Verwandte Konfigurationen der adaptiven Authentifizierung

FQDN bearbeiten

Sie können einen FQDN nicht bearbeiten, wenn Adaptive Authentication als Authentifizierungsmethode in der Workspace-Konfiguration ausgewählt ist. Sie müssen zu einer anderen Authentifizierungsmethode wechseln, um den FQDN zu bearbeiten. Sie können das Zertifikat jedoch bei Bedarf bearbeiten.

Wichtig:

• Stellen Sie vor dem Ändern des FQDN sicher, dass der neue FQDN der öffentlichen IP-Adresse des virtuellen IdP-Servers zugeordnet ist.
• Bestehende Benutzer, die mithilfe von OAuth-Richtlinien mit NetScaler Gateway verbunden sind, müssen Ihre Authentifizierungsmethode auf Adaptive Authentication migrieren. Einzelheiten finden Sie unter Migrieren Ihrer Authentifizierungsmethode zu Adaptive Authentication.

Gehen Sie wie folgt vor, um einen FQDN zu bearbeiten:

1. Wechseln Sie zu einer anderen Authentifizierungsmethode als Adaptive Authentication.

   

2. Wählen Sie Ich verstehe die Auswirkungen auf das Abonnentenerlebnis aus, und klicken Sie dann auf Bestätigen .

   Wenn Sie auf Bestätigen klicken, wirkt sich dies auf die Workspace-Anmeldung bei Endbenutzern aus und die adaptive Authentifizierung wird erst dann für die Authentifizierung verwendet, wenn Adaptive Authentication Daher wird empfohlen, den FQDN während eines Wartungsfensters zu ändern.

3. Ändern Sie im Fenster Zertifikat hochladen den FQDN.

   

4. Klicken Sie auf Änderungen speichern.

   Wichtig:

   Wenn Sie einen FQDN bearbeiten, müssen Sie das Zertifikat auch erneut hochladen.

5. Aktivieren Sie die Methode Adaptive Authentication erneut, indem Sie auf der Homepage der adaptiven Authentifizierung auf Aktivieren (Schritt 3) klicken

   

6. Klicken Sie auf Aktualisieren.

Benutzerdefinierte Workspace-URL oder Vanity-URL

Mit einer benutzerdefinierten Workspace-URL können Sie eine Domain Ihrer Wahl verwenden, um auf Ihren Citrix Workspace Store zuzugreifen. Benutzer können über die standardmäßige Workspace-URL oder die benutzerdefinierte Workspace-URL oder beides auf Workspace zugreifen.

Um eine benutzerdefinierte Workspace-URL oder Vanity-URL zu konfigurieren, müssen Sie wie folgt vorgehen:

1. Konfigurieren Sie Ihre benutzerdefinierte Domain. Einzelheiten finden Sie unter Konfiguration Ihrer benutzerdefinierten Domain.

2. Konfigurieren Sie ein neues OAuthIdp-Profil mit derselben Client-ID, demselben Geheimnis und derselben Zielgruppe wie Ihr aktuelles oder Standardprofil (AAuthAutoConfig_OAuthIdpProf), aber mit einer anderen Umleitungs-URL. Einzelheiten finden Sie unter Konfiguration von OAuth-Richtlinien und-Profilen.

   Beispiel:

   Aktuelles Profil:

   -add authentication OAuthIDPProfile AAuthAutoConfig_oauthIdpProf -clientID xxxx -clientSecret yyyy -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2023_07_09_20_09_30 -redirectURL "https://accounts-internal.cloud.com/core/login-cip" -audience zzzz -sendPassword ON

   add authentication OAuthIdPPolicy AAuthAutoConfig_oauthIdpPol -rule true -action AAuthAutoConfig_oauthIdpProf

   bind authentication vserver auth_vs -policy AAuthAutoConfig_oauthIdpPol -priority 100 -gotoPriorityExpression NEXT

   Neues Profil:

   add authentication OAuthIDPProfile AAuthAutoConfig_oauthIdpProf_Custom1 -clientID xxxx -clientSecret yyyy -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2023_07_09_20_09_30 -redirectURL "https://custom_domain/core/login-cip" -audience zzzz -sendPassword ON

   add authentication OAuthIdPPolicy AAuthAutoConfig_oauthIdpPol_Custom1 -rule true -action AAuthAutoConfig_oauthIdpProf_Custom1

   bind authentication vserver auth_vs -policy AAuthAutoConfig_oauthIdpPol_Custom1 -priority 101 -gotoPriorityExpression NEXT

