PoC Guide: nFactor for Citrix Gateway Authentication with Push Token

Introducción

Las contraseñas de una sola vez basadas en tiempo (TOTP) son un método cada vez más común para proporcionar una autenticación que puede aumentar la postura de seguridad con otros factores. TOTP con PUSH aprovecha los dispositivos móviles al permitir a los usuarios recibir y aceptar solicitudes de validación de autenticación al alcance de su mano. El intercambio se protege aplicando un hash a una clave compartida, distribuida durante la instalación.

Citrix Gateway admite notificaciones push para OTP y, puede proporcionar autenticación para varios servicios, incluidos servicios web, VPN y Citrix Virtual Apps and Desktops. En esta Guía de POC, demostramos su uso para la autenticación en un entorno Citrix Virtual Apps and Desktops.

autenticación PUSH

Información general

Esta guía muestra cómo implementar un entorno de prueba de concepto mediante la autenticación de dos factores con Citrix Gateway. Utiliza LDAP para validar las credenciales de Active Directory como primer factor y utilizar Citrix Cloud Push Authentication como segundo factor. Utiliza un escritorio virtual publicado por Citrix Virtual Apps and Desktops para validar la conectividad.

Se hacen suposiciones sobre la instalación y configuración completadas de los siguientes componentes:

  • Citrix Gateway instalado, licenciado y configurado con un servidor virtual accesible externamente enlazado a un certificado comodín.
  • Citrix Gateway integrado con un entorno Citrix Virtual Apps and Desktops que utiliza LDAP para la autenticación
  • Cuenta de Citrix Cloud establecida
  • Endpoint con la aplicación Citrix Workspace instalada
  • Dispositivo móvil con la aplicación Citrix SSO instalada
  • Active Directory (AD) está disponible en el entorno

Consulte la documentación de Citrix para obtener la versión más reciente del producto y los requisitos de licencia. autenticación PUSH

Citrix Gateway

Factor nFactor

  1. Inicie sesión en la interfaz de usuario de Citrix ADC
  2. Vaya a Administración de Tráfico > SSL> Certificados > Todos los certificados para comprobar que tiene instalado el certificado de dominio. En este ejemplo POC utilizamos un certificado comodín correspondiente a nuestro dominio de Active Directory. Consulte Certificados SSL de Citrix ADC para obtener más información.

Acción de servicio Push

  1. A continuación, vaya a Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > Push service
  2. Seleccione Agregar
  3. Rellene los siguientes campos y haga clic en Aceptar: Autenticación PUSH * Nombre: un valor único. Introduciremos valores en los siguientes campos para integrarlos con Citrix Cloud - Servicio PUSH * Inicie sesión en Citrix Cloud y vaya a Administración de acceso e identidad > Acceso API * Cree un nombre único para el servicio push y seleccione crear cliente. copiará y pegará estos valores en nuestra política de Citrix ADC para integrarlos con Citrix Cloud - Autenticación PUSH del servicio PUSH * ID de cliente: copie y pegue el ID de cliente del ID de Citrix Cloud y la ventana emergente secreta * Secreto del cliente: copie y pegue el ID de cliente en la ventana emergente de secretos e ID de Citrix Cloud * Seleccione Cerrar autenticación PUSH * ID de cliente: copie y pegue el ID de cliente de la página de acceso a la API de administración de acceso e identidad de Citrix Cloud
  4. Haga clic en Crear

LDAP - acción de autenticación

  1. A continuación, vaya a Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > LDAP
  2. Seleccione Agregar
  3. Rellene los campos siguientes
    • Nombre: Un valor único
    • Nombre del servidor/dirección IP: Seleccione un FQDN o una dirección IP para los servidores AD. Entramos 192.0.2.50_LDAP
    • DN base: Introduzca la ruta al contenedor de usuario de AD. Entramos OU=Team Accounts, DC=workspaces, DC=wwco, DC=net
    • Administrador Bind DN: Introduzca la cuenta de administrador/servicio para consultar AD para autenticar usuarios. Entramos workspacesserviceaccount@workspaces.wwco.net
    • Confirmar/Contraseña de administrador - introduzca/confirmar la contraseña de administrador/cuenta de servicio
    • Atributo de nombre de inicio de sesión del servidor: En el segundo campo debajo de este campo introduzca userPrincipalName
  4. Seleccione Crear autenticación PUSH . Para obtener más información, consulte directivas de autenticación LDAP.

