Product Documentation

身份验证提示情景

Sep 13, 2016

不同情景会提示用户在其设备上输入凭据以在 XenMobile 中执行身份验证。

这些情景将随以下因素而变化:

  • 您的 XenMobile MDX 策略和客户属性配置。
  • 是否执行脱机身份验证,或者是否需执行联机身份验证(设备需要通过网络连接到 XenMobile)。

此外,用户输入的凭据类型(Active Directory 密码、Worx PIN 或通行码或者 Touch ID)也会基于您需要的身份验证的类型和频率而变化。 

首先说明会生成身份验证提示的情景。

脱机不活动状态(超时)。 在启用应用程序通行码 MDX 策略的情况下(默认),XenMobile 客户端属性调用的不活动计时器开始工作。 不活动计时器会限制时间长度,在此期限内,任何使用安全容器的应用程序中可不存在用户活动。 

当不活动计时器到期时,用户必须在设备上对安全容器重新进行身份验证。 例如,如果用户设定了他们的设备然后离开,当不活动计时器已经到期时,别人无法取走设备并访问容器内的敏感数据。 您可以在 XenMobile 控制台中设置“不活动计时器”客户端属性。 默认值为 15 分钟。 通过将 App 通行码设置为打开以及使用“不活动计时器”客户端属性,可控制最常见的身份验证提示情景。

从 Worx Home 注销。 当用户从 Worx Home 注销后,如果应用程序要求使用通行码(由应用程序通行码 MDX 策略和不活动计时器状态决定),用户在下次访问 Worx Home 或任何 MDX 应用程序时需重新进行身份验证。   

最长脱机期限。 此情景由 MDX 策略控制,因此特定于每个应用程序。 最长脱机期限 MDX 策略的默认设置为 3 天。 如果应用程序在 Worx Home 中运行而无需进行联机身份验证的期限已过期,需在 XenMobile 服务器中执行签入以便确认应用程序授权和刷新策略。 当执行此签入时,应用程序会触发 Worx Home 进行联机身份验证。 用户必须重新进行身份验证才能访问 MDX 应用程序。 

请注意最长脱机期限和活动轮询期限 MDX 策略之间的关系:

  • 活动轮询期限是指应用程序向 XenMobile 服务器执行签入以进行各种安全操作(例如应用程序锁和应用程序擦除)的期限。 此外,应用程序还会检查更新的应用程序策略。
  • 在通过活动轮询期限策略成功检查策略后,最长脱机期限计时器重置并再次开始倒计时。

在 XenMobile 服务器中针对活动轮询期限和最长脱机期限过期执行的签入均要求在设备上使用有效 NetScaler Gateway 令牌。 如果设备具有有效的 NetScaler Gateway 令牌,则应用程序会从 XenMobile 检索新策略,而不会导致用户服务发生任何中断。 如果应用程序需要使用 NetScaler Gateway 令牌,则会切换到 Worx Home,并且用户会在 Worx Home 中看到身份验证提示。

在 Android 设备上,Worx Home 活动屏幕会直接在当前应用程序屏幕的上方打开。 但是,在 iOS 设备上,Worx Home 必须在前台运行,这会暂时取代当前的应用程序。

用户输入凭据后,Worx Home 会切换回原应用程序。 在这种情况下,如果您允许缓存的 Active Directory 凭据,或者如果已配置客户端证书,则用户可以输入 Worx PIN 或通行码或其 Touch ID (iOS)。 否则,用户必须输入其完整 Active Directory 凭据。

NetScaler 令牌可能由于 NetScaler Gateway 会话不活动状态或强制执行的会话超时策略而变得无效,如下面的 NetScaler Gateway 策略列表中所述。 当用户再次登录 Worx Home 时,他们可以继续运行应用程序。

NetScaler Gateway 会话策略。 当系统提示用户进行身份验证时,两个 NetScaler Gateway 策略也会产生影响。 在这些情况下,它们执行身份验证以在 NetScaler 中创建联机会话以用于连接 XenMobile 服务器。

  • Session time-out(会话超时)。 如果在设定的时间(默认值是 30 分钟)内没有发生网络活动,XenMobile 的 NetScaler 会话将断开连接。 然后,会向用户显示身份验证提示以重新连其公司网络。
  • 强制超时。 如果设置为打开,XenMobile 的 NetScaler 会话将在强制超时期限后断开连接。 强制超时将使得在设定的时间后强制重新执行身份验证。 然后,在用户下次使用时,会向用户显示身份验证提示以重新连接到其公司网络。 默认值为

凭据类型

上一节讨论系统会在何时提示用户进行身份验证。 现在讨论用户必须输入的各种凭据。 必须通过多种身份验证方法执行身份验证以访问设备上的加密数据。 要初始解锁设备,您需要解锁主要容器。 在执行此操作并且再次保护容器(以重新获取访问权限)之后,您需要解锁次要容器

注意:本文中术语托管应用程序是指由 MDX Toolkit 打包的应用程序,在其中,您已保留默认启用的应用程序通行码 MDX 策略,并采用“不活动计时器”客户端属性。

需确定凭据类型的情形如下所示:

  • 解锁主要容器。 需使用 Worx PIN 或通行码或 Active Directory 凭据来解锁主要容器。
    • 在 iOS 上,当用户打开 Worx Home 或在设备上安装托管应用程序后首次打开此应用程序时。
    • 在 iOS 上,当用户重新启动设备然后打开 Worx Home 时。
    • 在 Android 上,当用户在 Worx Home 未运行的情况下打开托管应用程序时。
    • 在 Android 上,当用户因任何理由(包括设备重启)重新启动 Worx Home 时。
  • 解锁次要容器。 可使用 Touch ID(如果已配置;仅适用于 iOS)或 Worx PIN、通行码或 Active Directory 凭据解锁次要容器。
    • 当用户在不活动计时器到期后打开托管应用程序时。
    • 当用户从 Worx Home 注销并随后打开托管应用程序时。

当满足下列条件时,需为任一种容器解锁过程使用 Active Directory 凭据:

  • 如果您尚未在通行码设备策略中启用 Worx PIN 或通行码。
  • 当 NetScaler Gateway 会话结束(在会话超时或强制超时策略计时器超时的情况下会发生)时,如果设备不缓存凭据或不具有客户端证书。

下面的流程图概述了用于确定用户在系统提示进行身份验证时必须输入哪些凭据的决策流程。 

localized image

关于 Worx Home 屏幕切换

还需要注意的是,当从应用程序切换到 Worx Home 然后需切换回应用程序的情况。 切换过程会显示一条必须由用户响应的通知。 在这种情况下不需要执行身份验证。 在 XenMobile 服务器中执行签入(由最长脱机期限和活动轮询期限 MDX 策略指定)后会出现此情况,并且 XenMobile 会检测需通过 Worx Home 推送到设备的已更新的策略。