ADC

Configurar nFactor para aplicaciones con diferentes requisitos de sitio de inicio de sesión, incluida la autenticación escalonada

Normalmente, Citrix Gateway permite el acceso a varias aplicaciones. Dependiendo de los requisitos de seguridad, pueden tener un mecanismo de autenticación diferente. Es posible que algunas aplicaciones solo necesiten un factor único, como una intranet común. Otras aplicaciones como; SAP o herramientas de recursos humanos con datos más críticos deben tener al menos una autenticación multifactor. Sin embargo, la mayoría de los usuarios acceden solo a la intranet, por lo que multifactor para todas las aplicaciones no es la elección correcta.

En este tema se describe cómo cambiar el mecanismo de inicio de sesión dinámicamente en función de las necesidades del usuario que quiere acceder a la aplicación. Además, describa los pasos para configurar la autenticación.

Requisitos previos

Antes de configurar Citrix Gateway, revise los siguientes requisitos previos.

  • Edición de licencia de Citrix ADC Advanced.
  • La versión de la función NetScaler es 11.1 y posterior.
  • Servidor LDAP.
  • Servidor RADIUS.
  • Dirección IP pública.

En el ejemplo de configuración, se utilizan dos aplicaciones con los siguientes requisitos de autenticación.

  • Aplicación web verde
    • Requisito: Nombre de usuario + contraseña LDAP
  • Aplicación web roja
    • Requisito: Nombre de usuario + contraseña LDAP + pin RADIUS

Nota

Junto a LDAP y RADIUS, puede utilizar otros métodos de autenticación como certificados de usuario, TACACS o SAML.

Configuración básica

  1. Agregue ningún servidor y servicios virtuales de equilibrio de carga direccionable para ambas aplicaciones web.

    • Servidores virtuales de equilibrio de carga

      Servidor virtual de equilibrio de carga

    • Servicios

      Servidor virtual de equilibrio de carga

  2. Agregue un servidor virtual de autenticación direccionable, autorización y auditoría básico para el inicio de sesión. No hay necesidad de más configuración en este momento.

    Servidor virtual de equilibrio de carga

  3. Agregar servidor virtual Content Switching de tipo SSL con IP pública. En esta dirección IP, necesita registros DNS para cada aplicación a la que quiere acceder y también para la autenticación, autorización y auditoría del servidor virtual. En este ejemplo, utilice los siguientes nombres DNS:
    • green.lab.local: Aplicación verde
    • red.lab.local -> Aplicación Rojo
    • aaa.lab.local -> autenticación, autorización y auditoría del servidor virtual

    Servidor virtual de equilibrio de carga

    • Enlazar un certificado SSL con CN o SAN coincidentes para todos los registros DNS.
  4. Agregue directivas de conmutador de contenido al servidor virtual. Una para cada aplicación, que debe coincidir con el nombre de host individual. Así es como el dispositivo Citrix ADC determina a qué aplicación quiere acceder el usuario. Además, agregue otra directiva para autenticación, autorización y auditoría con la expresión “true”.

    Servidor virtual de equilibrio de carga

  5. Asegúrese de que la directiva de autenticación, autorización y auditoría tenga la máxima prioridad. De lo contrario, no sería posible acceder a las aplicaciones.

  6. Agregue acciones de cambio de contenido para cada directiva que apunte al servidor virtual coincidente. En este ejemplo, en cada servidor virtual de equilibrio de carga y un servidor virtual de autenticación.

    Servidor virtual de equilibrio de carga

Configuración del nivel de autenticación

Después de completar los servidores virtuales básicos y la configuración de conmutación de contenido, habilite la autenticación y realice la definición fuerte o débil de las aplicaciones.

  1. Desplácese hasta el servidor virtual de equilibrio de carga para la aplicación roja y habilite “Autenticación basada en formularios”. Y agregue un perfil de autenticación.

