书,注册将失败。

要使用证书固定,应请求 Citrix 向 Citrix ADS 服务器上载证书。使用 Citrix 技术支持门户打开一个技术支持案例。然后,提供以下信息:

  • 包含用户注册所用帐户的域。
  • Endpoint Management 的完全限定域名 (FQDN)。
  • Endpoint Management 实例名称。默认情况下,实例名称为 zdm 并区分大小写。
  • 用户 ID 类型,可以是 UPN 或电子邮件。默认情况下,类型为 UPN。
  • 用于 iOS 注册的端口(如果更改了默认端口号 8443)。
  • Endpoint Management 通过其接受连接的端口(如果更改了默认端口号 443)。
  • Citrix Gateway 的完整 URL。
  • (可选)Endpoint Management 管理员的电子邮件地址。
  • 您需要添加到域且具有 PEM 格式的证书。

为 Secure Hub 配置证书 + 一次性密码身份验证

您可以配置 Citrix ADC,以便 Secure Hub 使用证书及安全令牌(作为一次性密码)执行身份验证。此配置提供了强大的安全选项,可在设备中消除 Active Directory 所占用的空间。

为使 Secure Hub 能够使用此类型的身份验证,请在 Citrix ADC 中添加一个重写操作和一个重写策略,用于插入格式为 X-Citrix-AM-GatewayAuthType: CertAndRSA 的自定义响应头以指示 Citrix Gateway 登录类型。

通常,Secure Hub 使用在 Endpoint Management 控制台中配置的 Citrix Gateway 登录类型。但是,在 Secure Hub 首次完成登录之前此信息不可用。因此,必须使用此自定义头才能允许 Secure Hub 执行此操作。

注意:

如果在 Endpoint Management 和 Citrix ADC 中设置不同的登录类型,Citrix ADC 配置将覆盖该配置。有关详细信息,请参阅 Citrix Gateway 和 Endpoint Management

  1. 在 Citrix ADC 中,导航到 Configuration(配置)> AppExpert > Rewrite(重写)> Actions(操作)

  2. 单击添加

    此时将显示 Create Rewrite Action(创建重写操作)屏幕。

  3. 填写每个字段(如下图所示),然后单击 Create(创建)。

    “Create Rewrite Action”(创建重写操作)屏幕示意图

    以下结果将显示在主 Rewrite Actions(重写操作)屏幕上。

    “Rewrite Actions”(重写操作)屏幕结果示意图

  4. 然后您需要将重写操作作为重写策略绑定到虚拟服务器。转到 Configuration(配置)> NetScaler Gateway > Virtual Servers(虚拟服务器),然后选择您的虚拟服务器。

    “Virtual Servers”(虚拟服务器)屏幕示意图

  5. 单击编辑

  6. Virtual Servers configuration(虚拟服务器配置)屏幕上,向下滚动到 Policies(策略)。

  7. 单击 + 添加新策略。

    添加策略选项示意图

  8. Choose Policy(选择策略)字段中输入 Rewrite(重写)。

  9. Choose Type(选择类型)字段中输入 Response(响应)。

    “Response”(响应)选项示意图

  10. 单击继续

    Policy Binding(策略绑定)部分将展开。

    “Policy Binding”(策略绑定)部分示意图

  11. 单击 Select Policy(选择策略)。

    此时将出现一个包含现有策略的屏幕。

    可用策略示意图

  12. 单击刚创建的策略所在行,然后单击 Select(选择)。将再次显示 Policy Binding(策略绑定)屏幕,其中包含您已填入的选定策略。

    所选策略示意图

  13. 单击绑定

    如果绑定成功,将出现主配置屏幕,其中显示了已完成的重写策略。

    成功绑定示意图

  14. 要查看策略详细信息,请单击 Rewrite Policy(重写策略)。

    重写策略详细信息示意图

Android 设备进行 ADS 连接的端口要求

端口配置确保从 Secure Hub 连接的 Android 设备可以通过企业网络访问 Citrix ADS。下载通过 ADS 提供的安全更新时,具有访问 ADS 的能力至关重要。ADS 连接可能与您的代理服务器不兼容。在这种情况下,允许 ADS 连接跳过代理服务器。

重要:

Secure Hub for Android 和 Secure Hub for iOS 要求您允许 Android 设备访问 ADS。有关详细信息,请参阅 Endpoint Management 文档中的端口要求。请注意,此通信采用出站端口 443。您的现有环境很可能允许此访问。对于无法保证此通信的客户,强烈建议不要升级到 Secure Hub 10.2。如有任何疑问,请联系 Citrix 技术支持。

必须完成以下必需操作,才能启用证书固定功能:

  • 收集 Endpoint Management 和 Citrix ADC 证书。证书必须采用 PEM 格式,并且必须是公用证书,而非私钥。
  • 联系 Citrix 技术支持并请求启用证书固定功能。在此过程中,系统会要求您提供证书。

新的证书固定改进功能要求设备先连接到 ADS,然后再注册。这样可确保最新的安全信息对正在其中注册设备的环境中的 Secure Hub 可用。如果设备无法访问 ADS,Secure Hub 不允许设备注册。因此,在内部网络内开启 ADS 访问对于允许设备注册至关重要。

要允许 Secure Hub for Android 访问 ADS,请为以下 IP 地址和 FQDN 打开端口 443:

FQDN IP 地址 端口 IP 和端口用法
discovery.mdm.zenprise.com 52.5.138.94 443 Secure Hub - ADS 通信
discovery.mdm.zenprise.com 52.1.30.122 443 Secure Hub - ADS 通信
ads.xm.cloud.com: 请注意,Secure Hub 10.6.15 及更高版本使用 ads.xm.cloud.com 34.194.83.188 443 Secure Hub - ADS 通信
ads.xm.cloud.com: 请注意,Secure Hub 10.6.15 及更高版本使用 ads.xm.cloud.com 34.193.202.23 443 Secure Hub - ADS 通信

