nFactor 支持 macOS/iOS 上的 Citrix Secure Access 客户端
重要提示:
适用于 iOS 的 Citrix SSO 现在称为 Citrix Secure Access。我们正在更新文档和用户界面屏幕截图,以反映此名称的更改。
多重 (nFactor) 身份验证要求用户提供多个身份证明才能获得访问权限,从而增强了应用程序的安全性。管理员可以配置不同的身份验证因素,包括客户端证书、LDAP、RADIUS、OAuth、SAML 等。这些身份验证因素可以根据组织的需要按任意顺序进行配置。
macOS/iOS 上的 Citrix Secure Access 客户端支持以下身份验证协议:
-
nFactor — 当身份验证虚拟服务器绑定到网关上的 VPN 虚拟服务器时,将使用 nFactor 协议。由于身份验证因素的顺序是动态的,因此客户端使用在应用程序上下文中呈现的浏览器实例来呈现身份验证 GUI。
-
经典 — 经典协议是在网关的 VPN 虚拟服务器上配置经典身份验证策略时使用的默认回退协议。如果 nFactor 对于特定的身份验证方法(例如 NAC)失败,则经典协议是后备协议。
-
Citrix 身份平台 — Citrix 身份平台协议用于对 CloudGateway 或 Citrix Gateway 服务进行身份验证,需要在 Citrix Cloud 注册 MDM。
下表总结了每种协议支持的各种身份验证方法。
| 身份验证方法 | nFactor | 经典 | Citrix IdP |
|---|---|---|---|
| 客户端证书 | 受支持 | 受支持 | 不支持 |
| LDAP | 受支持 | 受支持 | 不支持 |
| 本地 | 受支持 | 受支持 | 不支持 |
| RADIUS | 受支持 | 不支持 | 不支持 |
| SAML | 受支持 | 不支持 | 不支持 |
| OAuth | 受支持 | 不支持 | 不支持 |
| TACACS | 受支持 | 不支持 | 不支持 |
| WebAuth | 受支持 | 不支持 | 不支持 |
| 谈判 | 受支持 | 不支持 | 不支持 |
| EPA | 受支持 | 受支持 | 不支持 |
| NAC | 不支持 | 受支持 | 不支持 |
| StoreFront | 不支持 | 不支持 | 不支持 |
| ADAL | 不支持 | 不支持 | 不支持 |
| DS-AUTH | 不支持 | 不支持 | 受支持 |
nFactor 配置
有关配置 nFactor 的详细信息,请参阅 配置 nFactor 身份验证。
重要:
要在 macOS/iOS 上将 nFactor 协议与 Citrix Secure Access 客户端一起使用,推荐的 NetScaler Gateway 本地版本为 12.1.50.xx 及更高版本。
限制
-
移动设备特定的身份验证策略(例如 NAC(网络访问控制)要求客户端发送签名的设备标识符,作为 NetScaler Gateway 身份验证的一部分。签名的设备标识符是一个可旋转的私有密钥,用于唯一标识在 MDM 环境中注册的移动设备。此密钥嵌入在由 MDM 服务器管理的 VPN 配置文件中。可能无法将此密钥注入 WebView 上下文。如果在 MDM VPN 配置文件上启用 NAC,则 macOS/iOS 上的 Citrix Secure Access 客户端会自动回退到经典身份验证协议。
-
您无法使用适用于 macOS 的 Intune 配置 NAC 检查,因为与 iOS 不同,Intune 没有提供为 macOS 启用 NAC 的选项。