Citrix Gateway Clients

(1)

Citrix Gateway‑Clients

Machine translated content

Disclaimer

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Citrix Dokumentation maschinell übersetzt. Citrix hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Citrix Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer‑

Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Citrix gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Doku‑

mentation maschinell übersetzt wurde. Citrix kann nicht für Schäden oder Probleme verantwortlich gemacht wer‑

(2)

Citrix Gateway VPN‑Clients und unterstützte Funktionen

October 20, 2021 Wichtig:

• Der ältere Citrix VPN‑Client wurde mit Apples privaten VPN‑APIs erstellt, die jetzt veraltet sind. Die VPN‑Unterstützung in Citrix SSO wird mithilfe des öffentlichen Network Extension‑

Frameworks von Apple neu geschrieben. Citrix Gateway Plug‑in und Citrix VPN für iOS und macOS werden nicht mehr unterstützt. Citrix SSO ist die empfohlene VPN‑App, die verwen‑

det werden soll.

• Die allgemeine Verfügbarkeit der nFactor‑Authentifizierungsunterstützung für Android‑

Geräte wäre in einer der kommenden Versionen verfügbar.

In der folgenden Tabelle sind einige der am häufigsten verwendeten Funktionen aufgeführt, die für jeden VPN‑Client unterstützt werden.

Feature

Windows

Plug‑in Mac‑Plug‑in Linux

SSO für

macOS SSO für iOS

SSO für Android Immer

eingeschal‑

tet

(Benutzer‑

modus)

Ja (11.1 und höher)

Nein Nein Nein Nein Ja (über

MDM) Android 7.0+

PAC‑Datei drücken

Ja (12,0 und höher)

Ja Nein Ja Ja Nein

Kunden‑

Proxy‑

Unterstützung

Ja Ja Ja Nein Nein Ja.Siehe

Anmerkung 1

Maximale Grenze von Intranet‑

Anwendungen

512 128 128 Kein Limit Kein Limit Kein Limit

Unterstützung für

Intranet‑IP (IIP)

Ja Ja Ja Ja Ja Ja

Split‑

Tunnel EIN

Ja Ja Ja Ja Ja Ja

(4)

Feature

Windows

Plug‑in Mac‑Plug‑in Linux

SSO für

macOS SSO für iOS

SSO für Android Split‑

Tunnel rückwärts

Ja Ja Ja Ja Ja Ja.Siehe

Anmerkung 5

FQDN‑

basierter Splittunnel

Yes‑Only ON (13.0 and later)

Nein Nein Ja Ja Ja.Siehe

Anmerkung 5

Timeout für Client im Leerlauf

Ja Ja Ja Nein Nein Nein

EndpunktanalyseJa Ja Ja Ja Nein Nein

Gerätezertifikat (klassisch)

Ja Ja Nein Ja Nein Nein

nFactor‑

Authentifizierung Ja (12.1 und höher)

Nein Nein Ja Ja Ja.Siehe

Anmerkung 3

EPA (nFactor)

Nein Nein Ja Nein Nein

Gerätezertifikat (nFactor)

Nein Nein Ja Nein Nein

Push Benachrich‑

tigung

Nein Nein Nein Ja Ja (nur

Gerätereg‑

istrierung) OTP‑Token‑

Autofill‑

Unterstützung.

Siehe Anmerkung 2

Nein Nein Nein Nein Ja Ja

DTLS‑

Unterstützung.

Siehe Anmerkung 4

Ja (13,0 und höher)

Nein Nein Nein Nein Nein

(5)

Hinweis:

1. Das Festlegen eines Proxys in der Clientkonfiguration auf dem virtuellen VPN‑Server in der Gateway‑KonfigurationfürAndroid10undhöherwirdunterstützt. Eswirdnureinegrundle‑

gende HTTP‑Proxy‑Konfiguration mit IP‑Adresse und Port unterstützt.

2. Nur gescannte QR‑Code‑Token sind für die automatische Befüllung berechtigt. Das automatische Ausfüllen wird im nFactor‑Authentifizierungsablauf nicht unterstützt.

3. Die Unterstützung der nFactor‑Authentifizierung für Android‑Geräte befindet sich in der Vorschau und die Funktion ist standardmäßig deaktiviert. Wenden Sie sich an den Citrix Support, um diese Funktion zu aktivieren. Kunden müssen den FQDN ihres Citrix Gateway dem Support‑Team zur Verfügung stellen, um die nFactor‑Authentifizierung für Android‑

Geräte zu aktivieren.

4. Einzelheiten finden Sie unterKonfigurieren des virtuellen DTLS‑VPN‑Servers mithilfe des virtuellen SSL‑VPN‑Servers.

5. FQDN‑basierte Split‑Tunnelunterstützung und Reverse‑Split‑Tunnel für Android‑Geräte befinden sich in der Vorschau und die Funktion ist standardmäßig deaktiviert. Wenden Sie sich an den Citrix Support, um diese Funktion zu aktivieren. Kunden müssen den FQDN ihres Citrix Gateway dem Support‑Team zur Verfügung stellen, um ihn für Android‑Geräte zu aktivieren.

Citrix SSO für iOS‑ und macOS‑Geräte

October 20, 2021

Der ältere Citrix VPN‑Client wurde mit Apples privaten VPN‑APIs erstellt, die jetzt veraltet sind. Die VPN‑Unterstützung in Citrix SSO wird von Grund auf mithilfe des öffentlichen Network Extension‑

Frameworks von Apple neu geschrieben.

Hinweis

Zukünftige Versionen von Citrix SSO für macOS werden nur unter macOS 10.15 (Catalina), macOS 11.0 (Big Sur) und höher unterstützt.

Benutzer mit Hardware, die nicht auf eine der zuvor genannten Versionen aktualisiert werden kann (macOS 10.15 und macOS 11.0), haben Zugriff auf die letzte kompatible Version im App Store, es gibt jedoch keine weiteren Updates für die älteren Versionen.

End‑of‑Life (EOL) für ältere Versionen von macOS ist für das 1. Quartal 2021 geplant.

ImFolgendensindeinigederwichtigstenFunktionenaufgeführt, diemitderCitrixSSO‑Appeingeführt wurden:

• Kennwort‑Token: Ein Kennwort‑Token ist ein 6‑stelliger Code, der eine Alternative zu

(6)

sekundären Kennwortdiensten wie VIP, OKTA darstellt. Dieser Code verwendet das zeit‑

basierte One Time Password (T‑OTP) ‑Protokoll, um den OTP‑Code ähnlich wie Dienste wie Google Authenticator und Microsoft Authenticator zu generieren. Benutzer werden bei der Authentifizierung bei Citrix Gateway für einen bestimmten Active Directory‑Benutzer zur Eingabe von zwei Kennwörtern aufgefordert. Der zweite Faktor ist ein sich ändernder sechsstelliger Code, den Benutzer von einem registrierten Drittanbieterdienst wie Google oder Microsoft Authenticator in den Desktop‑Browser kopieren. Benutzer müssen sich zuerst auf der Citrix ADC Appliance für T‑OTP registrieren. Hinweise zur Registrierung finden Sie unter https://support.citrix.com/article/CTX228454. In der App können Benutzer die OTP‑

Funktion hinzufügen, indem sie den auf Citrix ADC generierten QR‑Code scannen oder das TOTP‑Geheimnis manuell eingeben. Einmal hinzugefügte OTP‑Token werden im Segment Kennwort‑Tokens auf der Benutzeroberfläche angezeigt.

Um das Erlebnis zu verbessern, fordert das Hinzufügen eines OTP den Benutzer auf, automatisch ein VPN‑Profil zu erstellen. Benutzer können dieses VPN‑Profil nutzen, um direkt von ihren iOS‑Geräten aus eine Verbindung zum VPN herzustellen.

Die Citrix SSO‑App kann verwendet werden, um den QR‑Code zu scannen, während Sie sich für die native OTP‑Unterstützung registrieren.

Die Push‑Benachrichtigungsfunktion von Citrix Gateway steht nur Benutzern der Citrix SSO‑App zur Verfügung.

• Push‑Benachrichtigung: Citrix Gateway sendet Push‑Benachrichtigungen auf Ihrem registri‑

ertenMobilgerätfüreinevereinfachteZwei‑Faktor‑Authentifizierung. AnstattdieCitrixSSO‑App zu öffnen, um den zweiten Faktor‑OTP auf der Citrix ADC‑Anmeldeseite einzugeben, können Sie Ihre Identität überprüfen, indem Sie Ihre Geräte‑PIN/Touch ID/Face ID für das registrierte Gerät angeben.

Sobald Sie Ihr Gerät für Push‑Benachrichtigungen registriert haben, können Sie das Gerät auch mithilfe der Citrix SSO‑App für die native OTP‑Unterstützung verwenden. Die Registrierung für Push‑Benachrichtigungen ist für den Benutzer transparent. Wenn Benutzer TOTP registrieren, wird das Gerät auch für Push‑Benachrichtigungen registriert, wenn Citrix ADC dies unterstützt.

Versionshinweise

October 20, 2021 Hinweis:

Die Citrix SSO‑App wird für iOS 11.x und niedrigere Versionen nach Juni 2020 nicht unterstützt.

