Citrix ADC

Konfigurieren Sie SAML, gefolgt von LDAP- oder Zertifikatauthentifizierung basierend auf SAML-Attributextraktion in der nFactor-Authentifizierung

Im folgenden Abschnitt wird der Anwendungsfall der LDAP- oder Zertifikatauthentifizierung basierend auf SAML-Attributextraktion in der nFactor-Authentifizierung beschrieben.

SAML-Authentifizierung im ersten Faktor mit Attributextraktion aus SAML-Assertion

Nehmen Sie einen Anwendungsfall an, in dem Administratoren die SAML-Authentifizierung in einem ersten Faktor mit Attributextraktion aus SAML-Assertion konfigurieren. Basierend auf den während des ersten Faktors extrahierten Attributen können Sie die nächsten Faktoren konfigurieren, die entweder eine LDAP-Authentifizierung oder eine Zertifikatauthentifizierung haben können.

  1. Sobald Sie auf den virtuellen Server für die Verkehrsverwaltung zugreifen, werden Sie zur Anmeldung an den externen SAML-IdP weitergeleitet (in diesem Fall Shibboleth, wie in der Abbildung gezeigt). Geben Sie Ihre Anmeldedaten ein. Wenn die Anmeldung erfolgreich ist, sendet SAML-IdP die SAML-Antwort mit den Attributen.

    SAML Shibboleth Authentifizierung

  2. Wenn die SAML-Antwort bei der Citrix ADC Appliance empfangen wird, analysiert und extrahiert die Attribute, wie sie in der SAML-Aktion konfiguriert sind. Die SAML-Assertion wird überprüft, und Sie wechseln zum zweiten Faktor.

  3. Der zweite Faktor wird als Passthrough konfiguriert (es gibt keine Anmeldeseite für diesen Faktor) mit 2 NO_AUTHN-Richtlinien. Basierend auf der Richtlinienbewertung haben Sie einen Sprung zum LDAP-Authentifizierungsfaktor oder zum Zertifikatauthentifizierungsfaktor konfiguriert.

    Hinweis

    NO_AUTHN-Richtlinie bedeutet, dass für den Fall, dass die für diese Richtlinie konfigurierte Regel auf true ausgewertet wird, die Citrix ADC Appliance keine Authentifizierung durchführt. Es zeigt auf den nächsten Faktor, der konfiguriert ist.

  4. Angenommen, die SAML-Aktion ist so konfiguriert, dass der UPN als Attribut1 extrahiert wird, und der Wert von UPN ist john@citrix.com. Nun ist eine der NO_AUTHN-Richtlinienregeln konfiguriert, um das Vorhandensein der Zeichenfolge citrix.com zu überprüfen. Wenn die Richtlinie auf true ausgewertet wird, können Sie den Sprung zum nächsten Faktor konfigurieren, der LDAP-Authentifizierung hat. Ebenso kann die Richtlinie für den nächsten Faktor als Zertifikat konfiguriert werden.

  5. Wenn der LDAP-Faktor nach der SAML-Authentifizierung ausgewählt ist, wird die Anmeldeseite angezeigt.

    LDAP-Authentifizierungsanmeldung

    Hinweis

    Der Benutzernamenwert wird mit dem Ausdruck ${http.req.user.name} vorausgefüllt, der den Benutzernamen aus dem ersten Faktor extrahiert. Andere Felder wie z. B. Beschriftungen für Benutzernamen und Kennwort können ebenfalls angepasst werden.

  6. Die folgende Abbildung zeigt ein Beispiel für diese Darstellung des Anmeldeformulars.

    Anmeldeformular

    Hinweis

    Basierend auf der Anforderung können Administratoren die Werte des Anmeldeformulars ändern.

