Tech Brief: Multifaktor-Authentifizierung mit Citrix nFactor

Einführung

Schwache oder gestohlene Passwörter sind eine der Hauptursachen für Sicherheitslücken in Unternehmensnetzwerken. Sie können zum Verlust von geistigem Eigentum und zum Verlust personenbezogener Daten (PII) führen und erhebliche Auswirkungen auf das Unternehmen haben. Die Multifaktor-Authentifizierung (MFA) ist eine der besten Sicherheitsmaßnahmen zum Schutz vor Identitätsschwachstellen.

In der Regel gibt es drei Arten der Authentifizierung, die zur Identifizierung von Benutzern verwendet werden:

1) Etwas, das Sie wissen (z. B. ein Kennwort) - dieser Typ ist historisch gesehen der am häufigsten verwendete Typ. Benutzer geben einen Benutzernamen und ein Kennwort ein, die nur sie kennen. Passwörter können gegen Angriffe von bösartigen Akteuren mit einer größeren Anzahl von Zeichen und mit mehr Arten von Zeichen gestärkt werden. Benutzer sind jedoch nur Menschen und können sie einfach halten oder es vermeiden, sie regelmäßig zu ändern. Wenn der Endpunkt dann mit Malware infiziert ist, ist es nur eine Frage der Zeit, bis unerbittliche Algorithmen das Kennwort herausfinden und Systeme und Daten gefährden, auf die der Benutzer Zugriff hat.

2) Etwas, das Sie haben (z. B. einen digitalen Schlüssel, eine physische oder virtuelle Smartcard) - dieser Typ ist ein häufiger zweiter Faktor, insbesondere bei der US-Regierung. Den Benutzern wird eine Smartcard ausgestellt, und nach Eingabe ihres Benutzernamens und Kennworts werden ein privates Zertifikat und ein Schlüssel extrahiert und validiert. Physische Karten werden in Lesegeräte eingesetzt, die an Endpunkten angeschlossen sind, oder virtuelle Karten werden auf dem Endpunkt installiert, die der Benutzer kopieren und in das Authentifizierungsformular einfügen kann.

3) Etwas, das Sie sind (z. B. ein Fingerabdruckscanner) - dieser Typ ist eine dritte Methode, die sich auf die Verwendung biometrischer Daten zur eindeutigen Identifizierung eines Benutzers konzentriert. In der Vergangenheit wurde die Einführung der Biometrie aufgrund der Implementierungskosten und der Komplexität langsamer im Mainstream, doch sie sind eine leistungsstarke Option für Hochsicherheitsumgebungen.

Bei der Multifaktor-Authentifizierung werden zwei oder mehr dieser Authentifizierungstypen verwendet, um die Benutzeridentität zu überprüfen und das Risiko zu verringern, dass böswillige Akteure Zugriff auf Unternehmensumgebungen erhalten.

Citrix nFactor MFA

Übersicht

Der Citrix ADC unterstützt verschiedene Multifaktor-Authentifizierungsmethoden. Es bietet einen erweiterbaren und flexiblen Ansatz für die Konfiguration mit nFactor-Authentifizierung.

Es unterstützt auch verschiedene Technologien zur Anwendungsbereitstellung, die Multifaktor-Authentifizierung nutzen können, darunter Content Switching, Traffic Management Load Balancing, Full VPN und Gateway-Proxy. Es kann in on-premises, Cloud- und Hybridumgebungen eingesetzt werden.

In dieser Kurzdarstellung wird die Multifaktor-Authentifizierung mithilfe von fünf Methodenpaaren mit Citrix Gateway beschrieben. Es konzentriert sich auf die Verwendung der Methoden mit on-premises Umgebungen von Citrix Virtual Apps and Desktops und mit Citrix Workspace.

Citrix nFactor MFA

nFactor

nFactor verwendet Citrix ADC AAA Virtual Server, um die Multifaktor-Authentifizierung bereitzustellen. Sie sind an erweiterte Richtlinien und Aktionen gebunden, die in Faktoren gruppiert sind, um Authentifizierungsmethoden zu implementieren. Die Schnittstelle für Benutzer, die Anmeldeinformationen für die Authentifizierung anfordern, und die Variablen, die ihre Eingabe speichern, sind in einem Anmeldeschema definiert.

nFactor kann über die CLI, manuell über die GUI oder über das Visualizer-Tool in der GUI konfiguriert werden. Zu den relevanten Konfigurationselementen gehören:

  • Visualizer - ein in der Citrix ADC GUI verfügbares Tool, das bei der Konfiguration von nFactor zur Implementierung von MFA-Flows für eine Vielzahl von Authentifizierungsanforderungen hilft.
  • Citrix ADC AAA Virtual Server - “Faktor 0” ist der Ausgangspunkt für MFA, auf die von virtuellen Gateway-, LB- oder Content Switch-Servern verwiesen wird, die für die Authentifizierung darauf angewiesen sind.
  • Faktor - Faktoren, die an den Citrix ADC AAA Virtual Server gebunden sind, fungieren als “Bucket”, um eine Reihe von Richtlinien und ein passendes Schema zu enthalten. (Wird auch als Policy Labels bezeichnet, wenn der Visualizer nicht verwendet wird)
  • Anmeldeschema — Die “Landingpage” für jeden Authentifizierungsfaktor enthält Feldtypen und Variablen, auf die im gesamten Flow verwiesen wird.
  • Richtlinie — ein Objekt, das Authentifizierungsaktionen zugeordnet wird und einen Ausdruck enthält, um festzustellen, wann es sich um eine Übereinstimmung handelt.
  • Action — Definiert die verschiedenen Authentifizierungsmethoden. SAML, OAuth, Zertifikat, LDAP usw.

Citrix nFactor MFA

Methoden

Citrix ADC unterstützt viele Authentifizierungsmethoden. Weitere Informationen finden Sie unter Citrix ADC Authentication Methods. In diesem Brief konzentrieren wir uns auf die Verwendung von Domänenanmeldeinformationen, die etwas darstellen, das der Benutzer weiß, mit fünf Variationen von etwas, das der Benutzer hat.

  1. Natives OTP
  2. Token drücken
  3. E-Mail OTP
  4. Gruppen-Extraktion
  5. Gerätezertifikat

Natives OTP

Natives OTP oder “One Time Pin” funktioniert vom Citrix ADC, sodass sich Benutzer bei einer App registrieren, die OTP unterstützt, und einen Schlüssel mit ihr teilen. Dann verwendet es die aktuelle Uhrzeit zusammen mit diesem Schlüssel, um in regelmäßigen Abständen eine Folge von Zahlen zu generieren, die nur die OTP-App des Benutzers hat (z. B. Microsoft Authenticator oder Citrix SSO-App). Standardmäßig wird ein sechsstelliger OTP-Code verwendet, der 30 Sekunden lang gültig ist.

In unserem Szenario gibt der Benutzer zur erfolgreichen Authentifizierung seine Domänenanmeldeinformationen gefolgt vom OTP-Code ein. Nach erfolgreicher Validierung durch den Citrix ADC werden die Anmeldeinformationen des Benutzers an die Zielbereitstellungssysteme weitergeleitet, und ihre Apps-Sitzungen können mit Single Sign-On eingerichtet werden.

Citrix nFactor MFA

Weitere Informationen zum Ausprobieren in Ihrer Umgebung finden Sie unter: Proof of Concept Guide: nFactor for Citrix Gateway mit nativer OTP-Authentifizierung

Token drücken

Mit Push Token führt der Benutzer auch eine Erstregistrierung beim Citrix ADC durch. Bei dieser Methode muss der Benutzer jedoch keinen Code kopieren und einfügen. Stattdessen sendet der ADC eine PUSH-Benachrichtigung über mobile Bereitstellungsnetzwerke (APNS für Apple-Geräte oder GCM für Android-Geräte). Dann muss der Benutzer einfach ein Popup aus der Citrix SSO-App akzeptieren, um den zweiten Faktor abzuschließen. Sobald die Anmeldeinformationen des Benutzers an die Zielbereitstellungssysteme und deren Apps weitergeleitet wurden, können Sitzungen mit Single Sign-On eingerichtet werden.

Citrix nFactor MFA

Weitere Informationen zum Ausprobieren in Ihrer Umgebung finden Sie unter: Proof of Concept Guide: nFactor for Citrix Gateway Authentication with Push Token

E-Mail OTP

E-Mail-OTP funktioniert wie Native OTP, doch der OTP-Code wird als E-Mail und nicht an eine App gesendet. Diese Methode ist nützlich für Benutzergruppen, die keine mobilen Geräte haben. Dies funktioniert auf ähnliche Weise, da der generierte Code in regelmäßigen Abständen abläuft und der Benutzer ihn zusammen mit seinen Anmeldeinformationen kopieren und in ein Feld einfügen muss.

Citrix nFactor MFA

Weitere Informationen zum Ausprobieren in Ihrer Umgebung finden Sie unter: Proof of Concept Guide: nFactor for Citrix Gateway Authentication with Email OTP

Gruppen-Extraktion

Die Gruppenextraktion ist dieselbe Art der Authentifizierung wie die Eingabe von Domänenanmeldeinformationen, kann jedoch zu anderen Typen weitergeleitet werden, indem die Gruppenmitgliedschaft des Benutzers extrahiert wird. Anschließend können Administratoren anhand des vorherigen Beispiels eine Gruppe als mobile Benutzer oder Nicht-Mobilbenutzer festlegen, um festzustellen, ob ihr zweiter Faktor Push Token und E-Mail-OTP ist. Alternativ können sie Benutzergruppen entsprechend ihrer Sicherheitsperson benennen und die Anzahl und Art der Authentifizierungsmethoden entsprechend dem Risikoprofil der Gruppe abgleichen.

