为 iOS 用户设置 Citrix SSO

重要提示: Citrix VPN 不能在 iOS 12 及更高版本上使用。要继续使用 VPN,请使用 Citrix SSO 应用程序。

下表比较了 Citrix VPN 和 Citrix SSO 之间的各种功能的可用性。

功能 Citrix VPN Citrix SSO
设备级 VPN 支持 支持
每个应用程序 VPN(仅限 MDM) 支持 支持
每个应用程序分割隧道 不支持 支持
MDM 配置的 VPN 配置文件 支持 支持
按需 VPN 支持 支持
密码令牌(基于 T-OTP) 不支持 支持
基于推送通知登录(来自注册手机的第二个因素) 不支持 支持
基于证书的身份验证 支持 支持
用户名/密码身份验证 支持 支持
使用 Citrix Endpoint Management(以前称为 XenMobile)进行网络访问控制检查 不支持 支持
使用 Microsoft Intune 进行网络访问控制检查 支持 支持
DTLS 支持 不支持 支持
阻止用户创建的 VPN 配置文件 支持 支持
适用于 Citrix Cloud 托管的本机应用程序的单点登录 不支持 支持
支持的操作系统版本 iOS 9,10,11(不适用于 iOS 12 以上) iOS 系统 9 以上

与 MDM 产品的兼容性

Citrix SSO 与大多数 MDM 提供商兼容,例如 Citrix Endpoint Management(以前称为 XenMobile)、Microsoft Intune 等。

Citrix SSO 还支持称为网络访问控制 (NAC) 的功能。有关 NAC 的更多信息,请单击此处。借助 NAC,MDM 管理员可以在连接到 Citrix ADC 之前强制执行最终用户设备合规性。Citrix SSO 上的 NAC 需要 MDM 服务器,例如 Citrix Endpoint Management 或 Intune 和 Citrix ADC。

为 Citrix SSO 配置 MDM 托管 VPN 配置文件

以下部分以使用 Citrix Endpoint Management(以前称为 XenMobile)为例介绍了为 Citrix SSO 配置设备范围和 PerApp VPN 配置文件的分步说明。使用 Citrix SSO 时,其他 MDM 解决方案可以使用此文档作为参考。

注意: 本部分介绍了基本设备范围和每个应用程序 VPN 配置文件的配置步骤。此外,您还可以按照 Citrix Endpoint Management(以前称为 XenMobile)文档或 Apple 的 MDM VPN 有效负载配置来配置始终启用的按需代理。

设备级 VPN 配置文件

设备级 VPN 配置文件用于设置系统范围的 VPN。根据 Citrix ADC 中定义的 VPN 策略(如全隧道、分割隧道、反向拆分隧道),来自所有应用程序和服务的流量都会通道到 Citrix Gateway。

在 Citrix Endpoint Management 上配置设备级 VPN

执行以下步骤以在 Citrix Endpoint Management 上配置设备级 VPN。

1. 在 Citrix Endpoint Management MDM 控制台上,导航至配置 > 设备策略 > 添加新策略

2. 在左侧的策略平台窗格中选择 iOS 。在右侧窗格中选择 VPN

3. 在“策略信息”页面上,输入有效的策略名称和描述,然后单击“ 一步”。

4. 在 iOS 的 VPN 策略 页面上,键入有效的连接名称,然后在 连接类型 中选择 自定义 SSL

注意:在 MDM VPN 负载中,连接名称对应于 UserDefinedName 键, VPN 类型键必须设置为 VPN

5. 在自定义 SSL 标识符(反向 DNS 格式) 中,输入 com.citrix.NetScalerGateway.ios.app。这是 iOS 上 Citrix SSO 应用程序的捆绑标识符。

注意:在 MDM VPN 负载中,自定义 SSL 标识符对应于 VPNSubType键。

6. 在提供商捆绑标识符中,输入 com.citrix.NetScalerGateway.ios.app.vpnplugin。这是 Citrix SSO iOS 应用程序二进制文件中包含的网络扩展的捆绑标识符。

注意:在 MDM VPN 负载中,提供程序捆绑标识符对应于 ProviderBundleIdentifier 键。

7. 在服务器名称或 IP 地址中,输入与此 Citrix Endpoint Management 实例关联的 Citrix ADC 的 IP 地址或 FQDN(完全限定域名)。

配置页面中的其余字段是可选的。这些字段的配置可在 Citrix Endpoint Management(以前称为 XenMobile)文档中找到。

8. 点击 下一步

本地化后的图片

9. 单击保存

每个应用程序 VPN 配置文件

每个应用程序的 VPN 配置文件用于为特定应用程序设置 VPN。只有特定应用程序的流量才会被隧道传送到 Citrix Gateway。每个应用程序 VPN 负载支持设备范围 VPN 的所有密钥以及一些附加密钥。

