nFactor Visualizer für vereinfachte Konfiguration

Ab Citrix ADC Version 13.0 Build 36.27 wird die nFactor-Konfiguration über GUI mithilfe des nFactor Visualizers vereinfacht. Der nFactor Visualizer hilft Administratoren, mehrere Faktoren hinzuzufügen, ohne den Überblick über jeden Faktor zu verlieren. Die Gruppe von Faktoren, die im Fluss erstellt werden, wird an einer Stelle angezeigt. Administratoren können Authentifizierungserfolgs- und Fehlerpfade separat hinzufügen. Nach dem Erstellen des Flows müssen Administratoren den nFactor-Flow an einen virtuellen Authentifizierungsserver binden.

Hinweis

Alle Faktoren, die von admin im nFactor-Flow erstellt wurden, werden für jede zukünftige Verwendung beibehalten.

Zuvor war die Konfiguration von nFactor umständlich, wobei die Administratoren viele Seiten besuchen mussten, um sie zu konfigurieren. Wenn eine Änderung erforderlich war, mussten die Administratoren die konfigurierten Abschnitte jedes Mal erneut besuchen. Außerdem gab es keine Möglichkeit, die vollständige Konfiguration an einem Ort anzuzeigen.

Anwendungsfall 1: RADIUS gefolgt von LDAP-Authentifizierung, andernfalls Fallback auf Captcha über nFactor Visualizer

Erreichen Sie die RADIUS-Authentifizierung als Authentifizierung der ersten Ebene, gefolgt von der LDAP-Authentifizierung. Falls RADIUS fehlschlägt, muss die Authentifizierung auf Captcha zurückgreifen.

lokalisierte Grafik

Um diesen Anwendungsfall zu erreichen, können Sie den nFactor Visualizer verwenden. Der Visualizer bietet verschiedene Steuerelemente, die verwendet werden können, um diesen Fluss und die zugehörigen Elemente hinzuzufügen.

Die folgende Abbildung zeigt den nFactor-Fluss, der für den zuvor erwähnten Anwendungsfall mithilfe des Visualizers erstellt wurde.

lokalisiertes Bild

  • RADIUS. Sie konfigurieren RADIUS als ersten Faktor. Fügen Sie ein Anmeldeschema und eine Richtlinie hinzu. In diesem Beispiel sind radius_auth und radius_policy das hinzugefügte Anmeldeschema und -richtlinie. Für die Radius_Policy können Sie einen weiteren Faktor für den Erfolgsfall hinzufügen. In diesem Beispiel wird ein LDAP-Faktorblock für Erfolgsfall hinzugefügt. Für einen Fehlerfall können Sie einen Captcha-Faktor hinzufügen.

  • LDAP. Sie konfigurieren die LDAP-Authentifizierung als zweiten Faktor. Fügen Sie ein Anmeldeschema und eine Richtlinie hinzu. In diesem Beispiel sind ldap_auth und ldap_policy das Login-Schema und die Richtlinie, die hinzugefügt wird.

  • Captcha. Für den RADIUS-Richtlinienfehler erstellen Sie einen Captcha-Faktor. In diesem Beispiel sind captcha und captcha_policy das Login-Schema und die Richtlinie, die hinzugefügt wird.

Anwendungsfall 2: LDAP gefolgt von RADIUS/Zertifikatauthentifizierung mit Captcha basierend auf LDAP-Gruppenmitgliedschaft über nFactor Visualizer

Erreichen Sie die RADIUS-Authentifizierung als Authentifizierung der ersten Ebene, gefolgt von der LDAP-Authentifizierung. Falls RADIUS fehlschlägt, muss die Authentifizierung auf Captcha zurückgreifen.

lokalisiertes Bild

Die folgende Abbildung zeigt den nFactor-Fluss, der für den zuvor erwähnten Anwendungsfall mithilfe des Visualizers erstellt wurde.

lokalisiertes Bild

  • LDAP. LDAP wird als erster Faktor konfiguriert. Fügen Sie ein Anmeldeschema und eine Richtlinie hinzu. In diesem Beispiel sind SingleAuth und ldap_policy das Login-Schema und die Richtlinie, die hinzugefügt wird. Für die LDAP_policy können Sie einen weiteren Faktor für den Erfolgsfall hinzufügen. In diesem Beispiel wird ein Entscheidungsblock für Erfolgsfall hinzugefügt. Für einen Fehlerfall können Sie Captcha gefolgt von AD-Faktor hinzufügen.

  • Gruppenextraktion LDAP. Wird der Entscheidungsblock für den LDAP-Erfolgsfall hinzugefügt. Der Entscheidungsblock wird als Verzweigungsfaktor verwendet, um die Benutzer basierend auf den Richtlinienregeln zu verzweigen. Visualizer ermöglicht die Konfiguration nur einer NO_AUTHN-Richtlinie für den Entscheidungsblock.

