Citrix ADC

Konfigurieren von nFactor für Anwendungen mit unterschiedlichen Anmeldesite-Anforderungen einschließlich der Setup-Authentifizierung

Normalerweise ermöglicht ein Citrix Gateway den Zugriff auf mehrere Anwendungen. Abhängig von den Sicherheitsanforderungen können sie unterschiedliche Authentifizierungsmechanismen haben. Einige Anwendungen benötigen möglicherweise nur einen einzigen Faktor wie ein gemeinsames Intranet. Andere Anwendungen wie SAP- oder HR-Tools mit kritischeren Daten müssen mindestens über eine Multifaktor-Authentifizierung verfügen. Die meisten Benutzer greifen jedoch nur auf Intranet zu, so dass Multi-Faktor für alle Anwendungen nicht die richtige Wahl ist.

In diesem Thema wird beschrieben, wie der Anmeldemechanismus dynamisch basierend auf den Anforderungen des Benutzers geändert wird, der auf die Anwendung zugreifen möchte. Beschreiben Sie auch die Schritte zum Einrichten der Authentifizierung.

Voraussetzungen

Bevor Sie Citrix Gateway konfigurieren, überprüfen Sie die folgenden Voraussetzungen.

  • Citrix ADC Enterprise-Lizenz-Edition.
  • Die Version der NetScaler Funktion ist 11.1 und höher.
  • LDAP-Server.
  • RADIUS-Server.
  • Öffentliche IP-Adresse.

Im Konfigurationsbeispiel verwenden Sie zwei Anwendungen mit den folgenden Authentifizierungsanforderungen.

  • Webanwendung grün
    • Anforderung - Benutzername + LDAP-Kennwort
  • Webanwendung rot
    • Anforderung - Benutzername + LDAP-Kennwort + RADIUS-Pin

Hinweis:

Neben LDAP und RADIUS können Sie andere Authentifizierungsmethoden wie Benutzerzertifikate, TACACS oder SAML verwenden.

Grundeinstellung

  1. Fügen Sie keine adressierbaren virtuellen Server und Dienste für beide Webanwendungen hinzu.

    • Lastenausgleich virtueller Server

      Lastenausgleich virtueller Server

    • Services

      Lastenausgleich virtueller Server

  2. Fügen Sie grundlegende, nicht adressierbare Authentifizierung, Autorisierung und Überwachung virtueller Server für die Anmeldung hinzu. Keine Notwendigkeit einer weiteren Konfiguration im Moment.

    Lastenausgleich virtueller Server

  3. Hinzufügen von Content Switching virtueller Server vom Typ SSL mit öffentlicher IP. Für diese IP-Adresse benötigen Sie DNS-Einträge für jede Anwendung, auf die Sie zugreifen möchten, sowie für die Authentifizierung, Autorisierung und Überwachung des virtuellen Servers. In diesem Beispiel verwenden Sie die folgenden DNS-Namen:
    • green.lab.local - Anwendung Grün
    • red.lab.local -> Anwendung Rot
    • aaa.lab.local -> Authentifizierung, Autorisierung und Überwachung des virtuellen Servers

    Lastenausgleich virtueller Server

    • Binden Sie ein SSL-Zertifikat mit übereinstimmendem CN oder SAN für alle DNS-Einträge.
  4. Fügen Sie dem virtuellen Server Inhalts-Switch-Richtlinien hinzu. Eine für jede Anwendung, die mit dem individuellen Hostnamen übereinstimmen muss. Auf diese Weise bestimmt der Citrix ADC, auf welche Anwendung der Benutzer zugreifen möchte. Fügen Sie außerdem eine weitere Richtlinie für Authentifizierung, Autorisierung und Überwachung mit dem Ausdruck “true” hinzu.

    Lastenausgleich virtueller Server

  5. Stellen Sie sicher, dass die Authentifizierungs-, Autorisierungs- und Überwachungsrichtlinie die höchste Priorität hat. Andernfalls wäre es nicht möglich, auf die Anwendungen zuzugreifen.

