自适应身份验证服务

Citrix Cloud 客户可以使用Citrix Workspace 向 Citrix DaaS 提供自适应身份验证。自适应身份验证是一项 Citrix Cloud 服务,可为登录 Citrix Workspace 的客户和用户启用高级身份验证。自适应身份验证服务是 Citrix 托管并由 Citrix Cloud 托管的 ADC,可提供所有高级身份验证功能,例如:

多重身份验证: 多重身份验证要求用户提供多个身份证明才能获得访问权限,从而增强了应用程序的安全性。客户可以根据业务需求在多重身份验证机制中配置各种因素组合。有关详细信息,请参阅 身份验证配置示例

设备状态扫描: 可以根据设备状态对用户进行身份验证。设备状态扫描(也称为端点分析扫描)检查设备是否合规。例如,如果设备运行的是最新的操作系统版本,则会设置补丁包和注册表项。安全合规涉及扫描以检查是否安装了防病毒软件或是否打开了防火墙等等。设备状态还可以检查设备是托管还是非托管、公司所有或 BYOL。

条件身份验证: 根据用户的参数,如网络位置、设备状态、用户组、一天中的时间,可以启用条件身份验证。您可以使用其中一个参数或这些参数的组合来执行条件身份验证。 基于设备状态的身份验证示例:您可以执行设备状态扫描,以检查设备是企业托管设备还是自带设备。如果设备是企业管理的设备,您可以使用简单的 AD(用户名和密码)来质询用户。如果设备是 BYOD,则可以使用 AD 加上 RADIUS 身份验证来质询用户。

如果您计划根据网络位置有选择地枚举虚拟应用程序和桌面,则必须使用 Citrix Studio 策略而不是工作区对这些交付组执行用户管理。创建交付组时,请在用户设置中选择 限制以下用户使用此交付组允许任何经过身份验证的用户使用此交付组。这样,交付组下的“访问策略”选项卡就可以配置自适应访问。

对 Citrix DaaS 的上下文访问: 自适应身份验证支持对 Citrix DaaS 的上下文访问。自适应身份验证将有关用户的所有策略信息显示给 Citrix DaaS。管理员可以在其策略配置中使用此信息来控制可以在 Citrix DaaS 上执行的用户操作。例如,用户操作可以是启用或禁用剪贴板访问和客户端驱动器映射打印机重定向。

在即将发布的版本中,计划通过自适应身份验证对安全互联网访问和其他 Citrix Cloud 服务进行上下文访问。

登录页面自定义: 自适应身份验证可帮助用户高度自定义 Citrix Cloud 登录页面。

自适应身份验证功能

以下是具有自适应身份验证的 Citrix Workspace 中支持的功能。

  • LDAP(Active Directory)
  • 针对 AD、Azure AD、Okta 的目录支持
  • RADIUS 支持(双核、Symantec)
  • AD + 令牌内置 MFA
  • SAML 2.0
  • OAuth、OIDC 支持
  • 客户证书身份验证
  • 设备状态评估(端点分析)
  • 与第三方身份验证提供商集成
  • 通过应用程序推送通知
  • reCAPTCHA
  • 条件/策略驱动的身份验证
  • SmartAccess(上下文访问)的身份验证策略
  • 登录页面自定义
  • 自助密码重置

必备条件

  • 为自适应身份验证实例预留 FQDN。例如 aauth.xyz.com,假定 xyz.com 是您的公司域。此 FQDN 在本文档中称为自适应身份验证服务 FQDN,在预配实例时使用。将 FQDN 与 IdP 虚拟服务器公有 IP 地址映射。此 IP 地址是在上载证书步骤中预配后获得的。
  • 为 aauth.xyz.com 购买证书。证书必须包含 SAN 属性。否则证书不被接受。

