Citrix ADC

nFactor Visualizador para una configuración simplificada

A partir de Citrix ADC versión 13.0 compilación 36.27, la configuración de nFactor a través de GUI se simplifica mediante el uso de nFactor Visualizer. El visualizador de nFactor ayuda a los administradores a agregar varios factores sin perder la noción de cada factor. El grupo de factores que se generan en el flujo se muestra en un solo lugar. Los administradores pueden agregar rutas de autenticación de éxito y error por separado. Después de crear el flujo, los administradores tienen que vincular el flujo de nFactor a un servidor virtual de autenticación.

Nota

Todos los factores creados por admin en el flujo de nFactor se conservan para cualquier uso futuro.

Anteriormente, la configuración nFactor era engorrosa, ya que los administradores tenían que visitar muchas páginas para configurarla. Si se requería un cambio, los administradores tenían que volver a visitar las secciones configuradas cada vez. Además, no había opción para ver la configuración completa en un solo lugar.

Caso de uso 1: RADIUS seguido de la autenticación LDAP; de lo contrario, se recurre a Captcha a través de nFactor Visualizer

Consiga la autenticación RADIUS como la autenticación de primer nivel seguida de la autenticación LDAP. En caso de que RADIUS falle, la autenticación debe volver a Captcha.

Imagen localizada

Para lograr este caso de uso, puede usar el visualizador de nFactor. El Visualizador proporciona varios controles que se pueden utilizar para agregar este flujo y los elementos relacionados.

La siguiente figura muestra el flujo de nFactor creado para el caso de uso mencionado anteriormente mediante el visualizador.

Imagen localizada

  • RADIUS. Configurar RADIUS como primer factor. Agregue un esquema de inicio de sesión y una directiva. En este ejemplo, radius_auth y Radius_Policy son el esquema de inicio de sesión y la directiva que se agregan. Para Radius_Policy, puede agregar otro factor para el caso de éxito. En este ejemplo, se agrega un bloque de factor LDAP para caso de éxito. Para caso de fallo, puede agregar un factor Captcha.

  • LDAP. Configurar la autenticación LDAP como segundo factor. Agregue un esquema de inicio de sesión y una directiva. En este ejemplo, ldap_auth y LDAP_Policy son el esquema de inicio de sesión y la directiva que se agregan.

  • Captcha. Para el caso de error de directiva RADIUS, se crea un factor Captcha. En este ejemplo, captcha y captcha_policy son el esquema de inicio de sesión y la directiva que se agregan.

Caso de uso 2: LDAP seguido de RADIUS/autenticación de certificados con Captcha basada en la pertenencia al grupo LDAP a través de nFactor Visualizer

Consiga la autenticación RADIUS como la autenticación de primer nivel seguida de la autenticación LDAP. En caso de que RADIUS falle, la autenticación debe volver a Captcha.

Imagen localizada

La siguiente figura muestra el flujo de nFactor creado para el caso de uso mencionado anteriormente mediante el visualizador.

Imagen localizada

  • LDAP. Configurar LDAP como el primer factor. Agregue un esquema de inicio de sesión y una directiva. En este ejemplo, SingleAuth y LDAP_Policy son el esquema de inicio de sesión y la directiva que se agregan. Para LDAP_Policy, puede agregar otro factor para el caso de éxito. En este ejemplo, se agrega un bloque de decisión para el caso de éxito. Para caso de fallo, puede agregar Captcha seguido de factor AD.

  • LDAP de extracción de grupo. Es el bloque de decisión agregado para el caso de éxito de LDAP. El bloque de decisión se utiliza como un factor de ramificación para ramificar los usuarios en función de las reglas de directiva. Visualizer permite configurar solo una directiva NO_AUTHN para el bloque de decisión.

