reCAPTCHA Konfiguration für nFactor Authentifizierung

Citrix Gateway unterstützt eine neue First-Class-Aktion ‘CaptChaAction’, die die reCAPTCHA-Konfiguration vereinfacht. Da reCAPTCHA eine erstklassige Aktion ist, kann es ein Faktor für sich sein. Sie können reCAPTCHA überall im nFactor Flow injizieren.

Zuvor mussten Sie benutzerdefinierte WebAuth Richtlinien mit Änderungen an der RFWeb UI schreiben. Mit der Einführung von CaptChaAction müssen Sie das JavaScript nicht ändern.

Wichtig

Wenn reCAPTCHA zusammen mit Benutzernamen oder Kennwortfeldern im Schema verwendet wird, wird die Schaltfläche Senden deaktiviert, bis reCAPTCHA erfüllt ist.

reCAPTCHA Konfiguration

Die reCAPTCHA Konfiguration besteht aus zwei Teilen.

  1. Konfiguration auf Google für die Registrierung von reCAPTCHA.
  2. Konfiguration auf der Citrix ADC Appliance zur Verwendung von reCAPTCHA als Teil des Anmeldeflusses.

reCAPTCHA Konfiguration auf Google

Registrieren Sie eine Domain für reCAPTCHA unterhttps://www.google.com/recaptcha/admin#llist.

  1. Wenn Sie zu dieser Seite navigieren, wird der folgende Bildschirm angezeigt.

    lokalisiertes Bild

    Hinweis:

    Verwenden Sie reCAPTCHA v2 nur. Unsichtbares reCAPTCHA befindet sich noch in der Beta.

  2. Nach der Registrierung einer Domain werden der SiteKey und SecretKey angezeigt.

    lokalisiertes Bild

    Hinweis:

    Der SiteKey und SecretKey sind aus Sicherheitsgründen ausgegraut. SecretKey muss sicher aufbewahrt werden.

reCAPTCHA Konfiguration auf der Citrix ADC Appliance

Die reCAPTCHA Konfiguration auf der Citrix ADC Appliance kann in drei Teile unterteilt werden:

  • Bildschirm reCAPTCHA anzeigen
  • Senden Sie die reCAPTCHA Antwort auf den Google-Server
  • LDAP-Konfiguration ist der zweite Faktor für die Benutzeranmeldung (optional)

Bildschirm reCAPTCHA anzeigen

Die Anpassung des Anmeldeformulars erfolgt über das Loginschema SingleAuthCaptcha.xml. Diese Anpassung wird auf dem virtuellen Authentifizierungsserver angegeben und an die Benutzeroberfläche zum Rendern des Anmeldeformulars gesendet. Das integrierte Anmeldeschema SingleAuthCaptcha.xml befindet sich im Verzeichnis /nsconfig/loginschema/loginSchema auf der Citrix ADC Appliance.

Wichtig

  • Basierend auf Ihrem Anwendungsfall und verschiedenen Schemas können Sie das vorhandene Schema ändern. Zum Beispiel, wenn Sie nur reCAPTCHA Faktor (ohne Benutzername oder Kennwort) oder doppelte Authentifizierung mit reCAPTCHA benötigen.
  • Wenn benutzerdefinierte Änderungen durchgeführt oder die Datei umbenannt wird, empfiehlt Citrix, alle LoginSchemas aus dem Verzeichnis /nsconfig/loginschema/loginSchema in das übergeordnete Verzeichnis /nsconfig/loginschema zu kopieren.

So konfigurieren Sie die Anzeige von reCAPTCHA mit CLI

  • add authentication loginSchema singleauthcaptcha -authenticationSchema /nsconfig/loginschema/SingleAuthCaptcha.xml
  • add authentication loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptcha
  • add authentication vserver auth SSL <IP> <Port>
  • add ssl certkey vserver-cert -cert <path-to-cert-file> -key <path-to-key-file>
  • bind ssl vserver auth -certkey vserver-cert
  • bind authentication vserver auth -policy singleauthcaptcha -priority 5 -gotoPriorityExpression END

Senden Sie die reCAPTCHA Antwort auf den Google-Server

Nachdem Sie die reCAPTCHA konfiguriert haben, die den Benutzern angezeigt werden muss, fügen Administratoren Post die Konfiguration auf den Google-Server hinzu, um die reCAPTCHA Antwort vom Browser zu überprüfen.

So überprüfen Sie reCAPTCHA Antwort vom Browser
  • add authentication captchaAction myrecaptcha -sitekey <sitekey-copied-from-google> -secretkey <secretkey-from-google>
  • add authentication policy myrecaptcha -rule true -action myrecaptcha
  • bind authentication vserver auth -policy myrecaptcha -priority 1

Die folgenden Befehle sind erforderlich, um zu konfigurieren, ob AD-Authentifizierung gewünscht ist. Andernfalls können Sie diesen Schritt ignorieren.

  • add authentication ldapAction ldap-new -serverIP x.x.x.x -serverPort 636 -ldapBase "cn=users,dc=aaatm,dc=com" -ldapBindDn adminuser@aaatm.com -ldapBindDnPassword <password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup ldapGroup
  • add authenticationpolicy ldap-new -rule true -action ldap-new

LDAP-Konfiguration ist der zweite Faktor für die Benutzeranmeldung (optional)

Die LDAP-Authentifizierung erfolgt nach reCAPTCHA, Sie fügen sie dem zweiten Faktor hinzu.

  • add authentication policylabel second-factor
  • bind authentication policylabel second-factor -policy ldap-new -priority 10
  • bind authentication vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor

Der Administrator muss entsprechende virtuelle Server hinzufügen, je nachdem, ob der virtuelle Lastenausgleich oder die Citrix Gateway Appliance für den Zugriff verwendet wird. Der Administrator muss den folgenden Befehl konfigurieren, wenn ein virtueller Lastausgleichsserver erforderlich ist:

  • add lb vserver lbtest HTTP <IP> <Port> -authentication ON -authenticationHost nssp.aaatm.com

    nssp.aaatm.com — Löst den virtuellen Authentifizierungsserver auf.

Benutzervalidierung von reCAPTCHA

Nachdem Sie alle Schritte konfiguriert haben, die in den vorherigen Abschnitten erwähnt wurden, müssen Sie die unten angezeigten UI-Screenshots sehen.

  1. Sobald der virtuelle Authentifizierungsserver die Anmeldeseite lädt, wird der Anmeldebildschirm angezeigt. DieAnmeldung ist deaktiviert, bis reCAPTCHA abgeschlossen ist.

    lokalisiertes Bild

  2. Wählen Sie Ich bin keine Roboteroption aus. Das reCAPTCHA Widget wird angezeigt.

    lokalisiertes Bild

  3. Sie werden durch eine Reihe von reCAPTCHA Bildern navigiert, bevor die Fertigstellungsseite angezeigt wird.
  4. Geben Sie die AD-Anmeldeinformationen ein, aktivieren Sie das Kontrollkästchen Ich bin kein Roboter, und klicken Sie auf Anmelden . Wenn die Authentifizierung erfolgreich ist, werden Sie zur gewünschten Ressource umgeleitet.

    lokalisiertes Bild

    Hinweise

    • Wenn reCAPTCHA mit der AD-Authentifizierung verwendet wird, wird die Schaltfläche Senden für Anmeldeinformationen deaktiviert, bis reCAPTCHA abgeschlossen ist.
    • Das reCAPTCHA geschieht in einem eigenen Faktor. Daher müssen alle nachfolgenden Validierungen wie AD im ‘nextfactor’ von reCAPTCHA erfolgen.