  • 自适应身份验证 UI 不支持上载证书捆绑包。要链接中间证书,请参阅 配置中间证书

  • 为本地 AD/RADIUS 连接选择连接类型。以下两个选项可用。如果您不希望数据中心连通性,请使用连接器连接类型。

  • 配置网络时间协议 (NTP) 服务器以避免时间偏差。有关详细信息,请参阅 如何将系统时钟与网络上的服务器同步

注意事项

  • Citrix 建议不要为任何自适应身份验证实例运行清除配置,也不要修改任何带有前缀 AA (例如 AAuthAutoConfig)的配置,包括证书。这会中断自适应身份验证管理,并影响用户访问。恢复的唯一方法是通过重新预配。
  • 请勿在自适应身份验证实例上添加 SNIP 或任何其他路由。
  • 如果客户 ID 不是全部为小写,则用户身份验证将失败。您可以将 ID 转换为全部小写,然后使用 set cloud parameter -customerID <all_lowercase_customerid> 命令在 ADC 实例上进行设置。
  • Citrix Workspace 或 Citrix Secure Private Access 服务所需的 nFactor 配置是客户应该直接在实例上创建的唯一配置。目前,Citrix ADC 中没有阻止管理员进行这些更改的检查或警告。
  • 请勿将自适应身份验证实例升级为随机 RTM 构建。所有升级均由 Citrix Cloud 管理。
  • 仅支持基于 Windows 的云连接器。此版本不支持连接器装置。
  • 如果您是现有 Citrix Cloud 客户,并且已经配置了 Azure AD(或其他身份验证方法),要切换到自适应身份验证(例如,设备状态检查),则必须将自适应身份验证配置为身份验证方法,并在自适应身份验证实例。有关详细信息,请参阅 将 Citrix Cloud 连接到 Azure AD
  • 对于 RADIUS 服务器部署,请将所有连接器私有 IP 地址添加为 RADIUS 服务器中的 RADIUS 客户端。
  • 请勿将 LDAP 或 RADIUS 服务器添加为服务或服务器。
  • 在当前版本中,不允许使用外部 ADM 代理,因此不支持 Citrix Analytics (CAS)。
  • Citrix Application Delivery Management 服务收集自适应身份验证实例的备份。要从 ADM 中提取备份,请载入 ADM 服务。有关详细信息,请参阅配置备份和还原。Citrix 不会从自适应身份验证服务显式获取备份。如有必要,客户必须从应用程序交付管理服务中获取其配置的备份。

如何配置自适应身份验证服务

访问自适应身份验证用户界面

您可以通过以下方法之一访问自适应身份验证用户界面。

  • 导航到 Citrix Cloud > 身份识别和访问管理
  • 在“身份验证”选项卡的“自适应身份验证”中,单击省略号菜单并选择“管理”。

此时将显示自适应身份验证用户界面。

下图说明了配置自适应身份验证所涉及的步骤。

预配主页

步骤 1:设置自适应身份验证

执行以下步骤:

  1. 自适应身份验证 UI 上,单击 设置
  2. 为自适应身份验证选择首选连接。

    • Citrix Cloud Connector: 对于这种连接类型,您必须在本地网络中设置连接器。Citrix 建议您在环境中至少部署两个 Citrix Cloud Connector,以建立与 Azure 上托管的 Citrix Gateway 的连接。您必须允许 Citrix Cloud Connector 访问为自适应身份验证实例预留的域/URL。例如,允许 https://aauth.xyz.com/*

      有关 Citrix Cloud Connector 的详细信息,请参阅 Citrix Cloud Connector

    • Azure VNet 对等 -必须使用 Azure 的 VNet 对等互连来设置服务器之间的连接。

    连接类型

    要将 Citrix Cloud Connector 添加为首选连接,请执行以下操作:

    执行以下步骤。

    • 选择 Citrix Cloud Connector 选项,然后选中最终用户协议复选框。
    • 点击 设置。设置配置可能需要长达 30 分钟。

    注意:

    对于连接器连接类型,请确保在预配后可从连接器虚拟机访问自适应身份验证 FQDN。

    要设置 Azure VNet 对等互连,请执行以下操作:

    如果选择 Azure VNet 对等互连作为连接,则必须添加必须用于预配自适应身份验证实例的子网 CIDR 块。您还必须确保 CIDR 块不会与贵组织的其他网络范围重叠。

    有关详细信息,请参阅 使用 Azure VNet 对等互连设置与本地身份验证服务器的连接。

  3. 设置凭证以访问您为自适应身份验证启用的实例。您需要管理控制台访问权限才能创建身份验证、条件访问等策略。

    1. 控制台访问 屏幕中,输入用户名和密码。
    2. 单击下一步

    注意: 通过控制台访问屏幕创建的用户将获得具有 shell 访问权限的“超级用户”权限。

    控制台访问

  4. 添加自适应身份验证服务 FQDN 并上载证书密钥对。 您必须为可公开访问的身份验证服务器输入您选择的自适应身份验证服务 FQDN。

    1. 在“上载证书”屏幕中,输入您为自适应身份验证保留的 FQDN。
    2. 选择证书类型。
    3. 上载证书和密钥。

    注意:

    • 在自适应身份验证实例上安装中间证书,并将其与服务器证书链接。

      1.  登录自适应身份验证实例。 1.  导航到**流量管理 > SSL**。 有关详细信息,请参阅 [配置中间证书](/zh-cn/citrix-gateway/current-release/install-citrix-gateway/certificate-management-on-citrix-gateway/configure-intermediate-certificate.html)。
      
    • 只接受公共证书。不接受由私有或未知 CA 签名的证书。
    • 证书配置只能使用自适应身份验证 UI 完成。请勿直接在实例上更改它,因为这可能会导致不一致。