Wichtig:

• Die OAuth-Richtlinie und das Profil werden vom Adaptive Authentication Service während der Bereitstellungsphase erstellt. Daher hat der Citrix Cloud-Administrator keinen Zugriff auf das unverschlüsselte Client-Geheimnis. Sie können das verschlüsselte Geheimnis aus der Datei ns.conf abrufen. Um ein OAuth-Profil zu erstellen, müssen Sie das verschlüsselte Geheimnis verwenden und das Profil nur mit den CLI-Befehlen erstellen.
• Sie können kein OAuth-Profil mit der NetScaler-Benutzeroberfläche erstellen.

Upgrade Ihrer Adaptive Authentication-Instanzen planen

Für die aktuelle Site oder Bereitstellung können Sie das Wartungsfenster für das Upgrade auswählen.

Wichtig:

Aktualisieren Sie die Adaptive Authentication-Instanzen nicht auf zufällige RTM-Builds. Alle Upgrades werden von Citrix Cloud verwaltet.

1. Klicken Sie auf der Benutzeroberfläche der adaptiven Authentifizierung im Abschnitt Adaptive Authentication-Instanzen bereitstellen auf die Schaltfläche mit den Auslassungspunkten.

   

2. Klicken Sie auf Upgrades planen.
3. Wählen Sie den Tag und die Uhrzeit für das Upgrade aus.

Provisioning Ihrer Adaptive Authentication-Instanzen aufheben

Kunden können die Adaptive Authentication-Instanzen in den folgenden Fällen und gemäß dem Vorschlag des Citrix-Supports deaktivieren.

• Auf die Instanzen der adaptiven Authentifizierung kann nicht zugegriffen werden (insbesondere nach einem geplanten Upgrade), obwohl dieses Szenario möglicherweise nicht auftritt.
• Wenn der Kunde vom VNet-Peering-Modus in den Connector-Modus oder umgekehrt wechseln muss.
• Wenn der Kunde zum Zeitpunkt der Bereitstellung des VNet-Peering-Modus ein falsches Subnetz ausgewählt hat (das Subnetz steht in Konflikt mit anderen Subnetzen in seinem Rechenzentrum oder Azure VNet).

Hinweis:

Beim Deprovisioning wird auch das Konfigurationsbackup der Instanzen gelöscht. Daher müssen Sie die Backupdateien herunterladen und speichern, bevor Sie die Bereitstellung Ihrer Adaptive Authentication-Instanzen aufheben.

Führen Sie Folgendes aus, um die Bereitstellung einer Adaptive Authentication-Instanz

1. Klicken Sie auf der Benutzeroberfläche der adaptiven Authentifizierung im Abschnitt Adaptive Authentication-Instanzen bereitstellen auf die Schaltfläche mit den Auslassungspunkten.

   

2. Klicken Sie auf Deprovision.

   Hinweis:

   Vor dem Aufheben der Bereitstellung müssen Sie NetScaler Gateway von der Workspace-Konfiguration trennen.

3. Geben Sie die Kunden-ID ein, um die Bereitstellung der Instanzen für Adaptive

Sicheren Zugriff auf das Gateway aktivieren

1. Klicken Sie auf der Benutzeroberfläche der adaptiven Authentifizierung im Abschnitt Adaptive Authentication-Instanzen bereitstellen auf die Schaltfläche mit den Auslassungspunkten.

2. Klicken Sie auf Secure Management Access.

   

3. Wählen Sie unter Schlüssel sollten ablaufen in eine Ablaufdauer für den neuen SSH-Schlüssel aus.

4. Klicken Sie auf Schlüssel generieren und herunterladen. Kopieren Sie den privaten SSH-Schlüssel oder laden Sie ihn zur späteren Verwendung herunter, da er nach dem Schließen der Seite nicht angezeigt wird. Dieser Schlüssel kann verwendet werden, um sich mit dem Benutzernamen bei den Adaptive Authentication-Instanzen anzumelden authadmin.

