Konfigurieren Sie nFactor für Anwendungen mit unterschiedlichen Anforderungen an die Anmeldesite einschließlich Step-up-Authentifizierung

Normalerweise ermöglicht ein Citrix Gateway den Zugriff auf mehrere Anwendungen. Abhängig von den Sicherheitsanforderungen können sie unterschiedliche Authentifizierungsmechanismen haben. Einige Anwendungen benötigen möglicherweise nur einen einzigen Faktor wie ein gemeinsames Intranet. Andere Anwendungen wie SAP- oder HR-Tools mit kritischeren Daten müssen mindestens über eine Multifaktor-Authentifizierung verfügen. Die meisten Benutzer greifen jedoch nur auf Intranet zu, so dass Multi-Faktor für alle Anwendungen nicht die richtige Wahl ist.

In diesem Thema wird beschrieben, wie der Anmeldemechanismus dynamisch basierend auf den Anforderungen des Benutzers geändert wird, der auf die Anwendung zugreifen möchte. Beschreiben Sie auch die Schritte zum Einrichten der Authentifizierung.

Voraussetzungen

Bevor Sie Citrix Gateway konfigurieren, überprüfen Sie die folgenden Voraussetzungen.

• Citrix ADC Advanced-Lizenz-Edition
• Die Version der NetScaler Funktion ist 11.1 und höher.
• LDAP-Server.
• RADIUS-Server.
• Öffentliche IP-Adresse.

Im Konfigurationsbeispiel verwenden Sie zwei Anwendungen mit den folgenden Authentifizierungsanforderungen.

• Webanwendung grün
  • Anforderung - Benutzername + LDAP-Kennwort
• Webanwendung rot
  • Anforderung - Benutzername + LDAP-Kennwort + RADIUS-Pin

Hinweis:

Neben LDAP und RADIUS können Sie andere Authentifizierungsmethoden wie Benutzerzertifikate, TACACS oder SAML verwenden.

Grundeinstellung

1. Fügen Sie keine adressierbaren virtuellen Server und Dienste für beide Webanwendungen hinzu.

   • Lastenausgleich virtueller Server

   • Services

2. Fügen Sie grundlegende, nicht adressierbare Authentifizierung, Autorisierung und Überwachung virtueller Server für die Anmeldung hinzu. Keine Notwendigkeit einer weiteren Konfiguration im Moment.

3. Hinzufügen von virtuellem Content Switching-Server vom Typ SSL mit öffentlicher IP. Für diese IP-Adresse benötigen Sie DNS-Einträge für jede Anwendung, auf die Sie zugreifen möchten, sowie für die Authentifizierung, Autorisierung und Überwachung des virtuellen Servers. In diesem Beispiel verwenden Sie die folgenden DNS-Namen:
   • green.lab.local - Anwendung Grün
   • red.lab.local -> Anwendung Rot
   • aaa.lab.local -> Authentifizierung, Autorisierung und Überwachung des virtuellen Servers
   • Binden Sie ein SSL-Zertifikat mit übereinstimmendem CN oder SAN für alle DNS-Einträge.

4. Fügen Sie dem virtuellen Server Inhalts-Switch-Richtlinien hinzu. Eine für jede Anwendung, die mit dem individuellen Hostnamen übereinstimmen muss. Auf diese Weise bestimmt der Citrix ADC, auf welche Anwendung der Benutzer zugreifen möchte. Fügen Sie außerdem eine weitere Richtlinie für Authentifizierung, Autorisierung und Überwachung mit dem Ausdruck “true” hinzu.

5. Stellen Sie sicher, dass die Authentifizierungs-, Autorisierungs- und Überwachungsrichtlinie die höchste Priorität hat. Andernfalls wäre es nicht möglich, auf die Anwendungen zuzugreifen.

6. Fügen Sie Inhaltswechselaktionen für jede Richtlinie hinzu, die auf dem passenden virtuellen Server verweist. In diesem Beispiel auf jedem virtuellen Lastausgleichsserver und einem virtuellen Authentifizierungsserver.

Konfiguration der Authentifizierungsebene

Nach Abschluss der grundlegenden virtuellen Server und des Content Switching-Setups aktivieren Sie die Authentifizierung und führen die starke oder schwache Definition für Ihre Anwendungen durch.

