Product Documentation

身份验证提示情景

May 10, 2018

不同情景会提示用户在其设备上输入凭据以在 XenMobile 中执行身份验证。

这些情景将随以下因素而变化:

  • XenMobile 控制台设置中的 MDX 应用程序策略和客户端属性配置。
  • 是否执行脱机身份验证,或者是否需执行联机身份验证(设备需要通过网络连接到 XenMobile)。

此外,用户输入的凭据类型(Active Directory 密码、Citrix PIN 或通行码、一次性密码、指纹身份验证,后者在 iOS 中称为 Touch ID)也会根据您需要的身份验证的类型和频率而变化。

首先说明会生成身份验证提示的情景。

设备重新启动。用户启动其设备时,必须通过 Secure Hub 重新进行身份验证。 

脱机不活动状态(超时)。在启用应用程序通行码 MDX 策略的情况下(默认),XenMobile 客户端属性调用的不活动计时器开始工作。不活动计时器会限制时间长度,在此期限内,任何使用安全容器的应用程序中可不存在用户活动。

当不活动计时器到期时,用户必须在设备上对安全容器重新进行身份验证。例如,如果用户设定了他们的设备然后离开,当不活动计时器已经到期时,别人无法取走设备并访问容器内的敏感数据。您可以在 XenMobile 控制台中设置“不活动计时器”客户端属性。默认值为 15 分钟。通过将应用程序通行码设置为以及使用“不活动计时器”客户端属性,可控制最常见的身份验证提示情景。

从 Secure Hub 注销。当用户从 Secure Hub 注销后,如果应用程序要求使用通行码(由应用程序通行码 MDX 策略和不活动计时器状态决定),用户在下次访问 Secure Hub 或任何 MDX 应用程序时必须重新进行身份验证。

最长脱机期限。此情景由 MDX 策略控制,因此特定于每个应用程序。最长脱机期限 MDX 策略的默认设置为 3 天。如果应用程序在 Secure Hub 中运行而无需进行联机身份验证的时间期限已过,需要在 XenMobile 服务器中执行签入以便确认应用程序授权和刷新策略。当执行此签入时,应用程序会触发 Secure Hub 进行联机身份验证。用户必须重新进行身份验证才能访问 MDX 应用程序。

请注意最长脱机期限和活动轮询期限 MDX 策略之间的关系:

  • 活动轮询期限是指应用程序向 XenMobile 服务器执行签入以进行各种安全操作(例如应用程序锁和应用程序擦除)的期限。此外,应用程序还会检查更新的应用程序策略。
  • 在通过活动轮询期限策略成功检查策略后,最长脱机期限计时器重置并再次开始倒计时。

在 XenMobile 服务器中针对活动轮询期限和最长脱机期限过期执行的签入均要求在设备上使用有效 NetScaler Gateway 令牌。如果设备具有有效的 NetScaler Gateway 令牌,则应用程序会从 XenMobile 检索新策略,而不会导致用户服务发生任何中断。如果应用程序需要使用 NetScaler Gateway 令牌,则会切换到 Secure Hub,并且用户会在 Secure Hub 中看到身份验证提示。

在 Android 设备上,Secure Hub 活动屏幕会直接在当前应用程序屏幕的上方打开。但是,在 iOS 设备上,Secure Hub 必须在前台运行,这会暂时取代当前的应用程序。

用户输入其凭据后,Secure Hub 将切换回原始应用程序。在这种情况下,如果您允许使用缓存的 Active Directory 凭据,或者您配置了客户端证书,用户可以输入 PIN、密码或指纹身份验证。否则,用户必须输入其完整 Active Directory 凭据。

NetScaler 令牌可能由于 NetScaler Gateway 会话不活动状态或强制执行的会话超时策略而变得无效,如下面的 NetScaler Gateway 策略列表中所述。当用户再次登录 Secure Hub 时,他们可以继续运行应用程序。

