Citrix ADC

nFactor Visualizer für vereinfachte Konfiguration

Ausgehend von Citrix ADC Release 13.0 Build 36.27 wird die nFactor Konfiguration über die GUI durch die Verwendung des nFactor Visualizer vereinfacht. Der nFactor Visualizer hilft Administratoren, mehrere Faktoren hinzuzufügen, ohne den Überblick über jeden Faktor zu verlieren. Die Gruppe von Faktoren, die im Fluss erstellt werden, wird an einer Stelle angezeigt. Administratoren können Authentifizierungserfolgs- und Fehlerpfade separat hinzufügen. Nach dem Erstellen des Flows müssen Administratoren den nFactor-Flow an einen virtuellen Authentifizierungsserver binden.

Hinweis:

  • Alle Faktoren, die von einem Administrator im nFactor-Flow erstellt werden, werden für jede zukünftige Verwendung beibehalten.
  • Ab Citrix ADC Feature Release 13.0 Build 64.35 und höher können Sie mit dem nFactor Visualizer den nFactor-Flow mit einem Entscheidungsblock starten.

Zuvor war die Konfiguration von nFactor umständlich, wobei die Administratoren viele Seiten besuchen mussten, um sie zu konfigurieren. Wenn eine Änderung erforderlich war, mussten die Administratoren die konfigurierten Abschnitte jedes Mal erneut besuchen. Außerdem gab es keine Möglichkeit, die vollständige Konfiguration an einem Ort anzuzeigen.

Anwendungsfall 1: RADIUS gefolgt von LDAP-Authentifizierung, andernfalls Fallback auf Captcha über nFactor Visualizer

Erreichen Sie die RADIUS-Authentifizierung als Authentifizierung der ersten Ebene, gefolgt von der LDAP-Authentifizierung. Falls RADIUS fehlschlägt, muss die Authentifizierung auf Captcha zurückgreifen.

Verwenden Sie Fall1

Um diesen Anwendungsfall zu erreichen, können Sie den nFactor Visualizer verwenden. Der Visualizer bietet verschiedene Steuerelemente, die verwendet werden können, um diesen Fluss und die zugehörigen Elemente hinzuzufügen.

Die folgende Abbildung zeigt den nFactor-Fluss, der für den zuvor erwähnten Anwendungsfall mithilfe des Visualizers erstellt wurde.

Verwenden Sie Case1 im Visualizer

  • RADIUS. Sie konfigurieren RADIUS als ersten Faktor. Fügen Sie ein Anmeldeschema und eine Richtlinie hinzu. In diesem Beispiel sind radius_auth und radius_policy das hinzugefügte Anmeldeschema und -richtlinie. Für die Radius_Policy können Sie einen weiteren Faktor für den Erfolgsfall hinzufügen. In diesem Beispiel wird ein LDAP-Faktorblock für den Erfolgsfall hinzugefügt. Für den Fehlerfall können Sie einen Captcha-Faktor hinzufügen.

  • LDAP. Sie konfigurieren die LDAP-Authentifizierung als zweiten Faktor. Fügen Sie ein Anmeldeschema und eine Richtlinie hinzu. In diesem Beispiel sind ldap_auth und ldap_policy das Login-Schema und die Richtlinie, die hinzugefügt wird.

  • Captcha. Für den RADIUS-Richtlinienfehler erstellen Sie einen Captcha-Faktor. In diesem Beispiel sind captcha und captcha_policy das Login-Schema und die Richtlinie, die hinzugefügt wird.

Anwendungsfall 2: LDAP gefolgt von RADIUS/Zertifikatauthentifizierung mit Captcha basierend auf LDAP-Gruppenmitgliedschaft über nFactor Visualizer

Erreichen Sie die RADIUS-Authentifizierung als Authentifizierung der ersten Ebene, gefolgt von der LDAP-Authentifizierung. Falls RADIUS fehlschlägt, muss die Authentifizierung auf Captcha zurückgreifen.

