为 macOS 用户设置 Citrix SSO
适用于 macOS 的 Citrix SSO 应用程序提供 Citrix Gateway 提供的最佳应用程序访问和数据保护解决方案。现在,您可以随时随地安全访问关键业务应用程序、虚拟桌面和企业数据。 Citrix SSO 是 Citrix Gateway 的下一代 VPN 客户端,用于从 macOS 设备创建和管理 VPN 连接。Citrix SSO 是使用 Apple 的网络扩展 (NE) 框架构建的。来自 Apple 的 NE 框架是一个现代化的库,其中包含可用于自定义和扩展 macOS 的核心网络功能的 API。支持 SSL VPN 的网络扩展可在运行 macOS 10.11+ 的设备上使用。
Citrix SSO 应用程序替换了基于内核扩展 (KE) 的旧版 Citrix Gateway 插件,该插件将很快被 Apple 弃用。Citrix SSO 应用程序支持高级功能,如服务器启动的连接和 DTLS。
Citrix SSO 应用程序在 macOS 上提供完整的移动设备管理 (MDM) 支持。借助 MDM 服务器,管理员现在可以远程配置和管理设备级 VPN 配置文件和每个应用程序 VPN 配置文件。 适用于 macOS 的Citrix SSO 应用程序可以从 Mac 应用程序商店安装。
Citrix VPN 与 Citrix SSO 之间的功能比较
下表比较了 Citrix VPN 和 Citrix SSO 之间的各种功能的可用性。
| 功能 | Citrix VPN | Citrix SSO |
|---|---|---|
| 应用程序分发方法 | Citrix 下载页面 | App Store |
| 隧道连接数 | 128 | 128 |
| 从浏览器访问 | 支持 | 不支持 |
| 从本机应用程序访问 | 支持 | 支持 |
| 分割隧道(关闭/反向) | 支持 | 支持 |
| 拆分 DNS(本地/远程/两者) | 远程 | 远程 |
| 局域网接入 | 启用/禁用 | 始终启用 |
| 服务器启动的连接 (SIC) 支持 | 不支持 | 支持 |
| 转移登录 | 支持 | 支持 |
| 客户端代理 | 支持 | 不支持 |
| 经典/Opswat EPA 支持 | 支持 | 支持 |
| 设备证书支持 | 支持 | 支持 |
| 会话超时支持 | 支持 | 支持 |
| 强制超时支持 | 支持 | 支持 |
| 空闲超时支持 | 支持 | 不支持 |
| IPV6 | 不支持 | 支持 |
| 网络漫游(在 Wi-Fi、以太网等之间切换) | 支持 | 支持 |
| 内联网应用程序支助 | 支持 | 支持 |
| 对 UDP 的 DTLS 支持 | 不支持 | 支持 |
| EULA 支持 | 支持 | 支持 |
| 应用程序 + Receiver 集成 | 支持 | 不支持 |
| 身份验证 — 本地、LDAP、RADIUS | 支持 | 支持 |
| 客户端证书身份验证 | 支持 | 支持 |
| TLS 支持(TLS1、TLS1.1 和 TLS1.2) | 支持 | 支持 |
| 双重身份验证 | 支持 | 支持 |
与 MDM 产品的兼容性
Citrix SSO for macOS 与大多数 MDM 提供商兼容,例如 Citrix XenMobile、Microsoft Intune 等。它支持名为“网络访问控制 (NAC)”的功能,MDM 管理员可以通过该功能在连接到 Citrix Gateway 之前强制执行最终用户设备合规性。Citrix SSO 上的 NAC 需要 MDM 服务器,例如 XenMobile 或 Intune 和 Citrix Gateway。有关 NAC 的更多信息,请点击此处。
为 Citrix SSO 配置 MDM 托管 VPN 配置文件
以下部分以使用 Citrix Endpoint Management(以前称为 XenMobile)为例介绍了为 Citrix SSO 配置设备范围和 PerApp VPN 配置文件的分步说明。使用 Citrix SSO 时,其他 MDM 解决方案可以使用此文档作为参考。
注意: 本部分介绍了基本设备范围和每个应用程序 VPN 配置文件的配置步骤。此外,您还可以按照 Citrix Endpoint Management(以前称为 XenMobile)文档或 Apple 的 MDM VPN 有效负载配置来配置始终启用的按需代理。
