感谢您提供反馈
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
派生凭据
派生凭据提供适用于移动设备的加强的身份验证。智能卡提供凭据,提供的凭据驻留在移动设备上,而非智能卡上。智能卡为个人身份验证 (Personal Identity Verification, PIV) 卡。
派生凭据为包含用户标识符(例如 UPN)的注册证书。XenMobile 将从凭据提供程序获取的凭据保存在设备上一个安全的保管库中。
XenMobile 可以将派生凭据用于设备注册和身份验证。如果配置为使用派生凭据,XenMobile 将不支持注册邀请或其他注册安全模式。Citrix 支持在 iOS 注册过程中使用派生凭据应用程序。
体系结构
进行注册时,XenMobile Server 将连接到各组件,如下图所示。
- 设备注册期间,Secure Hub 从派生凭据应用程序获取证书。
- 派生凭据应用程序在注册过程中与凭据管理服务器进行通信。
- 可以为凭据管理服务器和第三方 PKI 提供程序使用相同或不同的服务器。
- XenMobile Server 连接到您的第三方 PKI 服务器以获取证书。
要求
- 下载并安装 Citrix Secure Hub。
-
根据您的派生凭据解决方案,下载并配置应用程序:
-
对于 Entrust Datacard:
- 在 XenMobile 中注册之前,在您的设备上下载并安装 Citrix Derived Credential Manager 应用程序。Derived Credentials Manager 应用程序是面向 Citrix 的身份提供程序应用程序。下面是该应用程序的徽标。
- Citrix Derived Credential Manager 应用程序仅支持新注册。设备用户必须重新注册。
- XenMobile Server 10.8 或更高版本。
- 需要在 MDM+MAM 下注册设备。
- 在 XenMobile 中注册之前,在您的设备上下载并安装 Citrix Derived Credential Manager 应用程序。Derived Credentials Manager 应用程序是面向 Citrix 的身份提供程序应用程序。下面是该应用程序的徽标。
- 其他派生凭据提供程序: 虽然大多数其他凭据解决方案可能都与 XenMobile 兼容,但请在将其部署到生产环境之前测试集成。
-
对于 Entrust Datacard:
- 必须具有向凭据提供程序服务器颁发证书的颁发机构的根证书。该设置使 XenMobile 在注册过程中能够接受数字签名的证书。有关添加证书的信息,请参阅证书和身份验证。
- 如果用户电子邮件域与 LDAP 域不同,请在设置 > LDAP 下的域别名设置中包括该电子邮件域。例如,如果电子邮件地址的域为
citrix.com,LDAP 域名为sample.com,请将域别名设置为sample.com, citrix.com。 - XenMobile 不支持对共享设备使用派生凭据。
- 如果用户电子邮件域与 LDAP 域不同,请在设置 > LDAP 下的域别名设置中包括该电子邮件域。例如,如果电子邮件地址的域为
- 用户标识证书:
- “使用者备用名称”字段中的用户名的格式必须为 SubjectAltName 扩展的 otherName、rfc822Name 或 dNSName 字段。其他字段不受支持。有关使用者备用名称的详细信息,请参阅 RFC https://www.ietf.org/rfc/rfc5280.txt。
- “电子邮件”或“CN”中“使用者”字段中的用户标识不受支持。
- Citrix Gateway 配置为进行证书身份验证或证书加安全令牌身份验证
启用派生凭据
默认情况下,XenMobile 控制台不包括设置 > 派生凭据页面。
要为派生凭据启用接口,请执行以下操作:
- 转至设置 > 服务器属性,添加 derived.credentials.enable 作为服务器属性并将该属性值设置为 true。
配置派生凭据
这假定您的计划与 XenMobile 集成的派生凭据提供程序具有有效配置。可以将 XenMobile 配置为与该服务器进行通信。也可以选择已添加到 XenMobile 的派生凭据 CA 证书或导入证书。
可以激活对该 CA 证书的联机证书状态协议 (OCSP) 支持。有关 OCSP 的详细信息,请参阅 PKI 实体中的“任意 CA”。
-
在 XenMobile 控制台中,转至设置 > 适用于 iOS 的派生凭据。
-
对于选择派生凭据提供程序,请选择其他(针对 Entrust Datacard)。在应用程序 URL (iOS) 中键入
dcapp://mode=SecureHub。
-
可选参数: 某些派生凭据提供程序可能要求您提供连接参数。例如,某个供应商可能要求您指定后端服务器的 URL。单击添加可提供参数。
-
指定派生凭据的证书:如果证书已上载到 XenMobile,请从颁发者 CA 中选择该证书。否则,请单击导入以添加证书。此时将显示导入证书对话框。
-
在导入证书对话框中,单击浏览导航到该证书。然后单击浏览导航到私钥文件。
- 配置设置。