   Sie können auf Schlüssel generieren und herunterladen klicken, um ein neues Schlüsselpaar zu erstellen, falls das frühere Schlüsselpaar abläuft. Es kann jedoch nur ein Schlüsselpaar aktiv sein.

5. Klicken Sie auf Fertig.

Wichtig:

• Wenn Sie PuTTY unter Windows verwenden, um eine Verbindung zu Adaptive Authentication-Instanzen herzustellen, müssen Sie den heruntergeladenen privaten Schlüssel in PEM konvertieren. Einzelheiten finden Sie unter https://www.puttygen.com/convert-pem-to-ppk.

• Es wird empfohlen, den folgenden Befehl zu verwenden, um über das Terminal über den MAC oder die PowerShell/Eingabeaufforderung von Windows (Version 10) eine Verbindung zu den Instanzen der adaptiven Authentifizierung herzustellen. ssh -i <path-to-private-key> authadmin@<ip address of ADC>
• Wenn Sie möchten, dass die AD-Benutzer auf die GUI für Adaptive Authentication zugreifen können, müssen Sie sie als neue Administratoren zur LDAP-Gruppe hinzufügen. Einzelheiten finden Sie unter https://support.citrix.com/article/CTX123782. Für alle anderen Konfigurationen empfiehlt Citrix, dass Sie die GUI für Adaptive Authentication und nicht die CLI-Befehle verwenden.

Mit Azure VNet-Peering Konnektivität zu lokalen Authentifizierungsservern einrichten

Sie müssen diese Konfiguration nur einrichten, wenn Sie den Konnektivitätstyp als Azure VNet-Peering ausgewählt haben.

Hinweis:

Wenn Sie Drittanbieter-IDPs wie Okta, Azure AD, Ping verwenden, ist dieser Schritt nicht erforderlich.

1. Klicken Sie auf der Benutzeroberfläche von Connect Adaptive Authentication auf Provisionund dann auf Azure VNet Peering.

   

   Das Feld Citrix Managed Service Principal enthält die Anwendungs-ID eines Azure Service Principal, der von Citrix für Ihren Kunden erstellt wurde. Dieser Dienstprinzipal ist erforderlich, damit Citrix ein VNet-Peering zu einem VNet in Ihrem Abonnement und Mandanten hinzufügen kann.

   Damit sich dieser Dienstprinzipal beim Kundenmandanten anmelden kann, muss der Administrator am Kundenstandort (globaler Administrator des Mandanten) die folgenden PowerShell-Befehle ausführen, um den SPN zum Mandanten hinzuzufügen. CloudShell kann auch verwendet werden. Connect-AzureAD New-AzureADServicePrincipal -AppId $App_ID Dabei ist $App_ID eine SPN-Anwendungs-ID, die von Citrix mitgeteilt wurde.

   Hinweis:

   • Der zuvor erwähnte Befehl gibt einen Dienstprinzipalnamen aus, der für die Rollenzuweisungen verwendet werden muss.
   • Damit dieser Dienstprinzipal ein Azure VNet-Peering hinzufügen kann, muss der Administrator am Kundenstandort (nicht auf globale Administratoren beschränkt) dem VNet eine Rolle “Network Contributor” hinzufügen, die mit dem Citrix Managed VNet verknüpft sein muss.
   • SPN ist eine eindeutige Kennung, die verwendet wird, um das virtuelle Citrix-Netzwerk in Azure zuzuordnen. Durch die Verknüpfung des SPN mit VNet kann das virtuelle Citrix Netzwerk über das VNet von Azure eine Verbindung mit on-premises Netzwerk des Kunden herstellen.

2. Erstellen Sie ein VNet-Peering.

   • Geben Sie die Mandant-ID ein, für die die vorherigen Schritte ausgeführt wurden, und klicken Sie auf Abrufen.

   Dadurch wird die vom Kunden verwaltete VNet-Ressourcen-ID mit den möglichen VNets aufgefüllt, für die die Netzwerkbeitragsrolle für den SPN hinzugefügt wird. Wenn Sie Ihr VNet nicht sehen, stellen Sie sicher, dass die vorherigen Schritte korrekt ausgeführt wurden, oder wiederholen Sie die Schritte.

   Hinweis:

   Einzelheiten zum Auffinden Ihrer Mandanten-ID finden Sie unter https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-how-to-find-tenant.