  7. Wenn der Zertifikatfaktor nach SAML ausgewählt ist, wird die Seite Zertifikat auswählen angezeigt.

    Zertifikat auswählen

Hinweis:

Das Setup kann auch über den nFactor Visualizer erstellt werden, der in Citrix ADC Version 13.0 und höher verfügbar ist.

nFactor Visualisierer SAML und LDAP

Führen Sie Folgendes mit der CLI aus

  1. Konfigurieren Sie den virtuellen Server und den Authentifizierungsserver für die Verkehrsverwaltung.

    • add lb vserver lb_ssl SSL 10.217.28.166 443 -persistenceType NONE -cltTimeout 180 -AuthenticationHost auth.nsi-test.com -Authentication ON -authnVsName avn
    • add authentication vserver avn SSL 10.217.28.167 443 -AuthenticationDomain nsi-test.com
  2. Konfigurieren Sie eine SAML-Richtlinie mit Attributextraktion, die an den virtuellen Authentifizierungsserver gebunden ist.

    • add authentication samlAction shibboleth -samlIdPCertName shib-idp-242 -samlSigningCertName nssp-cert -samlRedirectUrl "https://idp.wi.int/idp/profile/SAML2/POST/SSO" -samlUserField samaccountname -samlRejectUnsignedAssertion OFF -samlIssuerName nssp.nsi-test.com -Attribute1 UserPrincipalName –Attribute2 department
    • add authentication Policy saml -rule true -action shibboleth
    • bind authentication vserver avn -policy saml -priority 1 -nextFactor label1 -gotoPriorityExpression NEXT
  3. Konfigurieren Sie einen zweiten Faktor.

    • add authentication loginSchema login2 -authenticationSchema noschema
    • add authentication Policy no_ldap -rule "http.req.user.attribute(1).contains(\"citrix.com\")" -action NO_AUTHN
    • add authentication Policy no_cert -rule "http.req.user.attribute(2).contains(\"Sales\")" -action NO_AUTHN
    • add authentication policylabel label1 -loginSchema login2
    • bind authentication policylabel label1 -policyName no_ldap -priority 1 -gotoPriorityExpression NEXT -nextFactor ldapfactor
    • bind authentication policylabel label1 -policyName no_cert -priority 2 -gotoPriorityExpression NEXT -nextFactor certfactor
  4. Konfigurieren Sie einen LDAP-Authentifizierungsfaktor.

    • add authentication loginSchema login3 -authenticationSchema login1.xml
    • add authentication policylabel ldapfactor -loginSchema login3
    • bind authentication policylabel ldapfactor -policyName <LDAP Auth Policy> -priority 10 -gotoPriorityExpression END
  5. Konfigurieren Sie eine Zertifikatfaktorauthentifizierung.

    • add authentication loginSchema login4 -authenticationSchema noschema
    • add authentication policylabel certfactor -loginSchema login4
    • bind authentication policylabel certfactor -policyName <Certificate Auth Policy> -priority 10 -gotoPriorityExpression END
  6. Binden Sie das Stammzertifikat an den virtuellen Server und aktivieren Sie die Clientauthentifizierung.

    • bind ssl vserver avn -certkeyName <root cert name>-CA -ocspCheck Optional
    • set ssl vserver avn -clientAuth ENABLED -clientCert Optional

Konfigurieren mit dem nFactor Visualizer

  1. Navigieren Sie zu Sicherheit > AAA-Anwendungsdatenverkehr > nFactor Visualizer > nFactor Flows, und klicken Sie auf Hinzufügen .

  2. Klicken Sie auf +, um den nFactor Flow hinzuzufügen.

    Hinzufügen eines Flows

  3. Fügen Sie einen Faktor hinzu. Der eingegebene Name ist der Name des nFactor-Flows.

    Hinzufügen eines Namens für den Flow

  4. Für die SAML-Authentifizierung ist kein Schema erforderlich. Klicken Sie auf Richtlinie hinzufügen, um SAML-Richtlinie für den ersten Faktor zu erstellen.

    Hinzufügen eines Schemas

    Hinweis: Weitere Informationen zu SAML als SP finden Sie unterCitrix ADC als SAML-SP.