    添加 FQDN

  5. 上载证书和密钥。

    自适应身份验证实例现在已连接到身份和访问管理服务。自适应身份验证方法状态显示为已连接

    在 IDAM 上连接了自适应身份验证

  6. 设置一个 IP 地址,通过该地址可以访问自适应身份验证管理控制台。
    1. 允许的 IP 地址 屏幕中,为每个实例输入一个公有 IP 地址作为管理 IP 地址。要限制对管理 IP 地址的访问,可以添加多个允许访问管理控制台的 IP 地址。
    2. 要添加多个 IP 地址,必须单击“添加”,输入 IP 地址,然后单击“完成”。必须为每个 IP 地址执行此操作。如果不单击“完成”按钮,则不会将 IP 地址添加到数据库中,而只会添加到用户界面中。

    允许的 IP 地址

  7. 指定一组资源位置(连接器),通过这些位置可以到达 AD 或 RADIUS 服务器。

    管理员可以选择必须通过哪些连接器访问后端 AD 和 RADIUS 服务器。要启用此功能,客户可以在其后端 AD/RADIUS 服务器子网之间建立映射,这样,如果身份验证流量落在特定子网下,则该流量将定向到特定的资源位置。但是,如果资源位置未映射到子网,则管理员可以指定为这些子网使用通配符资源位置。

    以前,本地 AD/RADIUS 的自适应身份验证流量使用循环方法定向到任何可用的资源位置。这给具有多个资源位置的客户带来了问题。

    1. 在“自适应身份验证”用户界面上,单击“管理连接”。
    2. 输入子网详细信息并选择相应的资源位置。 注意: 如果清除“为剩余子网使用任何可用的资源位置”复选框,则只有定向到已配置子网的流量才会通过隧道传输。
    3. 单击“添加”,然后单击“保存更改”。

    注意:

    • 只允许使用 RFC1918 IP 地址子网。
    • 每个客户的子网资源位置映射数量限制为 10。
    • 多个子网可以映射到单个资源位置。
    • 同一子网不允许重复条目。
    • 要更新子网条目,请删除现有条目,然后更新。
    • 如果您重命名或移除资源位置,请确保也从自适应身份验证实例中删除该条目。

    指定连接器

步骤 2:配置自适应身份验证策略

预配完成后,您可以直接访问自适应身份验证管理 IP 地址。但是,使用 IP 地址访问实例是不可信的,许多浏览器会通过警告阻止访问。Citrix 建议您使用 FQDN 访问自适应身份验证管理控制台,以避开任何安全屏障。您必须为自适应身份验证管理控制台保留 FQDN,并将其映射为主要和辅助管理 IP 地址。

例如,如果您的 AA 实例 IP 为 20.1.1.1,辅助实例 IP 为 20.2.2.2,那么;

  • primary.domain.com 可以映射到 20.1.1.1

  • secondary.domain.com 可以映射到 20.2.2.2

访问自适应身份验证实例后,您可以根据需要配置身份验证流程用例。有关各种使用案例,请参阅 身份验证配置示例

要使用 FQDN 访问自适应身份验证管理控制台,请参阅 为 ADC 管理员 UI 访问配置 SSL

配置自适应身份验证策略

重要:

  • 在高可用性设置中,作为同步过程的一部分,证书也会同步。因此,请确保使用通配符证书。
  • 如果您需要每个节点的唯一证书,请将证书文件和密钥上载到任何未同步的文件夹中(例如,在 nsconfig/SSL 目录中创建单独的文件夹 (nosync_cert)),然后在每个节点上唯一上载证书。
  • 要启用应用程序的单点登录,请确保在 OAuth IdP 配置文件中启用“发送密码”选项。

步骤 3:启用工作空间的自适应身份验证

预配完成后,您可以通过单击为工作区启用自适应身份验证部分中的启用来启用 Workspace 的身份验证。

为工作区启用自适应身份验证

注意:

通过此步骤,自适应身份验证配置即已完成。

将身份验证方法迁移到自适应身份验证

已经使用带身份验证方法的自适应身份验证作为 Citrix Gateway 的客户必须迁移自适应身份验证,然后从自适应身份验证实例中删除 OAuth 配置。

  1. 切换到 Citrix Gateway 以外的其他身份验证方法。
  2. Citrix Cloud > 身份和访问管理中,单击与 Citrix Gateway 对应的省略号按钮,然后单击 断开连接

    断开网关

  3. 选择“我了解对订阅者体验的影响”,然后单击“确认”。

    单击“确认”后,工作区对最终用户的登录将受到影响,并且在再次启用自适应身份验证之前,不会将自适应身份验证用于身份验证。

  4. 在自适应身份验证实例管理控制台中,删除 OAuth 相关的配置。

    通过使用 CLI:

    unbind authentication vs <authvsName> -policy <oauthIdpPolName>
    rm authentication oauthIdpPolicy <oauthIdpPolName>
    rm authentication oauthIdpProfile <oauthIdpProfName>
    <!--NeedCopy-->
    

