nFactor Unterstützung für Citrix SSO unter iOS und macOS
Multi-Faktor-Authentifizierung (nFactor) erhöht die Sicherheit einer Anwendung, indem Benutzer mehrere Identitätsnachweise bereitstellen müssen, um Zugriff zu erhalten. Administratoren können verschiedene Authentifizierungsfaktoren konfigurieren, die Clientzertifizierung, LDAP, RADIUS, OAuth, SAML usw. umfassen. Diese Authentifizierungsfaktoren können in beliebiger Reihenfolge basierend auf den Anforderungen der Organisation konfiguriert werden.
Citrix SSO unterstützt die folgenden Authentifizierungsprotokolle:
-
nFactor — Das nFactor-Protokoll wird verwendet, wenn ein virtueller Authentifizierungsserver an den virtuellen VPN-Server auf dem Gateway gebunden ist. Da die Reihenfolge der Authentifizierungsfaktoren dynamisch ist, verwendet der Client eine Browserinstanz, die im Kontext der App gerendert wird, um die Authentifizierungs-GUI darzustellen.
-
Klassisch — Klassisches Protokoll ist das Standardausweichprotokoll, das verwendet wird, wenn klassische Authentifizierungsrichtlinien auf dem virtuellen VPN-Server auf dem Gateway konfiguriert sind. Klassisches Protokoll ist das Fallback-Protokoll, wenn nFactor für bestimmte Authentifizierungsmethoden wie NAC fehlschlägt.
-
Citrix Identitätsplattform — Das Citrix Identitätsplattformprotokoll wird bei der Authentifizierung bei CloudGateway oder Gatewaydienst verwendet und erfordert eine MDM-Registrierung bei Citrix Cloud.
In der folgenden Tabelle werden die verschiedenen Authentifizierungsmethoden zusammengefasst, die von jedem Protokoll unterstützt werden.
| Authentifizierungsmethode | nFactor | Klassisch | Citrix IdP |
|---|---|---|---|
| Client-Zertifikat | Unterstützt | Unterstützt | Nicht unterstützt |
| LDAP | Unterstützt | Unterstützt | Nicht unterstützt |
| Lokal | Unterstützt | Unterstützt | Nicht unterstützt |
| RADIUS | Unterstützt | Nicht unterstützt | Nicht unterstützt |
| SAML | Unterstützt | Nicht unterstützt | Nicht unterstützt |
| OAuth | Unterstützt | Nicht unterstützt | Nicht unterstützt |
| TACACS | Unterstützt | Nicht unterstützt | Nicht unterstützt |
| WebAuth | Unterstützt | Nicht unterstützt | Nicht unterstützt |
| Verhandeln | Unterstützt | Nicht unterstützt | Nicht unterstützt |
| EPA | Unterstützt | Unterstützt | Nicht unterstützt |
| NAC | Nicht unterstützt | Unterstützt | Nicht unterstützt |
| StoreFront | Nicht unterstützt | Nicht unterstützt | Nicht unterstützt |
| ADAL | Nicht unterstützt | Nicht unterstützt | Nicht unterstützt |
| DS-AUTH | Nicht unterstützt | Nicht unterstützt | Unterstützt |
nFaktor-Konfiguration
Weitere Informationen zur Konfiguration von nFactor finden Sie unter Konfigurieren der nFactor-Authentifizierung.
Wichtig: Für die Verwendung des nFactor-Protokolls mit Citrix SSO ist die empfohlene Version von Citrix Gateway vor Ort 12.1.50.xx und höher.
Einschränkungen
-
Das nFactor-Protokoll ist standardmäßig deaktiviert. Kunden, die nFactor verwenden möchten, müssen explizit Citrix Unterstützung anfordern und ihren virtuellen VPN-Server-FQDN bereitstellen.
-
Mobile spezifische Authentifizierungsrichtlinien wie NAC (Network Access Control) erfordern, dass der Client eine signierte Gerätekennung als Teil der Authentifizierung mit Citrix Gateway sendet. Die signierte Gerätekennung ist ein drehbarer geheimer Schlüssel, der ein mobiles Gerät eindeutig identifiziert, das in einer MDM-Umgebung registriert ist. Dieser Schlüssel ist in ein VPN-Profil eingebettet, das von einem MDM-Server verwaltet wird. Möglicherweise ist es nicht möglich, diesen Schlüssel in den WebView-Kontext zu injizieren. Wenn NAC auf einem MDM VPN-Profil aktiviert ist, greift Citrix SSO automatisch auf das klassische Authentifizierungsprotokoll zurück.