1. Navigieren Sie zu Load Balancing Virtual Server für Anwendung Rot, und aktivieren Sie “Formularbasierte Authentifizierung”. Und fügen Sie ein Authentifizierungsprofil hinzu.

2. Geben Sie den definierten Hostnamen für Authentifizierung, Autorisierung und Überwachung des virtuellen Servers für die Umleitung ein, wenn ein Benutzer auf die Anwendung zugreifen möchte und keine Sitzung vorhanden ist.

3. Wählen Sie den virtuellen Authentifizierungsserver als Typ und binden Sie Authentifizierungs-, Autorisierungs- und Überwachungsserver.

4. Definieren Sie eine Authentifizierungsstufe, um zu konfigurieren, ob eine Anwendung stärker oder schwächer ist als eine andere. Eine Sitzung auf der angegebenen Stufe von 100 kann auf virtuelle Server mit einer niedrigeren Ebene zugreifen, ohne sich erneut zu authentifizieren. Auf der anderen Seite ist diese Sitzung gezwungen, sich erneut zu authentifizieren, wenn der Benutzer versucht, auf einen virtuellen Server mit einer höheren Ebene zuzugreifen.

5. Wiederholen Sie Schritt 1—4 mit Anwendung Grün.

6. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Authentifizierungsprofile, um das Authentifizierungsprofil hinzuzufügen.

   Ein Profil für jede Anwendung, das sowohl auf den Hostnamen der Authentifizierung, Autorisierung und Überwachung des virtuellen Servers verweist. In diesem Beispiel ist die Anwendung Rot stärker (Stufe 100) als die Anwendung Grün (Stufe 90). Bedeutet, dass ein Benutzer mit einer vorhandenen Sitzung für Red ohne erneute Authentifizierung auf Grün zugreifen kann. Der andere Weg um einen Benutzer, der zuerst auf Grün zugegriffen hat, muss sich erneut für Anwendung Red authentifizieren.

nFactor-Konfiguration für die Multi-Faktor-Authentifizierung

1. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Anmeldeschema > Profile, um drei Anmeldeschemas hinzuzufügen und die erforderliche Citrix ADC Anmeldeseite zu erreichen.

   • Schema für normale LDAP-Authentifizierung
     • Wählen Sie SingleAuth XML, um die beiden Felder anzuzeigen. Eine für den Benutzernamen und die zweite für das LDAP-Kennwort.
     • Achten Sie darauf, den Benutzernamen bei Index 1 und das Kennwort bei Index 2 zu speichern. Dies ist wichtig für die Durchführung von LDAP-Reauth, wenn ein Benutzer auf Anwendung Red nach Anwendung Green zugreift.

   • Schema für die LDAP-Neuauthentifizierung

     • Wählen Sie “noschema”, da der Benutzer den Prozess der LDAP-Neuauthentifizierung nicht sieht.

     • Füllen Sie den Ausdruck “Benutzer” und “Kennwort” mit den Attributfeldern aus, die Sie im ersten Schema definiert haben.

   • Schema für die RADIUS-Authentifizierung

     • Wählen Sie “OnlyPassword XML”, um nur ein Feld für RADIUS-Pin anzuzeigen. Der Benutzername ist aufgrund der ersten LDAP-Anmeldung nicht erforderlich.

2. Der nächste Schritt besteht darin, alle erforderlichen Authentifizierungsrichtlinien hinzuzufügen, um das Verhalten unseres Login-Mechanismus zu kontrollieren. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Authentifizierung > Richtlinie.

   • Fügen Sie die standardmäßige LDAP-Richtlinie mit dem erforderlichen LDAP-Server hinzu.

   • Fügen Sie die standardmäßige RADIUS-Richtlinie mit dem erforderlichen RADIUS-Server hinzu

   • Fügen Sie eine dritte Authentifizierungsrichtlinie mit Aktionstyp “NO_AUTH” und Ausdruck “true” hinzu. Diese Richtlinie wird keine Wirkung haben, als die Überbrückung zum nächsten Faktor.

   • Vierte Richtlinie bewertet, ob ein Benutzer auf die stärkere Anwendung Rot zugreifen möchte oder nicht. Dies ist wichtig, um eine Multifaktor-Authentifizierung für Rot zu tun.
     • Wählen Sie “LDAP” als Aktionstyp und wählen Sie Ihren LDAP-Server.

