This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
MDX 应用程序的单点登录和代理注意事项
XenMobile 与 Citrix ADC 集成,使您能够为用户提供对所有后端 HTTP/HTTPS 资源的单点登录 (SSO)。根据您的 SSO 身份验证要求,您可以配置 MDX 应用程序的用户连接以使用以下任一选项:
- Secure Browse,这是一种无客户端 VPN
- 完整 VPN 隧道
如果 Citrix ADC 不是在您的环境中提供 SSO 的最佳方式,您可以设置一个 MDX 应用程序,其中包含基于策略的本地密码缓存。本文探讨了各种 SSO 和代理选项,重点关注 Secure Web。这些概念适用于其他 MDX 应用程序。
以下流程图总结了 SSO 和用户连接的决策流程。
Citrix ADC 身份验证方法
本节提供有关 Citrix ADC 支持的身份验证方法的常规信息。
SAML 身份验证
当您为安全断言标记语言 (SAML) 配置 Citrix ADC 时,用户可以连接到支持 SAML 协议的 Web 应用程序以进行单点登录。Citrix Gateway 支持 SAML Web 应用程序的身份提供程序 (IdP) 单点登录。
所需配置:
- 在 Citrix ADC 流量配置文件中配置 SAML SSO。
- 为请求的服务配置 SAML IdP。
NTLM 身份验证
如果在会话配置文件中启用了 Web 应用程序的 SSO,Citrix ADC 会自动执行 NTLM 身份验证。
所需配置:
- 在 Citrix ADC 会话或流量配置文件中启用 SSO。
Kerberos 模拟
XenMobile® 仅支持 Secure Web 的 Kerberos。当您为 Kerberos SSO 配置 Citrix ADC 时,如果 Citrix ADC 可以获取用户密码,则 Citrix ADC 会使用模拟。模拟意味着 Citrix ADC 使用用户凭据获取访问服务(例如 Secure Web)所需的票证。
所需配置:
- 配置 Citrix ADC“Worx”会话策略,以允许它从您的连接中识别 Kerberos 领域。
- 在 Citrix ADC 上配置 Kerberos 约束委派 (KCD) 帐户。配置该帐户时无需密码,并将其绑定到 XenMobile 网关上的流量策略。
- 有关这些和其他配置详细信息,请参阅 Citrix 博客:WorxWeb 和 Kerberos 模拟 SSO。
Kerberos 约束委派
XenMobile 仅支持 Secure Web 的 Kerberos。当您为 Kerberos SSO 配置 Citrix ADC 时,如果 Citrix ADC 无法获取用户密码,则 Citrix ADC 会使用约束委派。
通过约束委派,Citrix ADC 使用指定的管理员帐户代表用户和服务获取票证。
所需配置:
- 在 Active Directory 中配置具有所需权限的 KCD 帐户,并在 Citrix ADC 上配置 KCD 帐户。
- 在 Citrix ADC 流量配置文件中启用 SSO。
- 配置后端网站以进行 Kerberos 身份验证。
表单填充身份验证
当您为基于表单的单点登录配置 Citrix ADC 时,用户可以一次登录以访问网络中的所有受保护应用程序。此身份验证方法适用于使用 Secure Browse 或完整 VPN 模式的应用程序。
所需配置:
- 在 Citrix ADC 流量配置文件中配置基于表单的 SSO。
Digest HTTP 身份验证
如果在会话配置文件中启用了 Web 应用程序的 SSO,Citrix ADC 会自动执行 Digest HTTP 身份验证。此身份验证方法适用于使用 Secure Browse 或完整 VPN 模式的应用程序。
所需配置:
- 在 Citrix ADC 会话或流量配置文件中启用 SSO。
基本 HTTP 身份验证
如果在会话配置文件中启用了 Web 应用程序的 SSO,Citrix ADC 会自动执行基本 HTTP 身份验证。此身份验证方法适用于使用 Secure Browse 或完整 VPN 模式的应用程序。
所需配置:
- 在 Citrix ADC 会话或流量配置文件中启用 SSO。
Secure Browse、完整 VPN 隧道或带有 PAC 的完整 VPN 隧道
以下各节介绍了 Secure Web 的用户连接类型。有关详细信息,请参阅 Citrix 文档中的这篇 Secure Web 文章:配置用户连接。