3. Wählen Sie Azure VPN Gateway verwenden, um Ihre on-premises Netzwerke mit Azure zu verbinden.
4. Wählen Sie unter Customer managed VNet Resource IDdas für Peering identifizierte VNet aus und klicken Sie auf Hinzufügen. Das VNet wird der Tabelle mit dem anfänglichen Status In Bearbeitunghinzugefügt. Sobald das Peering erfolgreich abgeschlossen wurde, ändert sich der Status in Fertig.
5. Klicken Sie auf Fertig.

6. Fahren Sie mit der Konfiguration fort, siehe Schritt 1: Bereitstellen der adaptiven Authentifizierung.

   Wichtig:

   • Damit der Datenverkehr zwischen dem von Citrix verwalteten VNet und dem lokalen Netzwerk fließen kann, können die Firewall- und Routing-Regeln on-premises geändert werden, um den Datenverkehr an das Citrix Managed VNet zu leiten.
   • Sie können jeweils nur einen VNet-Peer hinzufügen. Mehrere VNet-Peerings sind derzeit nicht zulässig. Sie können ein VNet-Peering löschen oder nach Bedarf erstellen.

Backup und Wiederherstellung der Konfiguration

Der Application Delivery Management Service führt die Backupverwaltung für die Adaptive Authentication-Instanzen Einzelheiten finden Sie unter Backup und Wiederherstellen von NetScaler-Instanzen.

1. Klicken Sie auf der Kachel Application Delivery Management auf Verwalten .
2. Navigieren Sie zu Infrastruktur > Instanzen und greifen Sie auf die Backups zu.

Hinweis:

Wenn der Service nicht integriert ist, integrieren Sie den Application Delivery Management Service. Einzelheiten finden Sie unter Erste Schritte.

Beispiel für eine LDAP- und LDAPS-Load-Balancing-Konfiguration

Die Citrix Adaptive Authentication-Instanz bietet LDAP/LDAPS-Unterstützung über einen virtuellen Lastausgleichsserver.

Hinweis:

• Wenn Sie keinen Load Balancing für LDAP/LDAPS verwenden, vermeiden Sie es, einen Dienst oder Server für einen LDAP-Server zu erstellen, da dies den adaptiven Authentifizierungstunnel beschädigen könnte.
• Wenn Sie Load Balancing für LDAP verwenden, erstellen Sie eine Dienstgruppe und binden Sie sie an den Lastausgleichsdienst und nicht an einen eigenständigen Dienst.
• Wenn Sie den virtuellen Lastausgleichsserver für die Authentifizierung verwenden, stellen Sie sicher, dass Sie in der LDAP-Aktion die IP-Adresse des virtuellen Lastausgleichsservers anstelle der tatsächlichen IP-Adresse des LDAP-Servers hinzufügen.
• Standardmäßig ist ein TCP-Monitor an den Dienst gebunden, den Sie erstellen. Auf den NetScaler-Instanzen von Adaptive Authentication ist der Dienst standardmäßig als AKTIV markiert, wenn ein TCP-Monitor verwendet wird.
• Für die Überwachung wird empfohlen, benutzerdefinierte Monitore zu verwenden.

Voraussetzungen

Private IP-Adresse (RFC1918-Adresse) des virtuellen Load-Balancing-Servers. Es kann sich um eine Schein-IP-Adresse handeln, da diese Adresse für die interne Konfiguration verwendet wird.

LDAP-Server mit Lastausgleich

Erstellen Sie für LDAP-Server mit Lastausgleich eine Dienstgruppe und binden Sie sie an den virtuellen Lastausgleichsserver. Erstellen Sie keinen Dienst für den Lastausgleich von LDAP-Servern.

Konfigurieren Sie LDAP mithilfe der NetScaler-CLI:

Sie können die folgenden CLI-Befehle als Referenz für die Konfiguration von LDAP verwenden.

