This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
OTP 的推送通知
Citrix Gateway 支持 OTP 的推送通知。用户无需手动输入其注册设备上收到的 OTP 即可登录 Citrix Gateway。管理员可以配置 Citrix Gateway,以便使用推送通知服务将登录通知发送到用户注册的设备。当用户收到通知时,他们只需单击通知上的允许以登录 Citrix Gateway。当网关收到来自用户的确认时,它会识别请求的来源,并向该浏览器连接发送响应。
如果在超时期限(30 秒)内未收到通知响应,则用户将被重定向到 Citrix Gateway 登录页面。然后,用户可以手动输入 OTP,或单击重新发送通知,在注册的设备上再次接收通知。
管理员可以使用为推送通知创建的 LoginSchema,将推送通知身份验证作为默认身份验证。
重要: 推送通知功能可用于 Citrix ADC 高级版许可证。
推送通知的优势
- 推送通知提供了更安全的多重身份验证机制。在用户批准登录尝试之前,对 Citrix Gateway 的身份验证不会成功。
- 推送通知易于管理和使用。用户必须下载并安装不需要任何管理员协助的 Citrix SSO 移动应用程序。
- 用户无需复制或记住代码。他们必须简单地单击设备才能获得身份验证。
- 用户可以注册多个设备。
推送通知的工作原理
推送通知工作流程可分为两类:
- 设备注册
- 最终用户登录
使用推送通知的必备条件
-
完成 Citrix Cloud 登录过程。
-
创建 Citrix Cloud 公司帐户或加入现有帐户。有关详细过程和如何继续的说明,请参阅“注册加入 Citrix Cloud”。
-
登录 https://citrix.cloud.com,然后选择客户。
-
从菜单中,选择“身份和访问管理”,然后导航到“API 访问”选项卡,为客户创建客户端。
-
复制 ID、密码和客户 ID。将 Citrix ADC 中的推送服务分别配置为“ClientID”和“ClientSecret”时,需要 ID 和密钥。
-
重要:
- 相同的 API 凭据可用于多个数据中心。
- 本地 Citrix ADC 设备必须能够解析服务器地址 mfa.cloud.com 和 trust.citrixworkspacesapi.net,并且可以从设备访问。这是为了确保这些服务器通过端口 443 没有防火墙或 IP 地址块。
-
分别从适用于 iOS 设备和 Android 设备的 App Store 和 Play 应用商店下载 Citrix SSO 移动应用程序。Push notification is supported on iOS from build 1.1.13 on Android from 2.3.5.
-
确保 Active Directory 的以下内容。
- 最小属性长度必须至少为 256 个字符。
- 属性类型必须是“DirectoryString”,如 UserParameters。这些属性可以包含字符串值。
- 如果设备名称为非英文字符,则属性字符串类型必须为 Unicode。
- Citrix ADC LDAP 管理员必须具有对所选 AD 属性的写入权限。
- Citrix ADC 和客户端计算机必须同步到通用的网络时间服务器。
推送通知配置
下面是使用推送通知功能必须完成的高级步骤。
-
Citrix Gateway 管理员必须配置界面以管理和验证用户。
-
配置推送服务。
-
为 OTP 管理和最终用户登录配置 Citrix Gateway。
用户必须将其设备注册到网关才能登录到 Citrix Gateway。
-
使用 Citrix Gateway 注册您的设备。
-
登录到 Citrix Gateway。
-
创建推送服务
-
导航到“安全”>“AAA-应用程序流量”>“策略”>“身份验证”>“高级策略”>“操作”>“推送服务”,然后单击“添加”。
-
在“名称”中,输入推送服务的名称。
-
在客户端 ID中,输入用于与云中 Citrix Push 服务器通信的信赖方的唯一标识。
-
在“客户端密钥”中,输入与云中 Citrix Push 服务器通信的信赖方的唯一密钥。
-
在客户 ID 中,输入用于创建客户 ID 和客户密钥对的云中帐户的客户 ID 或名称。
为 OTP 管理和最终用户登录配置 Citrix Gateway
完成 OTP 管理和最终用户登录的以下步骤。
- 创建 OTP 管理的登录架构
- 配置身份验证、授权和审核虚拟服务器
- 配置 VPN 或负载平衡虚拟服务器
- 配置策略标签
- 为最终用户登录创建登录架构
有关配置的详细信息,请参阅本地 OTP 支持。
重要:对于推送通知,管理员必须明确配置以下内容:
- 创建推送服务。