NetScaler Gateway 会话策略。当系统提示用户进行身份验证时,两个 NetScaler Gateway 策略也会产生影响。在这些情况下,它们执行身份验证以在 NetScaler 中创建联机会话以用于连接 XenMobile 服务器。

  • Session time-out(会话超时)。如果在设定的时间内没有发生网络活动,XenMobile 的 NetScaler 会话将断开连接。默认值为 30 分钟。但是,如果您使用 NetScaler Gateway 向导配置该策略,默认值将为 1440 分钟。然后,会向用户显示身份验证提示以重新连接其企业网络。
  • 实施的超时。如果设置为打开,XenMobile 的 NetScaler 会话将在超过实施的超时期限后断开连接。实施的超时将使得在设定的时间后强制重新执行身份验证。然后,在用户下次使用时,会向用户显示身份验证提示以重新连接到其企业网络。默认值为。但是,如果您使用 NetScaler Gateway 向导配置该策略,默认值将为 1440 分钟。

凭据类型

上一节讨论系统会在何时提示用户进行身份验证。本部分内容探讨用户必须输入的各种凭据。必须通过多种身份验证方法执行身份验证以访问设备上的加密数据。要初始解锁设备,您需要解锁主要容器。在执行此操作并且再次保护容器(以重新获取访问权限)之后,您需要解锁次要容器

注意:本文中术语托管应用程序是指由 MDX Toolkit 打包的应用程序,在其中,您已保留默认启用的应用程序通行码 MDX 策略,并采用“不活动计时器”客户端属性。

需确定凭据类型的情形如下所示:

  • 解锁主要容器。需要 Active Directory 密码、Citrix PIN 或通行码、一次性密码、Touch ID 或指纹 ID 才能解锁主要容器。
    • 在 iOS 上,当用户打开 Secure Hub 或在设备上安装托管应用程序后首次打开该应用程序时。
    • 在 iOS 上,当用户重新启动设备然后打开 Secure Hub 时。
    • 在 Android 上,当用户在 Secure Hub 未运行的情况下打开托管应用程序时。
    • 在 Android 上,当用户因任何理由(包括设备重启)重新启动 Secure Hub 时。
  • 解锁次要容器。需要指纹身份验证(如果已配置)、Citrix PIN 或通行码或者 Active Directory 凭据才能解锁次要容器。
    • 当用户在不活动计时器到期后打开托管应用程序时。
    • 当用户从 Secure Hub 注销并随后打开托管应用程序时。

当满足下列条件时,需为任一种容器解锁过程使用 Active Directory 凭据:

  • 用户更改与其公司帐户相关联的通行码时。 
  • 当您未在 XenMobile 控制台中设置客户端属性以启用 Citrix PIN 时:ENABLE_PASSCODE_AUTH 和 ENABLE_PASSWORD_CACHING。
  • 当 NetScaler Gateway 会话结束时,会话结束在以下情况下发生:会话超时或实施的超时策略计时器超时时,如果设备不缓存凭据或不具有客户端证书。

启用了指纹身份验证时,用户可以在由于应用程序不活动而需要进行脱机身份验证时进行登录。当用户首次登录 Secure Hub 和重新启动设备时,用户仍必须输入 PIN。iOS 9 和 iOS 10.3 设备以及部分 Android 设备支持指纹身份验证。有关启用指纹身份验证的信息,请参阅客户端属性中的 ENABLE_TOUCH_ID_AUTH 设置。

下面的流程图概述了用于确定用户在系统提示进行身份验证时必须输入哪些凭据的决策流程。

localized image

关于 Secure Hub 屏幕切换

还需要注意的是,当从应用程序切换到 Secure Hub 然后需切回到应用程序的情况。切换过程会显示一条必须由用户响应的通知。在这种情况下不需要执行身份验证。在 XenMobile 服务器中执行签入(由最长脱机期限和活动轮询期限 MDX 策略指定)且 XenMobile 检测到需通过 Secure Hub 推送到设备的更新策略后,会出现此情况。