    通过使用 GUI:

    1. 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Virtual Servers(虚拟服务器)
    2. 解除 OAuth 策略的绑定。
    3. 导航到 安全 > AAA-应用程序流量 > 策略 > 身份验证 > 高级策略 > OAuth IDP
    4. 删除 OAuth 策略和配置文件。
  5. 导航到 Citrix Cloud > 身份识别和访问管理。 在“身份验证”选项卡的“自适应身份验证”中,单击省略号菜单,然后选择 管理

    或者访问权限 https://adaptive-authentication.cloud.com

  6. 单击“查看详情”。
  7. 在“上载证书”屏幕中,执行以下操作:
    • 添加自适应身份验证 FQDN。
    • 移除证书和密钥文件并重新上载。

    编辑 FQDN

    重要:

    如果您直接编辑 FQDN 或证书密钥对而不迁移到 自适应身份验证,则与身份和访问管理的连接将失败,并显示以下错误。您必须迁移到自适应身份验证方法来修复这些错误。

    • ADC 命令失败,并出现错误。策略已绑定到指定的优先级。
    • ADC 命令失败,并出现错误。无法解除未绑定的策略的绑定。
  8. 单击保存更改

    此时,身份和访问管理将自适应身份验证显示为已连接,并且自适应身份验证实例已自动配置了 OAuth 配置文件。

    您可以从 GUI 中验证这一点。

    1. 访问您的自适应身份验证实例并使用您的凭据登录。
    2. 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Virtual Servers(虚拟服务器)。您必须看到 OAuth IdP 配置文件已创建。
    3. 导航到 Citrix Cloud > 身份识别和访问管理。自适应身份验证处于“已连接”状态。
  9. 单击自适应身份验证主页中的 启用(步骤 3),再次启用 自适应身份验证方法。

    启用身份验证

    此步骤在工作区配置中启用身份验证方法作为自适应身份验证。

  10. 单击“启用”后,单击步骤 3 中的工作区链接。您必须看到身份验证方法已更改为自适应身份验证。

注意:

除删除 OAuth 相关配置的步骤外,新用户必须遵循相同的步骤。

编辑 FQDN

如果在 Workspace 配置中选择了 自适应身份验证 作为身份验证方法,则无法编辑 FQDN。必须切换到其他身份验证方法才能编辑 FQDN。但是,如有必要,您可以编辑证书。

重要:

  • 在修改 FQDN 之前,请确保新 FQDN 已映射到 IdP 虚拟服务器公有 IP 地址。
  • 使用 OAuth 策略连接到 Citrix Gateway 的现有用户必须将身份验证方法迁移到自适应身份验证。有关详细信息,请参阅 将身份验证方法迁移到自适应身份验证

要编辑 FQDN,请执行以下操作:

  1. 切换到与 自适应身份验证不同的身份验证方法。

    切换身份验证方法

  2. 选择“我了解对订阅者体验的影响”, 然后单击“确认”。

    单击“确认”后,工作区对最终用户的登录将受到影响,并且在再次启用自适应身份验证之前,不会使用自适应身份验证进行身份验证。因此,建议您在维护时段内修改 FQDN。

  3. 在“上载证书”屏幕中,修改 FQDN。

    编辑 FQDN

  4. 单击保存更改

    重要信息:

    如果编辑 FQDN,则还必须再次上载证书。

  5. 单击自适应身份验证主页中的 启用(步骤 3),再次启用 自适应身份验证方法。

    启用身份验证

  6. 单击 刷新

高级配置选项

通过使用自适应身份验证 GUI,您还可以设置以下内容。

  • 安排自适应身份验证实例的升级
  • 取消预配您的自适应身份验证实例
  • 启用对网关的安全访问

高级选项

安排自适应身份验证实例的升级

对于当前站点或部署,可以选择升级的维护时段。

重要信息:

请勿将自适应身份验证实例升级为随机 RTM 构建。所有升级均由 Citrix Cloud 管理。

  1. 自适应身份验证 UI 的预配自适应身份验证实例部分中,单击省略号按钮。
  2. 单击“计划升级”。
  3. 选择升级的日期和时间。

安排升级

取消预配您的自适应身份验证实例

在以下情况下,根据 Citrix 支持的建议,客户可以取消预配自适应身份验证实例。

  • 自适应身份验证实例不可访问(尤其是在计划升级之后),尽管这种情况可能不会发生。
  • 如果客户必须从 VNet 对等模式切换到连接器模式或相反。
  • 如果客户在预配 VNet 对等模式时选择了错误的子网(子网与其数据中心或 Azure VNet 中的其他子网冲突)。

注意:

取消预配也会删除实例的配置备份。因此,在取消预配自适应身份验证实例之前,您必须下载并保存备份文件。

要取消预配自适应身份验证实例,请执行以下操作:

  1. 自适应身份验证 UI 的预配自适应身份验证实例部分中,单击省略号按钮。
  2. 单击“取消预配”。

    注意:

    在取消预配之前,必须断开 Citrix Gateway 与工作区配置的连接。

  3. 输入客户 ID 以取消配置自适应身份验证实例。

取消预配

启用对网关的安全访问

  1. 自适应身份验证 UI 的预配自适应身份验证实例部分中,单击省略号按钮。
  2. 单击“安全访问网关”

    安全访问

  3. 密钥应过期时间中,选择新 SSH 密钥的过期持续时间。
  4. 单击“生成并下载密钥”。 复制或下载 SSH 私钥供以后使用,因为该密钥在页面关闭后不会显示。此密钥可用于使用用户名 authadmin 登录自适应身份验证实例。

    如果较早的 密钥对过期,您可以单击生成并下载 密钥来创建新的密钥对。但是,只能有一个密钥对处于活动状态。

  5. 单击完成

重要:

  • 如果您在 Windows 上使用 PuTTY 连接到自适应身份验证实例,则必须将下载的私有密钥转换为 PEM。有关详细信息,请参阅 https://www.puttygen.com/convert-pem-to-ppk

  • 建议使用以下命令通过 MAC 终端或从 Windows(版本 10)的 PowerShell/命令提示符下通过终端连接到自适应身份验证实例。 ssh -i <path-to-private-key> authadmin@<ip address of ADC>
  • 如果希望 AD 用户访问自适应身份验证 GUI,则必须将他们作为新管理员添加到 LDAP 组。有关详细信息,请参阅 https://support.citrix.com/article/CTX123782。 对于所有其他配置,Citrix 建议您使用自适应身份验证 GUI 而不是 CLI 命令。

使用 Azure VNet 对等互连设置与本地身份验证服务器的连接

只有将连接类型选择为 Azure VNet 对等互连时,才必须设置此配置。

注意: 如果您使用的是 Okta、Azure AD、Ping 等第三方 IDP,则不需要执行此步骤。

  1. 在“连接自适应身份验证 UI”上,单击“预配”,然后单击“Azure VNet 对等”。

    VNet 对等

    Citrix 托管服务主体 字段包含 Citrix 为您的客户创建的 Azure 服务主体的应用程序 ID。此服务主体是允许 Citrix 将 VNet 对等项添加到订阅和租户中的 VNet 所必需的。

    要允许此服务主体登录到客户租户,客户站点的管理员(租户的全局管理员)必须运行以下 PowerShell 命令将 SPN 添加到租户。也可以使用 CloudShell。 Connect-AzureAD New-AzureADServicePrincipal -AppId $App_ID 其中 $App_ID 是 Citrix 共享的 SPN 应用程序 ID。

    注意:

    • 前面提到的命令输出一个必须用于角色分配的服务主体名称。
    • 要允许此服务主体添加 Azure VNet 对等互连,客户站点的管理员(不限于全局管理员)必须向 VNet 添加“网络参与者”角色,该角色必须链接到 Citrix 托管 VNet。
    • SPN 是用于关联 Azure 中的 Citrix 虚拟网络的唯一标识符。将 SPN 与 VNet 关联可使 Citrix 虚拟网络通过 Azure 的 VNet 连接到客户的本地网络。
  2. 创建 VNet 对等互连。

    • 输入运行前面步骤的租户 ID,然后单击 Fetch(提取)。

    这将使用为 SPN 添加网络贡献者角色的候选 VNet 填充客户管理的 VNet 资源 ID。如果看不到 VNet,请确保前面的步骤正确运行或重复这些步骤。

    注意:

    有关如何查找租户 ID 的详细信息,请参阅 https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-how-to-find-tenant

  3. 选择 使用 Azure VPN 网关 将本地网络连接到 Azure。
  4. 客户托管 VNet 资源 ID中,选择标识为对等互连的 VNet,然后单击 添加。 VNet 将添加到表中,最初的状态为“进行中”。成功完成对等互连后,状态将变为“完成”。
  5. 单击完成
  6. 继续进行配置,请参阅 步骤 1:设置自适应身份验证

    重要:

    • 为了使流量在 Citrix 托管 VNet 和本地网络之间流动,可能会更改内部部署的防火墙和路由规则,以将流量定向到 Citrix 托管 VNet。
    • 一次只能添加一个 VNet 对等项。目前不允许多个 VNet 对等。您可以删除 VNet 对等互连或根据需要创建一个。