(7)

Funktionen, behobene Probleme und bekannte Probleme beschrieben, die in einer Serviceversion verfügbar sind. Die Versionshinweise enthalten einen oder mehrere der folgenden Abschnitte:

Was ist neu: Die neuen Funktionen und Verbesserungen, die in der aktuellen Version verfügbar sind.

Behobene Probleme: Die Probleme, die in der aktuellen Version behoben wurden.

Bekannte Probleme: Die Probleme, die in der aktuellen Version bestehen, und ihre Problemumge‑

hungen, sofern zutreffend.

V1.3.11 (17‑Sep‑2021) Behobene Probleme

• Der EPA‑Scan für die Firewall‑Prüfung schlägt für macOS‑Geräte mit Citrix SSO fehl.

[CGOP‑19271]

• Citrix SSO stürzt auf einem iOS 12‑Gerät ab, wenn die Legacy‑Authentifizierung oder Intune Net‑

work Access Compliance (NAC) konfiguriert ist.

[CGOP‑19261]

V1.3.10 (31‑Aug‑2021) Neue Features

• Citrix SSO für macOS ist jetzt mit der OPSWAT‑Bibliothek Version 4.3.1977.0 gebündelt.

[NSHELP‑28467]

V1.3.9 (13‑Aug‑2021) Behobene Probleme

• Auf einigen Systemen mit installierter HTTP‑Proxy‑Software wird die Citrix Gateway‑IP‑Adresse intern als 127.0.0.1 angezeigt, wodurch die Einrichtung eines Tunnels verhindert wird.

[CGOP‑18538]

• Die Einstellung “Nicht vertrauenswürdige Server blockieren” funktioniert nicht auf Systemen, die die nicht‑englische Lokalisierung von Citrix SSO für iOS unterstützen.

[CGOP‑18539]

• Citrix SSO kann keine Verbindung zu Systemen herstellen, bei denen der DNS‑Name nicht mit dem allgemeinen Namen im Serverzertifikat übereinstimmt. Citrix SSO sucht jetzt nach alter‑

nativen Namen des Betreffs und stellt eine korrekte Verbindung her.

[NSHELP‑28348]

(8)

V1.3.8 (07‑Jul‑2021) Neue Features

• Citrix SSO für macOS ist nur mit den Versionen 10.15 (Catalina) und höher kompatibel.

[CGOP‑12555]

• Ab Citrix SSO für macOS Version 1.3.8 sind die EPA‑Bibliotheken in die App eingebettet und nicht vom Citrix Gateway‑Server heruntergeladen. Die aktuelle Version der eingebetteten EPA‑

Bibliothek ist 1.3.5.1.

[NSHELP‑26838]

V1.3.7 (17‑Mar‑2021) Behobene Probleme

• Citrix SSO für macOS zeigt abgelaufene Zertifikate in der Liste der Geräte‑ und Clientzertifikate an.

[CGOP‑17337 ‑ macOS]

• UDP‑ und ICMP‑Verkehr funktioniert nicht, wenn FQDN‑Split‑Tunneling konfiguriert ist.

V1.3.6 (04‑Feb‑2021) Behobene Probleme

• Der Endpoint Analysis‑Scan schlägt in Citrix SSO für macOS fehl, wenn der Gatewayserver an einem anderen SSL‑Port als dem Standardport 443 konfiguriert ist.

V1.3.5 (08‑Jan‑2021) Behobene Probleme

• TOTP‑Push‑Benachrichtigung während der nFactor‑Authentifizierung stoppt den nFactor‑

Authentifizierungsprozess [NSHELP‑24592 ‑ iOS]

• In einigen Fällen stürzt Citrix SSO bei der Verbindung mit Citrix Gateway aufgrund von Indizierungsfehlern in VPN‑Profilen ab.

(9)

V1.3.4 (09‑Dec‑2020)

In diesem Release wurden verschiedene Probleme behoben, um die allgemeine Leistung und Stabil‑

ität zu verbessern.

V1.3.3 (20‑Nov‑2020) Behobene Probleme

• EPA‑Scan zur Dateiprüfung wird mit Citrix SSO für macOS nicht unterstützt, wenn das Sonderze‑

ichen ~ (Tilde) im Dateipfad enthalten ist.

V1.3.2 (04‑Nov‑2020) Behobene Probleme

• Citrix SSO für macOS fordert Benutzer nicht auf, ein neues Gerätezertifikat auszuwählen, falls es abläuft oder sich die Zertifizierungsstelle auf dem ADC geändert hat.

V1.3.1 (15‑Oct‑2020) Neue Features

• Die Protokollierungsstufen Fehler, Debug und Ausführlich sind jetzt in Citrix SSO für iOS verfüg‑

bar.

[CGOP‑15234 ‑ iOS]

• Die Paket‑Header‑Informationen werden in der Protokollierung auf ausführlicher Ebene angezeigt und die alten Protokolldateien werden gelöscht, wenn ihre Anzahl 50 überschreitet.

[CGOP‑13987]

Behobene Probleme

• Benutzer können in Citrix SSO für macOS kein neues Gerätezertifikat auswählen, wenn das ak‑

tuelle Zertifikat abläuft.

[NSHELP‑24481]

(10)

V1.3.0 (16‑Sep‑2020) Neue Features

• Neues Citrix Logo wird eingeführt.

[CGOP‑15327]

V1.2.18 (10‑Sep‑2020) Neue Features

• Für Citrix SSO für macOS wurde jetzt eine ausführliche Protokollierungsstufe hinzugefügt.

[CGOP‑13985]

• Citrix SSO für macOS fordert die Benutzerberechtigung für den Zugriff auf das Stammverzeich‑

nis auf, wenn die Gerätezertifikatsprüfung im Rahmen des nFactor‑Scans hinzugefügt wird.

[CGOP‑14722]

• Nachdem das macOS aus dem Ruhemodus erwacht ist, benötigt Citrix SSO mehr als 30 Sekun‑

den, um die VPN‑Verbindung wiederherzustellen.

[CGOP‑14723]

• Citrix SSO für iOS und macOS kann die Anmeldung nicht übertragen, wenn die klassische Au‑

thentifizierung aktiviert ist.

[NSHELP‑24577]

V1.2.17

• Die Übertragung der Anmeldung erfolgt nicht mit Citrix Gateway Version 13.0, Build 61.48, wenn die nFactor‑Authentifizierung aktiviert ist.

[CGOP‑14619]

• Citrix SSO für iOS und macOS stellt keine Verbindung zu Citrix Gateway her, wenn es auf einem anderen Port als Port 443 gehostet wird.

[NSHELP‑24079]

(11)

Bekannte Probleme

• Citrix SSO für iOS und macOS kann die Anmeldung nicht übertragen, wenn die klassische Au‑

thentifizierung aktiviert ist.

[NSHELP‑24491]

V1.2.16

• Citrix SSO für macOS unterstützt die Timeout‑Funktion im Leerlauf nicht.

[CGOP‑237]

• Citrix SSO für macOS zeigt die Warnmeldung für erzwungenes Timeout nicht an.

[CGOP‑246]

• Die Übertragung der Anmeldung erfolgt nicht mit Citrix Gateway Version 13.0, Build 61.48, wenn die nFactor‑Authentifizierung aktiviert ist.

[CGOP‑14619]

V1.2.15

• Citrix SSO 1.2.14 funktioniert auf dem Client nicht wie vorgesehen, wenn die folgenden beiden Bedingungen erfüllt sind:

– Der geteilte Tunnel ist auf ON eingestellt.

– Citrix ADC Appliance‑Version ist 12.1 oder früher.

[NSHELP‑24038]

• Logon übertragen funktioniert nicht, wenn die folgenden beiden Bedingungen erfüllt sind:

– Die nFactor‑Authentifizierung ist konfiguriert.

– Das Citrix ADC‑Design ist auf Standard eingestellt.

[CGOP‑14092]

(12)

V1.2.14

• In einem seltenen Fall stürzt Citrix SSO wiederholt ab.

[NSHELP‑24009]

V1.2.13

• Citrix SSO wird auf iOS‑Versionen 11 und früher nicht unterstützt. Nur iOS‑Versionen 12.0 und höher werden unterstützt.

[CGOP‑14034 ‑ iOS]

• Citrix SSO stellt nach einem Hochverfügbarkeitsfailover keine Verbindung wieder her, wenn EPA nach der Authentifizierung konfiguriert ist.

[NSHELP‑23574 ‑ macOS]

• Citrix SSO öffnet bestimmte Apps nach der Verbindung über den Tunnel nicht, wenn der Kom‑

primierungsmodus auf “gemischt” eingestellt ist.

[NSHELP‑23489]

V1.2.12

V1.2.11

• Das Laden von TOTP‑Token schlägt fehl und ein Benutzer sieht keine TOTP‑Token. Wenn ein Benutzer versucht, ein Token hinzuzufügen, gehen die früheren Token verloren. Mit diesem Fix können Sie die Token erneut erstellen und speichern.

[NSHELP‑23351]

V1.2.10

(13)

V1.2.9

• Das Laden von TOTP‑Token schlägt fehl und ein Benutzer sieht keine TOTP‑Token. Wenn ein Benutzer versucht, ein Token hinzuzufügen, gehen die früheren Token verloren.

