ADC

Visualizador nFactor para una configuración simplificada

A partir de la versión 13.0, compilación 36.27 de Citrix ADC, la configuración de nFactor a través de la GUI se simplifica mediante el visualizador nFactor. El visualizador nFactor ayuda a los administradores a agregar varios factores sin perder de vista cada uno de ellos. El grupo de factores que se incluye en el flujo se muestra en un solo lugar. Los administradores pueden agregar las rutas de éxito y error de la autenticación por separado. Tras crear el flujo, los administradores deben vincular el flujo de nFactor a un servidor virtual de autenticación.

Nota

  • Todos los factores creados por un administrador en el flujo de nFactor se conservan para cualquier uso futuro.
  • A partir de la versión 13.0 de Citrix ADC, compilación 64.35 y versiones posteriores, con el visualizador nFactor, puede iniciar el flujo de nFactor con un bloque de decisión.

Anteriormente, la configuración de nFactor era engorrosa, ya que los administradores tenían que visitar muchas páginas para configurarla. Si se requería un cambio, los administradores tenían que volver a visitar las secciones configuradas cada vez. Además, no había ninguna opción para ver la configuración completa en un solo lugar.

Caso de uso 1: RADIUS seguido de autenticación LDAP; de lo contrario, recurra a Captcha a través de nFactor Visualizer

Consiga la autenticación RADIUS como autenticación de primer nivel seguida de la autenticación LDAP. En caso de que RADIUS falle, la autenticación debe recurrir a Captcha.

Caso de uso 1

Para lograr este caso de uso, puede utilizar el visualizador nFactor. El visualizador proporciona varios controles que se pueden utilizar para agregar este flujo y los elementos relacionados.

La siguiente ilustración muestra el flujo de nFactor creado para el caso de uso mencionado anteriormente mediante el visualizador.

Utilice el caso 1 en el visualizador

  • RADIO. Se configura RADIUS como primer factor. Añades un esquema de inicio de sesión y una directiva. En este ejemplo, radius_auth y RADIUS_policy son el esquema de inicio de sesión y la directiva que se agregan. Para RADIUS_policy, puede agregar otro factor para el caso de éxito. En este ejemplo, se agrega un bloque de factores LDAP para el caso de éxito. Para el caso de error, puede agregar un factor Captcha.

  • LDAP. La autenticación LDAP se configura como segundo factor. Añades un esquema de inicio de sesión y una directiva. En este ejemplo, ldap_auth y LDAP_Policy son el esquema de inicio de sesión y la directiva que se agregan.

  • Captcha. Para el caso de error de la directiva RADIUS, debe crear un factor de Captcha. En este ejemplo, captcha y captcha_policy son el esquema de inicio de sesión y la directiva que se añaden.

Caso de uso 2: LDAP seguido de autenticación por RADIUS/certificado con Captcha basado en la pertenencia a un grupo LDAP a través de nFactor Visualizer

Consiga la autenticación RADIUS como autenticación de primer nivel seguida de la autenticación LDAP. En caso de que RADIUS falle, la autenticación debe recurrir a Captcha.

Caso de uso 2

La siguiente ilustración muestra el flujo de nFactor creado para el caso de uso mencionado anteriormente mediante el visualizador.

Utilice el caso 2 en el visualizador

  • LDAP. Se configura LDAP como primer factor. Añades un esquema de inicio de sesión y una directiva. En este ejemplo, SingleAuth y LDAP_Policy son el esquema de inicio de sesión y la directiva que se agregan. En el caso de LDAP_Policy, puede agregar otro factor para determinar el caso de éxito. En este ejemplo, se agrega un bloque de decisión para el caso de éxito. Para el caso de error, puede agregar un Captcha seguido del factor AD.

  • LDAP de extracción de grupos. Es el bloque de decisión agregado para el caso de éxito de LDAP. El bloque de decisión se utiliza como un factor de ramificación para diversificar a los usuarios en función de las reglas de la directiva. El visualizador permite configurar solo una directiva NO_AUTHN para el bloque de decisiones.

