Citrix 自适应身份验证服务

Citrix Cloud 客户可以使用Citrix Workspace 向 Citrix DaaS 提供自适应身份验证。自适应身份验证是一项 Citrix Cloud 服务，可为登录 Citrix Workspace 的客户和用户启用高级身份验证。自适应身份验证服务是 Citrix 托管并由 Citrix Cloud 托管的 ADC，可提供所有高级身份验证功能，例如：

多重身份验证： 多重身份验证要求用户提供多个身份证明才能获得访问权限，从而增强了应用程序的安全性。客户可以根据业务需求在多重身份验证机制中配置各种因素组合。有关详细信息，请参阅 身份验证配置示例。

设备状况扫描： 可以根据设备状况对用户进行身份验证。设备状况扫描（也称为端点分析扫描）检查设备是否合规。例如，如果设备运行的是最新的操作系统版本，则会设置补丁包和注册表项。安全合规涉及扫描以检查是否安装了防病毒软件或是否打开了防火墙等等。设备状况还可以检查设备是托管还是非托管、公司所有或 BYOL。

条件身份验证： 根据用户的参数，如网络位置、设备状况、用户组、一天中的时间，可以启用条件身份验证。您可以使用其中一个参数或这些参数的组合来执行条件身份验证。 基于设备状况的身份验证示例：您可以执行设备状况扫描，以检查设备是企业托管设备还是自带设备。如果设备是企业管理的设备，您可以使用简单的 AD（用户名和密码）来质询用户。如果设备是 BYOD，则可以使用 AD 加上 RADIUS 身份验证来质询用户。

如果您计划根据网络位置有选择地枚举虚拟应用程序和桌面，则必须使用 Citrix Studio 策略而不是工作区对这些交付组执行用户管理。创建交付组时，请在用户设置中选择 限制以下用户使用此交付组 或 允许任何经过身份验证的用户使用此交付组。这样，交付组下的“访问策略”选项卡就可以配置自适应访问。

对 Citrix DaaS 的上下文访问： 自适应身份验证支持对 Citrix DaaS 的上下文访问。自适应身份验证将有关用户的所有策略信息显示给 Citrix DaaS。管理员可以在其策略配置中使用此信息来控制可以在 Citrix DaaS 上执行的用户操作。例如，用户操作可以是启用或禁用剪贴板访问和客户端驱动器映射打印机重定向。

在即将发布的版本中，计划通过自适应身份验证对安全互联网访问和其他 Citrix Cloud 服务进行上下文访问。

登录页面自定义： 自适应身份验证可帮助用户高度自定义 Citrix Cloud 登录页面。

自适应身份验证功能

以下是具有自适应身份验证的 Citrix Workspace 中支持的功能。

• LDAP（Active Directory）支持
• LDAPS（Active Directory）支持
• 针对 AD、Azure AD、Okta 的目录支持
• RADIUS 支持（双核、Symantec）
• AD + 令牌内置 MFA
• SAML 2.0
• OAuth、OIDC 支持
• 客户证书身份验证
• 设备状况评估（端点分析）
• 与第三方身份验证提供商集成
• 通过应用程序推送通知
• reCAPTCHA
• 条件/策略驱动的身份验证
• SmartAccess（上下文访问）的身份验证策略
• 登录页面自定义
• 自助密码重置

共同承担安全责任

客户需要采取的行动

以下是客户作为安全最佳实践的一部分而采取的一些行动。

• 用于访问自适应身份验证 UI 的凭据：客户负责创建和维护用于访问自适应身份验证 UI 的凭据。如果客户正在与 Citrix 支持部门合作解决问题，则客户可能需要与支持人员共享这些凭据。

• 远程 CLI 访问安全性：Citrix 为客户提供远程 CLI 访问。但是，客户有责任在运行时维护实例的安全。

• SSL 私钥：由于 Citrix ADC 处于客户控制之下，因此 Citrix 无法访问文件系统。客户必须确保他们保护他们在 Citrix ADC 实例上托管的证书和密钥。

• 数据备份：备份配置、证书、密钥、门户自定义以及任何其他文件系统修改。

• ADC 实例的磁盘映像：维护和管理 Citrix ADC 磁盘空间和磁盘清理。客户有责任安全可靠地运行这些任务。

• 升级：计划升级自适应身份验证实例。有关详细信息，请参阅 安排自适应身份验证实例的升级。

• 请勿将自适应身份验证实例升级为随机 RTM 构建。所有升级均由 Citrix Cloud 管理。

• 由于自适应身份验证实例升级由 Citrix 管理，因此客户必须确保 VAR 目录中有足够的空间进行升级。有关如何释放 VAR 目录上空间的详细信息，请参阅 如何释放 VAR 目录上的空间以解决 Citrix ADC 设备的日志问题。

• 请勿将高可用性状态从“启用”更改为“保持主要状态”或“保持辅助状态”。 自适应身份验证的高可用性状态必须为“启用”。

• 有关负载平衡的 LDAPS 配置示例，请参阅负载平衡的 LDAPS 配置示例。

客户和 Citrix 都需要采取行动

• 灾难恢复：在受支持的 Azure 区域中，Citrix ADC 高可用性实例在单独的可用区中预配，以防止数据丢失。如果 Azure 数据丢失，Citrix 将尽可能多地恢复 Citrix 管理的 Azure 订阅中的资源。

  如果丢失了整个 Azure 区域，客户有责任在新区域中重建其客户管理的虚拟网络并创建新的 VNet 对等互连。

• 通过公共管理 IP 地址进行安全访问：

  通过分配的公有 IP 地址保护对管理接口的访问，并允许出站连接到 Internet。

限制

• 不支持证书捆绑包上载。
• 不支持使用 RADIUS 服务器进行负载平衡。
• 如果服务于 RADIUS 请求的连接器出现故障，RADIUS 身份验证将受到几分钟的影响。在这种情况下，用户必须重新进行身份验证。

• 不支持 DNS 隧道。必须在 Citrix ADC 设备上为客户本地数据中心身份验证服务器的身份验证策略/配置文件 (LDAP/RADIUS) 中使用的 FQDN 添加静态记录。 有关添加 DNS 静态记录的详细信息，请参阅 创建域名的地址记录。

• 即使未建立与 LDAP 服务器的连接，LDAP 配置文件中的测试网络连接也可能会显示错误的结果，即“服务器可访问”。可能会显示错误消息，例如“端口未打开”或“服务器不是 LDAP”，以指示故障。Citrix 建议在此情况下收集跟踪信息并进一步进行故障排除。
• 要在 macOS 上运行 EPA 扫描，必须选择 ECC 曲线选项作为 AL L，将默认 ECC 曲线绑定到身份验证和授权虚拟服务器。

服务质量

自适应身份验证是一项高可用性（活动-备用）服务。