Citrix ADC

Mehrstufige Authentifizierung (nFactor)

Wichtig

  • Citrix ADC Advanced Edition oder Citrix ADC Premium Edition ist erforderlich, damit die nFactor-Authentifizierungsfunktion funktioniert.

  • Unterstützt ab NetScaler 11.0 Build 62.x.

  • Ab NetScaler 12.0 Build 51.x füllt die Citrix ADC Appliance, die als SAML-Dienstanbieter (SP) mit Multi-Factor (nFactor) -Authentifizierung verwendet wird, jetzt das Feld Benutzername auf der Anmeldeseite vorab aus. Die Appliance sendet ein NameID-Attribut als Teil einer SAML-Autorisierungsanforderung, ruft den NameID-Attributwert vom Citrix ADC SAML-Identitätsanbieter (IdP) ab und füllt das Feld Benutzername vorab aus.

Die mehrstufige Authentifizierung erhöht die Sicherheit einer Anwendung, da Benutzer mehrere Identifikationsnachweise bereitstellen müssen, um Zugriff zu erhalten. Die Citrix ADC Appliance bietet einen erweiterbaren und flexiblen Ansatz zur Konfiguration der Multifaktor-Authentifizierung. Dieser Ansatz wird nFactor Authenticationgenannt.

Funktionsweise der nFactor-Authentifizierung

Jeder Authentifizierungsfaktor führt die folgenden Aufgaben aus:

  • Sammelt Anmeldeinformationen vom Benutzer. Von Citrix ADC unterstützte Authentifizierungsmechanismen umfassen LDAP, RADIUS, SAML-Assertion, Clientzertifikat, OAuth OpenID Connect, Kerberos usw.

  • Wertet die angegebenen Anmeldeinformationen aus, um zu entscheiden, ob die Authentifizierung erfolgreich war, fehlgeschlagen oder Aktionen wie Gruppen-Extraktion, Attributextraktion durchgeführt werden soll.

  • Basierend auf den Bewertungsergebnissen wird der Zugriff entweder gewährt, verweigert oder ein nächster Faktor ausgewählt.

  • Wiederholen Sie diese Schritte, bis keine weiteren Faktoren mehr ausgewertet werden müssen.

Mit der nFactor-Authentifizierung können Sie:

  • Konfigurieren Sie eine beliebige Anzahl von Authentifizierungsfaktoren.
  • Basieren Sie die Auswahl des nächsten Faktors auf das Ergebnis der Ausführung des vorherigen Faktors.
  • Passen Sie die Anmeldeschnittstelle an. Sie können beispielsweise die Beschriftungsnamen, Fehlermeldungen und Hilfetext anpassen.
  • Extrahieren Sie Benutzergruppeninformationen ohne Authentifizierung.
  • Konfigurieren Sie Pass-Through für einen Authentifizierungsfaktor. Dies bedeutet, dass für diesen Faktor keine explizite Anmeldeinteraktion erforderlich ist.
  • Konfigurieren Sie die Reihenfolge, in der verschiedene Authentifizierungstypen angewendet werden. Alle Authentifizierungsmechanismen, die von der Citrix ADC-Appliance unterstützt werden, können als beliebiger Faktor des nFactor-Authentifizierungs-Setups konfiguriert werden. Diese Faktoren werden in der Reihenfolge ausgeführt, in der sie konfiguriert sind.
  • Konfigurieren Sie den Citrix ADC so, dass er mit einem Authentifizierungsfaktor fortfährt, der ausgeführt werden muss, wenn die Authentifizierung fehlschlägt. Dazu konfigurieren Sie eine andere Authentifizierungsrichtlinie mit der exakt gleichen Bedingung, jedoch mit der nächsthöchsten Priorität und mit der Aktion “NO_AUTH”. Sie müssen den nächsten Faktor konfigurieren, der den alternativen Authentifizierungsmechanismus angeben muss, der angewendet werden soll.

Verschlüsselung von Citrix Gateway Anmeldeinformationen für die nFactor-Authentifizierung

Citrix Gateway mit nFactor-Authentifizierung kann die Anmeldeanforderungsfelder verschlüsseln, die von einem Client (Browser oder SSO-Apps) während der Authentifizierung gesendet wurden. Die verschlüsselten Anmeldeanforderungsfelder bieten eine zusätzliche Sicherheitsebene, um die vertraulichen Daten des Benutzers vor der Weitergabe zu schützen.

Kompatible Browser

In der folgenden Tabelle sind die Browser zusammen mit Versionsdetails aufgeführt, die die Anmeldeverschlüsselung unterstützen.

Browser Version
Chrome 78 und höher
Firefox 69 und höher
Internet Explorer 11
Kante 42 und höher
Safari 11.0 und höher
Oper 66

Kompatible Clients

Im folgenden Abschnitt werden die Clients zusammen mit Versionsdetails aufgeführt, die die Verschlüsselung von Citrix Gateway Anmeldeinformationen unterstützen.

  • Die Citrix Workspace App in Mac unterstützt Verschlüsselung nur, wenn Betriebssystemversion 10.14.x und höher ist.
  • Die Citrix SSO -App in Mac unterstützt Verschlüsselung nur, wenn Betriebssystemversion 10.14.x und höher ist.
  • Die Windows SSO-App hat keine Einschränkungen für die Kompatibilität.
  • Die Kennwortverschlüsselung in der Citrix Workspace App für Windows-Clients wird nur in Internet Explorer 11-Version unterstützt.

So aktivieren Sie die Login-Verschlüsselung über die Befehlszeile

Geben Sie an der Eingabeaufforderung Folgendes ein:

set aaa parameter [-loginEncryption (ENABLED | DISABLED)]

Hinweis:

Der Parameter loginEncryption ist standardmäßig DISABLED. Sie müssen es aktivieren.

So aktivieren Sie die Login-Verschlüsselung mit der GUI

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr, klicken Sie im Abschnitt Authentifizierungseinstellungen auf Authentifizierungseinstellungen ändern .
  2. Führen Sie auf der Seite AAA-Parameter konfigurieren einen Bildlauf nach unten zur Option Login Encryption aus, und aktivieren Sie sie.

Mehrstufige Authentifizierung (nFactor)