身份验证

客户端证书身份验证

重要:

  • 使用 StoreFront 时,适用于 iOS 的 Citrix Workspace 应用程序支持 Citrix Access Gateway Enterprise Edition 版本 9.3 及更高版本以及 NetScaler Gateway 至版本 11。
  • 适用于 iOS 的 Citrix Workspace 应用程序支持客户端证书身份验证。
  • 只有 Access Gateway Enterprise Edition 9.x 和 10.x(以及后续版本)支持客户端证书身份验证。
  • 双来源身份验证类型必须为证书身份验证和 LDAP 身份验证。
  • 适用于 iOS 的 Citrix Workspace 应用程序还支持可选的客户端证书身份验证。
  • 仅支持 P12 格式的证书。

此外,还可以根据向 Citrix Gateway 虚拟服务器呈现的客户端证书属性对登录此虚拟服务器的用户进行身份验证。也可以将客户端证书身份验证与另一种身份验证类型 LDAP 结合使用,以提供双来源身份验证。

要基于客户端证书属性对用户进行身份验证,应在虚拟服务器上启用客户端身份验证,并申请客户端证书。必须在 Citrix Gateway 上将根证书与虚拟服务器绑定在一起。

用户登录 Citrix Gateway 虚拟服务器并通过身份验证后,将从证书的指定字段中提取用户名和域信息。此信息必须在证书的 SubjectAltName:OtherName:MicrosoftUniversalPrincipalName 字段中。其格式为“username@domain”。如果成功提取了用户名和域,并且用户提供了必需的其他信息(例如,密码),则用户已通过身份验证。如果用户未提供有效的证书和凭据,或者如果用户名/域提取失败,身份验证将失败。

可以通过将默认身份验证类型设置为使用客户端证书,基于客户端证书对用户进行身份验证。还可以基于客户端 SSL 证书创建一个证书操作,用于定义身份验证过程中要执行的操作。

配置 XenApp Services 站点

如果您尚未在 Citrix Virtual Apps 控制台或 Web Interface 控制台(取决于您安装的 Citrix Virtual Apps 版本)中创建 XenApp Services 站点,请为移动设备创建 XenApp Services 站点。

适用于移动设备的适用于 iOS 的 Citrix Workspace 应用程序使用 XenApp Services 站点获取与用户有权访问的应用程序有关的信息,并将这些信息提供给在设备上运行的该应用程序。这与使用 Web Interface 建立传统的基于 SSL 的 Citrix Virtual Apps 连接的方式相似,对于这种连接,可以配置 Citrix Gateway。

为面向移动设备的适用于 iOS 的 Citrix Workspace 应用程序配置 XenApp Services 站点,以支持通过 Citrix Gateway 进行连接。

  1. 在 XenApp Services 站点中,选择 Manage secure client access(管理安全客户端访问)> Edit secure client access(编辑安全客户端访问)设置。
  2. 将访问方法改为 Gateway Direct(网关直接)。
  3. 输入 Citrix Gateway 设备的 FQDN。
  4. 输入 Secure Ticket Authority (STA) 信息。

配置 Citrix Gateway 设备

对于客户端证书身份验证,请为 Citrix Gateway 配置使用证书和 LDAP 这两种身份验证策略的双重身份验证方法。

  1. 在 Citrix Gateway 上创建会话策略以允许来自适用于 iOS 的 Citrix Workspace 应用程序的传入 Citrix Virtual Apps 连接,并指定新创建的 XenApp Services 站点的位置。
    • 创建一个会话策略来标识该连接来自适用于 iOS 的 Citrix Workspace 应用程序。创建会话策略时,配置以下表达式作为表达式运算符并选择 Match All Expressions(匹配所有表达式):

      REQ.HTTP.HEADER User-Agent CONTAINS CitrixWorkspace

    • 在会话策略关联的配置文件配置中,在 Security(安全)选项卡上,将 Default Authorization(默认授权)设置为 Allow(允许)。

      在“Published Applications”(已发布的应用程序)选项卡上,如果不是全局设置(选中了“Override Global”(覆盖全局)复选框),请确保将“ICA Proxy”(ICA 代理)字段设置为“ON”(开)。