[NSHELP‑23351]

V1.2.8

Neue Features

• Die nFactor‑Authentifizierung wird jetzt für alle Kunden unterstützt, die die Citrix SSO‑App ver‑

wenden.

[CGOP‑12728]

• Die Citrix SSO‑App für iOS stürzt ab, wenn pro App‑VPN‑Tunnelfunktion aktiviert ist.

[CGOP‑13133 ‑ iOS]

• Das Dialogfeld Verbindung akzeptieren zeigt Inhalte in englischer Sprache an, unabhängig von der ausgewählten Sprache.

• Der Text “Homepage” in derCitrix SSO App > Homepagewird für einige Sprachen abgeschnit‑

ten.

• Die Citrix SSO‑App stellt keine Verbindung zu Citrix Gateway her, wenn die Sprache des Geräts auf “Vereinfachtes Chinesisch” eingestellt ist.

V1.2.7

• Manchmal kann Citrix SSO auf die klassische Authentifizierung zurückgreifen, selbst wenn die nFactor‑Authentifizierung konfiguriert ist.

[CGOP‑12611]

(14)

• Citrix SSO kann auf iOS‑Geräten abstürzen, wenn Pro‑App‑VPN konfiguriert ist.

[CGOP‑10702 ‑ iOS]

• VPN ist manchmal eingefroren, nachdem macOS aus dem Schlaf erwacht ist.

V1.2.6

V1.2.5

V1.2.4

• Manchmal reagiert die VPN‑Sitzung nicht, nachdem das Mac‑Gerät aus dem Ruhemodus aufgewacht ist.

V1.2.3

Neue Features

• Citrix SSO‑URL‑Schema — Citrix SSO registriert jetzt ein URL‑Schema, damit andere Anwendun‑

gen feststellen können, ob Citrix SSO auf einem iOS‑Gerät installiert ist. Das URL‑Schema lautet

“^citrixsso. “ [CGOP‑11979 ‑ iOS]

(15)

• Die Citrix SSO‑App stürzt beim Senden von starkem UDP‑Verkehr ab.

• Citrix SSO für das iPad stürzt ab, wenn die App von einer Benachrichtigung auf iOS 13 gestartet wird.

[NSHELP‑21087 ‑ iOS]

V1.2.2

• In einigen GSLB‑Bereitstellungen löst Citrix SSO den Gatewaynamen mehrmals auf, was zu Verbindungsfehlern führt.

[CGOP‑12013]

• Citrix SSO für iOS scannt nicht^OTPSecretmehr als 16 Byte.

[CGOP‑11978 ‑ iOS]

• Benutzer mit Profilen, die für die reale Zertifikatauthentifizierung und eine NAC‑Prüfung konfig‑

uriert sind, werden aufgefordert, die Anmeldeinformationen einzugeben, und können die VPN‑

Verbindungen nicht herstellen.

[CGOP‑11925 ‑ iOS]

• Obwohl das Split‑Tunnel‑Flag pro App nur auf TCP‑Verkehr geprüft wird, wird der ICMP‑Verkehr auch in Fällen getunnelt, in denen der ICMP‑Verkehr direkt gesendet werden muss.

[CGOP‑11614 ‑ iOS]

• Das Citrix Gateway Plug‑in für macOS unterstützt die Funktion, mit der die Zielseite in der Citrix Workspace‑App geöffnet wird, nicht.

[NSHELP‑7047]

V1.2.0

Neue Features

• Unterstützung der nFactor‑Authentifizierung. Die nFactor‑Authentifizierung wird jetzt sowohl auf iOS als auch auf macOS unterstützt.

[CGOP‑11251]

(16)

• Citrix SSO App‑Unterstützung. Die Citrix SSO‑App wird jetzt auf iOS 13 und macOS Catalina unterstützt.

[CGOP‑11714]

• Die Client‑IP‑Adresse wird rückwärts auf der Seite Verbindungen der SSO‑App angezeigt.

[CGOP‑11596]

• Citrix SSO respektiert das abgeschnittenes DNS‑Bit im DNS‑Flag in Citrix ADC Version 13.0 nicht.

[CGOP‑11777]

• Der Split‑Tunnel pro App ist nicht mit Citrix ADC Version 13.0 kompatibel.

[CGOP‑11464]

• Citrix SSO ignoriert einige der Timeout‑Nachrichten von Citrix Gateway.

[CGOP‑11310]

• Wenn sich Benutzer zum ersten Mal bei der App anmelden, wird die letzte Zeile der App‑

Beschreibung nicht auf dem Benutzerbildschirm angezeigt.

• Die Größe des Anmeldefensters der Citrix SSO App nimmt weiter zu, wenn Sie wiederholt auf die Schaltfläche Anmelden klicken.

• Wenn das Limit für die maximale Anzahl lizenzierter Benutzer überschritten wird, wird eine Fehlermeldung auf Systemebene und nicht im App‑Fenster angezeigt.

V1.1.12 Neue Features

• Telemetrie‑Datenerfassung für macOS. Citrix SSO sammelt benutzerdefinierte Analy‑

seereignisse im Zusammenhang mit der VPN‑Nutzung in der App.

• Unterstützung für Split‑Tunnel pro App. Administratoren können den Split‑Tunnel pro App konfigurieren. Pro‑App‑Datenverkehr, der den Intranet‑Routen für Citrix Gateway entspricht, wird zur Citrix Gateway‑Appliance getunnelt.

(17)

• FQDN Split Tunnel tunnelt den Verkehr basierend auf dem FQDN des Systems.FQDN Split Tunnel tunnelt den Verkehr basierend auf dem FQDN des Systems und nicht der von den DNS‑

Servern aufgelösten IP.

[CGOP‑316]

• Benutzeroberflächenelemente wie Schaltflächen, Textfelder, Beschriftungen usw. sind auf den iPad‑Bildschirmen falsch ausgerichtet.

[CGOP‑10141 ‑ iOS]

• Benutzer werden nicht über eine Remote‑Anmeldung benachrichtigt, wenn ihnen kein VPN‑

Profil hinzugefügt wurde.

[CGOP‑9731 ‑ iOS]

V1.1.10

• Die Citrix SSO‑App zeigt beim Erreichen der maximalen Benutzeranzahl nicht die richtige Fehler‑

meldung an.

[CGOP‑231]

• Das Kontrollkästchen EULA ist standardmäßig nicht deaktiviert.

[CGOP‑245]

• Die Funktion zum Hinzufügen wird für “aktivierte” Antiphishing‑Scans in EndPoint Analysis nicht unterstützt.

[CGOP‑249]

• Die automatische Auswahl des Client‑ oder Gerätezertifikats für die Authentifizierung erfolgt nicht, selbst wenn nur ein Client/Gerät im Schlüsselbund vorhanden ist.

[CGOP‑251]

• Nach dem Bearbeiten eines in der Citrix SSO‑App konnte kein “Verbindungsdatensatz” hinzuge‑

fügt werden.

[CGOP‑7256]

(18)

Einrichten von Citrix SSO für iOS‑Benutzer

October 20, 2021 WICHTIG:

Citrix VPN kann nicht unter iOS 12 und höher verwendet werden. Verwenden Sie die Citrix SSO‑

App, um weiterhin VPN zu verwenden.

In der folgenden Tabelle wird die Verfügbarkeit verschiedener Features zwischen Citrix VPN und Citrix SSO verglichen.

Feature Citrix VPN Citrix SSO

VPN auf Geräteebene Unterstützt Unterstützt

Per‑App‑VPN (nur MDM) Unterstützt Unterstützt

Split‑Tunnel per App Nicht unterstützt Unterstützt Per MDM konfigurierte

VPN‑Profile

Unterstützt Unterstützt

VPN bei Bedarf Unterstützt Unterstützt

Kennworttoken (T‑OTP‑basiert)

Nicht unterstützt Unterstützt Auf Pushbenachrichtigungen

basierende Anmeldung (zweite Stufe per registriertes Telefon)

Nicht unterstützt Unterstützt

Zertifikatbasierte Authentifizierung

Authentifizierung per Benutzername/Kennwort

Netzwerkzugriffssteuerung mit Citrix Endpoint

Management (ehemals XenMobile)

Netzwerkzugriffssteuerung mit Microsoft Intune

DTLS‑Unterstützung Nicht unterstützt Unterstützt

(19)

Feature Citrix VPN Citrix SSO Von Benutzern erstellte

VPN‑Profile sperren

Single Sign‑On für native Apps, die von Citrix Cloud verwaltet werden

Clientseitiger Proxy Unterstützt Unterstützt

Unterstützte

Betriebssystemversion

iOS 9, 10, 11 (funktioniert nicht ab iOS 12+)

iOS 9+

Kompatibilität mit MDM‑Produkten

Citrix SSO ist mit den meisten MDM‑Anbietern wie Citrix Endpoint Management (ehemals XenMobile), Microsoft Intune usw. kompatibel.

Citrix SSO unterstützt auch eine Funktion namens Network Access Control (NAC). Für weitere Infor‑

mationen über NAC klicken Sie bittehier. Mit NAC können MDM‑Administratoren die Konformität von Endbenutzergeräten durchsetzen, bevor sie eine Verbindung zur Citrix ADC Appliance herstellen. NAC auf Citrix SSO erfordert einen MDM‑Server wie Citrix Endpoint Management oder Intune und Citrix ADC.

