Citrix Access Gateway/Web Interface结合DKEY短信动态密码认证

目前基于citrix的双因子认证技术是基于硬件令牌方式，IT管理员会为每个citrix用户分配分发一只令牌，citrix用户登录时输入令牌上显示的6位随即数字，即可完成登录是目前最为常用的强身份认证方案，它最大优点在于认证响应度高，然而采用此种方式用户需携带额外硬件设备，移动办公用户可能由于忘记携带或者丢失导致无法认证情形。

方案概述

Citrix结合DKEY短信密码认证，通常CITRIX帐号是托管在AD/LDAP中，在完成域帐号认证之后，认证服务器会随机生成一个一次性密码并通过短信网关发送到用户手机上，用户输入至二级认证框并提交验证后才能完成认证,无需携带额外硬件，无需安装软件。

这是 Citrix 域账户和动态密码的双重认证，因而能够很有效的保证账户信息的安全性，同时该方案兼容令牌认证。 拓扑结构



整体架构组成部分：

1.DKEY TMS：内置Radius Server，用来接收AG传递过来的域帐号、密码及短信密码，并负责短信密码生成及验证。

2.LDAP用户数据库：通常就是Windows Active Directory服务器。

3.短信网关：负责将DKEY TMS生成的随机密码发送至用户手机上，DKEY支持短信网关（含MAS机）、短信*猫。

4.Citrix Access Gateway或Web Interface。

认证流程

第一步：用户输入域账户和密码登录


第二步：CITRIX AG通过RADIUS 协议转发域账户信息至DKEY TMS进行认证

第三步：DKEY TMS通过LDAP 协议转发域账号信息发送至AD SERVER进行域账户查询

第四步： 域账户返回认证结果给DKEY 动态身份认证系统

第五步：如果认证成功，AG弹出二级认证页面并输入手机收到的包含随机密码的短信（支持Citrix Receiver）


第六步： 再次提交验证，等待返回结果

方案价值

（1）提升Citrix用户访问安全、使用便捷

（2）支持AG及Web Interface

（3）支持短信密码和硬件令牌并存，并提供统一用户体验，确保不被误解

（4）无缝支持Citrix账户在AD/LDAP中管理，而无需任何账户同步工作

（5）支持web portal和Citrix Receiver（iphone、ipad、andriod）方式访问