完整 VPN 隧道
隧道连接到内部网络的连接可以使用完整 VPN 隧道。使用 Secure Web 首选 VPN 模式策略配置完整 VPN 隧道。Citrix 建议对使用客户端证书或端到端 SSL 连接到内部网络中资源的连接使用完整 VPN 隧道。完整 VPN 隧道可处理通过 TCP 的任何协议。您可以将完整 VPN 隧道与 Windows、Mac、iOS 和 Android 设备配合使用。
在完整 VPN 隧道模式下,Citrix ADC 无法查看 HTTPS 会话内部。
Secure Browse
隧道连接到内部网络的连接可以使用无客户端 VPN 的变体,称为 Secure Browse。Secure Browse 是 Secure Web 首选 VPN 模式策略的默认配置。
Citrix 建议对需要单点登录 (SSO) 的连接使用 Secure Browse。
在 Secure Browse 模式下,Citrix ADC 将 HTTPS 会话分解为两部分:
- 从客户端到 Citrix ADC
- 从 Citrix ADC 到后端资源服务器。
通过这种方式,Citrix ADC 可以完全查看客户端和服务器之间的所有事务,使其能够提供 SSO。
您还可以为在 Secure Browse 模式下使用的 Secure Web 配置代理服务器。有关详细信息,请参阅博客:Secure Browse 模式下通过代理服务器的 XenMobile WorxWeb 流量。
带有 PAC 的完整 VPN 隧道
您可以将代理自动配置 (PAC) 文件与适用于 iOS 和 Android 设备上的 Secure Web 的完整 VPN 隧道部署配合使用。XenMobile 支持 Citrix ADC 提供的代理身份验证。PAC 文件包含定义 Web 浏览器如何选择代理以访问给定 URL 的规则。PAC 文件规则可以指定内部和外部站点的处理方式。Secure Web 解析 PAC 文件规则,并将代理服务器信息发送到 Citrix Gateway。Citrix Gateway 不知道 PAC 文件或代理服务器。
对于 HTTPS 网站的身份验证:Secure Web MDX 策略 启用 Web 密码缓存 使 Secure Web 能够通过 MDX 对代理服务器进行身份验证并提供 SSO。
Citrix ADC 分流隧道
在规划 SSO 和代理配置时,您还必须决定是否使用 Citrix ADC 分流隧道。Citrix 建议仅在需要时使用 Citrix ADC 分流隧道。本节概述了分流隧道的工作原理:Citrix ADC 根据其路由表确定流量路径。当 Citrix ADC 分流隧道开启时,Secure Hub 会将内部(受保护)网络流量与 Internet 流量区分开来。Secure Hub 根据 DNS 后缀和 Intranet 应用程序做出此判断。然后 Secure Hub 仅通过 VPN 隧道传输内部网络流量。当 Citrix ADC 分流隧道关闭时,所有流量都通过 VPN 隧道。
- 如果出于安全考虑,您希望监视所有流量,请禁用 Citrix ADC 分流隧道。因此,所有流量都通过 VPN 隧道。
- 如果您使用带有 PAC 的完整 VPN 隧道,则必须禁用 Citrix Gateway 分流隧道。如果分流隧道开启并且您配置了 PAC 文件,则 PAC 文件规则会覆盖 Citrix ADC 分流隧道规则。在流量策略中配置的代理服务器不会覆盖 Citrix ADC 分流隧道规则。
默认情况下,Secure Web 的 网络访问 策略设置为 隧道连接到内部网络。通过该配置,MDX 应用程序使用 Citrix ADC 分流隧道设置。对于某些其他移动生产力应用程序,网络访问 策略的默认设置有所不同。
Citrix Gateway 还具有微 VPN 反向分流隧道模式。此配置支持 IP 地址排除列表,这些地址不会隧道连接到 Citrix ADC。相反,这些地址通过设备的 Internet 连接发送。有关反向分流隧道的详细信息,请参阅 Citrix Gateway 文档。
XenMobile 包含一个 反向分流隧道排除列表。为防止某些网站通过 Citrix Gateway 进行隧道连接:添加一个逗号分隔的完全限定域名 (FQDN) 或 DNS 后缀列表,这些域名或后缀改为使用 LAN 连接。此列表仅适用于配置为反向分流隧道的 Citrix Gateway 的 Secure Browse 模式。
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.