Product Documentation

MDX 应用程序的 SSO 和代理注意事项

通过 XenMobile 与 NetScaler 的集成,您可以向用户提供通过单点登录 (SSO) 访问所有后端 HTTP/HTTPS 资源的功能。根据您的 SSO 身份验证要求,可以将 MDX 应用程序的用户连接配置为使用以下任一方式:

  • 安全浏览,这是一种无客户端 VPN
  • 完整 VPN 通道

如果 NetScaler 不是在您的环境中提供 SSO 的最佳方法,则可以为 MDX 应用程序设置基于策略的本地密码缓存。本文探讨了各种 SSO 和代理选项,重点探讨 Secure Web。这些概念适用于其他 MDX 应用程序。

下面的流程图概括了 SSO 和用户连接的决策流程。

SSO 和用户连接的决策流程示意图

NetScaler 身份验证方法

本节提供了有关 NetScaler 支持的身份验证方法的常规信息。

SAML 身份验证

将 NetScaler 配置为使用安全声明标记语言 (SAML) 时,用户可以连接到支持使用 SAML 协议进行单点登录的 Web 应用程序。NetScaler Gateway 支持对 SAML Web 应用程序进行身份提供程序 (IdP) 单点登录。

所需的配置:

  • 在 NetScaler 流量配置文件中配置 SAML SSO。
  • 为请求的服务配置 SAML IdP。

NTLM 身份验证

如果在会话配置文件中启用了通过 SSO 登录 Web 应用程序的功能,NetScaler 将自动执行 NTLM 身份验证。

所需的配置:

  • 在 NetScaler 会话或流量配置文件中启用 SSO。

Kerberos 模拟

XenMobile 仅支持对 Secure Web 使用 Kerberos。将 NetScaler 配置为进行 Kerberos SSO 时,NetScaler 将在用户密码对 NetScaler 可用时使用模拟。模拟是指 NetScaler 使用用户凭据获得获取对 Secure Web 等服务的访问权限所需的令牌。

所需的配置:

  • 配置 NetScaler Worx 会话策略以允许其识别来自您的连接的 Kerberos 领域。
  • 在 NetScaler 上配置 Kerberos 约束委派 (KCD) 帐户。将该帐户配置为无密码,并将其绑定到您的 XenMobile 网关上的流量策略。
  • 有关这些配置及其他配置的详细信息,请参阅 Citrix 博客:WorxWeb and Kerberos Impersonation SSO(WorxWeb 和 Kerberos 模拟 SSO)。

Kerberos 约束委派

XenMobile 仅支持对 Secure Web 使用 Kerberos。将 NetScaler 配置为进行 Kerberos SSO 时,NetScaler 将在用户密码对 NetScaler 不可用时使用约束委派。

启用了约束委派时,NetScaler 将使用指定的管理员帐户代表用户和服务获取令牌。

所需的配置:

  • 在 Active Directory 中为 KCD 帐户配置所需的权限并在 NetScaler 上配置一个 KDC 帐户。
  • 在 NetScaler 流量配置文件中启用 SSO。
  • 将后端 Web 站点配置为进行 Kerberos 身份验证。
  • 有关这些配置及其他配置的详细信息,请参阅 Citrix 博客 Configuring Kerberos Single Sign-on for WorxWeb(为 WorxWeb 配置 Kerberos 单点登录)。

表单填充身份验证

将 NetScaler 配置为进行基于表单的单点登录时,用户登录一次即可访问您的网络中所有受保护的应用程序。此身份验证方法适用于使用安全浏览或完整 VPN 模式的应用程序。

所需的配置:

  • 在 NetScaler 流量配置文件中配置基于表单的 SSO。

摘要式 HTTP 身份验证

如果在会话配置文件中启用通过 SSO 登录 Web 应用程序的功能,NetScaler 将自动执行摘要式 HTTP 身份验证。此身份验证方法适用于使用安全浏览或完整 VPN 模式的应用程序。

所需的配置:

  • 在 NetScaler 会话或流量配置文件中启用 SSO。

基本 HTTP 身份验证

如果在会话配置文件中启用通过 SSO 登录 Web 应用程序的功能,NetScaler 将自动执行基本 HTTP 身份验证。此身份验证方法适用于使用安全浏览或完整 VPN 模式的应用程序。

所需的配置:

  • 在 NetScaler 会话或流量配置文件中启用 SSO。

安全浏览、完整 VPN 通道或使用 PAC 的完整 VPN 通道

以下各节介绍了适用于 Secure Web 的用户连接类型。有关详细信息,请参阅 Citrix 文档中的此 Secure Web 文章:配置用户连接

完整 VPN 通道

通过通道连接到内部网络的连接可以使用完整 VPN 通道。可使用“Secure Web 首选 VPN 模式”策略配置完整 VPN 通道。Citrix 建议对通过客户端证书或端到端 SSL 与内部网络中的资源建立的连接使用完整 VPN 通道。完整 VPN 通道处理任何 TCP 协议。可以在 Windows、Mac、iOS 和 Android 设备上使用完整 VPN 通道。

在完整 VPN 通道模式下,NetScaler 在 HTTPS 会话中不可见。

安全浏览

通过通道连接到内部网络的连接可以使用无客户端 VPN 的变体(称为“安全浏览”)。安全浏览是为 Secure Web 首选 VPN 模式策略指定的默认配置。Citrix 建议对需要单点登录 (SSO) 的连接使用安全浏览。

在安全浏览模式下,NetScaler 将 HTTPS 会话分成两个部分:

  • 从客户端到 NetScaler
  • 从 NetScaler 到后端资源服务器。

这样,NetScaler 将在客户端与服务器之间的所有事务中完全可见,使其能够提供 SSO。

在安全浏览模式下使用时,还可以为 Secure Web 配置代理服务器。有关详细信息,请参阅博客 XenMobile WorxWeb Traffic Through Proxy Server in Secure Browse Mode(在安全浏览模式下通过代理服务器传输 XenMobile WorxWeb 流量)。

使用 PAC 的完整 VPN 通道

对于 iOS 和 Android 设备上的 Secure Web,可以在完整 VPN 通道部署中使用代理自动配置 (PAC) 文件。XenMobile 支持 NetScaler 提供的代理身份验证。PAC 文件中包含的规则用于定义 Web 浏览器如何选择代理以访问指定 URL。PAC 文件规则可以指定对外部和内部站点的处理方式。Secure Web 解析 PAC 文件规则并将代理服务器信息发送到 NetScaler Gateway。NetScaler Gateway 无法识别 PAC 文件或代理服务器。

对于 HTTPS Web 站点的身份验证:Secure Web MDX 策略启用 Web 密码缓存允许 Secure Web 进行身份验证并通过 MDX 提供对代理服务器的 SSO。

NetScaler 拆分通道

规划 SSO 和代理配置时,还必须决定是否要使用 NetScaler 拆分通道。如有需要,Citrix 建议您仅使用 NetScaler 拆分通道。本节从高层角度提供了拆分通道的工作原理:NetScaler 根据其路由表确定流量路径。当 NetScaler 拆分通道为“开”时,Secure Hub 将内部(受保护的)网络流量与 Internet 流量区分开。Secure Hub 根据 DNS 后缀和 Intranet 应用程序做出决定。然后,Secure Hub 仅通过 VPN 通道传输内部网络流量。NetScaler 拆分通道设置为“关”时,所有流量都将通过 VPN 通道传输。

  • 如果出于安全考虑,您更希望监视所有流量,请关闭 NetScaler 拆分通道。这样,所有流量都通过 VPN 通道传输。
  • 如果要在 PAC 中使用完整 VPN 通道,则必须禁用 NetScaler Gateway 拆分通道。如果拆分通道设置为“开”,并且您配置了 PAC 文件,PAC 文件规则将覆盖 NetScaler 拆分通道规则。在流量策略中配置的代理服务器不会覆盖 NetScaler 拆分通道规则。

默认情况下,Secure Web 的网络访问策略设置为通过通道连接到内部网络。采用此配置时,MDX 应用程序使用 NetScaler 拆分通道设置。某些其他移动生产力应用程序网络访问策略默认值有所差别。

NetScaler Gateway 还具有 Micro VPN 反向拆分通道模式。此配置支持不通过通道连接到 NetScaler 的 IP 地址的排除列表。这些地址通过使用设备 Internet 连接发送。有关反向拆分通道的详细信息,请参阅 NetScaler Gateway 文档。

XenMobile 包括一个反向拆分通道排除列表。要防止通过 NetScaler Gateway 使用通道连接某些 Web 站点:添加将通过局域网 (LAN) 连接的完全限定域名 (FQDN) 或 DNS 后缀的列表(以逗号分隔)。NetScaler Gateway 配置为使用反向拆分通道时,此列表仅适用于安全浏览模式。

MDX 应用程序的 SSO 和代理注意事项