适用于 iOS 的派生凭据

派生凭据提供适用于移动设备的加强的身份验证。从智能卡派生的凭据驻留在移动设备上,而非智能卡上。智能卡为个人身份验证 (Personal Identity Verification, PIV) 卡。

派生凭据为包含用户标识符(例如 UPN)的注册证书。XenMobile 将从凭据提供程序获取的凭据存储在设备上一个安全的保管库中。

XenMobile 可以将派生凭据用于 iOS 设备注册和身份验证。如果配置为使用派生凭据,XenMobile 将对 iOS 设备不支持注册邀请或其他注册模式。Citrix 建议不要在设置为使用派生凭据的服务器上注册 Android 设备。

要求

  • 以下派生凭据解决方案之一:
    • Intercede 3.14 或更高版本。有关 Intercede 要求的信息,请参阅 https://www.intercede.com/solutions-derived-credentials。 Citrix 已验证 XenMobile 支持 Intercede 派生凭据解决方案。Apple App Store 中的应用程序名称为 MyID for Citrix

      用户必须先在其设备上安装 MyID for Citrix才能在 XenMobile 中注册。

    • 其他派生凭据解决方案

      虽然大多数其他凭据解决方案可能都与 XenMobile 兼容,但请先测试集成,然后再将其部署到生产环境。

  • XenMobile Server 10.6(最低版本)
    • 针对企业 (XME) 模式配置
    • 必须具有向凭据提供程序服务器颁发证书的颁发机构的根证书。该设置使 XenMobile 在注册过程中能够接受数字签名的证书。有关添加证书的信息,请参阅证书和身份验证
    • 如果用户电子邮件域与 LDAP 域不同,请在设置 > LDAP 下的域别名设置中包括该电子邮件域。例如,如果电子邮件地址的域为 myID.com,LDAP 域名为 sample.com,请将域别名设置为 sample.com, myID.com
    • XenMobile 不支持对共享设备使用派生凭据。
  • 用户标识证书:
    • “使用者备用名称”字段中的用户名的格式必须为 SubjectAltName 扩展的 otherName、rfc822Name 或 dNSName 字段。其他字段不受支持。有关使用者备用名称的详细信息,请参阅 RFC https://www.ietf.org/rfc/rfc5280.txt
    • “电子邮件”或“CN”中“使用者”字段中的用户标识不受支持。
  • NetScaler Gateway 配置为进行证书身份验证或证书加安全令牌身份验证

    有关 PKI 配置的信息,请参阅 PKI 实体

  • Secure Hub 10.8.15(最低版本)
  • Secure Mail 10.8.20(最低版本)
    • 请使用相同的开发人员证书对 Apple App Store 中的所有应用程序进行签名。

体系结构

进行注册时,XenMobile Server 将按前面的“要求”部分中所述连接到各组件,如下图所示。

派生凭据注册体系结构图

  • 设备注册期间,Secure Hub 从派生凭据应用程序获取证书。
  • 派生凭据应用程序在注册过程中与凭据管理服务器进行通信。
  • 可以为凭据管理服务器和第三方 PKI 提供程序使用相同或不同的服务器。
  • XenMobile Server 连接到您的第三方 PKI 服务器以获取证书。

注册后,各组件将按下图所示进行连接。

派生凭据注册后体系结构图

以下各节介绍了如何为 XenMobile 配置派生凭据提供程序、为注册启用派生凭据以及管理使用派生凭据的设备。

启用派生凭据

默认情况下,XenMobile 控制台不包括设置 > 派生凭据页面。要为派生凭据启用接口,请转至设置 > 服务器属性,添加服务器属性 derived.credentials.enable 并将该属性设置为 true

“服务器属性”配置屏幕图

配置派生凭据

这些说明假定您的计划与 XenMobile 集成的派生凭据提供程序具有有效配置。之后您可以将 XenMobile 配置为与该服务器进行通信。也可以选择已添加到 XenMobile 的派生凭据 CA 证书或导入证书。