Hinweis:

Um die Citrix SSO‑App mit Citrix Gateway VPN ohne MDM zu verwenden, müssen Sie eine VPN‑Konfiguration hinzufügen. Sie können die VPN‑Konfiguration auf iOS von der Citrix SSO‑Homepage aus hinzufügen.

Konfigurieren eines von MDM verwalteten VPN‑Profils für Citrix SSO

Im folgenden Abschnitt werden schrittweise Anweisungen zum Konfigurieren von sowohl geräteweiten als auch pro‑App‑VPN‑Profilen für Citrix SSO mithilfe von Citrix Endpoint Management (ehemals XenMobile) als Beispiel beschrieben. Andere MDM‑Lösungen können dieses Dokument als Referenz verwenden, wenn Sie mit Citrix SSO arbeiten.

Hinweis:

In diesem Abschnitt werden die Konfigurationsschritte für ein grundlegendes geräteweites und pro‑App‑VPN‑Profil erläutert. Sie können auch On‑Demand‑, Always‑On‑ und Proxys konfiguri‑

eren, indem Sie der Citrix Endpoint Management‑Dokumentation (ehemals XenMobile) oder der MDM‑VPN‑Nutzlastkonfigurationvon Apple folgen.

(20)

VPN‑Profile auf Geräteebene

VPN‑Profile auf Geräteebene werden verwendet, um ein systemweites VPN einzurichten. Der Daten‑

verkehr von allen Apps und Diensten wird basierend auf den in Citrix ADC definierten VPN‑Richtlinien (wie Full‑Tunnel, Split‑Tunnel, Reverse Split‑Tunnel) an Citrix Gateway getunnelt.

So konfigurieren Sie ein VPN auf Geräteebene in Citrix Endpoint Management

Führen Sie die folgenden Schritte aus, um ein VPN auf Geräteebene in Citrix Endpoint Management zu konfigurieren.

1. Navigieren Sie auf der Citrix Endpoint Management MDM‑Konsole zuKonfigurieren>Gerä‑

terichtlinien>Neue Richtlinie hinzufügen.

2. Wählen Sieim linken Bereich Policy Platform iOSaus. Wählen Sie im rechten BereichVPN aus.

3. Geben Sie auf der SeiteRichtlinieninformationeneinen gültigen Richtliniennamen und eine Beschreibung ein und klicken Sie aufWeiter.

4. Geben Sie auf der Seite VPN‑Richtlinie für iOS einen gültigen Verbindungsnamen ein und wählen SieBenutzerdefiniertes SSLunterVerbindungstyp.

In der MDM‑VPN‑Nutzlast entspricht der Verbindungsname demUserDefinedName‑Schlüssel und derVPN‑Typschlüsselmuss aufVPNeingestellt sein.

5. GebenSieunterBenutzerdefinierteSSL‑Kennung(umgekehrtesDNS‑Format)com.citrix.netscalergateway.ios.appein.

Dies ist die Bundle‑ID für die Citrix SSO App auf iOS.

In der MDM‑VPN‑Nutzlast entspricht der Custom SSL Identifier dem SchlüsselVPNSubtype. 6. Geben Sie unter Anbieter‑Bundle‑IDcom.citrix.netscalerGateway.ios.app.VPNPluginein.

Dies ist die Bundle‑ID der Netzwerkerweiterung, die in der Citrix SSO iOS‑App‑Binärdatei enthalten ist.

In der MDM‑VPN‑Nutzlast entspricht die Anbieter‑Bundle‑ID demProviderBundleIdentifier‑

Schlüssel.

7. Geben Sieunter Servername oder IP‑Adressedie IP‑Adresse oder den FQDN (vollqualifizierter Domänenname) des Citrix ADC ein, der dieser Citrix Endpoint Management‑Instanz zugeordnet ist.

Die verbleibenden Felder auf der Konfigurationsseite sind optional. Konfigurationen für diese Felder finden Sie in der Dokumentation zu Citrix Endpoint Management (ehemals XenMobile).

8. Klicken Sie aufWeiter.

(21)

9. Klicken Sie aufSpeichern.

Pro‑App‑VPN‑Profile

Pro‑App‑VPN‑Profile werden verwendet, um das VPN für eine bestimmte Anwendung einzurichten.

Der Datenverkehr nur von der bestimmten App wird zu Citrix Gateway getunnelt. Die Pro‑App VPN‑

Nutzlast unterstützt alle Schlüssel für geräteweites VPN sowie einige andere Schlüssel.

So konfigurieren Sie ein VPN auf App‑Ebene auf Citrix Endpoint Management Führen Sie die folgenden Schritte aus, um ein Per‑App VPN zu konfigurieren:

1. Schließen Sie die VPN‑Konfiguration auf Geräteebene in Citrix Endpoint Management ab.

2. Schalten Sie den SchalterPer‑App‑VPN aktivierenim Abschnitt Per‑App‑VPN ein.

3. Schalten Sie denSchalter On‑Demand Match App aktiviertein, wenn Citrix SSO automatisch gestartet werden muss, wenn die Match App gestartet wird. Dies wird für die meisten Per‑App‑

Fälle empfohlen.

In der MDM‑VPN‑Nutzlast entspricht dieses Feld dem SchlüsselonDemandMatchAppEnabled.

4. Wählen Sie unterProvidertypPacket Tunnelaus.

In der MDM‑VPN‑Nutzlast entspricht dieses Feld demSchlüsselanbietertyp.

5. Die Konfiguration der Safari‑Domain ist optional. Wenn eine Safari‑Domäne konfiguriert ist, wird Citrix SSO automatisch gestartet, wenn Benutzer Safari starten und zu einer URL navigieren, die mit der im FeldDomäneübereinstimmt. Dies wird nicht empfohlen, wenn Sie das VPN für eine bestimmte App einschränken möchten.

In der MDM‑VPN‑Nutzlast entspricht dieses Feld den wichtigstenSafariDomains.

(22)

Um dieses VPN‑Profil einer bestimmten App auf dem Gerät zuzuordnen, müssen Sie eine

App‑Inventarrichtlinie und eine Richtlinie für den Anbieter von Anmeldeinformationen erstellen, indem Sie diesem Handbuch folgen ‑https://www.citrix.com/blogs/2016/04/19/per‑app‑vpn‑with‑

xenmobile‑and‑citrix‑vpn/.

Konfigurieren eines Split‑Tunnels im Per‑App

MDM‑Kunden können Split‑Tunnel in Per‑App VPN für Citrix SSO konfigurieren. Das folgende Schlüssel/Wert‑Paar muss dem Abschnitt zur Herstellerkonfiguration des auf dem MDM‑Server erstellten VPN‑Profils hinzugefügt werden.

1 - Key = "PerAppSplitTunnel"

2 - Value = "true or 1 or yes"

3

Der Schlüssel berücksichtigt die Groß‑/Kleinschreibung und muss exakt übereinstimmen, während der Wert nicht zwischen Groß‑ und Kleinschreibung beachtet

Hinweis:

Die Benutzeroberfläche zum Konfigurieren der Anbieterkonfiguration ist bei allen MDM‑

Anbietern nicht Standard. Wenden Sie sich an den MDM‑Anbieter, um den Abschnitt zur Anbieterkonfiguration auf Ihrer MDM‑Benutzerkonsole zu finden.

(23)

Das Folgende ist ein Beispiel für einen Screenshot der Konfiguration (herstellerspezifische Einstellun‑

gen) in Citrix Endpoint Management.

gen) in Microsoft Intune.

(24)

Deaktivieren von Benutzern erstellten VPN‑Profilen

MDM‑Kunden können Benutzer daran hindern, VPN‑Profile manuell aus der Citrix SSO App heraus zu erstellen. Dazu muss das folgende Schlüssel/Wert‑Paar zum Abschnitt Herstellerkonfiguration des auf dem MDM‑Server erstellten VPN‑Profils hinzugefügt werden.

1 - Key = "disableUserProfiles"

3

Hinweis:

(25)

DNS‑Handhabung

Die empfohlenen DNS‑Einstellungen für Citrix SSO lauten wie folgt:

• Split DNS > REMOTE, wenn der geteilte Tunnel aufOFFgestellt ist.

• Split DNS > BOTH, wenn der geteilte Tunnel aufONeingestellt ist. In diesem Fall müssen die Ad‑

ministratoren DNS‑Suffixe für die Intranet‑Domains hinzufügen. DNS‑Abfragen für FQDNs, die zu DNS‑Suffixen gehören, werden an die Citrix ADC Appliance getunnelt, und die verbleibenden Abfragen gehen an den lokalen Router.

Hinweis:

• Es wird empfohlen, dass dasDNS‑Abkürzungsfix‑Flag immerONist. Weitere Informatio‑

nen finden Sie unterhttps://support.citrix.com/article/CTX200243.

• Wenn der Split‑Tunnel aufONeingestellt ist und Split‑DNS aufREMOTEeingestellt ist, kann es zu Problemen bei der Lösung von DNS‑Abfragen kommen, nachdem das VPN verbunden ist. Dies hängt damit zusammen, dass das Network Extension‑Framework nicht alle DNS‑

Abfragen abfängt.