  5. Fügen Sie die SAML-Richtlinie hinzu.

    SAML-Richtlinie hinzufügen

  6. Klicken Sie auf grün +, um den nächsten Faktor hinzuzufügen.

    Nächsten Faktor hinzufügen

  7. Erstellen Sie ein Entscheidungsfeld, um nach den SAML-Attributen zu suchen.

    Entscheidungfeld prüfen

  8. Klicken Sie auf Richtlinie hinzufügen, um eine Richtlinie zu erstellen.

    Richtlinie hinzufügen

  9. Erstellen Sie eine Richtlinie zur Überprüfung des Attributs citrix.com mit Aktion NO_AUTHN.

    Richtlinie keine Auth

  10. Wählen Sie die zuvor erstellte Richtlinie aus, und klicken Sie auf Hinzufügen.

    Richtlinie hinzufügen

  11. Klicken Sie auf grünes + Zeichen, um eine zweite Richtlinie hinzuzufügen.

  12. Führen Sie die Schritte 9 und 10. Binden Sie die Richtlinie an, um nach Attributverkäufen zu suchen.

    Attributumsatz binden

  13. Um den zweiten Faktor für das Attribut citrix.com hinzuzufügen, klicken Sie auf das grüne + Zeichen neben no_ldap policy.

    Zweitem Faktor hinzufügen

  14. Erstellen Sie einen nächsten Faktor für die LDAP-Authentifizierung.

    LDAP-Faktor

  15. Klicken Sie für den zweiten Faktor auf Schema hinzufügen .

    Zweites Schema

  16. Erstellen Sie ein Authentifizierungsanmeldeschema mit dem Schema PrefilUserFormExpr.xml für den zweiten Faktor, der einen vordefinierten Benutzernamen hat.

    Authentifizierungsschema erstellen

  17. Klicken Sie auf Richtlinie hinzufügen, um die LDAP-Richtlinie hinzuzufügen.

    LDAP-Richtlinie hinzufügen

    Hinweis

    Weitere Informationen zum Erstellen von LDAP-Authentifizierung finden Sie unter So konfigurieren Sie die LDAP-Authentifizierung mit dem Konfigurationsdienstprogramm.

  18. Folgen Sie Schritt 13. Um den zweiten Faktor für den Attributumsatz hinzuzufügen, klicken Sie auf grünes + Zeichen neben no_cert.

    Keine Zertifizierungsrichtlinie hinzufügen

  19. Erstellen Sie einen nächsten Faktor für die Zertifikatauthentifizierung.

    Zertifizierungs-Auth hinzufügen

  20. Führen Sie die Schritte 15, 16 und 17. Fügen Sie ein Schema für die Zertifikatauthentifizierung und Zertifikatauthentifizierungsrichtlinie hinzufügen hinzu.

    Zertifizierungsrichtlinie hinzufügen

    Hinweis

    Weitere Informationen zur Zertifikatauthentifizierung finden Sie unter Konfigurieren und Binden einer Richtlinie für die Clientzertifikatauthentifizierung.

  21. Klicken Sie auf Fertig, um die Konfiguration zu speichern.

  22. Um den erstellten nFactor-Flow an einen Authentifizierungs-, Autorisierungs- und Überwachungsserver zu binden, klicken Sie auf An Authentifizierungsserver binden und dann auf Erstellen .

    Authentifizierserver binden

    Hinweis

    Binden und lösen Sie die Bindung des nFactor Flow über die Option, die in nFactor Flow unter Nur Bindungen anzeigenangegeben ist.

Bindung des nFactor-Flows aufheben

  1. Wählen Sie den nFactor-Fluss aus, und klicken Sie auf Bindungen anzeigen.

  2. Wählen Sie den virtuellen Authentifizierungsserver aus, und klicken Sie auf Bindung aufheben.

    Unbind auth server

Konfigurieren Sie SAML, gefolgt von LDAP- oder Zertifikatauthentifizierung basierend auf SAML-Attributextraktion in der nFactor-Authentifizierung