面向 Secure Mail 的 SSO

可以将 Endpoint Management 配置为当用户在 Secure Hub 中注册时自动在 Secure Mail 中注册这些用户。用户无需输入更多信息或执行额外的步骤即可注册 Secure Mail。对于使用电子邮件凭据在 Secure Hub 中注册的用户,此功能要求启用自动发现。如果未启用自动发现,可以为以下注册方法启用此功能:

  • 将 Endpoint Management 地址从 Secure Hub 传递到 Secure Mail。
  • 用户在 Secure Hub 中注册时输入 Endpoint Management 地址。

在 Secure Mail 中启用自动注册

  1. 将以下 Endpoint Management 客户端属性设置为 true:

    • ENABLE_PASSCODE_AUTH
    • ENABLE_PASSWORD_CACHING
    • ENABLE_CREDENTIAL_STORE
  2. 添加此 Endpoint Management 客户端属性:

    显示名称:SEND_LDAP_ATTRIBUTES

    值:userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname}, displayName= ${ user.displayName} ,mail= ${ user.mail}

  3. 添加此 Endpoint Management 属性:

    将 MAM_MACRO_SUPPORT 设置为 true

  4. 配置以下 Secure Mail 属性:

    • 将“初始身份验证机制”设置为用户电子邮件地址
    • 将“初始身份验证凭据”设置为 userPrincipalName
  5. 为用户的 Exchange Server 邮箱配置基于电子邮件的 AutoDiscovery Service。要获取支持,请联系您的 Microsoft Exchange 管理员。本文假定您通过查询 DNS 中的 SRV 记录配置了 Autodiscovery Service。

配置 Secure Mail 应用程序策略

将 Secure Mail 应用程序上载到 Endpoint Management。上载与 Secure Mail 应用程序的正确版本关联的 .mdx 文件。然后,配置以下 Secure Mail 应用程序设置:

  1. 在“初始身份验证机制”中,单击用户电子邮件地址

  2. 初始身份验证凭据中,单击 userPrincipalNamesAMAccountName。您的选择基于针对用户的 Exchange Mail Server 配置的身份验证类型。

  3. 将 Secure Mail Exchange Server 和 Secure Mail 用户域字段留空。

  4. 根据需要配置 Secure Mail 应用程序的其他策略并做出必要的交付组分配。

使用自动预配功能的端到端 Secure Mail SSO 用户体验

确保您满足以下必备条件。

  1. 从 Apple App Store (iOS) 或 Google Play 应用商店 (Android) 安装 Secure Hub。

  2. 打开 Secure Hub 并输入电子邮件地址和密码以便在 Endpoint Management 中注册。

  3. 从 Apple App Store (iOS) 或 Google Play 应用商店 (Android) 安装 Secure Mail。

  4. 打开 Secure Mail 并轻按确定。此步骤允许 Secure Hub 管理 Secure Mail。打开过程中,Secure Mail 将自动配置。

与用户的邮箱数据库对应的 Exchange Server 是从您配置的 Autodiscovery Service 获取的。DNS SRV 记录查询利用从 Secure Hub 提取的用户电子邮件地址。

帐户配置所需的所有详细信息(例如电子邮件地址、userPrincipalName/sAMAccountName 和密码)都是从 Secure Hub 提取的。

配置帐户时,用户可以在 Secure Mail > 设置 > 帐户中查看与设备有关的详细信息。

对问题进行故障排除

如果 SSO 配置出现任何问题,都可以尝试执行以下步骤。

  1. 确保 XenMobile Server 版本为 10.5 或更高版本。

  2. 确保为 Endpoint Management 配置了 AutoDiscovery Service,并且将用户注册配置为使用电子邮件地址。

  3. 确保为 Exchange Server 域配置了自动发现。确保 SRV 记录的查询返回 ActiveSync 邮件客户端的预期邮件服务器。

  4. 如果此功能出现问题,请收集以下信息并联系 Citrix 技术支持:

    • 下载 Endpoint Management 诊断日志。
    • 收集具有最高日志级别的 Secure Mail 诊断日志。
    • 从托管 Autodiscovery Service 的 Exchange Server 收集 C:\inetpub\logs\LogFiles\W3SVC1 目录中的 IIS 日志。有关 Microsoft 自动发现服务的更多详细信息,请参阅 Microsoft TechNet 站点