  6. Fügen Sie Inhaltswechselaktionen für jede Richtlinie hinzu, die auf dem passenden virtuellen Server verweist. In diesem Beispiel auf jedem virtuellen Lastausgleichsserver und einem virtuellen Authentifizierungsserver.

    Lastenausgleich virtueller Server

Konfiguration der Authentifizierungsebene

Nach Abschluss der grundlegenden virtuellen Server und des Content-Switching-Setups aktivieren Sie die Authentifizierung und führen die starke oder schwache Definition für Ihre Anwendungen durch.

  1. Navigieren Sie zu Load Balancing Virtual Server für Anwendung Rot, und aktivieren Sie “Formularbasierte Authentifizierung”. Und fügen Sie ein Authentifizierungsprofil hinzu.

    Lastenausgleich virtueller Server

    Lastenausgleich virtueller Server

  2. Geben Sie den definierten Hostnamen für Authentifizierung, Autorisierung und Überwachung des virtuellen Servers für die Umleitung ein, wenn ein Benutzer auf die Anwendung zugreifen möchte und keine Sitzung vorhanden ist.

  3. Wählen Sie den virtuellen Authentifizierungsserver als Typ und binden Sie Authentifizierungs-, Autorisierungs- und Überwachungsserver.

  4. Definieren Sie eine Authentifizierungsstufe, um zu konfigurieren, ob eine Anwendung stärker oder schwächer ist als eine andere. Eine Sitzung auf der angegebenen Stufe von 100 kann auf virtuelle Server mit einer niedrigeren Ebene zugreifen, ohne sich erneut zu authentifizieren. Auf der anderen Seite ist diese Sitzung gezwungen, sich erneut zu authentifizieren, wenn der Benutzer versucht, auf einen virtuellen Server mit einer höheren Ebene zuzugreifen.

    Konfigurieren des Authentifizierungsprofils

  5. Wiederholen Sie Schritt 1—4 mit Anwendung Grün.

  6. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Authentifizierungsprofile, um das Authentifizierungsprofil hinzuzufügen.

    Konfigurieren von Authentifizierungsprofilen

    Ein Profil für jede Anwendung, das sowohl auf den Hostnamen der Authentifizierung, Autorisierung und Überwachung des virtuellen Servers verweist. In diesem Beispiel ist die Anwendung Rot stärker (Stufe 100) als die Anwendung Grün (Stufe 90). Bedeutet, dass ein Benutzer mit einer vorhandenen Sitzung für Red ohne erneute Authentifizierung auf Grün zugreifen kann. Der andere Weg um einen Benutzer, der zuerst auf Grün zugegriffen hat, muss sich erneut für Anwendung Red authentifizieren.

nFactor-Konfiguration für die Multi-Faktor-Authentifizierung

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Anmeldeschema > Profile, um drei Anmeldeschemas hinzuzufügen und die erforderliche Citrix ADC Anmeldeseite zu erreichen.

    • Schema für normale LDAP-Authentifizierung
      • Wählen Sie SingleAuth XML, um die beiden Felder anzuzeigen. Eine für den Benutzernamen und die zweite für das LDAP-Kennwort.
      • Achten Sie darauf, den Benutzernamen bei Index 1 und das Kennwort bei Index 2 zu speichern. Dies ist wichtig für die Durchführung von LDAP-Reauth, wenn ein Benutzer auf Anwendung Red nach Anwendung Green zugreift.
    • Schema für die LDAP-Neuauthentifizierung

      • Wählen Sie “noschema”, da der Benutzer den Prozess der LDAP-Neuauthentifizierung nicht sieht.
      • Füllen Sie den Ausdruck “Benutzer” und “Kennwort” mit den Attributfeldern aus, die Sie im ersten Schema definiert haben.

        Konfigurieren von Authentifizierungsprofilen

    • Schema für die RADIUS-Authentifizierung
      • Wählen Sie “OnlyPassword XML”, um nur ein Feld für RADIUS-Pin anzuzeigen. Der Benutzername ist aufgrund der ersten LDAP-Anmeldung nicht erforderlich.