    In diesem Beispiel ist Group_Extraction_LDAP der Entscheidungsblock. Sie fügen zwei Richtlinien (AD_group_partner und AD_group_Employee) zu diesem Entscheidungsblock hinzu. Wie in den Anwendungsfällen erläutert, verwenden alle Anforderungen, die über die Richtlinie AD_group_partner weitergeleitet werden, die RADIUS-Authentifizierung. Daher verbinden Sie den Erfolgsfall dieser Richtlinie mit dem nächsten Faktor, der RADIUS-Faktor ist. Ebenso verwenden alle Anforderungen, die über die Richtlinie AD_group_Employee weitergeleitet werden, die Zertifizierungsauthentifizierung. Daher verbinden Sie den Erfolgsfall dieser Richtlinie mit dem nächsten Faktor, der der Zertifizierungsauthentifizierungsfaktor ist.

    • RADIUS. Für den Erfolgsfall der Richtlinie AD_Group_Partner erstellen Sie den RADIUS-Authentifizierungsfaktor.

    • Zertifikat. Für den Erfolgsfall AD_Group_Employee Richtlinie erstellen Sie Zertifikatauthentifizierungsfaktor.

  • Captcha. Für den LDAP-Richtlinienfehler erstellen Sie zwei nächste Faktoren, Captcha und AD-Faktor.

Hinweis:

  • Wenn Sie einen Anwendungsfall als erstes verzweigen müssen, können Sie entweder zwei Flows erstellen und separat binden oder einen Flow mit dem ersten als Verzweigung erstellen und an den virtuellen Server binden.
  • Wenn Sie mehrere Blöcke haben und den gesamten Fluss im Bildschirm nFactor Flow anzeigen möchten, klicken Sie auf Visualizer und ziehen Sie den Fluss nach links.
  • Citrix empfiehlt, die nFactor-Flows nur auf der Seite nFactor Flows zu ändern.

So konfigurieren Sie nFactor mithilfe des nFactor Visualizers

Hinweis

Die folgende nFactor-Konfiguration ist ein einfaches Beispiel, mit dem Sie die Szenariokonfigurationen für Anwendungsfall 1 durchführen können.

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > nFactor Visualizer > nFactor Flows.
  2. Klicken Sie auf Hinzufügen.
  3. Klicken Sie auf der Seite nFactor Flows auf +, um einen ersten Faktor für den Flow hinzuzufügen. Der erste Faktor dient auch als Bezeichner für diesen nFactor Fluss.

    lokalisiertes Bild

  4. Geben Sie den Faktornamen ein, und klicken Sie auf Erstellen.

    lokalisiertes Bild

    Der Faktorname wird im Faktorblock auf der Seite nFactor Flow angezeigt.

    Hinweis

    Citrix empfiehlt, dass Sie keine Richtlinienbeschriftungsnamen wie,__rootund__<flow_name>als Suffix und_db_als Präfix verwenden dürfen. Es wird als Faktornamen verwendet, die im nFactor Flow erstellt werden.

  5. Sobald der RADIUS-Faktor erstellt wurde, müssen die Richtlinie Schema hinzufügen und Richtlinie hinzufügen erstellt werden.

    lokalisiertes Bild

    Hinweis:

    Weitere Informationen finden Sie unter nFactor Konzepte, Entitäten und Terminologie.

  6. Klicken Sie auf Schema hinzufügen. Sie können entweder ein neues Anmeldeschema hinzufügen oder ein vorhandenes Anmeldeschema aus der Liste Authentifizierungsanmeldeschema auswählen.

    lokalisiertes Bild

  7. Um ein Anmeldeschema zu erstellen, klicken Sie auf Hinzufügen, und geben Sie auf der Seite Authentifizierungsanmeldeschema erstellen den Namen für das Schema ein. Klicken Sie auf Bearbeiten (Bleistiftsymbol), um die Anmeldeschemadateien aus der Liste auszuwählen.

    lokalisiertes Bild

  8. Klicken Sie auf Richtlinie hinzufügen. Sie können eine Authentifizierungsrichtlinie erstellen oder eine vorhandene Authentifizierungsrichtlinie auswählen.

    lokalisiertes Bild

  9. Um eine neue Richtlinie zu erstellen, klicken Sie auf Hinzufügen, geben Sie auf der Seite Authentifizierungsrichtlinie erstellen den Namen für die Richtlinie ein, und klicken Sie auf Erstellen .

    lokalisiertes Bild

  10. Nachdem Sie dem Faktor ein Anmeldeschema und eine Richtlinie hinzugefügt haben, werden das Anmeldeschema und die Richtlinie auf dem Faktor im Visualizer angezeigt, wie in der folgenden Abbildung dargestellt. Für jeden bestimmten Faktor können Sie mehrere Richtlinien hinzufügen und den nächsten Faktor für Erfolg und Misserfolg jeder Richtlinie definieren. Sie können auch die Richtlinien entfernen, die Teil des Faktors sind.

    lokalisiertes Bild

  11. Nachdem Sie den Flow erstellt haben, können Sie den nFactor-Flow an einen virtuellen Authentifizierungsserver binden.