     • Der Ausdruck wertet aus, ob es sich um Anwendung Red handelt, indem er das Cookie NSC_TMAP überprüft. Der Benutzer gibt dieses Cookie aus, indem er auf die Citrix ADC Anmeldesite zugreift und enthält den Namen des Authentifizierungsprofils, das an den virtuellen Lastausgleichsserver gebunden ist.

   • Die letzte Richtlinie überprüft, ob der Benutzer Anmeldeinformationen von einer ersten schwächeren Anmeldung gespeichert hat. Dies ist wichtig für die automatische LDAP-erneute Anmeldung, wenn ein Benutzer zuerst auf die schwächere Anwendung zugegriffen hat und nun die stärkere starten möchte.

3. Sie fügen einige Richtlinienlabels zum Binden aller vorherigen Authentifizierungsrichtlinien und Anmeldeschemas hinzu. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Authentifizierung > PolicyLabel.

   • Beginnen Sie zunächst mit der Bezeichnung für die RADIUS-Authentifizierung.

     • Geben Sie einen entsprechenden Namen für die Beschriftung an, wählen Sie das frühere Schema für RADIUS aus, und klicken Sie auf Weiter.

     • Der letzte Schritt für dieses Label besteht darin, die Standard-RADIUS-Authentifizierungsrichtlinie zu binden.

   • Das zweite Label führt die LDAP-Neuanmeldung durch.

     • Fügen Sie das Label hinzu und binden Sie das erneute Login-Schema.

     • Binden Sie die LDAP-Authentifizierungsrichtlinie und legen Sie die RADIUS-Richtlinienbezeichnung als nächsten Faktor fest.

   • Fügen Sie das letzte Label für die erste LDAP-Authentifizierung hinzu.

     • Wählen Sie das entsprechende Schema aus, und klicken Sie auf Weiter.

     • Binden Sie die erste Richtlinie für starke Authentifizierung und setzen Sie “Gehe zu Ausdruck” auf “Ende”. Wählen Sie die RADIUS-Richtlinienbezeichnung als nächster Faktor aus.

     • Zweite Richtlinie ist für schwache grüne Authentifizierung ohne RADIUS.

     • Stellen Sie die Priorität der Bindung sicher.

   • Konfigurieren Sie Authentifizierung, Authentifizierung und Überwachung. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Virtuelle Server.

     • Öffnen Sie den zuvor hinzugefügten virtuellen Server und legen Sie das bevorzugte Portal-Designfest.

     • Binden Sie die letzten beiden verbleibenden Authentifizierungsrichtlinien direkt am virtuellen Server.

     • Binden Sie die Richtlinie für die erneute Anmeldung mit “NO_AUTH” und LDAP-Richtlinienbezeichnung als nächster Faktor. Dies ist für die automatische LDAP-Reauth mit einer vorhandenen Sitzung.
     • Legen Sie die zweite Richtlinie fest, um direkt zum nächsten Faktor LDAP zu überbrücken, wenn vorher keine Sitzung vorhanden ist.

     • Legen Sie wie immer die richtigen Prioritäten fest.

Hinweis:

Das Step-Up kann auch über den nFactor Visualizer erstellt werden, der in Citrix ADC Version 13.0 und höher verfügbar ist.

Konfiguration der Multifaktor-Authentifizierung über nFactor Visualizer

1. Navigieren Sie zu Sicherheit > AAA-Anwendungsverkehr > nFactor Visualizer > nFactor Flow und klicken Sie auf Hinzufügen.

2. Klicken Sie auf das + Zeichen, um den nFactor Flow hinzuzufügen.

3. Geben Sie den ersten Faktornamen ein, und klicken Sie auf Erstellen.

4. Für den ersten Faktor wird kein Schema benötigt. Klicken Sie auf Richtlinie hinzufügen, um die Richtlinie NO_AUTH hinzuzufügen, wie in Schritt 2 der Konfiguration der Multifaktor-Authentifizierung gezeigt.

5. Klicken Sie auf blau+, um die zweite Authentifizierung hinzuzufügen.

6. Wählen Sie die erstellte Authentifizierungsrichtlinie aus und klicken Sie auf Hinzufügen.

7. Klicken Sie auf grün +, um einen nächsten Faktor hinzuzufügen.

8. Um den nächsten Authentifizierungsfaktor hinzuzufügen, wählen Sie Faktor erstellen, geben Sie den Faktornamen ein und klicken Sie auf Erstellen .