- 为 OTP 管理创建登录架构时,请根据需要选择单个 SingleAuthManageOTP.xml 登录架构或等效。
- 在为最终用户登录创建登录模式时,请根据需要选择 DualAuthOrPush.xml 登录模式或等效模式。
将您的设备注册到 Citrix Gateway
用户必须将其设备注册到 Citrix Gateway 才能使用推送通知功能。
-
在 Web 浏览器中,浏览到 Citrix Gateway FQDN,并将后缀 /manageotp 附加到 FQDN。
这将加载身份验证页面。 示例:https://gateway.company.com/manageotp
-
根据需要,使用 LDAP 凭据或适当的双重身份验证机制登录。
-
单击添加设备。
-
输入设备的名称,然后单击“转到”。
QR 码将显示在 Citrix Gateway 浏览器页面上。
-
使用 Citrix SSO 应用程序从要注册的设备扫描此二维码。
Citrix SSO 验证 QR 码,然后向网关注册推送通知。如果注册过程中没有错误,则该令牌将成功添加到密码令牌页面。
-
如果没有其他设备可以添加/管理注销,请使用页面右上角的列表。
测试一次性密码身份验证
-
要测试 OTP,请从列表中单击您的设备,然后单击 测试。
-
输入您在设备上收到的 OTP,然后单击“转到”。
将显示 OTP 验证成功消息。
-
使用页面右上角的列表注销。
注意:您可以随时使用 OTP 管理门户测试身份验证、删除已注册的设备或注册更多设备。
登录到 Citrix Gateway
将其设备注册到 Citrix Gateway 后,用户可以使用推送通知功能进行身份验证。
-
导航到 Citrix Gateway 身份验证页面(例如:https://gateway.company.com)
系统会提示您仅输入 LDAP 凭据,具体取决于 LoginSchema 配置。
-
输入您的 LDAP 用户名和密码,然后选择“提交”。
将向您注册的设备发送通知。
注意: 如果要手动输入 OTP,则必须选择单击手动输入 OTP,然后在 TOTP 字段中输入 OTP。
-
打开已注册设备上的 Citrix SSO 应用,然后单击允许。
注意:
- 身份验证服务器等待推送服务器通知响应,直到配置的超时期限过期。超时后,Citrix Gateway 将显示登录页面。然后,用户可以手动输入 OTP,或单击重新发送通知,在注册的设备上再次接收通知。根据您选择的选项,网关将验证您已输入的 OTP,或在注册的设备上重新发送通知。
- 不会向您注册的设备发送有关登录失败的通知。
失效条件
- 在以下情况下,设备注册可能会失败。
- 服务器证书可能不受最终用户设备的信任。
- 用于注册 OTP 的 Citrix Gateway 无法由客户端访问。
- 在以下情况下,通知可能会失败。
- 用户设备未连接到 Internet
- 用户设备上的通知被阻止
- 用户不批准设备上的通知
在这些情况下,身份验证服务器将等待,直到配置的超时期限过期。超时后,Citrix Gateway 会显示一个登录页面,其中包含手动输入 OTP 或在注册设备上重新发送通知的选项。根据所选选项,进一步验证。
iOS 上的 Citrix SSO 应用程序行为 - 要注意的事项
通知快捷方式
Citrix SSO iOS 应用程序包括对可操作通知的支持,以增强用户体验。在 iOS 设备上收到通知后,如果设备已锁定或 Citrix SSO 应用程序未位于前台,则用户可以使用通知中内置的快捷方式批准或拒绝登录请求。
要访问通知快捷方式,用户需要强制触摸(3D 触摸)或长按通知,具体取决于设备的硬件。选择“允许快捷方式”操作将向 Citrix ADC 发送登录请求。根据身份验证、授权和审核虚拟服务器上配置身份验证策略的方式;
- 登录请求可能会在后台发送,而无需将应用程序启动到前台或解锁设备。
- 应用程序可能会提示输入触摸 ID/面部 ID/密码作为额外的因素,在这种情况下,应用程序将启动到前台。
从 Citrix SSO 中删除密码令牌
-
要删除 Citrix SSO 应用程序中注册用于推送的密码令牌,用户必须执行以下步骤:
-
取消注册(删除)网关上的 iOS/Android 设备。显示用于从设备中删除注册的 QR 码。
-
打开 Citrix SSO 应用程序,然后单击要删除的密码令牌的信息按钮。
-
单击删除令牌并扫描二维码。
注意:
- 如果 QR 码有效,则该令牌将从 Citrix SSO 应用程序中成功删除。
- 如果设备已从网关中删除,用户可以单击“强制删除”即可删除密码令牌,而无需扫描二维码。如果设备尚未从 Citrix Gateway 中删除,则强制删除可能会导致设备继续接收通知。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.