    En este ejemplo, Group_Extraction_LDAP es el bloque de decisión. Añada dos directivas()AD_Group_Partner and AD_Group_Employee a este bloque de decisiones. Como se explica en los casos de uso, todas las solicitudes que se envían a través de la directiva AD_Group_Partner utilizan la autenticación RADIUS. Por lo tanto, conecte el caso de éxito de esta directiva con el siguiente factor, que es el factor RADIUS. Del mismo modo, todas las solicitudes que se envían a través de la directiva AD_Group_Employee utilizan la autenticación por certificación. Por lo tanto, debe conectar el caso de éxito de esta directiva con el siguiente factor, que es el factor de autenticación de certificación.

    • RADIO. Para el caso de éxito de la directiva AD_Group_Partner, debe crear el factor de autenticación RADIUS.

    • Certificado. Para el caso de éxito de la directiva AD_Group_Employee, debe crear el factor de autenticación del certificado.

  • Captcha. Para el caso de error de la directiva de LDAP, cree dos factores siguientes, Captcha y factor AD.

Nota

  • Si tiene un caso práctico para ramificarse como primera opción, puede crear dos flujos y enlazarlos por separado o crear un flujo con el primero como ramificación y vincularlo al servidor virtual.
  • Si tiene varios bloques y para ver el flujo completo en la pantalla de nFactor Flow, haga clic en el visualizador y arrastre el flujo hacia el extremo izquierdo.
  • Citrix recomienda modificar los flujos de nFactor únicamente mediante la página nFactor Flows.

Para configurar nFactor mediante el visualizador nFactor

Nota:

La siguiente configuración de nFactor es un ejemplo sencillo que le ayuda a realizar las configuraciones del caso del caso de uso 1.

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones > nFactor Visualizer > nFactorFlows.
  2. Haga clic en Agregar.
  3. En la página nFactor Flows, haga clic en + para agregar un primer factor para el flujo. El primer factor también sirve como identificador para este flujo de nFactor.

  4. Introduzca el nombre del factor y haga clic en Crear.

    Introduzca un nombre para el factor

    El nombre del factor aparece en el bloque de factores de la página nFactor Flow.

    Nota:

    Se recomienda no utilizar nombres de etiquetas de directivas como, __root y __<flow_name> como sufijo y _db_ como prefijo. Se utiliza como los nombres de los factores que se crean en el flujo nFactor.

  5. Una vez creado el factor RADIUS, se deben crear Agregar esquema y Agregar directiva.

    Crear un esquema y una directiva

    Nota

    Para obtener más información, consulte Conceptos, entidades y terminología de nFactor.

  6. Haga clic en Agregar esquema. Puede agregar un nuevo esquema de inicio de sesión o seleccionar un esquema de inicio de sesión existente de la lista de esquemas de inicio de sesión de autenticación.

    Agregar esquema

  7. Para crear un esquema de inicio de sesión, haga clic en Agregar y, en la página Crear esquema de inicio de sesión de autenticación, introduzca el nombre del esquema. Haga clic en Modificar (icono de lápiz) para seleccionar los archivos del esquema de inicio de sesión de la lista.

    Nombre del esquema

  8. Haga clic en Agregar directiva. Puede crear una nueva directiva o elegir una directiva de autenticación existente.

    Agregar directiva

  9. Para crear una nueva directiva, haga clic en Agregar y, en la página Crear directiva de autenticación, introduzca el nombre de la directiva y haga clic en Crear.

    Crear una directiva

  10. Después de agregar un esquema de inicio de sesión y una directiva al factor, el esquema de inicio de sesión y la directiva aparecen en el factor en el visualizador como se muestra en la siguiente ilustración. Para cualquier factor dado, puede agregar varias directivas y definir el siguiente factor para determinar el éxito o el fracaso de cada directiva. También puede eliminar las directivas que forman parte del factor.

    Esquema y directiva de inicio de sesión en el visualizador

  11. Después de crear el flujo, puede vincular el flujo de nFactor a un servidor virtual de autenticación.

Agregar el siguiente factor

Para agregar el siguiente factor, puede seleccionar una de las siguientes opciones según sus necesidades:

  • Factor de creación. Crea un factor. Cada factor que se crea en un flujo es exclusivo de ese flujo.
  • Crea un bloque de decisiones. Cree un bloque de decisión que sirva como factor de ramificación. No puede agregar un esquema de inicio de sesión al bloque de decisiones. El visualizador permite configurar solo una directiva NO_AUTHN para el bloque de decisiones.