Verwenden Sie Fall2

Die folgende Abbildung zeigt den nFactor-Fluss, der für den zuvor erwähnten Anwendungsfall mithilfe des Visualizers erstellt wurde.

Verwenden Sie case2 im Visualizer

  • LDAP. LDAP wird als erster Faktor konfiguriert. Fügen Sie ein Anmeldeschema und eine Richtlinie hinzu. In diesem Beispiel sind SingleAuth und ldap_policy das Login-Schema und die Richtlinie, die hinzugefügt wird. Für die LDAP_Policy können Sie einen weiteren Faktor für den Erfolgsfall hinzufügen. In diesem Beispiel wird ein Entscheidungsblock für den Erfolgsfall hinzugefügt. Für den Fehlerfall können Sie Captcha gefolgt von AD-Faktor hinzufügen.

  • Gruppenextraktion LDAP. Wird der Entscheidungsblock für den LDAP-Erfolgsfall hinzugefügt. Der Entscheidungsblock wird als Verzweigungsfaktor verwendet, um die Benutzer basierend auf den Richtlinienregeln zu verzweigen. Visualizer ermöglicht die Konfiguration nur einer NO_AUTHN-Richtlinie für den Entscheidungsblock.

    In diesem Beispiel ist Group_Extraction_LDAP der Entscheidungsblock. Sie fügen diesem Entscheidungsblock zwei Richtlinien (AD_Group_Partner and AD_Group_Employee) hinzu. Wie in den Anwendungsfällen erläutert, verwenden alle Anforderungen, die über die Richtlinie AD_group_partner weitergeleitet werden, die RADIUS-Authentifizierung. Daher verbinden Sie den Erfolgsfall dieser Richtlinie mit dem nächsten Faktor, der RADIUS-Faktor ist. Ebenso verwenden alle Anforderungen, die über die Richtlinie AD_group_Employee weitergeleitet werden, die Zertifizierungsauthentifizierung. Daher verbinden Sie den Erfolgsfall dieser Richtlinie mit dem nächsten Faktor, der der Zertifizierungsauthentifizierungsfaktor ist.

    • RADIUS. Für den Erfolgsfall der Richtlinie AD_group_Partner erstellen Sie den RADIUS-Authentifizierungsfaktor.

    • Zertifikat. Für den Erfolgsfall AD_group_Employee Policy erstellen Sie den Zertifikatauthentifizierungsfaktor.

  • Captcha. Für den LDAP-Richtlinienfehler erstellen Sie zwei nächste Faktoren, Captcha und AD-Faktor.

Hinweis:

  • Wenn Sie einen Anwendungsfall haben, um als erstes zu verzweigen, können Sie entweder zwei Flows erstellen und separat binden oder einen Flow mit dem ersten als Zweig out erstellen und an den virtuellen Server binden.
  • Wenn Sie mehrere Blöcke haben und den gesamten Flow im nFactor Flow-Bildschirm anzeigen möchten, klicken Sie auf den Visualizer und ziehen Sie den Flow nach ganz links.
  • Citrix empfiehlt, die nFactor-Flows nur mit der Seite nFactor Flows zu ändern.

So konfigurieren Sie nFactor mithilfe des nFactor Visualizers

Hinweis

Die folgende nFactor-Konfiguration ist ein einfaches Beispiel, mit dem Sie die Szenariokonfigurationen für Anwendungsfall 1 durchführen können.

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > nFactor Visualizer > nFactor Flows.
  2. Klicken Sie auf Hinzufügen.
  3. Klicken Sie auf der Seite nFactor Flows auf +, um einen ersten Faktor für den Flow hinzuzufügen. Der erste Faktor dient auch als Bezeichner für diesen nFactor Fluss.

    Einen Faktor hinzufügen

  4. Geben Sie den Faktornamen ein, und klicken Sie auf Erstellen.

    Geben Sie einen Namen für den Faktor

    Der Faktorname wird im Faktorblock auf der Seite nFactor Flow angezeigt.