配置已完成

其他相关配置

更改身份验证管理员密码

您可以使用以下步骤在实例和 ADM 设备配置文件中更改 authadmin 用户的密码。

  1. 导航到“系统”>“用户管理”>“用户”,然后创建用户。有关详细信息,请参阅 配置用户帐户
  2. 保存配置。
  3. 在 Citrix Application Delivery Management 服务中,执行以下操作:
    • 导航到 网络 > 实例 > Citrix ADC
    • 单击配置文件,然后选择以网关托管为前缀的配置文件。
    • 选择 更改密码 并设置步骤 2 中使用的密码。
    • 单击“返回”。
    • 转到 Citrix ADC > 选择操作 > 重新发现

有关更多信息,请参阅 如何更改 Citrix ADC MPX 和 VPX 根密码

自定义工作区 URL 或虚名 URL

对于自定义工作区 URL 或虚拟 URL,请配置一个新的 OAuthIDP 配置文件,其客户端 ID、密钥和受众与当前配置文件相同,但重定向 URL 为 https://your.company.com/core/login-cip。在此示例中, your.company.com 是与您的域对应的自定义工作区 URL。例如, nssvctesting.net 是域,自定义工作区 URL 是 ws1.nssvctesting.net。 创建新的 OAuthIDP 策略并将其绑定到身份验证和授权虚拟服务器。

注意:

两个 OAuthIDP 策略可以共存,用户可以使用默认工作区 URL 或自定义工作区 URL 或两者同时访问工作区。

配置备份和还原

应用程序交付管理服务对自适应身份验证实例执行备份管理。有关详细信息,请参阅 备份和还原 Citrix ADC 实例

  1. 在“应用程序交付管理”磁贴上,单击 管理
  2. 导航到 基础架构 > 实例 并访问备份。

注意:

如果您没有看到已载入的服务,请加入应用程序交付管理服务。有关详细信息,请参阅 入门

故障排除

根据配置中的不同阶段对问题进行分类:

  • 预配 - 预配自适应身份验证实例时出现问题
  • 实例可访问性问题:实例已预配置,但管理员无法访问它
  • AD/Radius 连接和身份验证问题:已为内部部署设置身份验证策略,但无法正常工作
  • 身份验证问题
  • EPA/设备姿势相关问题
  • 与智能标签相关的问题
  • 日志收集

您也可以使用自适应身份验证 CLI 对问题进行故障排除。要连接到 CLI,请执行以下操作:

  • 在您的机器上下载 SSH 客户端,比如 putty/securecrt。
  • 使用管理 IP(主)地址访问自适应身份验证实例。
  • 使用您的凭据登录。

有关详细信息,请参阅 访问 Citrix ADC 设备

启用自适应身份验证日志的记录

确保启用日志级别以捕获自适应身份验证日志。

使用 CLI 启用日志:

  1. 登录到自适应身份验证实例 CLI。
  2. 使用 PuTTY 输入管理证书。
  3. 运行以下命令 set audit syslogParams logLevel ALL

使用 GUI 启用日志:

  1. 使用浏览器登录自适应身份验证实例。
  2. 导航到 配置 > 系统 > 审计
  3. 在“审核”页的“设置”下,单击“更改审核 syslog 设置”
  4. 日志级别中,选择 全部。

预配问题

  • 无法访问自适应身份验证 UI

    检查您的客户 ID/租户是否启用了授权。

  • 在配置页面停留超过 45 分钟

    收集错误的屏幕截图(如果有),然后联系 Citrix 支持部门寻求帮助。

  • VNet 对等项已关闭

    • 检查 Azure 门户中是否存在与此对等对等对应的警报,并采取建议的操作。
    • 删除对等,然后从自适应身份验证 UI 中再次添加。
  • 取消预配未完成

    联系 Citrix 支持部门以获得帮助。

实例可访问性问题

  • 无法访问该实例的管理 IP 地址

    • 检查客户端用于访问的公有 IP 地址是否属于允许的源 IP 地址。

    • 验证是否有任何代理更改客户端源 IP 地址。

  • 无法登录到实例

    确保管理员访问权限使用您在预配期间输入的凭据正常工作。

  • 最终用户没有完全权限

    在添加用户时,请确保您已绑定了适当的访问命令策略。有关更多信息,请参阅 用户、用户组和命令策略

AD 或 RADIUS 连接问题

Azure Vnet 对等连接类型存在问题:

  • 检查是否可以从自适应身份验证实例访问客户管理的 Azure VNet。
  • 检查从客户管理的 Azure VNet 到 AD 的连接/可访问性是否正常。
  • 确保添加了适当的路由,将流量从本地引导到 Azure VNet。

基于 Windows 的连接器:

  • 所有日志都在 /var/log/ns.log 目录中可用,每个日志都带有 [NS_AAUTH_TUNNEL] 前缀。
  • 日志中的 ConnectionID 可用于关联不同的事务。
  • 确保将连接器虚拟机的专用 IP 地址添加为 RADIUS 服务器中的一个 RADIUS 客户端,因为该 IP 地址是连接器的源 IP 地址。