    Nota

    Solo puede agregar o modificar el bloque de decisión a través de la GUI de Citrix ADC. No hay ninguna opción para configurar el bloque de decisiones desde el comando CLI.

  • Conéctese a un factor existente. Seleccione un factor existente como el siguiente factor. Todos los factores que aparecen en la lista existente se crean exclusivamente para ese flujo.
  • Ninguna. Eliminar una conexión existente.

    Agregar el siguiente factor

Agregar el siguiente factor

Para agregar el siguiente factor, puede seleccionar una de las siguientes opciones según sus necesidades:

  • Factor de creación. Crea un factor. Cada factor que se crea en un flujo es exclusivo de ese flujo.
  • Crea un bloque de decisiones. Cree un bloque de decisión que sirva como factor de ramificación. No puede agregar un esquema de inicio de sesión al bloque de decisiones. El visualizador permite configurar solo una directiva NO_AUTHN para el bloque de decisiones.

    Nota

    Solo puede agregar o modificar el bloque de decisión a través de la GUI de Citrix ADC. No hay ninguna opción para configurar el bloque de decisiones desde el comando CLI.

  • Conéctese a un factor existente. Seleccione un factor existente como el siguiente factor. Todos los factores que aparecen en la lista existente se crean exclusivamente para ese flujo.
  • Ninguna. Eliminar una conexión existente.

    Agregar el siguiente factor

Para vincular el flujo nFactor al servidor de autenticación

  1. En la página nFactor Flows, seleccione un flujo de nFactor que prefiera vincular a un servidor virtual de autenticación.

  2. Haga clic en los puntos suspensivos horizontales y seleccione Vincular al servidor de autenticación o, en la página nFactor Flows, haga clic en Vincular al servidor de autenticación.

    Enlazar al servidor de autenticación

  3. En la página Enlazar al servidor de autenticación, puede realizar las siguientes acciones:

    • Para agregar un servidor virtual de autenticación, haga clic en Agregar.
    • Para seleccionar un servidor de autenticación existente de la lista, haga clic en el campo Servidor de autenticación.
  4. Haga clic en Mostrar encuadernaciones en el icono de tres líneas para ver las encuadernaciones.

  5. Para desvincular el servidor de autenticación del flujo de nFactor específico, lleve a cabo los siguientes pasos:

    • En la página Flujo de nFactor, haga clic en Mostrar enlaces en el icono de tres líneas.
    • En la página Enlaces del servidor de autenticación, seleccione el servidor de autenticación que quiera desvincular y haga clic en Desvincular. Haga clic en Cerrar.

Para obtener más información sobre la autenticación nFactor, consulte los temas siguientes:

Mejoras en el visualizador nFactor

A partir de la versión 13.0, compilación 41.20 de Citrix ADC, se realizan las siguientes mejoras en nFactor Visualizer.

  • Los administradores pueden mover los factores creados al icono de la papelera.
  • Consulte los flujos de nFactor en la página del servidor virtual de autenticación.

Icono de papelera. Los administradores solo pueden eliminar los nodos que no tienen conexiones. Sin embargo, las directivas subyacentes o los esquemas que se crean para el factor no se eliminan si el factor se mueve a la papelera.

Para ver el icono de la papelera,

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones > nFactor Visualizer > nFactorFlows. Puede ver el icono de la papelera en la esquina superior izquierda.

  2. Para eliminar el factor, haga clic en el bloque de factores y arrástrelo a la papelera.

Vea el flujo de nFactor desde el servidor virtual de autenticación. Los administradores también pueden ver los flujos de nFactor creados desde la página del servidor virtual de autenticación.

Para ver el flujo de nFactor desde la página del servidor virtual de autenticación,

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones > Servidores virtuales. En la página Servidores virtuales de autenticación, puede realizar los siguientes pasos:
    • Para agregar un servidor virtual de autenticación, haga clic en Agregar.
    • Para modificar un servidor virtual de autenticación existente, haga clic en la opción Modificar del panel de detalles.
  2. En la página del servidor virtual de autenticación, puede ver la opción nFactor Flow en Directivas de autenticación avanzadas.

  3. Si no hay ningún flujo de nFactor vinculado al servidor virtual, puede hacer clic en la opción Sin flujo de nFactor en la sección Directivas de autenticación avanzadas para agregar un nuevo flujo de nFactor o seleccionar el flujo de nFactor existente de la lista.