OTP 的推送通知
Citrix Gateway 支持面向 OTP 的推送通知。用户无需手动输入在已注册的设备上收到的 OTP 即可登录 Citrix Gateway。管理员可以配置 Citrix Gateway,以便使用推送通知服务向用户的已注册设备发送登录通知。当用户收到通知时,他们只需轻按通知上的“Allow”(允许)即可登录 Citrix Gateway。网关收到用户的确认时,它会识别请求的来源,并向该浏览器连接发送响应。
如果在超时期限(30 秒)内未收到通知响应,用户将被重定向到 Citrix Gateway 登录页面。然后,用户可以手动输入 OTP 或单击 Resend Notification(重新发送通知)以在注册的设备上再次接收通知。
管理员可以使用为推送通知创建的登录架构将推送通知身份验证设为默认身份验证。
重要:
Citrix ADC Premium Edition 许可证提供推送通知功能。
推送通知的优势
- 推送通知提供了更安全的多重身份验证机制。在用户批准登录尝试之后,Citrix Gateway 的身份验证才能成功。
- 推送通知易于管理和使用。用户必须下载并安装不需要任何管理员帮助的 Citrix SSO 移动应用程序。
- 用户不必复制或记住代码。他们只需轻按设备即可进行身份验证。
- 用户可以注册多台设备。
推送通知的工作原理
推送通知工作流程可分为两类:
- 设备注册
- 最终用户登录
使用推送通知的必备条件
-
完成 Citrix Cloud 入门流程。
-
创建 Citrix Cloud 公司帐户或加入现有帐户。有关如何继续的详细流程和说明,请参阅“注册 Citrix Cloud”。
-
登录到 https://citrix.cloud.com,然后选择客户。
-
从菜单中,选择 Identity and Access Management(身份和访问管理),然后导航到 API Access(API 访问)选项卡为该帐户创建客户。
-
复制 ID、密钥和客户 ID。在 Citrix ADC 中将推送服务分别配置为“ClientiD”和“ClientSecret”时,需要 ID 和密钥。
-
重要:
- 可以在多个数据中心使用相同的 API 凭据。
- 本地 Citrix ADC 设备必须能够解析服务器地址 mfa.cloud.com 和 trust.citrixworkspacesapi.net,并且可以从设备访问。这是为了确保这些服务器在端口 443 上没有防火墙或 IP 地址块。
-
分别从面向 iOS 设备的 App Store 和面向 Android 设备的 Play 应用商店下载 Citrix SSO 移动应用程序。推送通知功能在 iOS 内部版本 1.1.13 及更高版本和 Android 2.3.5 及更高版本中受支持。
-
对于 Active Directory,请确保以下内容。
- 最小属性长度必须至少为 256 个字符。
- 属性类型必须是“DirectoryString”,例如 UserParameters。这些属性可以保存字符串值。
- 如果设备名称使用非英语字符,则属性字符串类型必须为 Unicode。
- Citrix ADC LDAP 管理员必须对所选 AD 属性具有写入权限。
- Citrix ADC 和客户端计算机必须同步到通用的网络时间服务器。
推送通知配置
下面是使用推送通知功能必须完成的高级步骤。
-
Citrix Gateway 管理员必须配置界面以管理和验证用户。
-
配置推送服务。
-
配置 Citrix Gateway 用于 OTP 管理和最终用户登录。
用户必须向网关注册其设备才能登录 Citrix Gateway。
-
向 Citrix Gateway 注册您的设备。
-
登录 Citrix Gateway。
-
创建推送服务
-
导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Policies(策略)> Authentication(身份验证)> Advanced Policies(高级策略)> Actions(操作)> Push Service(推送服务),然后单击 Add(添加)。
-
在 Name(名称)中,输入推送服务的名称。
-
在 Client ID(客户端 ID)中,输入信赖方的唯一身份,以便与云中的 Citrix Push 服务器进行通信。
-
在 Client Secret(客户端密钥),输入信赖方的唯一密钥,以便在云中与 Citrix Push 服务器进行通信。
-
在 Customer ID(客户 ID)中,输入用于创建客户端 ID 和客户端密钥对的云中的帐户的客户 ID 或名称。
重要
推送服务需要 TLS 1.2 版本。有关更多信息,请参阅 TLS 1.2 配置详细信息。
配置 Citrix Gateway 用于 OTP 管理和最终用户登录
请完成以下步骤以进行 OTP 管理和最终用户登录。
- 为 OTP 管理创建登录架构
- 配置身份验证、授权和审核虚拟服务器
- 配置 VPN 或负载平衡虚拟服务器
- 配置策略标签
- 为最终用户登录创建登录架构
有关配置的详细信息,请参阅 本机 OTP 支持。
重要:对于推送通知,管理员必须明确配置以下设置:
- 创建推送服务。
- 在为 OTP 管理创建登录架构时,请根据需要选择 SingleAuthManageOTP.xml 登录架构或等效架构。