        Konfigurieren des Authentifizieren-Anmeldeschemas

  2. Der nächste Schritt besteht darin, alle erforderlichen Authentifizierungsrichtlinien hinzuzufügen, um das Verhalten unseres Login-Mechanismus zu kontrollieren. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Authentifizierung > Richtlinie.

    • Fügen Sie die standardmäßige LDAP-Richtlinie mit dem erforderlichen LDAP-Server hinzu.

      Konfigurieren der Authentifizierungsrichtlinie

    • Fügen Sie die standardmäßige RADIUS-Richtlinie mit dem erforderlichen RADIUS-Server hinzu

      Konfigurieren der Authentifizierungsrichtlinie

    • Fügen Sie eine dritte Authentifizierungsrichtlinie mit Aktionstyp “NO_AUTH” und Ausdruck “true” hinzu. Diese Richtlinie wird keine Wirkung haben, als die Überbrückung zum nächsten Faktor.

      Konfigurieren der Authentifizierungsrichtlinie

    • Vierte Richtlinie bewertet, ob ein Benutzer auf die stärkere Anwendung Rot zugreifen möchte oder nicht. Dies ist wichtig, um eine Multifaktor-Authentifizierung für Rot zu tun.
      • Wählen Sie “LDAP” als Aktionstyp und wählen Sie Ihren LDAP-Server.
      • Der Ausdruck wertet aus, ob es sich um Anwendung Red handelt, indem er das Cookie NSC_TMAP überprüft. Der Benutzer gibt dieses Cookie aus, indem er auf die Citrix ADC Anmeldesite zugreift und enthält den Namen des Authentifizierungsprofils, das an den virtuellen Lastausgleichsserver gebunden ist.

        Richtlinie für virtuelle LDAP-Server

        Citrix Anmeldeseite

    • Die letzte Richtlinie überprüft, ob der Benutzer Anmeldeinformationen von einer ersten schwächeren Anmeldung gespeichert hat. Dies ist wichtig für die automatische LDAP-erneute Anmeldung, wenn ein Benutzer zuerst auf die schwächere Anwendung zugegriffen hat und nun die stärkere starten möchte.

      Citrix Anmeldeseite

  3. Sie fügen einige Richtlinienlabels zum Binden aller vorherigen Authentifizierungsrichtlinien und Anmeldeschemas hinzu. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Authentifizierung > PolicyLabel.

    • Beginnen Sie zunächst mit der Bezeichnung für die RADIUS-Authentifizierung.

      • Geben Sie einen entsprechenden Namen für die Beschriftung an, wählen Sie das frühere Schema für RADIUS aus, und klicken Sie auf Weiter.

        Richtlinienbezeichnung

      • Der letzte Schritt für dieses Label besteht darin, die Standard-RADIUS-Authentifizierungsrichtlinie zu binden.

        Richtlinienbezeichnung

    • Das zweite Label führt die LDAP-Neuanmeldung durch.
      • Fügen Sie das Label hinzu und binden Sie das erneute Login-Schema.

        Schema erneut anmelden

      • Binden Sie die LDAP-Authentifizierungsrichtlinie und legen Sie die RADIUS-Richtlinienbezeichnung als nächsten Faktor fest.

        LDAP-Authentifizierungsrichtlinie binden

    • Fügen Sie das letzte Label für die erste LDAP-Authentifizierung hinzu.
      • Wählen Sie das entsprechende Schema aus, und klicken Sie auf Weiter.

        Authentifizierungsrichtlinienbezeichnung auswählen

      • Binden Sie die erste Richtlinie für starke Authentifizierung und setzen Sie “Gehe zu Ausdruck” auf “Ende”. Wählen Sie die RADIUS-Richtlinienbezeichnung als nächster Faktor aus.

      • Zweite Richtlinie ist für schwache grüne Authentifizierung ohne RADIUS.