    Servidor virtual de equilibrio de carga

    Servidor virtual de equilibrio de carga

  2. Introduzca el nombre de host del servidor virtual de autenticación, autorización y auditoría definido para la redirección cuando un usuario quiera acceder a la aplicación y no tenga ninguna sesión existente.

  3. Elija el servidor virtual de autenticación como tipo y enlace la autenticación, la autorización y la auditoría del servidor virtual.

  4. Defina un nivel de autenticación para configurar si una aplicación es más fuerte o más débil que otra. Una sesión en el nivel dado de 100 puede acceder a servidores virtuales con un nivel inferior sin volver a autenticarse. Por otro lado, esta sesión se ve obligada a autenticarse una vez más si el usuario intenta acceder a un servidor virtual con un nivel superior.

    Configurar perfil de autenticación

  5. Repita el paso 1—4 con la aplicación Verde.

  6. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Perfiles de autenticación para agregar Perfil de autenticación.

    Configurar perfiles de autenticación

    Un perfil para cada aplicación, ambos apuntando al nombre de host del servidor virtual de autenticación, autorización y auditoría. En el ejemplo, la aplicación Rojo es más fuerte (Nivel 100) que la aplicación Verde (Nivel 90). Significa que un usuario con una sesión existente para Red puede acceder a Verde sin volver a autenticar. Al contrario, un usuario que accedió a Green al principio debe volver a autenticarse para la aplicación Red.

Configuración nFactor para autenticación multifactor

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Esquema de inicio de sesión > Perfiles para agregar tres esquemas de inicio de sesión y obtener la página de inicio de sesión de Citrix ADC necesaria.

    • Esquema para la autenticación LDAP normal
      • Seleccione SingleAuth XML para presentar los dos campos. Uno para el nombre de usuario y el segundo para la contraseña LDAP.
      • Asegúrese de guardar el nombre de usuario en el índice 1 y la contraseña en el índice 2. Esto es importante para hacer reauth LDAP, cuando un usuario está accediendo a la aplicación Rojo después de la aplicación Verde.
    • Esquema para la reautenticación LDAP

      • Seleccione “noschema” porque el usuario no ve el proceso de reautenticación LDAP.
      • Rellene la expresión Usuario y Contraseña con los campos de atributo definidos en el primer esquema.

        Configurar perfiles de autenticación

    • Esquema para autenticación RADIUS
      • Seleccione “OnlyPassword XML” para presentar solo un campo para el pin RADIUS. El nombre de usuario no es necesario debido al primer inicio de sesión LDAP.

        Configurar el esquema de inicio de sesión de autenticación

  2. El siguiente paso es agregar todas las directivas de autenticación necesarias para controlar el comportamiento de nuestro mecanismo de inicio de sesión. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticación > Directiva.

    • Agregue la directiva LDAP predeterminada con el servidor LDAP requerido.

      Configurar directiva de autenticación

    • Agregue la directiva RADIUS predeterminada con el servidor RADIUS requerido.

      Configurar directiva de autenticación

    • Agregue una tercera directiva de autenticación con el tipo de acción “NO_AUTH” y la expresión “true”. Esta directiva no tendrá ningún efecto que pasar al siguiente factor.

      Configurar directiva de autenticación

    • Cuarta directiva evalúa si un usuario quiere acceder a la aplicación más fuerte Red o no. Esto es importante para hacer una autenticación multifactor para Red.
      • Seleccione “LDAP” como tipo de acción y elija su servidor LDAP.
      • La expresión evalúa si se trata de la aplicación Red comprobando la cookie NSC_TMAP. El usuario emite esta cookie accediendo al sitio de inicio de sesión de Citrix ADC y contiene el nombre del perfil de autenticación vinculado al servidor virtual de equilibrio de carga al que se accede.