Beispiele für Benutzergruppen sind:

  • Normale Sicherheitsgruppe für Personen, die aufgrund ihrer Tätigkeit geringere Sicherheitsanforderungen oder eingeschränkten Datenzugriff haben und sich innerhalb der Grenzen des Sicherheitsbereichs des Unternehmens befinden. Diese Gruppe benötigt möglicherweise nur einen Faktor.

  • Erhöhte Sicherheitsgruppe für externe Mitarbeiter oder Auftragnehmer, die keine Hintergrundprüfungen durchgeführt haben und höhere Sicherheitsanforderungen haben. Für diese Gruppe sind möglicherweise zwei oder mehr Faktoren erforderlich.

  • Hochsicherheitsgruppe für Mitarbeiter, die kritische Aufgaben ausführen und eine spezielle behördliche Genehmigung oder Genehmigung durch die Branche benötigen. Diese Gruppe erfordert möglicherweise zwei oder mehr Faktoren und kontextbezogene Überprüfungen wie die Quell-IP-Adresse.

Citrix nFactor MFA

Weitere Informationen zum Ausprobieren in Ihrer Umgebung finden Sie unter: Proof of Concept Guide: nFactor for Citrix Gateway Authentication with Group Extraction

Gerätezertifikat

Das Gerätezertifikat hängt von der Verfügbarkeit eines eindeutigen Zertifikats auf dem Endpunkt ab. Der Citrix ADC überprüft, ob das Zertifikat von einer bestimmten Zertifizierungsstelle ausgestellt wurde. Es gibt verschiedene Methoden, um das Ausstellen und Widerrufen der Zertifikate zu verwalten. Sobald es installiert ist, kann es einen nahtlosen zweiten Authentifizierungsfaktor bieten, der nur geringe oder keine Eingaben vom Benutzer erfordert.

Citrix nFactor MFA

Weitere Informationen zum Ausprobieren in Ihrer Umgebung finden Sie unter: Proof of Concept Guide: nFactor for Citrix Gateway Authentication with Device Certificate

Workspace-Dienst

Sobald Sie ein nFactor-Flow-Setup haben, können Sie es in den Workspace-Dienst integrieren. Innerhalb des Workspace-Dienstes unter Identity and Access Management stellt der Citrix Gateway Service Einstellungen bereit, die für die Integration mit dem Citrix ADC mithilfe von OAuth erforderlich sind.

1.) Citrix Workspace - konfigurieren Sie den Citrix Gateway Service so, dass er auf den virtuellen Citrix ADC Server verweist. Ändern Sie die Workspace-Authentifizierungsmethode auf Citrix Gateway

Weitere Informationen zum Ausprobieren in Ihrer Umgebung finden Sie in: Tech Insight Video: Authentifizierung — On-Premises Citrix Gateway

Citrix nFactor MFA

2.) Citrix ADC nFactor - Erstellen Sie eine OAuth-Richtlinie mithilfe von Mandanteninformationen, die vom Workspace-Dienst abgerufen wurden. Binden Sie es an den entsprechenden virtuellen AAA-Server mit einer höheren Priorität als dem nFactor-Flow. Aktualisieren Sie das Zielseitenthema “Logon Point” mit dem Erscheinungsbild von Citrix Workspace.

Weitere Informationen zum Ausprobieren in Ihrer Umgebung finden Sie unter: Anpassen der on-premises Citrix Gateway-Authentifizierungsseite so, dass sie mit der Citrix Cloud-Anmeldeseite identisch aussieht

Citrix nFactor MFA

Nach der Konfiguration greifen Benutzer weiterhin auf ihre Workspace-Dienstdomäne zu (z. B. https://<customerdomain>.cloud.com) und werden automatisch zum Citrix ADC FQDN umgeleitet. Nach erfolgreicher Authentifizierung leitet Citrix ADC den Status für den Benutzernamen zurück an den Workspace, und dem Benutzer werden seine Ressourcen angezeigt.

Citrix nFactor MFA

Zusammenfassung

Mit Citrix nFactor können Unternehmen eine zuverlässige Multifaktor-Authentifizierung implementieren und den primären Zugang zu ihren Umgebungen stärken. Sie können diese Sicherheitsverbesserung implementieren und gleichzeitig eine gute Benutzererfahrung gewährleisten.

Tech Brief: Multifaktor-Authentifizierung mit Citrix nFactor