      • Stellen Sie die Priorität der Bindung sicher.

    • Konfigurieren Sie Authentifizierung, Authentifizierung und Überwachung. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Virtuelle Server.

      • Öffnen Sie den zuvor hinzugefügten virtuellen Server und legen Sie das bevorzugte Portal-Designfest.

        Authentifizierungsrichtlinienbezeichnung auswählen

      • Binden Sie die letzten beiden verbleibenden Authentifizierungsrichtlinien direkt am virtuellen Server.

        Erweitern der Authentifizierungsrichtlinie

      • Binden Sie die Richtlinie für die erneute Anmeldung mit “NO_AUTH” und LDAP-Richtlinienbezeichnung als nächster Faktor. Dies ist für die automatische LDAP-Reauth mit einer vorhandenen Sitzung.
      • Legen Sie die zweite Richtlinie fest, um direkt zum nächsten Faktor LDAP zu überbrücken, wenn vorher keine Sitzung vorhanden ist.
      • Legen Sie wie immer die richtigen Prioritäten fest.

        Prioritäts-Authentifizierungsrichtlinie

Hinweis:

Das Setup kann auch über den nFactor Visualizer erstellt werden, der in Citrix ADC Version 13.0 und höher verfügbar ist.

nFactor Visualizer einrichten Auth

Konfiguration der Multifaktor-Authentifizierung über nFactor Visualizer

  1. Navigieren Sie zu Sicherheit > AAA-Anwendungsdatenverkehr > nFactor Visualizer > nFactor Flow, und klicken Sie auf Hinzufügen.
  2. Klicken Sie auf das + Zeichen, um den nFactor Flow hinzuzufügen.

    nFactor-Fluss hinzufügen

  3. Geben Sie den ersten Faktornamen ein, und klicken Sie auf Erstellen.

    Erster Faktor erstellen

  4. Für den ersten Faktor wird kein Schema benötigt. Klicken Sie auf Richtlinie hinzufügen, um die Richtlinie NO_AUTH hinzuzufügen, wie in Schritt 2 der Konfiguration der Multifaktor-Authentifizierung gezeigt.

    Richtlinie hinzufügen auswählen

  5. Klicken Sie auf blau+, um die zweite Authentifizierung hinzuzufügen.

    Zweite Authentifizierung

  6. Wählen Sie die erstellte Authentifizierungsrichtlinie aus und klicken Sie auf Hinzufügen.

    Richtlinie hinzufügen wählen

  7. Klicken Sie auf grün +, um einen nächsten Faktor hinzuzufügen.

    Richtlinie fügt hinzu

  8. Um den nächsten Authentifizierungsfaktor hinzuzufügen, wählen Sie Faktor erstellen, geben Sie den Faktornamen ein und klicken Sie auf Erstellen .