      在“Web Interface Address”(Web Interface 地址)字段中,键入 URL(其中包含设备用户所使用的 XenApp Services 站点的 config.xml),例如 //XenAppServerName/Citrix/PNAgent/config.xml 或 /XenAppServerName/CustomPath/config.xml。

    • 将会话策略绑定到虚拟服务器。

    • 为证书身份验证和 LDAP 身份验证创建身份验证策略

    • 将身份验证策略绑定到虚拟服务器。

    • 将虚拟服务器配置为在 TLS 握手期间请求获取客户端证书,方法为:在 Certificate(证书)选项卡上打开 SSL Parameters(SSL 参数),对于客户端身份验证,应将 Client Certificate(客户端证书)设置为 Mandatory(强制)。

    重要:

    如果 Citrix Gateway 上使用的服务器证书为证书链(含中间证书)的一部分,则要确保 Citrix Gateway 上还正确安装了中间证书。有关安装证书的详细信息,请参阅 Citrix Gateway 文档。

配置移动设备

如果在 Citrix Gateway 上启用了客户端证书身份验证,则将基于客户端证书的某些属性对用户进行身份验证。成功完成身份验证后,将从证书中提取用户名和域,并应用为该用户指定的所有策略。

  1. 从适用于 iOS 的 Citrix Workspace 应用程序打开帐户,并在“服务器”字段中键入 Citrix Gateway 服务器的匹配 FQDN,例如 GatewayClientCertificateServer.organization.com。适用于 iOS 的 Citrix Workspace 应用程序将自动检测是否需要客户端证书。
  2. 用户可以安装一个新证书,也可以从已安装的证书列表中选择一个证书。对于 iOS 客户端证书身份验证,必须只能由适用于 iOS 的 Citrix Workspace 应用程序下载并安装证书。
  3. 选择有效的证书后,登录屏幕中的“用户名”和“域”字段已使用证书中的用户名信息预先填充,用户需要键入其余字段,包括密码。
  4. 如果将客户端证书身份验证设置为可选,用户可以通过在证书页面上按 Back(返回)跳过证书选项。在此情况下,适用于 iOS 的 Citrix Workspace 应用程序将继续进行连接,并向用户提供登录屏幕。
  5. 用户完成初始登录后,无需再次提供证书即可启动应用程序。适用于 iOS 的 Citrix Workspace 应用程序将存储帐户的证书,并自动使用这些证书执行将来的登录请求。

智能卡

适用于 iOS 的 Citrix Workspace 应用程序仅支持使用 SITHS 智能卡建立会话中连接。

如果使用 FIPS Citrix Gateway 设备,请将您的系统配置为拒绝 SSL 重新协商。有关详细信息,请参阅 如何配置 -denySSLReneg 参数

以下产品和配置受支持:

  • 支持的读卡器:
    • Precise Biometrics Tactivo for iPad Mini 固件版本 3.8.0
    • Precise Biometrics Tactivo for iPad(第 4 代)、Tactivo for iPad(第 3 代)以及 iPad 2 固件版本 3.8.0
    • BaiMobile® 301MP 和 301MP-L 智能卡读卡器 受支持的 VDA 智能卡中间件
    • ActiveIdentity
  • 支持的智能卡:
    • PIV 卡
    • 通用访问卡 (CAC)
  • 支持的配置:
    • 通过智能卡身份验证登录配置了 StoreFront 2.x 的 Citrix Gateway 以及 XenDesktop 7.x 或更高版本或者 XenApp 6.5 或更高版本

RSA SecurID 身份验证

Secure Web Gateway 配置(仅通过 Web Interface 进行的配置)和所有 Citrix Gateway 配置均支持适用于 iOS 的 Citrix Workspace 应用程序的 RSA SecurID 身份验证。

适用于 iOS 的 Citrix Workspace 应用程序上软件令牌所需的 URL 方案: 适用于 iOS 的 Citrix Workspace 应用程序使用的 RSA SecurID 软件令牌仅注册了 URL 方案 com.citrix.securid。

如果用户在自己的 iOS 设备上同时安装了适用于 iOS 的 Citrix Workspace 应用程序和 RSA SecurID 应用程序,则必须选择 URL 方案 com.citrix.securid,以将 RSA SecurID Software Authenticator(软件令牌)导入到其设备上的适用于 iOS 的 Citrix Workspace 应用程序中。