设备级 VPN 配置文件
设备级 VPN 配置文件用于设置系统范围的 VPN。根据 Citrix ADC 中定义的 VPN 策略(如全隧道、分割隧道、反向拆分隧道),来自所有应用程序和服务的流量都会通道到 Citrix Gateway。
在 Citrix Endpoint Management 上配置设备级 VPN
执行以下步骤来配置设备级 VPN。
1. 在 Citrix Endpoint Management MDM 控制台上,导航至配置 > 设备策略 > 添加新策略。
2. 在左侧的策略平台窗格中选择 macOS 。在右侧窗格中选择 VPN 策略 。
3. 在“策略信息”页面上,输入有效的策略名称和描述,然后单击“下 一步”。
4. 在 macOS 的 策略详细信息 页面上,键入有效的连接名称,然后在 连接类型 中选择 自定义 SSL 。
注意:在 MDM VPN 负载中,连接名称对应于 UserDefinedName 键, VPN 类型键必须设置为 VPN。
5. 在自定义 SSL 标识符(反向 DNS 格式) 中,输入 com.citrix.NetScalerGateway.macOS.app。这是 macOS 上 Citrix SSO 应用程序的捆绑标识符。
注意:在 MDM VPN 负载中,自定义 SSL 标识符对应于 VPNSubType键。
6. 在提供程序捆绑包标识符中,输入 com.citrix.NetScalerGateway.macOS.app.vpnplugin 这是 Citrix SSO macOS 应用程序二进制文件中包含的网络扩展的捆绑标识符。
注意:在 MDM VPN 负载中,提供程序捆绑标识符对应于 ProviderBundleIdentifier 键。
7. 在服务器名称或 IP 地址中,输入与此 Citrix Endpoint Management 实例关联的 Citrix ADC 的 IP 地址或 FQDN。
配置页面中的其余字段是可选的。这些字段的配置可在 Citrix Endpoint Management 文档中找到。
8. 点击 下一步。
9. 单击保存。
每个应用程序 VPN 配置文件
每个应用程序的 VPN 配置文件用于为特定应用程序设置 VPN。只有特定应用程序的流量才会被隧道传送到 Citrix Gateway。每个应用程序 VPN 负载支持设备范围 VPN 的所有密钥以及一些附加密钥。
在 Citrix Endpoint Management 上配置每个 PerApp 级 VPN
执行以下步骤以在 Citrix Endpoint Management 上配置 PerApp VPN。
1. 完成 Citrix Endpoint Management 上的设备级 VPN 配置。
2. 打开“每个应用程序 VPN”部分中的“启 用每个应用程序 VPN”开关。
3. 如果应 在启动匹配应用程序 时自动启动 Citrix SSO,则启用按需匹配应用程序开关。建议在大多数每个应用程序的情况下使用此功能。
注意:在 MDM VPN 有效负载中,此字段对应于 OnDemandMatchAppEnabled 键。
5. Safari 域配置是可选的。配置 Safari 域后,Citrix SSO 会在用户启动 Safari 并导航到与“域”字段中的 URL 匹配的 URL 时自动启动。如果您想限制特定应用的 VPN,则不建议使用此操作。
注意:在 MDM VPN 负载中,此字段对应于密钥 SafariDomains。
配置页面中的其余字段是可选的。这些字段的配置可在 Citrix Endpoint Management(以前称为 XenMobile)文档中找到。
13. 单击下一步。
14. 单击保存。
要将此 VPN 配置文件关联到设备上的特定应用程序,您必须按照本指南创建 应用程序清单策略和凭据提供程序策略-https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/
在每个应用程序 VPN 中配置分割隧道
MDM 客户可以在每个应用程序 VPN 中为 Citrix SSO 配置分割隧道。为此,必须将以下键/值对添加到 MDM 服务器上创建的 VPN 配置文件的供应商配置部分。
- Key = "PerAppSplitTunnel"
- 值 =“真或 1 或是”
密钥区分大小写,并且应该完全匹配,而值不区分大小写。