1. add serviceGroup <serviceGroupName> <serviceType>
2. bind servicegroup <serviceGroupName> (<IP> | <serverName>) <port>
3. add lb vserver <name> <serviceType> <ip> <port> - Der Port muss 389 sein. Dieser Port wird für die interne Kommunikation verwendet und die Verbindung zu einem on-premises Server erfolgt über SSL, basierend auf dem für die Dienstgruppe konfigurierten Port.
4. bind lb vserver <name> <serviceGroupName>
5. add authentication ldapAction <name> {-serverIP} <ip_addr> | {-serverName <string>}} <lb vserver ip>
6. add authentication policy <ldap_policy_name> -rule <expression> -action <string>
7. bind authentication vserver auth_vs -policy <ldap_policy_name> -priority <ldap_policy_priority> -gotoPriorityExpression NEXT

Konfigurieren Sie LDAP mithilfe der NetScaler-GUI:

1. Navigieren Sie zu Traffic Management > Load Balancing und klicken Sie dann auf Virtuelle Server.

2. Erstellen Sie einen virtuellen Server vom Typ TCP und Port 389.

   Erstellen Sie keinen virtuellen Lastausgleichsserver vom Typ SSL/SSL_TCP.

3. Navigieren Sie zu Traffic Management > Load Balancing und klicken Sie dann auf Service Groups.
4. Erstellen Sie eine Dienstgruppe vom Typ TCP und Port 389.
5. Binden Sie die Dienstgruppe an den virtuellen Server, den Sie in Schritt 1 erstellt haben.

Einzelheiten zu den Verfahren finden Sie unter Grundlegendes Load-Balancing einrichten.

LDAPS-Server mit Lastausgleich

Für LDAPS-Server mit Lastausgleich müssen Sie einen virtuellen Lastausgleichsserver vom Typ TCP erstellen, um eine interne SSL-Verschlüsselung oder -Entschlüsselung in der Adaptive Authentication-Instanz zu vermeiden. Der virtuelle Load-Balancing-Server übernimmt in diesem Fall die TLS-Verschlüsselung/Entschlüsselung. Erstellen Sie keinen virtuellen Lastausgleichsserver vom Typ SSL.

Konfigurieren Sie LDAPS mithilfe der NetScaler-CLI:

Sie können die folgenden CLI-Befehle als Referenz für die Konfiguration von LDAPS verwenden.

1. add lb vserver <name> <serviceType> <ip> <port> - Der Port muss 636 sein.
2. bind lb vserver <name> <serviceGroupName>
3. add authentication ldapAction <name> {-serverIP} <ip_addr> | {-serverName <string>}} <lb vserver ip>
4. add authentication policy <ldap_policy_name> -rule <expression> -action <string>
5. bind authentication vserver auth_vs -policy <ldap_policy_name> -priority <ldap_policy_priority> -gotoPriorityExpression NEXT

Konfigurieren Sie LDAPS mithilfe der NetScaler-GUI:

1. Navigieren Sie zu Traffic Management > Load Balancing und klicken Sie dann auf Virtuelle Server.

2. Erstellen Sie einen virtuellen Server vom Typ TCP und Port 636.

   Erstellen Sie keinen virtuellen Lastausgleichsserver vom Typ SSL/SSL_TCP.

3. Navigieren Sie zu Traffic Management > Load Balancing und klicken Sie dann auf Service.
4. Erstellen Sie einen Dienst vom Typ SSL_TCP und Port 636.
5. Binden Sie den Dienst an den virtuellen Server, den Sie in Schritt 1 erstellt haben.

Einzelheiten zu den Verfahren finden Sie unter Grundlegendes Load-Balancing einrichten.

Erstellen Sie benutzerdefinierte Monitore

Erstellen Sie benutzerdefinierte Monitore mithilfe der NetScaler-GUI:

1. Navigieren Sie zu Traffic Management > Load Balancing > Monitore .
2. Erstellen Sie einen Monitor vom Typ LDAP. Stellen Sie sicher, dass Sie das Monitortastintervall auf 15 Sekunden und das Reaktionszeitlimit auf 10 Sekunden einstellen.
3. Binden Sie diesen Monitor an Ihren Dienst.

Weitere Informationen finden Sie unter Benutzerdefinierte Monitore.

Möglichkeit, bis zu 15 Admin-IP-Adressen hinzuzufügen

Mit dem Adaptive Authentication-Dienst können Sie bis zu 15 öffentliche IP-Subnetze und einzelne IP-Adressen eingeben, um auf die Adaptive Authentication-Verwaltungskonsole zuzugreifen.