        Directiva de servidor virtual LDAP

        Página de inicio de sesión de Citrix

    • La última directiva comprueba si el usuario ha guardado las credenciales de un primer inicio de sesión más débil. Esto es importante para la reactivación automática de LDAP cuando un usuario accedió al principio a la aplicación más débil y ahora quiere iniciar la más fuerte.

      Página de inicio de sesión de Citrix

  3. Agregue algunas etiquetas de directiva para enlazar todas las directivas de autenticación y esquemas de inicio de sesión anteriores. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticación > PolicyLabel.

    • Al principio, comience con la etiqueta para la autenticación RADIUS.

      • Asigne un nombre adecuado para la etiqueta, seleccione el esquema anterior para RADIUS y haga clic en Continuar.

        Etiqueta de directiva

      • El último paso para esta etiqueta es enlazar la directiva de autenticación RADIUS predeterminada.

        Etiqueta de directiva

    • La segunda etiqueta hace la recarga de LDAP.
      • Agregue la etiqueta y vincule el esquema de relogin.

        Volver a asignar esquema

      • Enlazar la directiva de autenticación LDAP y establecer la etiqueta de directiva RADIUS como siguiente factor.

        Vincular directiva de autenticación LDAP

    • Agregue la última etiqueta para la primera autenticación LDAP.
      • Seleccione el esquema adecuado y haga clic en Continuar.

        Seleccionar etiqueta de directiva de autenticación

      • Enlazar la primera directiva para una autenticación segura y establecer GoTo Expression en “Finalizar”. Seleccione la etiqueta de directiva RADIUS como factor siguiente.

      • La segunda directiva es para la autenticación verde débil sin RADIUS.

      • Asegurar la prioridad de la unión.

    • Configure la autenticación, la autenticación y la auditoría. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales.

      • Abra el servidor virtual agregado anteriormente y establezca el tema del portalfavorito.

        Seleccionar etiqueta de directiva de autenticación

      • Enlazar las dos últimas directivas de autenticación restantes directamente en el servidor virtual.

        Directiva de autenticación avanzada

      • Enlazar la directiva de relogin con “NO_AUTH” y la etiqueta de directiva de relogin LDAP como factor siguiente. Esto es para hacer el reauth automático de LDAP con una sesión existente.
      • Establezca la segunda directiva para que se establezca un puente directo con el siguiente factor LDAP cuando no haya ninguna sesión antes.
      • Como siempre, establezca las prioridades correctas.

        Directiva de autenticación prioritaria

Nota

El paso a paso también se puede crear a través del visualizador de nFactor disponible en Citrix ADC versión 13.0 y posterior.

nFactor visualizador configurar autenticación

Configuración de autenticación multifactor a través de Visualizador nFactor

  1. Vaya a Seguridad > Tráfico de aplicaciones AAA > Visualizador nFactor > Flujo de factores y haga clic en Agregar.
  2. Haga clic en el signo + para agregar el flujo de nFactor.

    Flujo de agregar nFactor

  3. Introduzca el nombre del primer factor y haga clic en Crear.

    Crear primer factor

  4. No se necesita ningún esquema para el primer factor. Haga clic en Agregar directiva para agregar la directiva NO_AUTH como se muestra en el paso 2 de la configuración de autenticación multifactor.

    Elegir directiva agregar

  5. Haga clic en azul + para agregar una segunda autenticación.

    Segunda autenticación

  6. Elija la directiva de autenticación creada y haga clic en Agregar.

    Agregar directiva elegir

  7. Haga clic en verde + para agregar un factor siguiente.

    Agrega directivas

  8. Para agregar el siguiente factor de autenticación, seleccione Crear factor, introduzca el nombre del factor y haga clic en Crear.