    En este ejemplo, Group_Extraction_LDAP es el bloque de decisión. Agregue dos directivas (AD_Group_Partner y AD_Group_Employee) a este bloque de decisión. Como se explica en los casos de uso, todas las solicitudes enrutadas a través de la directiva AD_Group_Partner utilizan autenticación RADIUS. Por lo tanto, conecte el caso de éxito de esta directiva al siguiente factor que es el factor RADIUS. Del mismo modo, todas las solicitudes enrutadas a través de la directiva AD_Group_Employee utilizan autenticación de certificación. Por lo tanto, conecte el caso de éxito de esta directiva al siguiente factor que es el factor de autenticación de certificación.

    • RADIUS. Para el caso de éxito de directiva AD_Group_Partner, se crea el factor de autenticación RADIUS.

    • Certificado. Para el caso de éxito de directiva AD_Group_Employee, se crea el factor de autenticación de certificado.

  • Captcha. Para el caso de error de directiva LDAP, cree dos factores siguientes, Captcha y factor AD.

Nota

  • Si tiene un caso de uso para ramificarse como lo primero, puede crear dos flujos y vincularse por separado o crear un flujo con el primero como bifurcación, y vincularlo al servidor virtual.
  • Si tiene varios bloques y para ver todo el flujo en la pantalla Flujo de nFactor, haga clic en el visualizador y arrastre el flujo hacia el extremo izquierdo.
  • Citrix recomienda modificar los flujos de nFactor mediante solo la página Flujos de nFactor.

Para configurar nFactor mediante el visualizador de nFactor

Nota

La siguiente configuración nFactor es un ejemplo sencillo que le ayuda a realizar las configuraciones de caso de caso de uso 1.

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Visualizador de nFactor > Flujos de nFactor.
  2. Haga clic en Agregar.
  3. En la página Flujos de factor, haga clic en + para agregar un primer factor para el flujo. El primer factor también sirve como un identificador para este flujo de nFactor.

    Imagen localizada

  4. Introduzca el nombre del factor y haga clic en Crear.

    Imagen localizada

    El nombre del factor aparece en el bloque de factores en la página Flujo de nFactor.

    Nota

    Citrix recomienda no utilizar nombres de etiqueta de directiva como,__root y __<flow_name>como sufijo y_db_prefijo. Se utiliza como los nombres de factor que se crean en el flujo de nFactor.

  5. Una vez creado el factor RADIUS, se deben crear Agregar esquema y Agregar directiva.

    Imagen localizada

    Nota

    Para obtener más información, consulte Conceptos, entidades y terminología de nFactor

  6. Haga clic en Agregar esquema. Puede agregar un nuevo esquema de inicio de sesión o seleccionar un esquema de inicio de sesión existente en la lista Esquema de inicio de sesión de autenticación.

    Imagen localizada

  7. Para crear un esquema de inicio de sesión, haga clic en Agregar y, en la página Crear esquema de inicio de sesión de autenticación, escriba el nombre del esquema. Haga clic en Modificar (icono de lápiz) para seleccionar los archivos de esquema de inicio de sesión en la lista.

    Imagen localizada

  8. Haga clic en Agregar directiva. Puede crear una directiva de autenticación o seleccionar una directiva de autenticación existente.

    Imagen localizada

  9. Para crear una directiva nueva, haga clic en Agregar y, en la página Crear directiva de autenticación, escriba el nombre de la directiva y haga clic en Crear.

    Imagen localizada

  10. Después de agregar un esquema de inicio de sesión y una directiva al factor, el esquema de inicio de sesión y la directiva aparecen en el factor en el visualizador como se muestra en la siguiente figura. Para cualquier factor determinado, puede agregar varias directivas y definir el siguiente factor para el éxito y el fracaso de cada directiva. También puede quitar las directivas que forman parte del factor.

