nFactor-Authentifizierung
Wichtig
- Die nFactor-Authentifizierung wird ab NetScaler 11.0 Build 62.x unterstützt.
- Damit die nFactor-Authentifizierung mit Citrix ADC arbeitet, ist eine Advanced-Lizenz oder eine Premium-Lizenz erforderlich.
- Ab Release 13.0 Build 67.x wird die nFactor-Authentifizierung nur mit der Standardlizenz für virtuelle Gateway/VPN-Server unterstützt. Weitere Informationen zur nFactor-Authentifizierung mit Citrix Gateway finden Sie unter nFactor for Gateway-Authentifizierung.
- Die nFactor-Authentifizierung wird für den Linux-Client nicht unterstützt.
Die mehrstufige Authentifizierung erhöht die Sicherheit einer Anwendung, da Benutzer mehrere Identifikationsnachweise bereitstellen müssen, um Zugriff zu erhalten. Die Citrix ADC-Appliance bietet einen erweiterbaren und flexiblen Ansatz zur Konfiguration der Multifaktor-Authentifizierung. Dieser Ansatz wird als nFactor-Authentifizierungbezeichnet.
So funktioniert die nFactor-Authentifizierung
Jeder Authentifizierungsfaktor führt die folgenden Aufgaben aus:
-
Sammelt Anmeldeinformationen vom Benutzer. Zu den von Citrix ADC unterstützten Authentifizierungsmechanismen gehören LDAP, RADIUS, SAML-Assertion, Clientzertifikat, OAuth OpenID Connect, Kerberos und so weiter.
-
Wertet die bereitgestellten Anmeldeinformationen aus, um zu entscheiden, ob die Authentifizierung erfolgreich war, fehlgeschlagen ist oder die Aktionen wie Gruppenextraktion, Attributextraktion durchgeführt werden sollen.
-
Basierend auf den Bewertungsergebnissen wird der Zugriff entweder gewährt, verweigert oder ein nächster Faktor wird ausgewählt.
-
Wiederholen Sie diese Schritte, bis keine nächsten Faktoren mehr bewertet werden müssen.
Mit der nFactor-Authentifizierung können Sie:
- Konfigurieren Sie eine beliebige Anzahl von Authentifizierungsfaktoren.
- Basieren Sie die Auswahl des nächsten Faktors auf das Ergebnis der Ausführung des vorherigen Faktors.
- Passen Sie die Login-Schnittstelle an. Sie können beispielsweise die Labelnamen, Fehlermeldungen und den Hilfetext anpassen.
- Extrahieren Sie Benutzergruppeninformationen ohne Authentifizierung.
- Konfigurieren Sie Passthrough für einen Authentifizierungsfaktor. Dies bedeutet, dass für diesen Faktor keine explizite Login-Interaktion erforderlich ist.
- Konfigurieren Sie die Reihenfolge, in der verschiedene Authentifizierungstypen angewendet werden. Jeder der Authentifizierungsmechanismen, die auf der Citrix ADC-Appliance unterstützt werden, kann als jeder Faktor des nFactor-Authentifizierungs-Setups konfiguriert werden. Diese Faktoren werden in der Reihenfolge ausgeführt, in der sie konfiguriert sind.
- Konfigurieren Sie den Citrix ADC so, dass er mit einem Authentifizierungsfaktor fortfährt, der ausgeführt werden muss, wenn die Authentifizierung fehlschlägt. Dazu konfigurieren Sie eine andere Authentifizierungsrichtlinie mit genau derselben Bedingung, jedoch mit der nächsthöchsten Priorität und mit der Aktion auf “NO_AUTH”. Sie müssen den nächsten Faktor konfigurieren, der den anzuwendenden alternativen Authentifizierungsmechanismus angeben muss.
Verschlüsselung von Citrix Gateway-Anmeldeinformationen zur nFactor-Authentifizierung
Citrix Gateway mit nFactor-Authentifizierung kann die Anmeldeanforderungsfelder verschlüsseln, die von einem Client (Browser oder SSO-Apps) während des Authentifizierungsprozesses eingereicht werden. Die Felder für verschlüsselte Anmeldeanfragen bieten eine zusätzliche Sicherheitsebene, um die sensiblen Daten des Benutzers vor der Offenlegung zu schützen.
Kompatible Browser
In der folgenden Tabelle sind die Browser zusammen mit Versionsdetails aufgeführt, die die Anmeldeverschlüsselung unterstützen.
| Browser | Version |
|---|---|
| Chrome | 78 und höher |
| Firefox | 69 und höher |
| Internet Explorer | 11 |
| Kante | 42 und höher |
| Safari | 11.0 und höher |
| Oper | 66 |
Kompatible Clients
Im folgenden Abschnitt werden die Clients zusammen mit Versionsdetails aufgeführt, die die Verschlüsselung von Citrix Gateway-Anmeldeinformationen unterstützen.
- Die Citrix Workspace-App unter Mac unterstützt die Verschlüsselung nur, wenn die Betriebssystemversion 10.14.x und höher ist.
- Die Citrix SSO App unter Mac unterstützt die Verschlüsselung nur, wenn die Betriebssystemversion 10.14.x und höher ist.
- Die Windows SSO-App hat keine Einschränkungen hinsichtlich der Kompatibilität.
- Die Kennwortverschlüsselung in der Citrix Workspace-App für Windows-Clients wird nur in der Version von Internet Explorer 11 unterstützt.
So aktivieren Sie die Login-Verschlüsselung mit der CLI
Geben Sie an der Eingabeaufforderung Folgendes ein:
set aaa parameter [-loginEncryption (ENABLED | DISABLED)]
Hinweis:
Der Parameter loginEncryption ist standardmäßig auf DISABLED gesetzt. Sie müssen ihn auf ENABLE setzen.
So aktivieren Sie die Anmeldungsverschlüsselung mit der GUI
- Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehrund klicken Sie im Abschnitt Authentifizierungseinstellungen auf AAA-Einstellungenfür Authentifizierungseinstellungenändern .
- Scrollen Sie auf der Seite AAA-Parameter konfigurieren nach unten zur Option Login Encryption und aktivieren Sie sie.