Hinweise, die Sie bei der Eingabe der IP-Adressen/Subnetze beachten sollten:

• Stellen Sie sicher, dass die CIDRs der öffentlichen IP-Subnetze zwischen /20 und /32.B liegen.
• Stellen Sie sicher, dass sich die Einträge nicht überschneiden.

Beispiele:

• 192.0.2.0/24 und 192.0.2.8 werden nicht akzeptiert, da 192.0.2.8 innerhalb von 192.0.5.0/24 liegt.
• Überlappende Subnetze: 192.0.2.0/24 und 192.0.0.0/20 werden nicht akzeptiert, da sich die Subnetze überschneiden.

• Geben Sie bei der Eingabe eines Netzwerk-Subnetzwerts die Netzwerk-IP-Adresse als IP-Adresswert ein.

  Beispiel:

  • 192.0.2.2/24 ist falsch, verwenden Sie stattdessen 191.0.2.0/24
  • 192.0.2.0/20 ist falsch, verwenden Sie stattdessen 192.0.0.0/20

Um diese Funktion zu aktivieren, wenden Sie sich an den Citrix Support.

Authentifizierungsmethode auf Adaptiven Authentifizierung migrieren

Kunden, die bereits Adaptive Authentication mit Authentifizierungsmethode NetScaler Gateway verwenden, müssen Adaptive Authentication migrieren und dann die OAuth-Konfiguration aus der Adaptive Authentication-Instanz entfernen.

1. Wechseln Sie zu einer anderen Authentifizierungsmethode als NetScaler Gateway.

2. Klicken Sie in Citrix Cloud > Identitäts- und Zugriffsmanagementauf die Ellipsenschaltfläche für NetScaler Gateway, und klicken Sie dann auf Trennen.

   

3. Wählen Sie Ich verstehe die Auswirkungen auf das Abonnentenerlebnisund klicken Sie dann auf Bestätigen.

   Wenn Sie auf Bestätigen klicken, wirkt sich dies auf die Workspace-Anmeldung bei Endbenutzern aus und die adaptive Authentifizierung wird erst dann für die Authentifizierung verwendet, wenn Adaptive Authentication

4. Entfernen Sie in der Verwaltungskonsole der Adaptive Authentication-Instanz die OAuth-bezogene Konfiguration.

   Mit der CLI:

   unbind authentication vs <authvsName> -policy <oauthIdpPolName>
   rm authentication oauthIdpPolicy <oauthIdpPolName>
   rm authentication oauthIdpProfile <oauthIdpProfName>
   <!--NeedCopy-->
   

   Durch die Verwendung der GUI:

   1. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Virtuelle Server.
   2. Lösen Sie die OAuth-Richtlinie.
   3. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > OAuth IDP.
   4. Löschen Sie die OAuth-Richtlinie und das Profil.

5. Navigieren Sie zu Citrix Cloud > Identitäts- und Zugriffsmanagement. Klicken Sie auf der Registerkarte Authentifizierung unter Adaptive Authentifizierung auf das Ellipsenmenü und wählen Sie Verwalten aus.

   ODER greifen Sie auf https://adaptive-authentication.cloud.com zu

6. Klicken Sie auf Details anzeigen.
7. Gehen Sie im Fenster Zertifikat hochladen wie folgt vor:
   • Fügen Sie den FQDN für adaptive Authentifizierung hinzu
   • Entfernen Sie die Zertifikate und Schlüsseldateien und laden Sie sie erneut hoch.

   

   Wichtig:

   Wenn Sie einen FQDN oder das Zertifikatschlüsselpaar direkt bearbeiten, ohne auf Adaptive Authenticationzu migrieren, schlägt die Verbindung zur Identitäts- und Zugriffsverwaltung fehl und die folgenden Fehler werden angezeigt. Sie müssen zur Adaptive Authentication-Methode migrieren, um diese Fehler zu beheben.

   • ADC-Befehl ist mit einem Fehler fehlgeschlagen. Eine Richtlinie ist bereits an die angegebene Priorität gebunden.
   • ADC-Befehl ist mit einem Fehler fehlgeschlagen. Die Bindung einer Richtlinie, die nicht gebunden ist, kann nicht aufgehoben werden.

8. Klicken Sie auf Änderungen speichern.

   Zu diesem Zeitpunkt zeigt das Identitäts- und Zugriffsmanagement die adaptive Authentifizierung als Verbunden an, und für die Adaptive Authentication-Instanz ist das OAuth-Profil automatisch konfiguriert.