    Hinweis

    Citrix empfiehlt, dass Sie keine Richtlinienbeschriftungsnamen wie,__rootund__<flow_name>als Suffix und_db_als Präfix verwenden dürfen. Es wird als Faktornamen verwendet, die im nFactor-Flow erstellt werden.

  5. Sobald der RADIUS-Faktor erstellt wurde, müssen die Richtlinie Schema hinzufügen und Richtlinie hinzufügen erstellt werden.

    Erstellen Sie ein Schema und eine Richtlinie

    Hinweis:

    Weitere Informationen finden Sie unter nFactor Konzepte, Entitäten und Terminologie

  6. Klicken Sie auf Schema hinzufügen. Sie können entweder ein neues Anmeldeschema hinzufügen oder ein vorhandenes Anmeldeschema aus der Liste Authentifizierungsanmeldeschema auswählen.

    Schema hinzufügen

  7. Um ein Anmeldeschema zu erstellen, klicken Sie auf Hinzufügen, und geben Sie auf der Seite Authentifizierungsanmeldeschema erstellen den Namen für das Schema ein. Klicken Sie auf Bearbeiten (Bleistiftsymbol), um die Anmeldeschemadateien aus der Liste auszuwählen.

    Name des Schemas

  8. Klicken Sie auf Richtlinie hinzufügen. Sie können eine Authentifizierungsrichtlinie erstellen oder eine vorhandene Authentifizierungsrichtlinie auswählen.

    Richtlinie hinzufügen

  9. Um eine neue Richtlinie zu erstellen, klicken Sie auf Hinzufügen, geben Sie auf der Seite Authentifizierungsrichtlinie erstellen den Namen für die Richtlinie ein, und klicken Sie auf Erstellen .

    Erstellen einer Richtlinie

  10. Nachdem Sie dem Faktor ein Anmeldeschema und eine Richtlinie hinzugefügt haben, werden das Anmeldeschema und die Richtlinie auf dem Faktor im Visualizer angezeigt, wie in der folgenden Abbildung dargestellt. Für jeden Faktor können Sie mehrere Richtlinien hinzufügen und den nächsten Faktor für den Erfolg und Misserfolg jeder Richtlinie definieren. Sie können auch die Richtlinien entfernen, die Teil des Faktors sind.

    Anmeldeschema und Richtlinie im Visualizer

  11. Nachdem Sie den Flow erstellt haben, können Sie den nFactor-Flow an einen virtuellen Authentifizierungsserver binden.

Hinzufügen des nächsten Faktors

Um den nächsten Faktor hinzuzufügen, können Sie je nach Anforderung eine der folgenden Optionen auswählen:

  • Faktor erstellen. Erstellen Sie einen Faktor. Jeder Faktor, der in einem Flow erstellt wird, ist exklusiv für diesen Flow.
  • Erstellen Sie einen Entscheidungsblock. Erstellen Sie einen Entscheidungsblock, der als Verzweigungsfaktor dient. Sie können dem Entscheidungsblock kein Anmeldeschema hinzufügen. Visualizer ermöglicht die Konfiguration nur einer NO_AUTHN-Richtlinie für den Entscheidungsblock.

    Hinweis:

    Sie können den Entscheidungsblock nur über die Citrix ADC GUI hinzufügen oder bearbeiten. Es gibt keine Möglichkeit, den Entscheidungsblock über den CLI-Befehl zu konfigurieren.

  • Stellen Sieeine Verbindung mit einem vorhandenen Faktorher. Wählen Sie einen vorhandenen Faktor als nächsten Faktor aus. Alle Faktoren, die in der bestehenden Liste erscheinen, werden ausschließlich für diesen Flow erstellt.
  • Keine. Entfernen Sie eine vorhandene Verbindung.