- 对于 Citrix Derived Credential Manager 应用程序:用户标识符字段为使用者备用名称,用户标识符类型为 userPrincipalName。
- 请联系其他派生凭据提供商以获取其信息。
-
可以选择性使用 OCSP 响应者执行证书吊销检查。出于安全目的,Citrix 建议您使用 OCSP 响应者。默认情况下,OSP 检查设置为关。
- 如果要激活对该 CA 证书的 OCSP 支持,请选择使用自定义 OCSP URL 对应的选项。默认情况下,XenMobile 从证书中提取 OCSP URL(使用证书定义进行吊销选项)。要指定响应者 URL,请单击使用自定义并键入 URL。
- 响应者 CA: 在响应者 CA 中,选择一个证书。或者,单击导入,然后使用导入证书对话框查找证书。
-
单击保存。此时将显示启用派生凭据对话框。
-
要启用派生凭据配置,请单击保存。还必须配置注册设置才能使用派生凭据。
-
要启用派生凭据配置,然后立即转至设置 > 注册,请单击保存并转至“注册”。
-
-
要为注册启用派生凭据,请在设置 > 注册页面上的高级注册下,选择派生凭据(仅限 iOS),然后单击启用。
-
此时将显示确认对话框。要启用派生凭据,请选中该复选框,然后单击启用。
- 要编辑派生凭据注册的选项,请转至设置 > 注册,选择派生凭据(仅限 iOS),然后单击编辑。
启用派生凭据后:在设备注册报告中,注册模式列显示 derived_credentials。
重要:
添加派生凭据提供程序后,重新启动您的 XenMobile Server。
为 Secure Mail 配置 XenMobile Server
要启用 Secure Mail 以支持派生凭据,请添加 SEND_LDAP_ATTRIBUTES 客户端属性。有关添加客户端属性的信息,请参阅客户端属性。
请对客户端属性使用以下信息:
-
注册表项:
SEND_LDAP_ATTRIBUTES -
值:
userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname},displayName=${user.displayName},mail=${user.mail}
在 iOS 设备上激活 Entrust Datacard 派生凭据
注意:
使用 Entrust Web 站点时,请在更改 PIV 卡时清除浏览器缓存。
-
要申请新的智能凭据,请使用桌面或任何设备登录 Entrust 站点。使用页面底部的智能凭据登录按钮登录。用户将智能卡插入连接到其桌面的读卡器。
-
在 Self-Administration Actions(自助管理操作)中,选择 I’d like to enroll for a derived mobile smart credential(我希望注册以获取派生的移动智能凭据)并单击 Done(完成)。
- 在 Derived Mobile Smart Credential(派生移动智能凭据)屏幕上,提供 Identity Name(身份名称)。用户可以选择一个唯一的名称,例如用户名或 ID 号。
-
从“Derived credential”(派生凭据)应用程序菜单中,选择 Citrix DCAPP 并单击 OK(确定)。
此时将显示“QR code Activation”(QR 代码激活)屏幕,并提示用户使用其移动设备扫描代码。
注意:
默认情况下,派生凭据 QR 代码在 3 分钟内过期。
-
在设备上使用 Derived Credential Manager 应用程序扫描 QR 代码以完成激活。
设备注册
完成本文中前面所述的设置后,用户可以使用派生凭据注册其设备。
注意:
本部分中的屏幕截图以 Entrust Datacard 为例。
- 轻按以打开 Secure Hub。系统提示时,键入 XenMobile Server 的完全限定域名,然后单击下一步。
-
单击是,注册。在 Secure Hub 中的设备注册将开始运行。
如果 XenMobile Server 支持派生凭据,Secure Hub 将提示用户创建并确认 Citrix PIN。
确认 Citrix PIN 后,将显示派生凭据安装程序初始屏幕。请按照说明进行操作,激活智能凭据。
-
轻按扫描代码。移动电话相机将激活。
注意:
要扫描 QR 代码,请确保您的相机和麦克风处于启用状态,并且具有所需的访问权限。
-
在派生凭据应用程序中,扫描在前述步骤中创建的 QR 代码。
-
扫描 QR 代码后,在导入新证书屏幕中将显示一个密码对话框,请输入密码并单击确定。
此时将显示导入新证书屏幕,其中的字段已自动填充。
-
成功添加证书后,在派生凭据屏幕中单击 Continue to Secure Hub(继续进入 Secure Hub)。
-
在 Secure Hub 中,系统提示时输入新 PIN。
对该 PIN 进行身份验证后,Secure Hub 将下载证书。请按照提示进行操作,完成注册。
要在 XenMobile 控制台中查看设备信息,请执行以下操作:
- 转至管理 > 设备,然后选择一个设备以显示命令框。单击显示更多。
- 转至分析 > 控制板。
感谢您提供反馈
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.