将 Azure Active Directory 用作 IDP

将 Azure Active Directory (AD) 配置为您的身份提供程序 (IDP) 将允许用户使用其 Azure 凭据在 XenMobile 中注册。

支持 iOS、Android 和 Windows 10 设备。iOS 和 Android 设备通过 Secure Hub 注册。

可在设置 > 身份验证 > IDP 下将 Azure 配置为您的 IDP。IDP 页面是此版本的 XenMobile 的新页面。在早期版本的 XenMobile 中,是在设置 > Microsoft Azure 下配置 Azure。

要求

  • 版本和许可证

    • 要注册 iOS 或 Android 设备,需要 Secure Hub 10.5.5。
    • 要注册 Windows 10 设备,需要 Microsoft Azure Premium 许可证。
  • 目录服务和身份验证

    • 必须将 XenMobile Server 配置为进行基于证书的身份验证。
    • 如果要使用 NetScaler 进行身份验证,必须将 NetScaler 配置为进行基于证书的身份验证。
    • Secure Hub 身份验证使用 Azure AD 并遵从在 Azure AD 上定义的身份验证模式。
    • XenMobile Server 必须使用 LDAP 连接到 Windows Active Directory (AD)。将您的本地 LDAP 服务器配置为与 Azure AD 同步。

身份验证流程

设备通过 Secure Hub 注册,并且 XenMobile 配置为使用 Azure 作为其 IDP 时:

  1. 用户在自己的设备上在 Secure Hub 中显示的 Azure AD 登录屏幕中输入用户名和密码。

  2. Azure AD 验证该用户并发送一个 ID 令牌。

  3. Secure Hub 将该 ID 令牌与 XenMobile Server 共享。

  4. XenMobile 验证该 ID 令牌以及 ID 令牌中出现的用户信息。XenMobile 返回一个会话 ID。

Azure 帐户设置

要使用 Azure AD 作为 IDP,请先登录您的 Azure 帐户并做以下更改:

  1. 注册自定义域并验证域。有关详细信息,请参阅 Add your own domain name to Azure Active Directory(将自己的域名添加到 Azure Active Directory)。

  2. 使用目录集成工具,将本地目录扩展到 Azure Active Directory。有关详细信息,请参阅目录集成

要使用 Azure AD 注册 Windows 10 设备,请对您的 Azure 帐户做以下更改:

  1. 将 MDM 设为 Azure AD 的可信部分。为此,请单击 Azure Active Directory > 应用程序,然后单击添加

  2. 选择从库中添加应用程序。转至移动设备管理,然后选择本地 MDM 应用程序。保存设置。

    即使注册加入了 Citrix XenMobile Cloud,也选择本地应用程序。在 Microsoft 术语中,任何非多租户应用程序都属于本地 MDM 应用程序。

  3. 在应用程序中,配置 XenMobile Server 发现、端点使用条款和应用程序 ID URI:
    • MDM 发现 URL: https://<FQDN>:8443/<instanceName>/wpe
    • MDM 使用条款 URL: https://<FQDN>:8443/<instanceName>/wpe/tou
    • 应用程序 ID URI: https://<FQDN>:8443/
  4. 选择您在步骤 2 中创建的本地 MDM 应用程序。启用 Manage devices for these users(管理这些用户的设备)选项,以便为所有用户或任何特定用户组启用 MDM 管理。

    有关对 Windows 10 设备使用 Azure AD 的详细信息,请参阅 Microsoft 文章 Azure Active Directory integration with MDM(Azure Active Directory 与 MDM 的集成)。

将 Azure AD 配置为您的 IDP

  1. 在您的 Azure 帐户中查找或记录所需的信息:

    • 来自 Azure 应用程序设置页面的租户 ID。
    • 如果要使用 Azure AD 注册 Windows 10 设备,您还需要:
      • 应用程序 ID URI: 运行 XenMobile 的服务器的 URL。
      • 客户端 ID: “Azure 配置”页面中您的应用程序的唯一标识符。
      • 密钥: 来自 Azure 应用程序设置页面。
  2. 在 XenMobile 控制台中,单击右上角的齿轮图标。此时将显示设置页面。

  3. 身份验证下方,单击身份提供程序(IDP)。此时将显示身份提供程序页面。

    “身份提供程序”配置屏幕图

  4. 单击添加。此时将显示 IDP 配置页面。

  5. 配置与您的 IDP 有关的以下信息:

    • IDP 名称: 键入要创建的 IDP 连接的名称。
    • IDP 类型: 选择 Azure Active Directory 作为您的 IDP 类型。
    • 租户 ID: 从 Azure 应用程序设置页面复制此值。在浏览器地址栏中,复制由数字和字母组成的部分。

    例如,在 https://manage.windowszaure.com/acmew.onmicrosoft.com#workspaces/ActiveDirectoryExtensin/Directory/abc213-abc123-abc123/onprem... 中,租户 ID 为:abc123-abc123-abc123

    “身份提供程序”配置屏幕图

  6. 其余的字段将自动填充。填充了这些字段时,单击下一步

  7. 要继续将 XenMobile 配置为使用 Azure AD 注册 Windows 10 设备以完成 MDM 注册,请配置以下设置。要跳过此可选步骤,请清除 Win 10 MDM

    • 应用程序 ID URI: 键入您在配置 Azure 设置时输入的 XenMobile Server 的 URL。
    • 客户端 ID: 从“Azure 配置”页面复制并粘贴此值。客户端 ID 是您的应用程序的唯一标识符。
    • 密钥: 从 Azure 应用程序设置页面复制此值。在密钥下方,从列表中选择一个持续时间并保存设置。然后,可以复制此密钥并将其粘贴到此字段中。应用程序在 Microsoft Azure AD 中读写数据时需要密钥。

    “身份提供程序”配置屏幕图

  8. 单击下一步

    Citrix 已在 Microsoft Azure 中注册 Secure Hub 并维护该信息。此屏幕显示 Secure Hub 与 Azure Active Directory 通信时使用的详细信息。如果其中的任何信息需要变更,将来都会使用此页面。仅当 Citrix 建议时才能编辑此页面。

  9. 单击下一步

    “身份提供程序”配置屏幕图

  10. 配置 IDP 提供的用户标识符的类型:

    • 用户标识符类型: 从下拉列表中选择 userPrincipalName
    • 用户标识符字符串: 此字段自动填充。
  11. 单击下一步

    “身份提供程序”配置屏幕图

  12. 检查摘要页面并单击保存

    “身份提供程序”配置屏幕图

用户体验到的过程

  1. 用户启动 Secure Hub。用户随后输入 XenMobile Server 的完全限定域名 (FQDN)、用户主体名称 (UPN) 或电子邮件地址。

    Secure Hub 屏幕图

  2. 用户随后单击是,注册

    Secure Hub 屏幕图

  3. 用户使用其 Azure AD 凭据登录。

    Secure Hub 屏幕图

    Secure Hub 屏幕图

    Secure Hub 屏幕图

  4. 用户完成注册步骤,方式与通过 Secure Hub 执行的任何其他注册相同。

    注意:

    XenMobile 不支持通过 Azure AD 针对注册邀请完成身份验证。如果您向用户发送了一个包含注册 URL 的注册邀请,用户将通过 LDAP 进行身份验证,而非通过 Azure AD。

将 Azure Active Directory 用作 IDP