    Faktor-Neuanmeldung erstellen

  9. Um ein Schema hinzuzufügen, klicken Sie auf Schema hinzufügen.

    Schritt-Auth hinzufügen

  10. Wählen Sie das erstellte Schema in (Multifaktor-Authentifizierungskonfiguration) aus, und klicken Sie auf OK.

    Auth Login-Schema

  11. Klicken Sie auf Richtlinie hinzufügen, und wählen Sie die Authentifizierungsrichtlinie aus.

    LDAP fügt Auth hinzu

  12. Klicken Sie auf grün +, um einen weiteren Faktor für die RADIUS-Authentifizierung hinzuzufügen.

    Auth Login-Schema

  13. Erstellen Sie einen weiteren Faktor, indem Sie Schritt 8 ausführen.

  14. Klicken Sie auf Schema hinzufügen, und wählen Sie Schema nur für das Kennwort aus der Liste aus.

    Kennwortschema-Liste

  15. Klicken Sie auf Richtlinie hinzufügen, um RADIUS-Authentifizierung auszuwählen, und klicken Sie auf Hinzufügen .

    RADIUS-Richtlinienauth

  16. Klicken Sie im ersten Faktor neben step_up-pol auf grün + .

    RADIUS-Richtlinienauth

  17. Erstellen Sie einen weiteren Faktor, indem Sie Schritt 8 ausführen.

    LDAP hochfahren

  18. Klicken Sie auf Schema hinzufügen, und wählen Sie das Schema aus.

    Schema für einzelne Authentifizerung,

  19. Klicken Sie auf Richtlinie hinzufügen, um die Authentifizierungsrichtlinie auszuwählen.

    LDAP Schritt nach oben

  20. Klicken Sie auf blau+, um eine weitere Authentifizierungsrichtlinie für die LDAP-Authentifizierung hinzuzufügen.

    LDAP eine andere Richtlinie

  21. Wählen Sie LDAP-Authentifizierungsrichtlinie und klicken Sie auf Hinzufügen.

    LDAP-Adv-Richtlinie

  22. Klicken Sie neben ldap_step_up auf grün +, um die RADIUS-Authentifizierung hinzuzufügen.

    RADIUS-Auth hinzufügen

  23. Da die RADIUS-Authentifizierung bereits vorhanden ist, wählen Sie Mit vorhandenem Faktor verbindenund wählen Sie step_up-radius aus der Liste aus.

    RADIUS-Auth hinzufügen

  24. Klicken Sie auf Fertig, um die Konfiguration zu speichern.

  25. Um den erstellten nFactor Flow an einen virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver zu binden, klicken Sie auf An Authentifizierungsserver binden und dann auf Erstellen.

    Erstellter Authentifizierserver binden

    Hinweis:

    Binden und lösen Sie die Bindung des nFactor-Flows über die Option, die in nFactor Flow unter Nur Bindungen anzeigen angegeben ist.

Bindung des nFactor-Flows aufheben

  1. Wählen Sie den nFactor-Fluss aus, und klicken Sie auf Bindungen anzeigen.

  2. Wählen Sie den virtuellen Authentifizierungsserver aus, und klicken Sie auf Bindung aufheben.

    Unbind auth server

Ergebnis

Die folgenden Schritte helfen Ihnen, die Anwendung Red als erstes zuzugreifen.

  1. Umleitung zur Authentifizierungs-, Autorisierungs- und Überwachungsseite des virtuellen Servers mit einem ersten Faktor als LDAP, nachdem Sie auf “red.lab.local” zugreifen.

    Auth login page

  2. nFactor wertet aus, dass der Benutzer auf Anwendung Rot zugreifen möchte und zeigt den zweiten Faktor RADIUS an.

    RADIUS-zweiter Faktor

  3. Citrix ADC gewährt Zugriff auf Anwendung Rot.

    Rote Anwendungsanzeige

  4. Greifen Sie wie folgt auf die Anwendung Green zu. Citrix ADC gewährt sofortigen Zugriff, da die Sitzung der stärkeren Anwendung Rot.

    Grünes Anwendungsdisplay

Die folgenden Schritte helfen Ihnen, wie zuerst auf die Anwendung Green zuzugreifen.

  1. Umleitung zur Authentifizierungs-, Autorisierungs- und Überwachungsseite des virtuellen Servers, nachdem Sie auf “green.lab.local” zugreifen.

    Auth login page

  2. nFactor wertet die Anwendung Grün aus und gewährt Zugriff ohne den zweiten Faktor.

    Grünes Anwendungsdisplay

  3. Greifen Sie wie folgt auf die Anwendung Rot zu. Eine höhere Authentifizierungsstufe erfordert eine erneute Anmeldung und nFactor meldet sich automatisch mit gespeicherten Anmeldeinformationen ab der ersten Anmeldung bei Anwendung Green an. Sie geben nur die RADIUS-Anmeldeinformationen ein.

    RADIUS-zweiter Faktor

  4. Citrix ADC gewährt Zugriff auf die Anwendung Rot.

    Rote Anwendungsanzeige

Konfigurieren von nFactor für Anwendungen mit unterschiedlichen Anmeldesite-Anforderungen einschließlich der Setup-Authentifizierung