   Sie können dies von der GUI aus überprüfen.

   1. Greifen Sie auf Ihre Adaptive Authentication-Instanz zu und melden Sie sich
   2. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Virtuelle Server. Sie müssen sehen, dass das OAuth-IdP-Profil erstellt wurde.
   3. Navigieren Sie zu Citrix Cloud > Identitäts- und Zugriffsmanagement. Adaptive Authentifizierung befindet sich im Status Verbunden .

9. Aktivieren Sie die Methode Adaptive Authentication erneut, indem Sie auf der Homepage der adaptiven Authentifizierung auf Aktivieren (Schritt 3) klicken

   

   Dieser Schritt aktiviert die Authentifizierungsmethode als Adaptive Authentication in Ihrer Workspace-Konfiguration.

10. Klicken Sie in Schritt 3 auf den Workspace-Link, nachdem Sie auf Aktivierenge Sie müssen sehen, dass die Authentifizierungsmethode in Adaptive Authentication geändert wurde.

Hinweis:

Neue Benutzer müssen dieselben Schritte ausführen, mit Ausnahme des Schritts zum Entfernen der OAuth-bezogenen Konfiguration.

Beispielkonfigurationen zur Authentifizierung

Kunden können eine Authentifizierungsrichtlinie ihrer Wahl konfigurieren und an den virtuellen Authentifizierungsserver binden. Bindungen des Authentifizierungsprofils sind für den virtuellen Authentifizierungsserver nicht erforderlich. Nur die Authentifizierungsrichtlinien können konfiguriert werden. Im Folgenden sind einige der Anwendungsfälle aufgeführt.

Wichtig:

Die Authentifizierungskonfiguration darf nur auf den primären Knoten erfolgen.

Multifaktor-Authentifizierung mit bedingter Authentifizierung

• Zwei-Faktor-Authentifizierung mit LDAP und RADIUS unter Verwendung eines Dual-Faktor-Schemas (Benutzereingabe nur einmal)
• Anmeldemethode für die Authentifizierung gemäß den Abteilungen des Benutzers (Mitarbeiter, Partner, Lieferant) in der Organisation mit Dropdown-Menü zur Auswahl der Abteilung
• Authentifizierungsanmeldemethode gemäß Benutzerdomänen mit Dropdownmenü
• Konfigurieren Sie die Eingabe der E-Mail-ID (oder des Benutzernamens) als ersten Faktor mit bedingtem Zugriff basierend auf der Gruppenextraktion mit E-Mail-ID im ersten Faktor und stellen Sie für jede Gruppe einen anderen Anmeldetyp bereit
• Multifaktor-Authentifizierung mit Zertifikatauthentifizierung für Benutzer mit Benutzerzertifikaten und Native OTP-Registrierung für Benutzer ohne Zertifikat
• Unterschiedlicher Authentifizierungstyp mit bedingter Authentifizierung gemäß den Eingaben des Hostnamens
• Dual-Faktor-Authentifizierung mit nativer OTP-Authentifizierung
• Google erneut CAPTCHA

Integration von Drittanbietern mit Multifaktor-Authentifizierung

• Azure AD als SAML-IdP konfigurieren (Nächsten Faktor als LDAP-Richtlinie konfigurieren - NO_AUTH zur Vervollständigung der OAuth-Vertrauensstellung)
• Bedingte Authentifizierung mit First Factor als SAML und dann benutzerdefinierter Anmeldung bei Zertifikat oder LDAP basierend auf SAML-Attributen
• Erster Faktor war Webauth-Login gefolgt von LDAP

Device Posture Scans (EPA)

• Gerätezustandsprüfung zur Versionsprüfung, gefolgt von einer benutzerdefinierten Anmeldung für konforme (RADIUS) und nicht konforme Benutzer (LDAP)
• LDAP-Authentifizierung gefolgt von einem obligatorischen Gerätezustand-Scan
• Überprüfung des Gerätestatus vor und nach der AD-Authentifizierung — vor und nach der EPA als Faktor
• Gerätezertifikat als EPA-Faktor

Verschiedene Szenarien

• EULA mit Authentifizierung hinzufügen
• Anpassen der nFactor-Richtlinienbeschriftungen,