9. Um ein Schema hinzuzufügen, klicken Sie auf Schema hinzufügen.

10. Wählen Sie das erstellte Schema in (Multifaktor-Authentifizierungskonfiguration) aus, und klicken Sie auf OK.

11. Klicken Sie auf Richtlinie hinzufügen, und wählen Sie die Authentifizierungsrichtlinie aus.

12. Klicken Sie auf grün +, um einen weiteren Faktor für die RADIUS-Authentifizierung hinzuzufügen.

13. Erstellen Sie einen weiteren Faktor, indem Sie Schritt 8 ausführen.

14. Klicken Sie auf Schema hinzufügen, und wählen Sie Schema nur für das Kennwort aus der Liste aus.

15. Klicken Sie auf Richtlinie hinzufügen, um RADIUS-Authentifizierung auszuwählen, und klicken Sie auf Hinzufügen .

16. Klicken Sie im ersten Faktor neben step_up-pol auf grün + .

17. Erstellen Sie einen weiteren Faktor, indem Sie Schritt 8 ausführen.

18. Klicken Sie auf Schema hinzufügen, und wählen Sie das Schema aus.

19. Klicken Sie auf Richtlinie hinzufügen, um die Authentifizierungsrichtlinie auszuwählen.

20. Klicken Sie auf blau+, um eine weitere Authentifizierungsrichtlinie für die LDAP-Authentifizierung hinzuzufügen.

21. Wählen Sie LDAP-Authentifizierungsrichtlinie und klicken Sie auf Hinzufügen.

22. Klicken Sie neben ldap_step_up auf grün +, um die RADIUS-Authentifizierung hinzuzufügen.

23. Da die RADIUS-Authentifizierung bereits vorhanden ist, wählen Sie Mit vorhandenem Faktor verbindenund wählen Sie step_up-radius aus der Liste aus.

24. Klicken Sie auf Fertig, um die Konfiguration zu speichern.

25. Um den erstellten nFactor Flow an einen virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver zu binden, klicken Sie auf An Authentifizierungsserver binden und dann auf Erstellen.

    Hinweis:

    Binden und lösen Sie die Bindung des nFactor-Flows über die Option, die in nFactor Flow unter Nur Bindungen anzeigen angegeben ist.

Bindung des nFactor-Flows aufheben

1. Wählen Sie den nFactor-Flow aus und klicken Sie auf Bindungen anzeigen.

2. Wählen Sie den virtuellen Authentifizierungsserver aus und klicken Sie auf Unbind.

Ergebnis

Die folgenden Schritte helfen Ihnen, die Anwendung Red als erstes zuzugreifen.

1. Umleitung zur Authentifizierungs-, Autorisierungs- und Überwachungsseite des virtuellen Servers mit einem ersten Faktor als LDAP, nachdem Sie auf “red.lab.local” zugreifen.

2. nFactor wertet aus, dass der Benutzer auf Anwendung Rot zugreifen möchte und zeigt den zweiten Faktor RADIUS an.

3. Citrix ADC gewährt Zugriff auf Anwendung Rot.

4. Greifen Sie wie folgt auf die Anwendung Green zu. Citrix ADC gewährt sofortigen Zugriff, da die Sitzung der stärkeren Anwendung Rot.

Die folgenden Schritte helfen Ihnen, wie zuerst auf die Anwendung Green zuzugreifen.

1. Umleitung zur Authentifizierungs-, Autorisierungs- und Überwachungsseite des virtuellen Servers, nachdem Sie auf “green.lab.local” zugreifen.

2. nFactor wertet die Anwendung Grün aus und gewährt Zugriff ohne den zweiten Faktor.

3. Greifen Sie wie folgt auf die Anwendung Rot zu. Eine höhere Authentifizierungsstufe erfordert eine erneute Anmeldung und nFactor meldet sich automatisch mit gespeicherten Anmeldeinformationen ab der ersten Anmeldung bei Anwendung Green an. Sie geben nur die RADIUS-Anmeldeinformationen ein.

4. Citrix ADC gewährt Zugriff auf die Anwendung Rot.