Problembeschreibung: Tunneln für FQDN‑Adressen, die eine^“^.local^”Domäne in Pro‑App‑VPN‑

oder On‑Demand‑VPN‑Konfigurationen enthalten. Es gibt einen Fehler im Network Extension‑

Framework von Apple, der verhindert, dass FQDN‑Adressen, die^.localim Domain‑Teil enthalten sind (z. B.http://wwww.abc.local), über die TUN‑Schnittstelle des Systems getunnelt werden. Der

(26)

Verkehr für diese Adresse wird stattdessen über die physische Schnittstelle des Geräts gesendet. Das Problem wird nur bei der Pro‑App‑VPN‑ oder On‑Demand‑VPN‑Konfiguration beobachtet und tritt bei systemweiten VPN‑Konfigurationen nicht auf. Citrix hat einen Radar‑Fehlerbericht bei Apple eingereicht, und Apple hatte festgestellthttps://tools.ietf.org/html/rfc6762, dass laut RFC‑6762: local eine

Multicast‑DNS‑Abfrage (mDNS) ist und daher kein Bug ist. Apple hat den Fehler jedoch noch nicht geschlossen und es ist nicht klar, ob das Problem in zukünftigen iOS‑Versionen behoben wird.

Problemumgehung: Weisen Sie einen^non ^.localDomänennamen für Adressen wie die Proble‑

mumgehung zu.

Einschränkungen

• FQDN‑basiertes Split‑Tunneling wird noch nicht vollständig unterstützt.

• Die Endpunktanalyse (EPA) wird unter iOS nicht unterstützt.

• Split‑Tunneling basierend auf Ports/Protokollen wird nicht unterstützt.

Senden der Identität des Benutzerzertifikats als E‑Mail‑Anhang an iOS‑Benutzer

October 20, 2021

Citrix SSO unter iOS unterstützt die Clientzertifikatauthentifizierung mit Citrix Gateway. Unter iOS können Zertifikate auf eine der folgenden Arten an die Citrix SSO‑App übermittelt werden:

• MDM‑Server ‑ Dies ist der bevorzugte Ansatz für MDM‑Kunden. Zertifikate werden direkt im MDM‑verwalteten VPN‑Profil konfiguriert. Die VPN‑Profile und die Zertifikate werden dann an registrierte Geräte übertragen, wenn sich ein Gerät beim MDM‑Server registriert. Bitte befolgen Sie für diesen Ansatz die herstellerspezifischen MDM‑Dokumente.

• E‑Mail ‑ Einzige Methode für Nicht‑MDM‑Kunden. Bei diesem Ansatz senden Administratoren eine E‑Mail mit der Identität des Benutzerzertifikats (Zertifikat und privater Schlüssel), die als PCKS #12 ‑Datei angehängt ist, an Benutzer. Benutzer müssen ihre E‑Mail‑Konten auf ihrem iOS‑

Gerät konfiguriert haben, um die E‑Mail mit Anhang zu erhalten. Die Datei kann dann auf iOS in die Citrix SSO‑App importiert werden. Im folgenden Abschnitt werden die Konfigurationss‑

chritte für diesen Ansatz erläutert.

Voraussetzungen

• Benutzerzertifikat ‑ Eine PKCS #12 ‑Identitätsdatei mit einer Erweiterung.pfx oder .p12 für einen

(27)

• Auf dem iOS‑Gerät konfiguriertes E‑Mail‑Konto.

• Die Citrix SSO‑App ist auf dem iOS‑Gerät installiert.

Konfigurationsschritte

1. Benennen Sie die Erweiterung/den MIME‑Typ des Benutzerzertifikats um.

Dateierweiterungen, die am häufigsten für Benutzerzertifikate verwendet werden, sind “.pfx”,

“.p12” usw. Diese Dateierweiterungen sind im Gegensatz zu Formaten wie .pdf, .doc für die iOS‑Plattform nicht standardmäßig. Sowohl “.pfx” als auch “.p12” werden vom iOS‑System beansprucht und können nicht von Apps von Drittanbietern wie Citrix SSO beansprucht wer‑

den. Daher hat Citrix SSO einen neuen Erweiterungs‑/MIME‑Typ namens “.citrixsso‑pfx” und

“.citrixsso‑p12” definiert. Administratoren müssen den Erweiterungs‑/MIME‑Typ des Benutzerz‑

ertifikats von Standard “.pfx” oder “.p12” auf “.citrixsso‑pfx”

bzw. “.citrixsso‑p12” ändern. Um die Erweiterung umzubenennen, können Administratoren den folgenden Befehl in der Eingabeaufforderung oder im Terminal ausführen.

Windows 10

1 cd <DIRECTORY_PATH_TO_CERTIFICATE_FILE>

2 rename <CERTIFICATE_FILE_NAME>.pfx <CERTIFICATE_FILE_NAME>.

citrixsso-pfx 3

macOS

1 cd <DIRECTORY_PATH_TO_CERTIFICATE_FILE>

2 mv <CERTIFICATE_FILE_NAME>.pfx <CERTIFICATE_FILE_NAME>.citrixsso- pfx

3

2. Senden Sie die Datei als E‑Mail‑Anhang.

Die Benutzerzertifikatdatei mit der neuen Erweiterung kann als E‑Mail‑Anhang an den Benutzer gesendet werden.

Nach Erhalt der E‑Mail müssen Benutzer das Zertifikat in der Citrix SSO‑App installieren.

Einrichten einer Proxy‑PAC‑Datei für Citrix SSO für iOS oder macOS

October 20, 2021

(28)

Citrix SSO unterstützt Auto Proxy Config (Proxy‑PAC‑Datei) nach der Einrichtung des VPN‑Tunnels. Ad‑

ministratoren können die Proxy‑PAC‑Datei verwenden, um zu ermöglichen, dass der gesamte HTTP‑

Verkehr des Clients einen Proxy durchläuft, einschließlich der Auflösung von Hostnamen.

So richten Sie eine Proxy‑PAC‑Datei ein

Haben Sie einen internen Computer, der eine Proxy‑Datei hosten kann. Bedenken Sie beispielsweise, dass die IP der Maschine 172.16.111.43 lautet und der Name der PAC‑Datei proxy.pac lautet.

Wenn die IP‑Adresse des eigentlichen Proxy‑Servers 172.16.43.83 lautet, der auf Port 8080 lauscht, lautet ein Beispiel für proxy.pac wie folgt:

function FindProxyForURL(url, host) {

return “PROXY 172.16.43.83:8080”;

}

Die Proxy‑PAC‑URL lautet http://172.16.111.43/proxy.pac. Angenommen, die Datei wird auf Port HTTP‑Port 80 gehostet.

Weitere Einzelheiten finden Sie unter https://support.citrix.com/article/CTX224235 oder Proxy‑

Autokonfiguration für Outbound‑Proxy‑Unterstützung für NetScaler Gateway.

Hinweis:

• Wenn Split Tunnel eingeschaltet ist, stellen Sie sicher, dass die IP‑Adresse des Servers, der die PAC‑Datei hostet, in die Liste der Intranet‑Anwendungen aufgenommen wird, damit sie über VPN erreichbar ist.

• Nach dem Anmelden von Citrix SSO beginnen die Browser, die Regeln aus der Proxy‑PAC‑Datei zu verwenden. Wenn wie im vorherigen Beispiel nur eine Proxy‑Regel bereitgestellt wird, wird der gesamte HTTP‑ oder HTTPS‑Verkehr an den internen Proxyserver weitergeleitet.

Einrichten von Citrix SSO für macOS‑Benutzer

October 20, 2021

Die Citrix SSO‑App für macOS bietet die beste Anwendungszugriffs‑ und Datenschutzlösung, die von Citrix Gateway angeboten wird. Mit Citrix SSO können Sie überall und jederzeit sicher auf Anwendun‑

gen, virtuelle Desktops und Unternehmensdaten zugreifen, die entscheidend für den Geschäftserfolg Ihres Unternehmens sind.

Citrix SSO ist der VPN‑Client der nächsten Generation für Citrix Gateway zum Erstellen und Verwal‑

ten von VPN‑Verbindungen von macOS‑Geräten. Citrix SSO wird mit dem Network Extension (NE)

(29)

‑Framework von Apple erstellt. NE‑Framework von Apple ist eine moderne Bibliothek, die APIs en‑

thält, mit denen die Kernnetzwerkfunktionen von macOS angepasst und erweitert werden können.

Die Netzwerkerweiterung mit Unterstützung für SSL VPN ist auf Geräten verfügbar, auf denen macOS 10.11+ ausgeführt wird.

DieCitrixSSO‑AppersetztdasältereCitrixGateway‑Plug‑in, dasaufKernelExtensions(KE)basiertund bald von Apple veraltet sein wird. Die Citrix SSO App unterstützt erweiterte Funktionen wie Serverini‑

tiierte Verbindungen und DTLS.

Die Citrix SSO‑App bietet vollständige Unterstützung für Mobile Device Management (MDM) unter ma‑

cOS. Mit einem MDM‑Server kann ein Administrator nun VPN‑Profile auf Geräteebene und VPN‑Profile per App konfigurieren und verwalten.

Die Citrix SSO‑App für macOS kann aus einem Mac App Store installiert werden.