    Crear factor de relogin

  9. Para agregar un esquema, haga clic en Agregar esquema.

    Agregar autenticación de pasos

  10. Elija el esquema creado en (configuración de autenticación multifactor) y haga clic en Aceptar.

    Esquema de inicio de sesión de autenticación

  11. Haga clic en Agregar directiva y elija la directiva de autenticación.

    LDAP agrega autenticación

  12. Haga clic en verde + para agregar otro factor para la autenticación RADIUS.

    Esquema de inicio de sesión de autenticación

  13. Cree otro factor siguiendo el paso 8.

  14. Haga clic en Agregar esquema y elija esquema para la contraseña solo en la lista.

    Lista de esquemas de contraseñas

  15. Haga clic en Agregar directiva para elegir la autenticación RADIUS y haga clic en Agregar.

    Autenticación de la directiva RADIUS

  16. Haga clic en verde + en el primer factor, junto a step_up-pol.

    Autenticación de la directiva RADIUS

  17. Cree otro factor siguiendo el paso 8.

    Intensificar LDAP

  18. Haga clic en Agregar esquema y elija el esquema.

    Esquema de autenticación único

  19. Haga clic en Agregar directiva para elegir la directiva de autenticación.

    LDAP paso arriba

  20. Haga clic en azul + para agregar otra directiva de autenticación para la autenticación LDAP.

    LDAP otra directiva

  21. Elija la directiva de autenticación LDAP y haga clic en Agregar.

    directiva ADV LDAP

  22. Haga clic en verde + junto a LDAP_Step_Up para agregar la autenticación RADIUS.

    adición de autenticación RADIUS

  23. Como la autenticación RADIUS ya está presente, seleccione Conectar al factor existente y seleccione step_up-radius de la lista.

    adición de autenticación RADIUS

  24. Haga clic en Listo para guardar la configuración.

  25. Para enlazar el flujo de nFactor creado a un servidor virtual de autenticación, autorización y auditoría, haga clic en Vincular al servidor de autenticación y haga clic en Crear.

    Enlazar servidor de autenticación creado

    Nota

    Enlazar y desvincular el flujo de nFactor a través de la opción dada en NFactor Flow bajo Mostrar enlaces solamente.

Desenlazar el flujo de nFactor

  1. Seleccione el flujo nFactor y haga clic en Mostrar enlaces.

  2. Seleccione el servidor virtual de autenticación y haga clic en Desenlazar.

    Desenlazar servidor de autenticación

Resultado

Los siguientes pasos le ayudan a acceder a la aplicación Rojo como primero.

  1. Redirigir a la página de inicio de sesión del servidor virtual de autenticación, autorización y auditoría con un primer factor como LDAP, después de acceder a “red.lab.local”.

    Página de inicio de sesión de autenticación

  2. nFactor evalúa que el usuario quiere acceder a la aplicación Red y muestra el segundo factor RADIUS.

    Segundo factor RADIUS

  3. Citrix ADC otorga acceso a la aplicación Red.

    Pantalla de aplicación roja

  4. Acceda a la aplicación Verde como sigue. Citrix ADC concede acceso inmediato debido a que la sesión de la aplicación más fuerte Rojo.

    Pantalla de aplicación verde

Los siguientes pasos le ayudan a acceder a la aplicación Verde como primero.

  1. Redirigir a la página de inicio de sesión del servidor virtual de autenticación, autorización y auditoría después de acceder a “green.lab.local”.

    Página de inicio de sesión de autenticación

  2. nFactor evalúa la aplicación Green y otorga acceso sin el segundo factor.

    Pantalla de aplicación verde

  3. Acceda a la aplicación Rojo como sigue. El nivel de autenticación más alto requiere volver a conectarse y nFactor hace que LDAP vuelva a conectarse automáticamente con credenciales guardadas desde el primer inicio de sesión en la aplicación Green. Introduzca solo la credencial RADIUS.

    Segundo factor RADIUS

  4. Citrix ADC otorga acceso a la aplicación Red.

    Pantalla de aplicación roja

Configurar nFactor para aplicaciones con diferentes requisitos de sitio de inicio de sesión, incluida la autenticación escalonada