Hinzufügen des nächsten Faktors

Um den nächsten Faktor hinzuzufügen, können Sie je nach Anforderung eine der folgenden Optionen auswählen:

  • Faktor erstellen. Erstellen Sie einen Faktor. Jeder Faktor, der in einem Flow erstellt wird, ist exklusiv für diesen Flow.
  • Erstellen Sie einen Entscheidungsblock. Erstellen Sie einen Entscheidungsblock, der als Verzweigungsfaktor dient. Sie können dem Entscheidungsblock kein Anmeldeschema hinzufügen. Visualizer ermöglicht die Konfiguration nur einer NO_AUTHN-Richtlinie für den Entscheidungsblock.

    Hinweis:

    Sie können den Entscheidungsblock nur über die Citrix ADC GUI hinzufügen oder bearbeiten. Es gibt keine Option, den Entscheidungsblock vom CLI-Befehl zu konfigurieren.

  • Stellen Sieeine Verbindung mit einem vorhandenen Faktorher. Wählen Sie einen vorhandenen Faktor als nächsten Faktor aus. Alle Faktoren, die in der vorhandenen Liste angezeigt werden, werden ausschließlich für diesen Flow erstellt.
  • Keine. Entfernen Sie eine vorhandene Verbindung.

    lokalisiertes Bild

    lokalisiertes Bild

So binden Sie den nFactor-Flow an den Authentifizierungsserver

  1. Wählen Sie auf der Seite nFactor Flows einen nFactor Flow aus, den Sie an einen virtuellen Authentifizierungsserver binden möchten.

  2. Klicken Sie auf das Hamburger-Symbol, um die Option An Authentifizierungsserver binden auszuwählen, oder klicken Sie im Detailbereich auf An Authentifizierungsserver binden .

    lokalisiertes Bild

  3. Auf der Seite An Authentifizierungsserver binden können Sie die folgenden Aktionen ausführen:

    • Um einen virtuellen Authentifizierungsserverhinzuzufügen, klicken Sie auf Hinzufügen.
    • Um einen vorhandenen Authentifizierungsserver aus der Liste auszuwählen, klicken Sie auf das Feld Authentifizierungsserver .

    lokalisiertes Bild

  4. Klicken Sie im Hamburger-Symbol auf Bindungen anzeigen, um die Bindungen anzuzeigen.

  5. So heben Sie die Bindung des Authentifizierungsservers an den spezifischen nFactor-Flow auf:

    • Klicken Sie auf der Seite “ nFactor Flows “ auf “ Bindings anzeigen “ im Hamburger-Symbol.
    • Wählen Sie auf der Seite Authentifizierungsserverbindungen den Authentifizierungsserver aus, der die Bindung aufgehoben werden soll, und klicken Sie auf Bindung aufheben . Klicken Sie auf Schließen.

    lokalisiertes Bild

Weitere Informationen zur nFactor-Authentifizierung finden Sie in den folgenden Themen:

Verbesserungen am nFactor Visualizer

Ab Citrix ADC Version 13.0 Build 41.20 werden die folgenden Verbesserungen im nFactor Visualizer vorgenommen.

  • Administratoren können die erstellten Faktoren in den Papierkorb verschieben.
  • Zeigen Sie die nFactor-Flows auf der Seite Virtueller Authentifizierungsserver an.

Papierkorbsymbol. Administratoren können nur Knoten löschen, die keine Verbindungen haben. Die zugrunde liegenden Richtlinien oder Schemas, die für den Faktor erstellt werden, werden jedoch nicht gelöscht, wenn der Faktor in den Papierkorb verschoben wird.

So zeigen Sie das Papierkorbsymbol an:

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > nFactor Visualizer > nFactor Flows.

    lokalisierte Grafik

  2. Um den Faktor zu löschen, klicken Sie auf den Faktorblock und ziehen ihn in den Papierkorb.

Zeigen Sie den nFactor-Fluss vom virtuellen Authentifizierungsserveran. Administratoren können auch die erstellten nFactor-Flows von der Seite Virtual Authentication Server anzeigen.

So zeigen Sie den nFactor-Flow von der Seite Virtual Authentication Server an:

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Virtuelle Server. Auf der Seite Virtuelle Authentifizierungsserver können Sie die folgenden Schritte ausführen:
    • Um einen virtuellen Authentifizierungsserver hinzuzufügen, klicken Sie auf Hinzufügen.
    • Um einen vorhandenen virtuellen Authentifizierungsserver zu bearbeiten, klicken Sie im Detailbereich auf Option Bearbeiten .

    lokalisierte Grafik

  2. Auf der Seite Virtueller Authentifizierungsserver können Sie die Option nFactor Flow unter Erweiterte Authentifizierungsrichtlinien anzeigen.

    lokalisierte Grafik

  3. Wenn kein nFactor-Flow an den virtuellen Server gebunden ist, können Sie im Abschnitt Erweiterte Authentifizierungsrichtlinien auf Keine nFactor-Flow-Option klicken, um entweder einen neuen nFactor-Flow hinzuzufügen oder den vorhandenen nFactor-Flow aus der Liste auszuwählen.

    lokalisierte Grafik