OTP 的推送通知
NetScaler Gateway 支持 OTP 的推送通知。用户无需手动输入在注册设备上收到的 OTP 即可登录 NetScaler Gateway。管理员可以配置 NetScaler Gateway,以便使用推送通知服务将登录通知发送到用户的注册设备。当用户收到通知时,他们只需轻按通知上的“Allow”(允许)即可登录 NetScaler Gateway。网关收到用户的确认时,它会识别请求的来源,并向该浏览器连接发送响应。
如果在超时期限(30 秒)内未收到通知响应,用户将被重定向到 NetScaler Gateway 登录页面。然后,用户可以手动输入 OTP 或单击 Resend Notification(重新发送通知)以在注册的设备上再次接收通知。
管理员可以使用为推送通知创建的登录架构将推送通知身份验证设为默认身份验证。
重要:
推送通知功能适用于 NetScaler 高级版许可证。
推送通知的优势
- 推送通知提供了更安全的多重身份验证机制。只有在用户批准登录尝试后,才能成功对 NetScaler Gateway 进行身份验证。
- 推送通知易于管理和使用。用户必须下载并安装不需要任何管理员帮助的 Citrix SSO 移动应用程序。
- 用户不必复制或记住代码。他们只需轻按设备即可进行身份验证。
- 用户可以注册多台设备。
推送通知的工作原理
推送通知工作流程可分为两类:
- 设备注册
- 最终用户登录
使用推送通知的必备条件
-
完成 Citrix Cloud 入门流程。
-
创建 Citrix Cloud 公司帐户或加入现有帐户。有关如何继续的详细流程和说明,请参阅“注册 Citrix Cloud”。
-
登录到 https://citrix.cloud.com,然后选择客户。
-
从菜单中,选择 Identity and Access Management(身份和访问管理),然后导航到 API Access(API 访问)选项卡为该帐户创建客户。
-
复制 ID、密钥和客户 ID。要在 NetScaler 中将推送服务分别配置为“ClientID”和“ClientSecret”,则需要 ID 和密钥。
-
重要:
- 可以在多个数据中心使用相同的 API 凭据。
- 在本地 NetScaler 设备必须能够解析服务器地址 mfa.cloud.com 和 trust.citrixworkspacesapi.net,并且可以从设备进行访问。这是为了确保这些服务器在端口 443 上没有防火墙或 IP 地址块。
-
分别从面向 iOS 设备的 App Store 和面向 Android 设备的 Play 应用商店下载 Citrix SSO 移动应用程序。推送通知功能在 iOS 内部版本 1.1.13 及更高版本和 Android 2.3.5 及更高版本中受支持。
-
对于 Active Directory,请确保以下内容。
- 最小属性长度必须至少为 256 个字符。
- 属性类型必须是“DirectoryString”,例如 UserParameters。这些属性可以保存字符串值。
- 如果设备名称使用非英语字符,则属性字符串类型必须为 Unicode。
- NetScaler LDAP 管理员必须对所选 AD 属性具有写入权限。
- NetScaler 和客户端计算机必须同步到通用的网络时间服务器。
推送通知配置
下面是使用推送通知功能必须完成的高级步骤。
-
NetScaler Gateway 管理员必须配置接口才能管理和验证用户。
-
配置推送服务。
-
配置 NetScaler Gateway 用于 OTP 管理和最终用户登录。
用户必须向网关注册其设备才能登录 NetScaler Gateway。
-
向 NetScaler Gateway 注册您的设备。
-
登录 NetScaler Gateway。
-
创建推送服务
-
导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Policies(策略)> Authentication(身份验证)> Advanced Policies(高级策略)> Actions(操作)> Push Service(推送服务),然后单击 Add(添加)。
-
在 Name(名称)中,输入推送服务的名称。
-
在 客户端 ID中,输入与云中的 NetScaler Push 服务器通信的依赖方的唯一身份。
-
在 客户端密钥中,输入用于在云中与 NetScaler Push 服务器通信的依赖方的唯一密钥。
-
在 Customer ID(客户 ID)中,输入用于创建客户端 ID 和客户端密钥对的云中的帐户的客户 ID 或名称。
重要
推送服务需要 TLS 1.2 版本。有关更多信息,请参阅 TLS 1.2 配置详细信息。
配置 NetScaler Gateway 用于 OTP 管理和最终用户登录
请完成以下步骤以进行 OTP 管理和最终用户登录。
- 为 OTP 管理创建登录架构
- 配置身份验证、授权和审核虚拟服务器
- 配置 VPN 或负载平衡虚拟服务器
- 配置策略标签
- 为最终用户登录创建登录架构
有关配置的详细信息,请参阅 本机 OTP 支持。
重要:对于推送通知,管理员必须明确配置以下设置:
- 创建推送服务。
- 在为 OTP 管理创建登录架构时,请根据需要选择 SingleAuthManageOTP.xml 登录架构或等效架构。