在 Citrix Endpoint Management 上配置每个 PerApp 级 VPN

执行以下步骤来配置每个应用程序的 VPN:

1. 完成 Citrix Endpoint Management 上的设备级 VPN 配置。

2. 打开“每个应用程序 VPN”部分中的“启 用每个应用程序 VPN”开关。

3. 如果应 在启动匹配应用程序 时自动启动 Citrix SSO,则启用按需匹配应用程序开关。建议在大多数每个应用程序的情况下使用此功能。

注意:在 MDM VPN 有效负载中,此字段对应于 OnDemandMatchAppEnabled 键。

4. 在“提供程序类型”中,选择“数据包隧道”。

注意:在 MDM VPN 负载中,此字段对应于密钥提 供程序类型

5. Safari 域配置是可选的。配置 Safari 域后,Citrix SSO 会在用户启动 Safari 并导航到与“”字段中的 URL 匹配的 URL 时自动启动。如果您想限制特定应用的 VPN,则不建议使用此操作。

注意:在 MDM VPN 负载中,此字段对应于密钥 SafariDomains

配置页面中的其余字段是可选的。这些字段的配置可在 Citrix Endpoint Management(以前称为 XenMobile)文档中找到。

本地化后的图片

14. 点击 下一步。

15. 单击保存

要将此 VPN 配置文件关联到设备上的特定应用程序,您必须按照本指南创建 应用程序库存策略和凭据提供程序策略-https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/

在每个应用程序 VPN 中配置分割隧道

MDM 客户可以在每个应用程序 VPN 中为 Citrix SSO 配置分割隧道。为此,必须将以下键/值对添加到 MDM 服务器上创建的 VPN 配置文件的供应商配置部分。

-  Key = "PerAppSplitTunnel"
-  Value = "true or 1 or yes"
<!--NeedCopy-->

密钥区分大小写,并且应该完全匹配,而值不区分大小写。

注意:用于配置供应商配置的用户界面不是 MDM 供应商的标准。您必须与 MDM 供应商联系,以查找 MDM 用户控制台上的供应商配置部分。

下面是 Citrix Endpoint Management 中配置(供应商特定设置)的示例屏幕截图。

分裂隧道每 App-CEM

以下是 Microsoft Intune 中配置(供应商特定设置)的示例屏幕截图。

split-tunnel-per-app-Intune

禁用用户创建的 VPN 配置文件

MDM 客户可以阻止用户从 Citrix SSO 应用程序中手动创建 VPN 配置文件。为此,必须将以下键/值对添加到 MDM 服务器上创建的 VPN 配置文件的供应商配置部分。

-  Key = "disableUserProfiles"
-  Value = "true or 1 or yes"
<!--NeedCopy-->

密钥区分大小写,并且应该完全匹配,而值不区分大小写。

注意:用于配置供应商配置的用户界面不是 MDM 供应商的标准。您必须与 MDM 供应商联系,以查找 MDM 用户控制台上的供应商配置部分。

下面是 Citrix Endpoint Management 中配置(供应商特定设置)的示例屏幕截图。

残疾人-VPN-CEM

以下是 Microsoft Intune 中配置(供应商特定设置)的示例屏幕截图。

disable_VPN_Intune

已知问题

问题描述:针对每个应用程序 VPN 或按需 VPN 配置中包含“.local”域的 FQDN 地址的隧道。Apple 的网络扩展框架中存在一个错误,它阻止在域部分(例如http://wwww.abc.local)中包含 .local 的 FQDN 地址通过系统的 TUN 接口进行隧道。此地址的流量将通过设备的物理接口发出。仅在每个应用程序 VPN 或按需 VPN 配置中观察到此问题,在系统范围的 VPN 配置中看不到此问题。Citrix 已向 Apple 提交了一份雷达缺陷报告,Apple 指出,根据 RFC-6762:https://tools.ietf.org/html/rfc6762,.local 是一个多播 DNS (mDNS) 查询,因此不属于缺陷。但是,Apple 还没有关闭这个错误,目前尚不清楚该问题是否会在未来的 iOS 版本中得到解决。

解决办法:为替代方法等地址分配非 .local 域名。

限制

  • 尚未完全支持基于 FQDN 的分割隧道。
  • iOS 上不支持端点分析 (EPA)。
  • 不支持基于端口/协议的分割隧道。
为 iOS 用户设置 Citrix SSO