    Hinzufügen des nächsten Faktors

    Einen Entscheidungsblock hinzufügen

So binden Sie den nFactor-Flow an den Authentifizierungsserver

  1. Wählen Sie auf der Seite nFactor Flows einen nFactor Flow aus, den Sie an einen virtuellen Authentifizierungsserver binden möchten.

  2. Klicken Sie auf das Hamburger-Symbol, um die Option An Authentifizierungsserver binden auszuwählen, oder klicken Sie im Detailbereich auf An Authentifizierungsserver binden .

    Bindung an Authentifizierungsserver

  3. Auf der Seite An Authentifizierungsserver binden können Sie die folgenden Aktionen ausführen:

    • Um einen virtuellen Authentifizierungsserverhinzuzufügen, klicken Sie auf Hinzufügen.
    • Um einen vorhandenen Authentifizierungsserver aus der Liste auszuwählen, klicken Sie auf das Feld Authentifizierungsserver .

    Auswählen eines Authentifizierungsservers

  4. Klicken Sie im Hamburger-Symbol auf Bindungen anzeigen, um die Bindungen anzuzeigen.

  5. So heben Sie die Bindung des Authentifizierungsservers an den spezifischen nFactor-Flow auf:

    • Klicken Sie auf der Seite nFactor-Flows im Hamburger-Symbol auf Bindungen anzeigen.
    • Wählen Sie auf der Seite Authentifizierungsserverbindungen den Authentifizierungsserver aus, der die Bindung aufgehoben werden soll, und klicken Sie auf Bindung aufheben . Klicken Sie auf Schließen.

    Unverbindlich vom Authentifizierungsserver

Weitere Informationen zur nFactor-Authentifizierung finden Sie in den folgenden Themen:

Verbesserungen am nFactor Visualizer

Ab Citrix ADC Version 13.0 Build 41.20 werden die folgenden Verbesserungen im nFactor Visualizer vorgenommen.

  • Administratoren können die erstellten Faktoren auf das Papierkorbsymbol verschieben.
  • Zeigen Sie die nFactor-Flows auf der Seite Virtueller Authentifizierungsserver an.

Papierkorbsymbol. Administratoren können nur Knoten löschen, die keine Verbindungen haben. Die zugrunde liegenden Richtlinien oder Schemas, die für den Faktor erstellt werden, werden jedoch nicht gelöscht, wenn der Faktor in den Papierkorb verschoben wird.

So zeigen Sie das Papierkorbsymbol an:

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > nFactor Visualizer > nFactor Flows.

    Visualizer - Müllsymbol

  2. Um den Faktor zu löschen, klicken Sie auf den Faktorblock und ziehen ihn in den Papierkorb.

Zeigen Sie den nFactor-Fluss vom virtuellen Authentifizierungsserveran. Administratoren können die erstellten nFactor-Flows auch auf der Seite Authentication Virtual Server anzeigen.

So zeigen Sie den nFactor-Flow von der Seite Virtual Authentication Server an:

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Virtuelle Server. Auf der Seite Virtuelle Authentifizierungsserver können Sie die folgenden Schritte ausführen:
    • Um einen virtuellen Authentifizierungsserver hinzuzufügen, klicken Sie auf Hinzufügen.
    • Um einen vorhandenen virtuellen Authentifizierungsserver zu bearbeiten, klicken Sie im Detailbereich auf Option Bearbeiten .

    Hinzufügen oder Bearbeiten eines Authentifizierungsservers

  2. Auf der Seite Virtueller Authentifizierungsserver können Sie die Option nFactor Flow unter Erweiterte Authentifizierungsrichtlinien anzeigen.

    Anzeigen des nFactor-Flows

  3. Wenn kein nFactor-Flow an den virtuellen Server gebunden ist, können Sie im Abschnitt Erweiterte Authentifizierungsrichtlinien auf Keine nFactor-Flow-Option klicken, um entweder einen neuen nFactor-Flow hinzuzufügen oder den vorhandenen nFactor-Flow aus der Liste auszuwählen.

    Wenn kein nFactor Flow gebunden ist