- 在为最终用户登录创建登录架构时,请根据需要选择 DualAuthOrPush.xml 登录架构或等效架构。
向 NetScaler Gateway 注册您的设备
用户必须在 NetScaler Gateway 中注册其设备才能使用推送通知功能。
-
在网络浏览器中,浏览到您的 NetScaler Gateway FQDN,然后在 FQDN 中添加后缀 /manageotp。
这将加载身份验证页面。 示例:https://gateway.company.com/manageotp
-
根据需要使用您的 LDAP 凭据或适当的双重身份验证机制登录。
-
单击添加设备。
-
输入设备的名称,然后单击转到。
二维码显示在 NetScaler Gateway 浏览器页面上。
-
使用要注册的设备上的 Citrix SSO 应用程序扫描此 QR 代码。
Citrix SSO 验证 QR 代码,然后向网关注册以获取推送通知。如果注册过程中没有错误,令牌将成功添加到密码令牌页面。
-
如果没有其他要添加/管理的设备,请使用页面右上角的列表注销。
测试一次性密码身份验证
-
要测试 OTP,请从列表中单击您的设备,然后单击 Test(测试)。
-
输入您在设备上收到的 OTP,然后单击 Go(转至)。
此时将显示 OTP 验证成功消息。
-
使用页面右上角的列表注销。
注意:可以随时使用 OTP 管理门户来测试身份验证、删除已注册的设备或注册更多设备。
登录 NetScaler Gateway
向 NetScaler Gateway 注册设备后,用户可以使用推送通知功能进行身份验证。
-
导航到您的 NetScaler Gateway 身份验证页面(例如:) https://gateway.company.com
系统会提示您仅输入 LDAP 凭据,具体取决于登录架构配置。
-
输入 LDAP 用户名和密码,然后选择 Submit(提交)。
通知将发送到已注册的设备。
注意: 如果要手动输入 OTP,必须选择 Click(单击)以手动输入 OTP 并在 TOTP 字段中输入 OTP。
-
在已注册的设备上打开 Citrix SSO 应用程序,然后轻按 Allow(允许)。
注意:
-
如果是 iOS 设备,系统会提示您输入触摸ID/FaceID /Passcode 作为身份验证的额外因素。
-
身份验证服务器将等待推送服务器通知响应,直到配置的超时期限到期。超时后,NetScaler Gateway 将显示登录页面。然后,用户可以手动输入 OTP 或单击 Resend Notification(重新发送通知)以在注册的设备上再次接收通知。根据您选择的选项,网关将验证您输入的 OTP 或在已注册的设备上重新发送通知。
- 不会向您注册的设备发送有关登录失败的通知。
-
失败条件
- 在以下情况下,设备注册可能会失败。
- 最终用户设备可能不信任服务器证书。
- 客户端无法访问用于注册 OTP 的 NetScaler Gateway。
- 在以下情况下,通知可能会失败。
- 用户设备未连接到 Internet
- 用户设备上的通知被阻止
- 用户不批准设备上的通知
在这些情况下,身份验证服务器将等到配置的超时期限到期。超时后,NetScaler Gateway 会显示一个登录页面,其中包含手动输入 OTP 或在您注册的设备上重新发送通知的选项。根据选定的选项,将进一步进行验证。
失败日志
以下是无法访问 OTP 推送服务时的预期日志。
- 当用户设备未连接到 Internet 时,推送通知失败-推送:无法为推送服务准备推送请求至
client name
。 - 设备注册失败日志 -推送:没有注册任何设备用于将推送请求发送到“
client name
”的云端。 - 如果用户不接受推送-推送:从客户端看不到响应,对于“
user name
”,请检查重试选项。
iOS 上的 Citrix SSO 应用程序行为 - 需要注意的几点事项
通知快捷方式
Citrix SSO iOS 应用程序包括对可操作通知的支持,以增强用户体验。在 iOS 设备上收到通知后,如果设备已锁定或者 Citrix SSO 应用程序未在前台,用户可以使用通知中内置的快捷方式批准或拒绝登录请求。
要访问通知快捷方式,用户需要强制触摸(3D 触摸)或长按通知,具体取决于设备的硬件。选择“允许快捷方式”操作会向 NetScaler 发送登录请求。取决于身份验证、授权和审核虚拟服务器上的身份验证策略的配置方式;
- 登录请求可能会在后台发送,无需将应用程序启动到前台或解锁设备。
- 应用程序可能会提示输入 Touch ID/面容 ID/通行码作为额外因素,在这种情况下,应用程序将启动到前台。
从 Citrix SSO 中删除密码令牌
-
要删除 Citrix SSO 应用程序中注册用于推送的密码令牌,用户必须执行以下步骤:
- 在网关上取消注册(删除)iOS/Android 设备。此时将显示用于从设备中删除注册的 QR 代码。
- 打开 Citrix SSO 应用程序,然后轻按要删除的密码令牌的信息按钮。
- 轻按 Delete Token(删除令牌),然后扫描 QR 代码。
注意:
- 如果 QR 代码有效,则会成功从 Citrix SSO 应用程序中删除令牌。
- 如果设备已从网关中删除,用户可以轻按“Force Delete”(强制删除)以删除密码令牌,而无需扫描 QR 代码。如果设备尚未从 NetScaler Gateway 中删除,强制删除可能会导致设备继续接收通知。