导入 RSA SecurID 软令牌

要对适用于 iOS 的 Citrix Workspace 应用程序使用 RSA 软令牌,请要求您的用户按照以下过程进行操作。

PIN 长度、PIN 类型(仅限数字、字母数字)以及 PIN 重用限制的策略在 RSA 管理服务器上指定。

您的用户仅需要在成功对 RSA 服务器进行身份验证后立即执行此操作。您的用户验证其 PIN 后,还将通过 StoreFront 服务器进行身份验证,该服务器将显示可用的已发布应用程序和桌面。

使用 RSA 软令牌

  1. 导入贵组织向您提供的 RSA 软令牌。

  2. 在附加了 SecurID 文件的电子邮件中,选择 Open in Workspace(在 Workspace 中打开)作为导入目标位置。导入软令牌后,适用于 iOS 的 Citrix Workspace 应用程序将自动打开。

  3. 如果贵组织提供了密码以完成导入,请输入贵组织向您提供的密码,然后单击确定。单击确定后,系统将显示一条消息,提示您令牌已成功导入。

  4. 关闭导入消息,然后在适用于 iOS 的 Citrix Workspace 应用程序中单击添加帐户

  5. 输入贵组织提供的应用商店的 URL 并单击下一步

  6. 在“登录”屏幕上,输入您的凭据:用户名、密码和域。对于“PIN”字段,除非贵组织向您提供了不同的默认 PIN,否则,请输入 0000。(PIN 0000 是 RSA 的默认值,但贵组织可能会更改该值,使其遵从安全策略。)

  7. 单击左上角的登录。单击登录后,系统将提示您创建一个新 PIN。

  8. 输入一个 4 到 8 位数字的 PIN,然后单击确定

  9. 系统随后将提示您验证新 PIN。重新输入您的 PIN,然后单击确定。单击“确定”后,您将能够访问自己的应用程序和桌面。

下一个令牌代码

如果您将 Citrix Gateway 配置为进行 RSA SecurID 身份验证,适用于 iOS 的 Citrix Workspace 应用程序将支持下一个令牌代码。启用此功能后,如果用户输入三次(默认)错误密码,Citrix Gateway 插件将提示用户等到下一个令牌激活才能登录。可将 RSA 服务器配置为在用户使用错误密码登录次数过多时,禁用该用户帐户。

派生凭据

支持在适用于 iOS 的 Citrix Workspace 应用程序中使用 Purebred 派生凭据。连接到允许使用派生凭据的应用商店时,用户可以使用虚拟智能卡登录适用于 iOS 的 Citrix Workspace 应用程序。仅本地部署支持此功能。

注意:

要使用此功能,需要运行 Citrix Virtual Apps and Desktops 7 1808 或更高版本。

要在适用于 iOS 的 Citrix Workspace 应用程序中启用派生凭据,请执行以下操作:

  1. 转至设置 > 高级 > 派生凭据
  2. 轻按使用派生凭据

然后,创建虚拟智能卡以与派生凭据结合使用:

  1. 设置 > 高级 > 派生凭据中,轻按 Add New Virtual Smart Card(添加新虚拟智能卡)。
  2. 编辑虚拟智能卡的名称。
  3. 输入 8 位仅限数字的 PIN 并进行确认。
  4. 轻按下一步
  5. 在“身份验证证书”下方,轻按导入证书…
  6. 此时将显示文档选取器。轻按浏览
  7. 在“位置”下方,选择 Purebred Key Chain(Purebred 钥匙串)。
  8. 从列表中选择所需的身份验证证书。
  9. 轻按导入密钥
  10. 如果需要,对数字签名证书和加密证书重复执行步骤 5-9。
  11. 轻按保存

最多可以为虚拟智能卡导入三个证书。需要身份验证证书,虚拟智能卡才能正确运行。可以添加加密证书和数字签名证书以在 VDA 会话内部使用。

注意:

连接到 HDX 会话时,创建的虚拟智能卡会重定向到该会话。

已知限制

  • 用户一次只能有一个活动卡。
  • 虚拟智能卡创建后不能编辑。要更改虚拟智能卡,用户必须删除该卡,然后创建新卡。
  • 最多可以输入 10 次无效 PIN。在第 10 次尝试后,虚拟智能卡将被删除。
  • 选择了派生凭据后,当某个会话中需要智能卡时,虚拟智能卡将覆盖物理智能卡。