Funktionsvergleich zwischen Citrix VPN und Citrix SSO

In der folgenden Tabelle wird die Verfügbarkeit verschiedener Features zwischen Citrix VPN und Citrix SSO verglichen.

Feature Citrix VPN Citrix SSO

App‑Verteilungsmethode Citrix‑Downloadseite App Store Anzahl der getunnelten

Verbindungen

128 128

Zugriff über den Browser Unterstützt Nicht unterstützt

Zugriff über native App Unterstützt Unterstützt

Split‑Tunnel (OFF/ON/REVERSE)

Split‑DNS

(LOCAL/REMOTE/BOTH)

REMOTE REMOTE

Lokaler LAN‑Zugriff Aktivieren/Deaktivieren Immer aktiviert Unterstützung für

serverinitiierte Verbindungen (SIC)

Anmeldung übertragen Unterstützt Unterstützt

Clientseitiger Proxy Unterstützt Nicht unterstützt

Unterstützung für klassische/Opswat EPA

(30)

Feature Citrix VPN Citrix SSO Unterstützung für

Gerätezertifikate

Unterstützung für Sitzungstimeout

Unterstützung für erzwungenes Timeout

Unterstützung für Leerlauftimeout

Unterstützt Nicht unterstützt

IPV6 Nicht unterstützt Unterstützt

Netzwerkroaming (Wechseln zwischen WLAN, Ethernet usw.)

Unterstützung für Intranetanwendungen

DTLS‑Unterstützung für UDP Nicht unterstützt Unterstützt

EULA‑Unterstützung Unterstützt Unterstützt

Integration von App + Receiver

Unterstützt Nicht unterstützt

Authentifizierung ‑ Lokal, LDAP, RADIUS

Clientzertifikatauthentifizierung Unterstützt Unterstützt Unterstützung für TLS (TLS1,

TLS1.1 und TLS1.2)

Zweistufige Authentifizierung Unterstützt Unterstützt

Kompatibilität mit MDM‑Produkten

Citrix SSO für macOS ist mit den meisten MDM‑Anbietern wie Citrix XenMobile, Microsoft Intune usw. kompatibel. Es unterstützt eine Funktion namens Network Access Control (NAC), mit der MDM‑Administratoren die Konformität von Endbenutzergeräten erzwingen können, bevor sie eine Verbindung zu Citrix Gateway herstellen. NAC auf Citrix SSO erfordert einen MDM‑Server wie XenMobile und Citrix Gateway. Für weitere Informationen über NAC klicken Sie bittehier.

(31)

Hinweis:

Um die Citrix SSO‑App mit Citrix Gateway VPN ohne MDM zu verwenden, müssen Sie eine VPN‑

Konfiguration hinzufügen. Sie können die VPN‑Konfiguration auf macOS von der Seite Citrix SSO‑

Konfiguration aus hinzufügen.

Konfigurieren eines von MDM verwalteten VPN‑Profils für Citrix SSO

Im folgenden Abschnitt werden schrittweise Anweisungen zum Konfigurieren von sowohl geräteweiten als auch pro‑App‑VPN‑Profilen für Citrix SSO mithilfe von Citrix Endpoint Management (ehemals XenMobile) als Beispiel beschrieben. Andere MDM‑Lösungen können dieses Dokument als Referenz verwenden, wenn Sie mit Citrix SSO arbeiten.

Hinweis:

In diesem Abschnitt werden die Konfigurationsschritte für ein grundlegendes geräteweites und pro‑App‑VPN‑Profil erläutert. Sie können auch On‑Demand‑, Always‑On‑ und Proxys konfiguri‑

eren, indem Sie der Citrix Endpoint Management‑Dokumentation (ehemals XenMobile) oder der MDM‑VPN‑Nutzlastkonfigurationvon Apple folgen.

VPN‑Profile auf Geräteebene

VPN‑Profile auf Geräteebene werden verwendet, um ein systemweites VPN einzurichten. Der Daten‑

verkehr von allen Apps und Diensten wird basierend auf den in Citrix ADC definierten VPN‑Richtlinien (wie Full‑Tunnel, Split‑Tunnel, Reverse Split‑Tunnel) an Citrix Gateway getunnelt.

So konfigurieren Sie ein VPN auf Geräteebene in Citrix Endpoint Management Führen Sie die folgenden Schritte aus, um ein VPN auf Geräteebene zu konfigurieren.

1. Navigieren Sie auf der Citrix Endpoint Management MDM‑Konsole zuKonfigurieren>Gerä‑

terichtlinien>Neue Richtlinie hinzufügen.

2. Wählen Sie im linken Bereich Policy PlatformmacOSaus. Wählen Sie im rechten BereichVPN‑

Richtlinieaus.

3. Geben Sie auf der SeiteRichtlinieninformationeneinen gültigen Richtliniennamen und eine Beschreibung ein und klicken Sie aufWeiter.

4. Geben Sie auf derRichtliniendetailseitefür macOS einen gültigen Verbindungsnamen ein und wählen SieBenutzerdefiniertes SSLunterVerbindungstyp.

In der MDM‑VPN‑Nutzlast entspricht der Verbindungsname demUserDefinedName‑Schlüssel und derVPN‑Typschlüsselmuss aufVPNeingestellt sein.

(32)

5. GebenSieunterBenutzerdefinierteSSL‑Kennung(umgekehrtesDNS‑Format)com.citrix.netscalerGateway.MacOS.appein.

Dies ist die Bundle‑ID für die Citrix SSO App auf macOS.

In der MDM‑VPN‑Nutzlast entspricht der Custom SSL Identifier dem SchlüsselVPNSubtype. 6. GebenSieunterAnbieter‑Bundle‑IDcom.citrix.netscalerGateway.macOS.App.VPNPluginein.

Dies ist die Bundle‑ID der Netzwerkerweiterung, die in der Citrix SSO macOS‑App‑Binärdatei enthalten ist.

In der MDM‑VPN‑Nutzlast entspricht die Anbieter‑Bundle‑ID demProviderBundleIdentifier‑

Schlüssel.

7. Geben Sieunter Servername oder IP‑Adressedie IP‑Adresse oder den FQDN des Citrix ADC ein, der dieser Citrix Endpoint Management‑Instanz zugeordnet ist.

Die verbleibenden Felder auf der Konfigurationsseite sind optional. Konfigurationen für diese Felder finden Sie in der Citrix Endpoint Management‑Dokumentation.

Pro‑App‑VPN‑Profile

Pro‑App‑VPN‑Profile werden verwendet, um ein VPN für eine bestimmte Anwendung einzurichten.

Der Datenverkehr nur von der bestimmten App wird zu Citrix Gateway getunnelt. Die Pro‑App VPN‑

Nutzlast unterstützt alle Schlüssel für geräteweites VPN sowie einige andere Schlüssel.

So konfigurieren Sie ein VPN auf App‑Ebene auf Citrix Endpoint Management

Führen Sie die folgenden Schritte aus, um ein Pro‑App‑VPN auf Citrix Endpoint Management zu kon‑

(33)

1. Schließen Sie die VPN‑Konfiguration auf Geräteebene in Citrix Endpoint Management ab.

2. Schalten Sie den SchalterPer‑App‑VPN aktivierenim AbschnittPer‑App‑VPNein.

3. Schalten Sie denSchalter On‑Demand Match App aktiviertein, wenn Citrix SSO automatisch gestartet werden muss, wenn die Match App gestartet wird. Dies wird für die meisten Per‑App‑

Fälle empfohlen.

In der MDM‑VPN‑Nutzlast entspricht dieses Feld dem SchlüsselonDemandMatchAppEnabled.

4. Die Konfiguration der Safari‑Domain ist optional. Wenn eine Safari‑Domäne konfiguriert ist, wird Citrix SSO automatisch gestartet, wenn Benutzer Safari starten und zu einer URL navigieren, die mit der im FeldDomäneübereinstimmt. Dies wird nicht empfohlen, wenn Sie das VPN für eine bestimmte App einschränken möchten.

In der MDM‑VPN‑Nutzlast entspricht dieses Feld den wichtigstenSafariDomains.

Um das VPN‑Profil einer bestimmten App auf dem Gerät zuzuordnen, müssen Sie eine App‑

Inventarrichtlinie und eine Richtlinie für den Anbieter von Anmeldeinformationen erstellen, indem Sie diesem Handbuch folgen ‑https://www.citrix.com/blogs/2016/04/19/per‑app‑vpn‑

with‑xenmobile‑and‑citrix‑vpn/

Konfigurieren eines Split‑Tunnels im Per‑App

MDM‑Kunden können Split‑Tunnel in Per‑App VPN für Citrix SSO konfigurieren. Das folgende Schlüssel/Wert‑Paar muss dem Abschnitt zur Herstellerkonfiguration des auf dem MDM‑Server erstellten VPN‑Profils hinzugefügt werden.

(34)

1 - Key = "PerAppSplitTunnel"

Hinweis:

Die Benutzeroberfläche zum Konfigurieren der Anbieterkonfiguration ist bei den MDM‑Anbietern nicht Standard. Wenden Sie sich an den MDM‑Anbieter, um den Abschnitt zur Anbieterkonfigura‑

tion auf Ihrer MDM‑Benutzerkonsole zu finden.