- 在为最终用户登录创建登录架构时,请根据需要选择 DualAuthOrPush.xml 登录架构或等效架构。
向 Citrix Gateway 注册您的设备
用户必须向 Citrix Gateway 注册其设备才能使用推送通知功能。
-
在 Web 浏览器中,浏览至 Citrix Gateway FQDN 并为 FQDN 添加后缀 /manageotp。
这将加载身份验证页面。 示例:https://gateway.company.com/manageotp
-
根据需要使用您的 LDAP 凭据或适当的双重身份验证机制登录。
-
单击添加设备。
-
输入设备的名称,然后单击转到。
Citrix Gateway 浏览器页面上将显示 QR 代码。
-
使用要注册的设备上的 Citrix SSO 应用程序扫描此 QR 代码。
Citrix SSO 验证 QR 代码,然后向网关注册以获取推送通知。如果注册过程中没有错误,令牌将成功添加到密码令牌页面。
-
如果没有其他要添加/管理的设备,请使用页面右上角的列表注销。
测试一次性密码身份验证
-
要测试 OTP,请从列表中单击您的设备,然后单击 Test(测试)。
-
输入您在设备上收到的 OTP,然后单击 Go(转至)。
此时将显示 OTP 验证成功消息。
-
使用页面右上角的列表注销。
注意:可以随时使用 OTP 管理门户来测试身份验证、删除已注册的设备或注册更多设备。
登录 Citrix Gateway
向 Citrix Gateway 中注册设备后,用户可以使用推送通知功能进行身份验证。
-
导航至 Citrix Gateway 身份验证页面(例如:https://gateway.company.com)
系统会提示您仅输入 LDAP 凭据,具体取决于登录架构配置。
-
输入 LDAP 用户名和密码,然后选择 Submit(提交)。
通知将发送到已注册的设备。
注意: 如果要手动输入 OTP,必须选择 Click(单击)以手动输入 OTP 并在 TOTP 字段中输入 OTP。
-
在已注册的设备上打开 Citrix SSO 应用程序,然后轻按 Allow(允许)。
注意:
-
如果是 iOS 设备,系统会提示您输入触摸ID/FaceID /Passcode 作为身份验证的额外因素。
-
身份验证服务器将等待推送服务器通知响应,直到配置的超时期限到期。超时后,Citrix Gateway 将显示登录页面。然后,用户可以手动输入 OTP 或单击 Resend Notification(重新发送通知)以在注册的设备上再次接收通知。根据您选择的选项,网关将验证您输入的 OTP 或在已注册的设备上重新发送通知。
- 不会向您注册的设备发送有关登录失败的通知。
-
失败条件
- 在以下情况下,设备注册可能会失败。
- 最终用户设备可能不信任服务器证书。
- 客户端无法访问用于注册 OTP 的 Citrix Gateway。
- 在以下情况下,通知可能会失败。
- 用户设备未连接到 Internet
- 用户设备上的通知被阻止
- 用户不批准设备上的通知
在这些情况下,身份验证服务器将等到配置的超时期限到期。超时后,Citrix Gateway 将显示一个登录页面,其中包含用于手动输入 OTP 或在已注册的设备上重新发送通知的选项。根据选定的选项,将进一步进行验证。
失败日志
以下是无法访问 OTP 推送服务时的预期日志。
- 当用户设备未连接到 Internet 时,推送通知失败-推送:无法为推送服务准备推送请求至
client name
。 - 设备注册失败日志 -推送:没有注册任何设备用于将推送请求发送到“
client name
”的云端。 - 如果用户不接受推送-推送:从客户端看不到响应,对于“
user name
”,请检查重试选项。
iOS 上的 Citrix SSO 应用程序行为 - 需要注意的几点事项
通知快捷方式
Citrix SSO iOS 应用程序包括对可操作通知的支持,以增强用户体验。在 iOS 设备上收到通知后,如果设备已锁定或者 Citrix SSO 应用程序未在前台,用户可以使用通知中内置的快捷方式批准或拒绝登录请求。
要访问通知快捷方式,用户需要强制触摸(3D 触摸)或长按通知,具体取决于设备的硬件。选择“Allow shortcut”(允许快捷方式)操作会向 Citrix ADC 发送登录请求。取决于身份验证、授权和审核虚拟服务器上的身份验证策略的配置方式;
- 登录请求可能会在后台发送,无需将应用程序启动到前台或解锁设备。
- 应用程序可能会提示输入 Touch ID/面容 ID/通行码作为额外因素,在这种情况下,应用程序将启动到前台。
从 Citrix SSO 中删除密码令牌
-
要删除 Citrix SSO 应用程序中注册用于推送的密码令牌,用户必须执行以下步骤:
- 在网关上取消注册(删除)iOS/Android 设备。此时将显示用于从设备中删除注册的 QR 代码。
- 打开 Citrix SSO 应用程序,然后轻按要删除的密码令牌的信息按钮。
- 轻按 Delete Token(删除令牌),然后扫描 QR 代码。
注意:
- 如果 QR 代码有效,则会成功从 Citrix SSO 应用程序中删除令牌。
- 如果设备已从网关中删除,用户可以轻按“Force Delete”(强制删除)以删除密码令牌,而无需扫描 QR 代码。如果设备尚未从 Citrix Gateway 中删除,强制删除可能会导致设备继续接收通知。