注意:用于配置供应商配置的用户界面不是 MDM 供应商的标准。您必须与 MDM 供应商联系,以查找 MDM 用户控制台上的供应商配置部分。
下面是 Citrix Endpoint Management 中配置(供应商特定设置)的示例屏幕截图。
以下是 Microsoft Intune 中配置(供应商特定设置)的示例屏幕截图。
禁用用户创建的 VPN 配置文件
MDM 客户可以阻止用户从 Citrix SSO 应用程序中手动创建 VPN 配置文件。为此,必须将以下键/值对添加到 MDM 服务器上创建的 VPN 配置文件的供应商配置部分。
- Key = "disableUserProfiles"
- 值 =“真或 1 或是”
密钥区分大小写,并且应该完全匹配,而值不区分大小写。
注意:用于配置供应商配置的用户界面不是 MDM 供应商的标准。您必须与 MDM 供应商联系,以查找 MDM 用户控制台上的供应商配置部分。
下面是 Citrix Endpoint Management 中配置(供应商特定设置)的示例屏幕截图。
以下是 Microsoft Intune 中配置(供应商特定设置)的示例屏幕截图。
已知问题
以下是目前已知的问题。
- 如果用户被置于隔离组,则 EPA 登录失败。
- 不显示强制超时警告消息。
- 如果分割隧道处于开启状态且未配置 Intranet 应用程序,则 SSO 应用程序允许登录。
限制
以下是目前的限制。
- 某些 EPA 扫描(例如修补程序管理扫描、Web 浏览器扫描、终止进程)可能会失败,因为沙箱导致对 SSO 应用程序的访问受到限制。
- 不支持基于端口/协议的分割隧道。
常见问题解答
本部分捕获 Citrix SSO 应用程序的常见问题。
Citrix SSO 应用程序与 Citrix VPN 应用程序有何差别? Citrix SSO 是适用于 Citrix ADC 的下一代 SSL VPN 客户端。该应用程序使用 Apple 的网络扩展框架来创建和管理 iOS 和 macOS 设备上的 VPN 连接。Citrix VPN 是使用 Apple 的专用 VPN API 的旧版 VPN 客户端,现已弃用。对 Citrix VPN 的支持将在未来几个月从应用商店中删除。
什么是 NE? Apple 的网络扩展 (NE) 框架是一个现代化的库,其中包含可用于自定义和扩展 iOS 和 macOS 的核心网络功能的 API。支持 SSL VPN 的网络 扩展可在运行 iOS 9+ 和 macOS 10.11+ 的设备上使用。
哪些版本的 Citrix ADC 与 Citrix SSO 兼容? Citrix ADC 10.5 及更高版本支持 Citrix SSO 中的VPN 功能。TOTP 在 Citrix ADC 12.0 及更高版本上可用。Citrix ADC 上的推送通知尚未 公开公布。该应用程序需要 iOS 9 以上和 macOS 10.11 以上版本。
非 MDM 客户的基于 CERT 的身份验证如何工作? 之前通过电子邮件或浏览器分发证书以便在 Citrix VPN 中执行 客户端证书身份验证的客户必须在使用 Citrix SSO 时注意此更改。这主要适用于不使用 MDM 服务器分发用户证书的非 MDM 客户。请参阅“通过电子邮件将证书导入 Citrix SSO”以便能够分发证书。
什么是网络访问控制 (NAC)? 我如何使用 Citrix SSO 和 Citrix Gateway 配置 NAC? Microsoft Intune 和 Citrix Endpoint Management(以前称为 XenMobile)MDM 客户可以利用 Citrix SSO 中的网络访问控制 (NAC) 功能。借助 NAC,管理员可以通过为由 MDM 服务器管理的移动设备添加额外的身份验证层来保护其企业内部网络的安全。管理员可以在 Citrix SSO 中进行身份验证时强制执行设备 合规性检查。
要将 NAC 与 Citrix SSO 一起使用,必须在 Citrix Gateway 和 MDM 服务器上启用它。
- 要在 Citrix ADC 上启用 NAC,请参阅此链接。
- 如果 MDM 供应商是 Intune,请参阅此链接。
- 如果 MDM 供应商是 Citrix Endpoint Management(以前称为 XenMobile),请参阅此链接。
注意:最低支持的 Citrix SSO 版本为 1.1.6 及更高版本。