(35)

Deaktivieren von Benutzern erstellten VPN‑Profilen

MDM‑Kunden können Benutzer daran hindern, VPN‑Profile manuell aus der Citrix SSO App heraus zu erstellen. Dazu muss das folgende Schlüssel/Wert‑Paar zum Abschnitt Herstellerkonfiguration des auf dem MDM‑Server erstellten VPN‑Profils hinzugefügt werden.

1 - Key = "disableUserProfiles"

Hinweis:

(36)

DNS‑Handhabung

Die empfohlenen DNS‑Einstellungen für Citrix SSO lauten wie folgt:

• Split DNS > REMOTE, wenn der geteilte Tunnel aufOFFgestellt ist.

• Split DNS > BOTH, wenn der geteilte Tunnel aufONeingestellt ist. In diesem Fall müssen die Ad‑

(37)

zu DNS‑Suffixen gehören, werden an die Citrix ADC Appliance getunnelt, und die verbleibenden Abfragen gehen an den lokalen Router.

Hinweis:

• Es wird empfohlen, dass dasDNS‑Abkürzungsfix‑Flag immerONist. Weitere Informatio‑

nen finden Sie unterhttps://support.citrix.com/article/CTX200243.

• Wenn der Split‑Tunnel aufONeingestellt ist und Split‑DNS aufREMOTEeingestellt ist, kann es zu Problemen bei der Lösung von DNS‑Abfragen kommen, nachdem das VPN verbunden ist. Dies hängt damit zusammen, dass das Network Extension‑Framework nicht alle DNS‑

Abfragen abfängt.

Im Folgenden sind die derzeit bekannten Probleme aufgeführt.

• Die EPA‑Anmeldung schlägt fehl, wenn der Benutzer in die Quarantänegruppe aufgenommen wird.

• Warnmeldung für erzwungenes Timeout wird nicht angezeigt.

• Die SSO‑App ermöglicht die Anmeldung, wenn der Split‑Tunnel eingeschaltet ist und keine Intranet‑Apps konfiguriert sind.

Im Folgenden sind die aktuellen Einschränkungen aufgeführt.

• Einige EPA‑Scans (z. B. Patch‑Management‑Scans, Webbrowser‑Scan, Kill‑Prozess) schlagen möglicherweise aufgrund des eingeschränkten Zugriffs auf die SSO‑App aufgrund von Sandbox‑

ing fehl.

• Split‑Tunneling basierend auf Ports/Protokollen wird nicht unterstützt.

nFactor‑Unterstützung für Citrix SSO auf iOS und macOS

October 20, 2021

Die Multi‑Faktor‑Authentifizierung (nFactor) erhöht die Sicherheit einer Anwendung, indem Benutzer mehrere Identifikationsnachweise vorlegen müssen, um Zugriff zu erhalten. Administratoren kön‑

nen verschiedene Authentifizierungsfaktoren konfigurieren, darunter Clientzertifikat, LDAP, RADIUS, OAuth, SAML usw. Diese Authentifizierungsfaktoren können in beliebiger Reihenfolge basierend auf den Anforderungen des Unternehmens konfiguriert werden.

Citrix SSO unterstützt die folgenden Authentifizierungsprotokolle:

(38)

• nFactor— Das nFactor‑Protokoll wird verwendet, wenn ein virtueller Authentifizierungsserver an den virtuellen VPN‑Server auf dem Gateway gebunden ist. Da die Reihenfolge der Authen‑

tifizierungsfaktoren dynamisch ist, verwendet der Client eine Browserinstanz, die im Kontext der App gerendert wird, um die Authentifizierungs‑GUI darzustellen.

• Classic — Classic‑Protokoll ist das standardmäßige Fallback‑Protokoll, das verwendet wird, wenn klassische Authentifizierungsrichtlinien auf dem virtuellen VPN‑Server auf dem Gate‑

way konfiguriert sind. Das klassische Protokoll ist das Fallback‑Protokoll, wenn nFactor für bestimmte Authentifizierungsmethoden wie NAC ausfällt.

• Citrix Identity Platform— Das Citrix Identity Platform‑Protokoll wird bei der Authentifizierung bei CloudGateway oder Gateway‑Dienst verwendet und erfordert eine MDM‑Registrierung bei Citrix Cloud.

In der folgenden Tabelle sind die verschiedenen Authentifizierungsmethoden zusammengefasst, die von jedem Protokoll unterstützt werden.

AuthentifizierungsmethodenFactor Klassisch Citrix IdP

Kunde Cert Unterstützt Unterstützt Nicht unterstützt

LDAP Unterstützt Unterstützt Nicht unterstützt

Lokal Unterstützt Unterstützt Nicht unterstützt

RADIUS Unterstützt Nicht unterstützt Nicht unterstützt

SAML Unterstützt Nicht unterstützt Nicht unterstützt

OAuth Unterstützt Nicht unterstützt Nicht unterstützt

TACACS Unterstützt Nicht unterstützt Nicht unterstützt

WebAuth Unterstützt Nicht unterstützt Nicht unterstützt

Verhandeln Unterstützt Nicht unterstützt Nicht unterstützt

EPA Unterstützt Unterstützt Nicht unterstützt

NAC Nicht unterstützt Unterstützt Nicht unterstützt

StoreFront Nicht unterstützt Nicht unterstützt Nicht unterstützt ADAL Nicht unterstützt Nicht unterstützt Nicht unterstützt DS‑AUTH Nicht unterstützt Nicht unterstützt Unterstützt

nFactor Konfiguration

(39)

Wichtig:

Um das nFactor‑Protokoll mit Citrix SSO zu verwenden, lautet die empfohlene lokale Citrix Gateway‑Version 12.1.50.xx und höher.

• Mobilspezifische Authentifizierungsrichtlinien wie NAC (Network Access Control) erfordern, dass der Client im Rahmen der Authentifizierung mit Citrix Gateway eine signierte Geräteken‑

nung sendet. Die signierte Gerätekennung ist ein drehbarer geheimer Schlüssel, der ein mobiles Gerät eindeutig identifiziert, das in einer MDM‑Umgebung registriert ist. Dieser Schlüssel ist in ein VPN‑Profil eingebettet, das von einem MDM‑Server verwaltet wird. Es ist möglicherweise nicht möglich, diesen Schlüssel in den WebView‑Kontext zu injizieren. Wenn NAC in einem MDM‑VPN‑Profil aktiviert ist, greift Citrix SSO automatisch auf das klassische Authentifizierungsprotokoll zurück.

• Sie können NAC‑Check nicht mit Intune für macOS konfigurieren, da Intune im Gegensatz zu iOS keine Option zur Aktivierung von NAC für macOS bietet.

Fehlerbehebung bei häufigen Citrix SSO‑Problemen

October 20, 2021

Probleme bei der DNS‑Lösung

• Wenn das Gerät in den Ruhezustand geht oder längere Zeit inaktiv ist, kann es etwa 30—60 Sekunden dauern, bis das VPN wieder aufgenommen wird. Während dieser Zeit sehen Benutzer möglicherweise, dass einige DNS‑Anfragen fehlschlagen. DNS‑Anfragen werden nach kurzer Zeit automatisch aufgelöst.

Wenn DNS‑Abfragen nicht aufgelöst werden, ist es möglich, dass eine erweiterte Au‑

torisierungsrichtlinie den DNS‑Verkehr blockiert. Siehe https://support.citrix.com/article/

CTX232237, um dieses Problem zu beheben.

• Überprüfen Sie immer die DNS‑Auflösung von Browsern. DNS‑Abfragen, die den^nslookupBe‑

fehl vom Terminal verwenden, sind möglicherweise nicht korrekt. Wenn Sie den^nslookup Befehl verwenden müssen, müssen Sie die Client‑IP‑Adresse in den Befehl aufnehmen. Zum Beispielnslookup website_name 172.16.255.1.

(40)

EPA‑Probleme

• Gatekeeper wird als Antivirenprogramm betrachtet. Wenn es einen Scan gibt, der nach “An‑

tivirenprogrammen” sucht (MAC‑ANTIVIR_0_0), wird der Scan immer erfolgreich, auch wenn der Benutzer kein Antivirenprogramm von anderen Anbietern installiert hat.

Hinweis:

• Aktivieren Sie die Client‑Sicherheitsprotokolle, um Debug‑Protokolle für EPA zu Sie kön‑

nen die Client‑Sicherheitsprotokollierung aktivieren, indem Sie den VPN‑Parameter clientsecurityLogauf ON setzen.

• Die integrierte Patch‑Management‑Software von Apple ist “Software‑Update”. Es entspricht der App “App Store” auf dem Gerät. Die Version des “Software‑Updates” muss so sein

"MAC-PATCH_100011_100076_VERSION_==_3.0[COMMENT: Software Update]"

• Halten Sie die EPA‑Bibliotheken auf Citrix ADC immer auf dem neuesten Stand. Die neuesten BibliothekenfindenSieunterhttps://www.citrix.com/downloads/citrix‑gateway/epa‑libraries/

epa‑libraries‑for‑netscaler‑gateway.html

nFactor Probleme

• Die Citrix SSO‑App öffnet das Citrix SSO‑Authentifizierungsfenster für die nFactor‑

Authentifizierung. Es ähnelt einem Browser. Wenn auf dieser Seite Fehler auftreten, kann dies durch die Authentifizierung in einem Webbrowser überprüft werden.

