在 iOS 和 macOS 上对 Citrix SSO 的 nFactor 支持
多因素 (nFactor) 身份验证通过要求用户提供多个识别证明来获取访问权限,从而增强了应用程序的安全性。管理员可以配置不同的身份验证因素,包括客户端证书、LDAP、RADIUS、OAuth、SAML 等。这些身份验证因素可以根据组织的需求按任意顺序进行配置。
Citrix SSO 支持以下身份验证协议:
-
nFactor — 当身份验证虚拟服务器绑定到 Gateway 关上的 VPN 虚拟服务器时,使用 nFactor 协议。由于身份验证因素的顺序是动态的,因此客户端使用在应用程序的上下文中呈现的浏览器实例来呈现身份验证 GUI。
-
Classic — 经典协议是在 Gateway 关上的 VPN 虚拟服务器上配置经典身份验证策略时使用的默认回退协议。如果 nFactor 对于特定身份验证方法(如 NAC)失败,则传统协议是回退协议。
-
Citrix 身份平台 — 在对 CloudGateway 或网关服务进行身份验证时使用 Citrix 身份平台协议,并且需要在 Citrix Cloud 中注册 MDM。
下表总结了每个协议支持的各种身份验证方法。
| 身份验证方法 | nFactor | 经典 | Citrix IdP |
|---|---|---|---|
| 客户端证书 | 支持 | 支持 | 不支持 |
| LDAP | 支持 | 支持 | 不支持 |
| 本地 | 支持 | 支持 | 不支持 |
| RADIUS | 支持 | 不支持 | 不支持 |
| SAML | 支持 | 不支持 | 不支持 |
| OAuth | 支持 | 不支持 | 不支持 |
| TACACS | 支持 | 不支持 | 不支持 |
| WebAuth | 支持 | 不支持 | 不支持 |
| 谈判 | 支持 | 不支持 | 不支持 |
| EPA | 支持 | 支持 | 不支持 |
| NAC | 不支持 | 支持 | 不支持 |
| StoreFront | 不支持 | 不支持 | 不支持 |
| 阿达尔 | 不支持 | 不支持 | 不支持 |
| DS-身份验证 | 不支持 | 不支持 | 支持 |
nFactor 配置
有关配置 nFactor 的详细信息,请参阅配置 nFactor 身份验证。
重要: 要将 nFactor 协议与 Citrix SSO 结合使用,建议使用本地版本的 Citrix Gateway 为 12.1.50.xx 及更高版本。
限制
-
nFactor 协议在默认情况下处于禁用状态。想要使用 nFactor 的客户必须明确请求 Citrix 支持并提供其 VPN 虚拟服务器 FQDN。
-
移动特定身份验证策略(如 NAC(网络访问控制))要求客户端发送签名设备标识符,作为 Citrix Gateway 身份验证的一部分。签名的设备标识符是一个可旋转的私有密钥,用于唯一标识在 MDM 环境中注册的移动设备。此密钥嵌入到由 MDM 服务器管理的 VPN 配置文件中。可能无法将此密钥注入到 WebView 上下文中。如果在 MDM VPN 配置文件上启用了 NAC,Citrix SSO 会自动回退到传统身份验证协议。