    Imagen localizada

  11. Después de crear el flujo, puede enlazar el flujo de nFactor a un servidor virtual de autenticación.

Agregar el siguiente factor

Para agregar el siguiente factor, puede seleccionar una de las siguientes opciones según su requisito:

  • Crear factor. Cree un factor. Cada factor que se crea en un flujo es exclusivo de ese flujo.
  • Cree un bloque de decisión. Cree un bloque de decisión que sirva como factor de ramificación. No puede agregar un esquema de inicio de sesión al bloque de decisión. Visualizer permite configurar solo una directiva NO_AUTHN para el bloque de decisión.

    Nota

    Solo puede agregar o modificar el bloque de decisión a través de la GUI de Citrix ADC. No hay opción para configurar el bloque de decisión desde el comando CLI.

  • Conéctese a un factor existente. Seleccione un factor existente como su siguiente factor. Todos los factores que aparecen en la lista existente se crean exclusivamente para ese flujo.
  • Ninguno. Quitar una conexión existente.

    Imagen localizada

    Imagen localizada

Para enlazar el flujo de nFactor al servidor de autenticación

  1. En la página Flujos de nFactor, seleccione un flujo de nFactor que prefiera enlazar a un servidor virtual de autenticación.

  2. Haga clic en el icono de hamburguesa para seleccionar la opción Vincular al servidor de autenticación o, en el panel de detalles, haga clic en Vincular al servidor de autenticación.

    Imagen localizada

  3. En la página Vincular al servidor de autenticación, puede realizar las siguientes acciones:

    • Para agregar un servidor virtual de autenticación, haga clic en Agregar.
    • Para seleccionar un servidor de autenticación existente de la lista, haga clic en el campo Servidor de autenticación.

    Imagen localizada

  4. Haga clic en Mostrar enlaces en el icono de hamburguesa para ver los enlaces.

  5. Para desvincular el servidor de autenticación del flujo de nFactor específico, lleve a cabo los siguientes pasos:

    • En la página Flujos de nFactor, haga clic en Mostrar enlaces en el icono de hamburguesa.
    • En la página Enlaces del servidor de autenticación, seleccione el servidor de autenticación que quiere desenlazar y haga clic en Desvincular. Haga clic en Cerrar.

    Imagen localizada

Para obtener más información sobre la autenticación nFactor, consulte los temas siguientes:

Mejoras en el visualizador de nFactor

A partir de Citrix ADC versión 13.0 compilación 41.20, se realizan las siguientes mejoras en nFactor Visualizer.

  • Los administradores pueden mover los factores creados al icono de papelera.
  • Vea los flujos nFactor en la página Servidor Virtual de Autenticación.

Icono de papelera. Los administradores solo pueden eliminar los nodos que no tienen conexiones. Sin embargo, las directivas subyacentes o los esquemas que se crean para el factor no se eliminan si el factor se mueve a la papelera.

Para ver el icono de papelera,

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Visualizador de nFactor > Flujos de nFactor.

    Imagen localizada

  2. Para eliminar el factor, haga clic en el bloque de factores y arrástrelo a la papelera.

Ver el flujo de nFactor desde el servidor virtual de autenticación. Los administradores también pueden ver los flujos nFactor creados desde la página Servidor Virtual de Autenticación.

Para ver el flujo de nFactor desde la página Servidor Virtual de Autenticación,

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Servidores virtuales. En la página Servidores virtuales de autenticación, puede realizar los siguientes pasos:
    • Para agregar un servidor virtual de autenticación, haga clic en Agregar.
    • Para modificar un servidor virtual de autenticación existente, haga clic en la opción Modificar en el panel de detalles.

    Imagen localizada

  2. En la página Servidor virtual de autenticación, puede ver la opción Flujo de nFactor en Directivas de autenticación avanzadas.

    Imagen localizada

  3. Si no hay flujo de nFactor enlazado al servidor virtual, puede hacer clic en la opción Sin flujo de nFactor en la sección Directivas de autenticación avanzadas para agregar un nuevo flujo de nFactor o seleccionar el flujo de nFactor existente de la lista.

    Imagen localizada