• Wenn die Übertragungsanmeldung fehlschlägt, wenn nFactor aktiviert ist, ändern Sie das Portal‑Design auf “rfWebUI”.

• Wenn Sie die Fehlermeldung “Eine sichere Verbindung zu Citrix Gateway kann nicht hergestellt werden, da die Zertifikatskette keines der erforderlichen Zertifikate enthält. Bitte wenden Sie sich an Ihren Administrator” oder “Gateway nicht erreichbar”, dann ist entweder das Gateway‑

Serverzertifikat abgelaufen oder das Serverzertifikat ist mit aktiviertem SNI gebunden. Citrix SSO unterstützt SNI noch nicht. Binden Sie das Serverzertifikat ohne aktiviertes SNI. Der Fehler kann auch auf das im MDM‑VPN‑Profil konfigurierte Zertifikat‑Pinning und auf das von Citrix Gateway vorgelegte Zertifikat zurückzuführen sein, das nicht mit dem angeheftete Zertifikat übereinstimmt.

• Wenn Sie versuchen, eine Verbindung zum Gateway herzustellen, wenn dasCitrix SSO Auth‑

Fenster geöffnet wird, aber leer ist, prüfen Sie, ob die ECC‑Kurve (ALL) an die Standardchif‑

fergruppe gebunden ist. Die ECC‑Kurve (ALL) muss an die Standard‑Verschlüsselungsgruppe gebunden sein.

Überprüfung der Netzwerkzugriffssteuerung (NAC)

Die NAC‑Authentifizierungsrichtlinie wird nur bei der klassischen Authentifizierung unterstützt. Es

(41)

FAQ

October 20, 2021

In diesem Abschnitt werden die FAQ in der Citrix SSO‑App erfasst.

Wie unterscheidet sich die Citrix SSO‑App von der Citrix VPN‑App?

Citrix SSO ist der SSL‑VPN‑Client der nächsten Generation für Citrix ADC. Die App verwendet Apples Network Extension‑Framework, um VPN‑Verbindungen auf iOS‑ und macOS‑Geräten zu erstellen und zu verwalten. Citrix

VPN ist der ältere VPN‑Client, der Apples private VPN‑APIs verwendet, die jetzt veraltet sind. Die Un‑

terstützung für Citrix VPN wird in den kommenden Monaten aus dem App Store entfernt.

Was ist NE?

Das Network Extension (NE) ‑Framework von Apple ist eine moderne Bibliothek, die APIs enthält, mit denen die Kernnetzwerkfunktionen von iOS und macOS angepasst und erweitert werden können. Die Netzwerkerweiterung mit Unterstützung für SSL VPN ist auf Geräten mit iOS 9+ und macOS 10.11+

verfügbar.

Für welche Versionen von Citrix ADC ist das Citrix SSO kompatibel?

VPN‑Funktionen in Citrix SSO werden auf Citrix ADC Versionen 10.5 und höher unterstützt. Das TOTP ist auf Citrix ADC Version 12.0 und höher verfügbar. Push‑Benachrichtigung auf Citrix ADC wurde noch nicht öffentlich angekündigt. Die App benötigt Versionen iOS 9+ und macOS 10.11+.

Wie funktioniert die CERT‑basierte Authentifizierung für Nicht‑MDM‑Kunden?

Kunden, die zuvor Zertifikate per E‑Mail oder Browser verteilt haben, um die Clientzertifikatauthen‑

tifizierung in Citrix VPN durchzuführen, müssen diese Änderung bei der Verwendung von Citrix SSO beachten. Dies gilt

hauptsächlichfür Nicht‑MDM‑Kunden, die keinenMDM‑Server zurVerteilungvonBenutzerzertifikaten verwenden. Einzelheiten finden Sie unter “Importieren von Zertifikaten per E‑Mail in Citrix SSO”, um Zertifikate verteilen zu können.

Was ist Network Access Control (NAC)? Wie konfiguriere ich NAC mit Citrix SSO und Citrix Gate‑

way?

Microsoft Intune und Citrix Endpoint Management (ehemals XenMobile) MDM‑Kunden können die Funktion Network Access Control (NAC) in Citrix SSO nutzen. Mit NAC

können Administratoren ihr unternehmensinternes Netzwerk sichern, indem sie eine zusätzliche Au‑

thentifizierungsebene für mobile Geräte hinzufügen, die von einem MDM‑Server verwaltet werden.

Administratoren können zum Zeitpunkt der Authentifizierung in Citrix SSO eine Überprüfung der Gerätekonformität erzwingen.

Um NAC mit Citrix SSO zu verwenden, müssen Sie es sowohl auf dem Citrix Gateway als auch auf dem MDM‑Server aktivieren.

(42)

• Um NAC auf Citrix ADC zu aktivieren, verweisen Sie auf diesenLink.

• Wenn ein MDM‑Anbieter Intune ist, verweisen Sie auf diesenLink.

• Wenn ein MDM‑Anbieter Citrix Endpoint Management (ehemals XenMobile) ist, verweisen Sie auf diesenLink.

Hinweis:

Die unterstützte Mindestversion von Citrix SSO ist 1.1.6 und höher.

Citrix SSO für Android‑Geräte

October 20, 2021

Citrix SSO ist eine von Citrix Gateway angebotene, erstklassige Anwendungszugriffs‑ und Daten‑

sicherungslösung. Mit Citrix SSO können Sie überall und jederzeit sicher auf Anwendungen, virtuelle Desktops und Unternehmensdaten zugreifen, die entscheidend für den Geschäftserfolg Ihres Unternehmens sind.

Versionshinweise

October 20, 2021 Wichtig:

Die Citrix SSO‑App wird nach Juni 2020 für Android 6.x und niedrigere Versionen nicht unter‑

stützt.

In den Citrix SSO Versionshinweisen werden die neuen Funktionen, Verbesserungen vorhandener Funktionen, behobene Probleme und bekannte Probleme beschrieben, die in einer Serviceversion verfügbar sind. Die Versionshinweise enthalten einen oder mehrere der folgenden Abschnitte:

Was ist neu: Die neuen Funktionen und Verbesserungen, die in der aktuellen Version verfügbar sind.

Behobene Probleme: Die Probleme, die in der aktuellen Version behoben wurden.

Bekannte Probleme: Die Probleme, die in der aktuellen Version bestehen, und ihre Problemumge‑

hungen, sofern zutreffend.

V 2.5.1 (12‑Aug‑2021) Behobene Probleme

(43)

[CGOP‑18475]

• Citrix SSO zeigt eine Authentifizierungsaufforderung an, wenn die Authentifizierung mit NAC‑

Prüfung von Citrix Gateway erforderlich ist.

[CGOP‑18348]

• Citrix SSO kann bei der Verarbeitung ungewöhnlich großer ICMP‑Pakete abstürzen.

[CGOP‑18286]

• Citrix SSO kann beim Hinzufügen eines VPN‑Profils auf einigen Android 8.0‑Geräten abstürzen.

[CGOP‑17607]

• Citrix SSO stürzt möglicherweise ab, wenn Sie das für Always On konfigurierte VPN neu starten.

[CGOP‑17580]

• Citrix SSO kann bei der Behandlung eines SSL‑Fehlers im nFactor‑Authentifizierungsablauf ab‑

stürzen.

[CGOP‑17577]

V 2.5.0 (08‑Juni‑2021) Neue Features

• Unterstützung für FQDN‑basiertes Split‑Tunneling

Citrix SSO für Android unterstützt jetzt FQDN‑basiertes Split‑Tunneling.

[CGOP‑12079]

• Citrix SSO Beta Build 2.5.0 schlägt fehl (110), um eine Verbindung zu Citrix Gateway Versionen 12.1 und früher herzustellen.

[CGOP‑17735]

• Die Einstellung “DisableUserProfiles” wird nach dem Neustart der SSO‑App nicht angewendet.

[CGOP‑17454]

• Die nFactor‑Authentifizierung wird abgebrochen, wenn sicheres Surfen auf einigen Geräten nicht aktiviert ist.

(44)

[CGOP‑17514]

• Manchmal verbindet Citrix SSO Always On VPN nicht erneut, wenn ein Sitzungstimeout auf der Citrix Gateway‑Appliance auftritt.

[CGOP‑16800]

• CitrixSSOerfordertBenutzerinteraktion, wennAlways‑OnVPNmitNur‑Zertifikat‑Authentifizierung zusammen mit nFactor‑Authentifizierung verwendet wird.

[CGOP‑16805]

• Manchmal kann Citrix SSO während des Neustarts oder Übergangs des VPN‑Dienstes abstürzen.

[CGOP‑16766]

• In einigen Fällen übertritt die Citrix SSO‑Anmeldeanforderung ein Timeout, bevor Citrix Gate‑

way antwortet.

[CGOP‑16759]

V2.4.12 (15‑Jan‑2020)

V2.4.11 (08‑Jan‑2021)

• Die klassische Authentifizierung schlägt fehl, da das Citrix SSO einen HTTP‑Header (X‑Citrix‑

Gateway) an das Citrix Gateway sendet, der nur bei der nFactor‑Authentifizierung verwendet wird.

Citrix Gateway Clients