    对于每个身份验证请求,将在自适应身份验证实例(NS-AAAD 进程)和身份验证服务器之间建立隧道。成功建立隧道后,将进行身份验证。

    确保连接器虚拟机可以解析自适应身份验证 FQDN。

  • 连接器已安装,但本地连接失败。

    验证是否正在建立 NSAUTH-TUNNEL。

    Cat ns.log | grep -I “tunnel”

    如果身份验证请求的 ns.log 文件中没有打印以下示例日志,则可能在建立隧道时出现问题,或者连接器端出现问题。

     LDAP:
     [NS_AAUTH_TUNNEL] Entering bitpump for
     Connection1 => Src : 192.168.0.7:28098, Dst : 10.106.103.60:636 , Connection2 => Src : 10.106.103.70:2271, Dst : 10.106.103.80:443"
     RADIUS:
     [NS_AAUTH_UDP_TUNNEL] MUX channel established"
     <!--NeedCopy-->
    

    检查日志详细信息并采取相应的措施。

    日志详情 更正措施
    日志文件中 [NS_AAUTH_TUNNEL] 不包含带前缀的日志 运行 show cloudtunnel vserver 命令。此命令必须列出状态为“UP”的两个(TCP 和 UDP)云隧道虚拟服务器。“
    [NS_AAUTH_TUNNEL] Waiting for outbound from connector 对于此日志,如果未收到以下响应: [NS-AAUTH-TUNNEL] Received connect command from connector and client connection lookupsucceeded" 检查连接器计算机是否能够访问自适应身份验证 FQDN,或者检查连接器端防火墙是否有与自适应身份验证 FQDN 的出站连接
    [NS_AAUTH_TUNNEL] Server is down or couldn't create connection to ip 0.0.0.0[NS_AAUTH_TUNNEL] Connect response code 401 is not 200 OK, bailing out" 请联系 Citrix 支持部门。

连接器无响应:

  • 确保可从连接器虚拟机访问自适应身份验证 FQDN。
  • 确保已绑定中间证书并将其链接到自适应身份验证实例上的服务器证书。

LDAP/RADIUS 设置不正确:

如果您的 AD/RADIUS 服务器 IP 地址是公有 IP 地址,则必须在 Citrix ADC 设备中为表达式添加子网或 IP 地址。不要编辑现有范围。

  • 要使用 CLI 添加子网或 IP 地址,请执行以下操作:

     set policy expression aauth_allow_rfc1918_subnets "(CLIENT.IP.DST.BETWEEN(10.0.0.0,10.255.255.255) || CLIENT.IP.DST.BETWEEN(172.16.0.0,172.31.255.255) || CLIENT.IP.DST.BETWEEN(192.168.0.0, 192.168.255.255) || CLIENT.IP.DST.BETWEEN(13.14.0.0, 13.14.255.255)||CLIENT.IP.DST.EQ(1.2.5.4))"
     <!--NeedCopy-->
    
  • 要使用 GUI 添加子网或 IP 地址,请执行以下操作:

    导航到 AppExpert > 表达式。 添加表达式 aauth_allow_rfc1918_subnets

如果隧道已建立,但身份验证仍然失败,请使用以下步骤对问题进行故障排除。

LDAP:

  • 验证绑定 DN 详细信息。
  • 使用测试连通性确认错误。
  • 使用 aaad 调试验证错误。
  • 使用 CLI 登录到自适应身份验证实例。

     shell
     cd /tmp
     cat aaad.debug
     <!--NeedCopy-->
    

常见的 LDAP 错误:

Radius:

  • 连接器 IP 地址必须添加为 RADIUS 服务器配置中的 RADIUS 客户端源 IP 地址。

身份验证问题

  • OAuth 的发布断言错误

    • 确保所有索赔均由 AD 提供。您需要 7 个索赔才能成功。

    • 验证 var/log ns.log 文件中的日志以查找 OAuth 失败的错误。

    • 验证 OAuth 配置文件参数。

  • 断言后 Azure AD 身份验证停滞不前

    将 AD 身份验证作为身份验证设置为 off 的下一个因素。这是为了获得成功身份验证所需的所有声明。

与 EPA 相关的问题

  • 插件已经存在,但用户收到下载插件的提示。

    可能的原因:版本不匹配或文件损坏

    • 运行开发人员工具并验证插件列表文件是否包含与 Citrix ADC 和客户端计算机相同的版本。

    • 确保 Citrix ADC 上的客户端版本与客户端计算机上的客户端版本相同。

      在 Citrix ADC 上更新客户端。

      在自适应身份验证实例上,导航到 Citrix Gateway > 全局设置 > 更新客户端库

      Citrix 下载上的 EPA 插件库页面为您提供了详细信息。

    • 有时,即使版本已更新,也可以在 Citrix ADC 上缓存请求。

      show cache object 显示缓存的插件详细信息。您可以使用命令将其删除;

      flush cache object -locator 0x00000023345600000007

    有关 EPA 日志收集的详细信息,请参阅 https://support.citrix.com/article/CTX209148

  • 用户选择选项后,有没有办法恢复 EPA 设置(始终、是、否)。

    目前,EPA 设置还原是手动完成的。

    • 在客户端计算机上,导航到 C:\Users<user_name>\ AppData\ Local\ Citrix\ AGEE。
    • 打开 config.js 文件并将 trustAlways 设置为空 - "trustAlways":null