如果启用了证书固定:

  • Secure Hub 在设备注册过程中固定您的企业证书。
  • 升级过程中,Secure Hub 将丢弃当前固定的所有证书,然后在已注册用户首次连接时固定服务器证书。

    注意:

    如果您在升级后启用证书固定,用户必须重新注册。

  • 证书续订不需要重新注册,前提是证书公钥未更改。

证书固定支持分支证书,不支持中间证书或颁发者证书。证书固定适用于 Citrix 服务器(例如 Endpoint Management 和 Citrix Gateway),不适用于第三方服务器。

Secure Hub 功能

Secure Hub 允许您在提供对 Store 的访问和实时支持时监视和执行移动策略。用户首先将 Secure Hub 从 Apple、Android 或 Windows 应用商店下载到其设备。

Secure Hub 打开时,用户输入其公司提供的凭据以在 Secure Hub 中注册其设备。有关设备注册的更多详细信息,请参阅用户、帐户、角色和注册

在 Secure Hub for Android 上执行初始安装和注册过程中,将显示以下消息:Allow Secure Hub to access photos, media, and files on your device?(是否允许 Secure Hub 访问您的设备上的照片、媒体和文件?)

请注意:此消息来自 Android 操作系统,而非来自 Citrix。轻按允许时,Citrix 以及管理 Secure Hub 的管理员在任何时候都不会查看您的个人数据。但是,如果您与管理员进行远程支持会话,则管理员可以在会话中查看您的个人文件。

注册后,用户将看到您已在其我的应用程序选项卡中推送的所有应用程序和桌面。用户可以从 Store 中添加更多应用程序。在手机上,应用商店链接位于左上角的设置汉堡型图标下方。

应用商店链接示意图

在平板电脑上,Store 是一个单独的选项卡。

平板电脑上的应用商店示意图

使用运行 iOS 9 或更高版本的 iPhone 的用户从 Endpoint Management 应用商店中安装移动生产力应用程序时将看到一条消息,指出在该 iPhone 上企业开发者 Citrix 不受信任,并且在信任该开发者之前,该应用程序将不可用。此消息显示时,Secure Hub 提示用户查看一个指南,指导他们完成为其 iPhone 信任 Citrix 企业应用程序的过程。

对于仅 MAM 部署,可以配置 Endpoint Management,以便使用电子邮件凭据在 Secure Hub 中注册的 Android 或 iOS 设备用户能够自动在 Secure Mail 中注册。用户无需输入更多信息或执行额外的步骤即可注册 Secure Mail。

首次使用 Secure Mail 时,Secure Mail 会从 Secure Hub 获取用户的电子邮件地址、域名和用户 ID。Secure Mail 使用电子邮件地址进行自动发现。Exchange Server 使用域和用户 ID 进行标识,这让 Secure Mail 可以自动对用户进行身份验证。如果策略设置为不传递密码,系统会提示用户输入密码,但用户无需输入任何其他信息。

要启用此功能,请创建三个属性:

  • 服务器属性 MAM_MACRO_SUPPORT。有关说明,请参阅服务器属性
  • 客户端属性 ENABLE_CREDENTIAL_STORE 和 SEND_LDAP_ATTRIBUTES。有关说明,请参阅客户端属性

如果您需要自定义 Store,请转到 Settings(设置)> Client Branding(客户端外观方案),以更改名称、添加徽章及指定应用程序显示方式。

“客户端外观方案”示意图

可以在 Endpoint Management 控制台中编辑应用程序说明。单击配置,然后单击应用程序。从表格中选择应用程序,然后单击编辑。选择正在编辑其说明的应用程序的平台,然后在说明框中键入文本。

“说明”框示意图

在 Store 中,用户只能浏览已在 Endpoint Management 中配置且受保护的那些应用程序和桌面。要添加应用程序,用户可以轻按详细信息,然后轻按添加

Secure Hub 还向用户提供各种获得帮助的方法。在平板电脑上,轻按右上角的问号将打开帮助选项。在手机上,用户可以轻按右上角的汉堡型菜单图标,然后轻按帮助

“帮助”屏幕示意图

您的 IT 部门显示贵公司的技术支持人员的电话和电子邮件,用户可以直接从该应用程序中进行访问。您需要在 Endpoint Management 控制台中输入电话号码和电子邮件地址。单击右上角的齿轮型图标。此时将显示设置页面。单击更多,然后单击客户端支持。将显示用于输入信息的屏幕。

“客户端支持”屏幕示意图

Report Issue(报告问题)将显示应用程序的列表。用户选择有问题的应用程序。Secure Hub 会自动生成日志,然后在 Secure Mail 中打开一封邮件并将日志附加为 zip 文件。用户添加主题行和问题描述信息。他们还可以附加屏幕截图。

向 Citrix 发送反馈在 Secure Mail 中打开一封填写了 Citrix 技术支持地址的邮件。在邮件正文中,用户可以输入关于如何改进 Secure Mail 的建议。如果设备上未安装 Secure Mail,则将打开本机邮件程序。

用户还可以轻按 Citrix 支持,之后将打开 Citrix 知识中心。用户可以从中搜索所有 Citrix 产品的支持文章。

首选项中,用户可以找到关于其帐户和设备的信息。

Secure Hub 还提供地理定位和地理跟踪策略,例如,可用于确保公司拥有的设备不会超出特定地理边界。有关详细信息,请参阅定位设备策略。此外,Secure Hub 自动收集并分析失败消息,让您能够了解导致特定失败的原因。此功能受软件 Crashlytics 支持。

Citrix Secure Hub