可以激活对该 CA 证书的联机证书状态协议 (OCSP) 支持。有关 OCSP 的详细信息,请参阅 PKI 实体中的“任意 CA”。

  1. 在 XenMobile 控制台中,转至设置 > 适用于 iOS 的派生凭据

    派生凭据配置屏幕图

  2. 提供程序下:

    • 选择派生凭据提供程序。Citrix 已验证 XenMobile 支持 Intercede。如果选择其他作为提供程序,请先测试集成,然后再将您的服务器置于生产环境。

    • 应用程序 URL (iOS): 如果选择 Intercede 作为提供程序,XenMobile 将填写应用程序 URL。如果选择其他作为提供程序,请从您的派生凭据提供程序获取应用程序 URL。

      如果设备无法访问您的提供程序,请验证应用程序 URL 是否适用于该提供程序。您可能需要更改提供程序。

    • 可选参数: 某些派生凭据提供程序可能要求您提供连接参数。例如,某个供应商可能要求您指定后端服务器的 URL。单击添加可提供参数。

  3. 指定派生凭据的证书:如果证书已上载到 XenMobile,请从颁发者 CA 中选择该证书。否则,请单击导入以添加证书。此时将显示导入证书对话框。

  4. 导入证书对话框中,单击浏览导航到该证书。然后单击浏览导航到私钥文件。

    派生凭据配置屏幕图

  5. 如果选择 Intercede 作为提供程序,XenMobile 将填写用户标识符字段用户标识符类型。对于 Intercede,用户标识符字段使用者备用名称用户标识符类型userPrincipalName。请联系其他派生凭据提供商以获取其信息并配置设置。

  6. 可以选择性使用 OCSP 响应者执行证书吊销检查。默认情况下,OSP 检查处于关闭状态。要为 CA 证书激活 OCSP 支持,请执行以下操作:

    • OCSP 检查设置为

    派生凭据配置屏幕图

    • 使用自定义 OCSP URL 选择一个选项。默认情况下,XenMobile 从证书中提取 OCSP URL(使用证书定义进行吊销选项)。要指定响应者 URL,请单击使用自定义并键入 URL。
    • 响应者 CA:响应者 CA 中,选择一个证书。或者,单击导入,然后使用导入证书对话框查找证书。
  7. 单击保存。此时将显示派生凭据对话框。

    派生凭据配置屏幕图

    • 要启用派生凭据配置,请单击保存。还必须配置注册设置才能使用派生凭据。

    • 要启用派生凭据配置,然后立即转至设置 > 注册,请单击保存并转至“注册”

  8. 要为注册启用派生凭据,请在设置 > 注册页面上的高级注册下,选择派生凭据(仅限 iOS),然后单击启用

    “注册”配置屏幕图

  9. 此时将显示确认对话框。要启用派生凭据,请选中该复选框,然后单击启用

    “注册”配置屏幕图

  10. 要编辑派生凭据注册的选项,请转至设置 > 注册,选择派生凭据(仅限 iOS),然后单击编辑

启用派生凭据后:在设备注册报告中,注册模式列显示 derived_credentials

有关使用派生凭据时的注册步骤,请参阅使用派生凭据的 iOS 设备

重要:

完成这些步骤后,您可能需要重新启动 XenMobile Server。

为 Secure Mail 配置 XenMobile Server

为了在使用派生凭据时 Secure Mail 正常工作,请添加 LDAP 属性客户端属性。

按照客户端属性一文中的步骤进行操作来添加客户端属性。使用以下信息:

  • 键: SEND_LDAP_ATTRIBUTES
  • 值: userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname},displayName=${user.displayName},mail=${user.mail}

客户端属性配置屏幕图

注意:

有关使用派生凭据时的注册过程示例,请参阅使用派生凭据注册设备

适用于 iOS 的派生凭据