智能访问标签问题

  • 配置智能访问后,应用程序不可用

    确保在自适应身份验证实例和 Citrix VDA 交付组上定义了标记。

    检查是否在所有大写字母的 Workspace 交付组中添加了标记。

    如果这样做不起作用,您可以收集 ns.log 并联系 Citrix 支持部门。

自适应身份验证实例的常规日志收集

请联系 Citrix 支持部门以获取指导。

身份验证配置示例

客户可以配置自己选择的身份验证策略并将其绑定到身份验证虚拟服务器。身份验证虚拟服务器不需要身份验证配置文件绑定。只能配置身份验证策略。以下是一些用例。

重要信息:

身份验证配置只能在主节点上完成。

带条件身份验证的多因素身份验证

与多因素身份验证的第三方集成

设备状态扫描 (EPA)

其他场景

共同承担安全责任

客户需要采取的行动

以下是客户作为安全最佳实践的一部分而采取的一些行动。

  • 用于访问自适应身份验证 UI 的凭据:客户负责创建和维护用于访问自适应身份验证 UI 的凭据。如果客户正在与 Citrix 支持部门合作解决问题,则客户可能需要与支持人员共享这些凭据。
  • 更改 authadmin 密码:作为配置的一部分,Citrix 会在 Citrix Application Delivery Management 服务和自适应身份验证实例中创建一个名为 authadmin 的初始用户和相应的设备配置文件。客户必须在 ADM 的主节点和设备配置文件中更改此用户的密码。 登录到您的 Citrix Gateway,更改用户名和密码。有关详细信息,请参阅更改 authadmin 密码。

  • 远程 CLI 访问安全性:Citrix 为客户提供远程 CLI 访问。但是,客户有责任在运行时维护实例的安全。

  • SSL 私钥:由于 Citrix ADC 处于客户控制之下,因此 Citrix 无法访问文件系统。客户必须确保他们保护他们在 Citrix ADC 实例上托管的证书和密钥。

  • 数据备份:备份配置、证书、密钥、门户自定义以及任何其他文件系统修改。

  • ADC 实例的磁盘映像:维护和管理 Citrix ADC 磁盘空间和磁盘清理。客户有责任安全可靠地运行这些任务。
  • 升级:计划升级自适应身份验证实例。有关详细信息,请参阅 安排自适应身份验证实例的升级

客户和 Citrix 都需要采取行动

  • 灾难恢复:在受支持的 Azure 区域中,Citrix ADC 高可用性实例在单独的可用区中预配,以防止数据丢失。如果 Azure 数据丢失,Citrix 将尽可能多地恢复 Citrix 管理的 Azure 订阅中的资源。

    如果丢失了整个 Azure 区域,客户有责任在新区域中重建其客户管理的虚拟网络并创建新的 VNet 对等互连。

  • 通过公共管理 IP 地址进行安全访问:

    通过分配的公有 IP 地址保护对管理接口的访问,并允许出站连接到 Internet。

限制

  • 不支持通过负载平衡虚拟服务器进行身份验证。
  • 不支持证书捆绑包上载。
  • 如果服务于 RADIUS 请求的连接器出现故障,RADIUS 身份验证将受到几分钟的影响。在这种情况下,用户必须重新进行身份验证。
  • 不支持 DNS 隧道。必须在 Citrix ADC 设备上为客户本地数据中心的身份验证服务器的身份验证策略/配置文件 (LDAP/RADIUS) 中使用的 FQDN 添加静态记录。 有关添加 DNS 静态记录的详细信息,请参阅 创建域名的地址记录

  • 即使未建立与 LDAP 服务器的连接,LDAP 配置文件中的测试网络连接也可能会显示错误的结果,即“服务器可访问”。可能会显示错误消息,例如“端口未打开”或“服务器不是 LDAP”,以指示故障。Citrix 建议在此情况下收集跟踪信息并进一步进行故障排除。
  • 要在 macOS 上运行 EPA 扫描,必须选择 ECC 曲线选项作为 AL L,将默认 ECC 曲线绑定到身份验证和授权虚拟服务器。

服务质量

自适应身份验证是一项高可用性(活动-备用)服务。