LDAP: Acción de almacenamiento de tokens

  1. A continuación, vaya a Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > LDAP
  2. Seleccione la acción LDAP creada anteriormente y seleccione crear
  3. Agregue OTP o cualquier identificador al nombre y anule la selección de autenticación Autenticación PUSH
  4. En Configuración de conexión, compruebe el DN base, el DN de enlace del administrador y la contraseña. Asegúrese de que el usuario administrador o la cuenta de servicio es miembro de los administradores de dominio. Esta directiva se utilizará para escribir el token registrado por la aplicación autenticadora del usuario en el atributo UserParameters de su objeto de usuario. autenticación PUSH
  5. Desplácese hacia abajo hasta Otros ajustes
    • OTP Secret - entrar userParameters
    • Servicio Push: Seleccione la directiva de servicio PUSH creada anteriormente autenticación PUSH
  6. Seleccione Crear autenticación PUSH

Factor nFactor

  1. A continuación, vaya a Security > AAA - Application Traffic > nFactor Visualizer > nFactor Flows
  2. Seleccione Agregar y seleccione el signo más en el cuadro Factor
  3. Introduzca nFactor_OTP y seleccione crear autenticación PUSH

nFactor - Flujo de registro

  1. Seleccione Agregar directiva y seleccione Agregar de nuevo junto a Seleccionar directiva
  2. Introduzca authPol_OTPReg
  3. En Tipo de acción seleccione NO_AUTHN
  4. Seleccione Editor de expresiones y cree la expresión seleccionando lo siguiente en los menús desplegables ofrecidos:
    • HTTP
    • REQ
    • COOKIE.VALUE(String) = NSC_TASS
    • EQ(String) = manageotp
  5. Seleccione Listo, seguido de Crear y, a continuación, Agregar autenticación PUSH
  6. Seleccione el signo más verde junto a la directiva AuthPol_OTPreg para crear un factor
  7. Introduzca OTPRegAD y seleccione Crear
  8. En el cuadro creado seleccione Agregar esquema
  9. Seleccione Agregar e introduzca lschema_SingleRegOTP
  10. En Archivos de esquema, vaya a LoginSchema y seleccione SingleAuthManageOTP.xml
  11. Seleccione el botón de selección azul, seguido de Crear, seguido de Aceptar
  12. En el mismo cuadro, seleccione Agregar directiva y seleccione Agregar de nuevo junto a Seleccionar directiva
  13. Escriba AuthPol_LDAP para el nombre
  14. En Tipo de acción seleccione LDAP
  15. En Acción, seleccione la primera acción de autenticación LDAP. Usamos 192.0.2.50_LDAP
  16. En Expresión, introduzca verdadera autenticación PUSH
  17. Seleccione Crear seguido de Agregar
  18. Seleccione el signo más verde junto a authPol_LDAP policy para crear un factor
  19. Introduzca OTPRegDevice y seleccione Crear
  20. En el mismo cuadro, seleccione Agregar directiva y seleccione Agregar de nuevo junto a Seleccionar directiva
  21. authPol_OTPAuthDevice Introduzca para el nombre
  22. En Tipo de acción seleccione LDAP
  23. En Acción, seleccione la acción de autenticación LDAP recién creada (segunda). Usamos 192.0.2.50_LDAP_OTP
  24. En Expresión, introduzca verdadera autenticación PUSH
  25. Seleccione Crear seguido de Agregar

nFactor - Flujo de autenticación

  1. Seleccione el signo más azul bajo la authPol_OTPReg directiva
  2. Introduzca authPol_OTPAuth
  3. En Tipo de acción seleccione NO_AUTHN
  4. En Expresión escriba true
  5. Seleccione Crear
  6. Seleccione el signo más verde junto a la authPol_OTPAuth directiva para crear un factor
  7. Introduzca OTPAuthAD
  8. Seleccione Crear
  9. En el cuadro creado seleccione Agregar esquema
  10. Seleccione Agregar e introduzca lschema_DualAuthOTP
  11. En Archivos de esquema, vaya a LoginSchema y seleccione DualAuthPushOrOTP.xml
  12. Seleccione el botón de selección azul, seguido de Crear, seguido de Aceptar
  13. En el mismo cuadro, seleccione Agregar directiva
  14. Seleccione la directiva que creamos durante la configuración del flujo de registro que se asigna a su primera acción de autenticación LDAP. Usamos authPol_LDAP
  15. Seleccione Agregar
  16. Seleccione el signo más verde junto a la authPol_Ldap directiva para crear un factor
  17. Introduzca OTPAuthDevice este factor utilizará el token OTP para realizar la autenticación de segundo factor
  18. Seleccione Crear
  19. En el mismo cuadro, seleccione Agregar directiva
  20. Seleccione la directiva authPol_OTPAuthDevice que hemos creado durante la configuración del flujo de registro
  21. Seleccione Agregar
  22. Ahora hemos completado la configuración del flujo nFactor y podemos hacer clic en Finalizar autenticación PUSH.

Servidor virtual de autenticación, autorización y auditoría de Citrix ADC (Citrix ADC AAA)

  1. A continuación, desplácese Security > AAA - Application Traffic > Virtual Servers y seleccione Agregar
  2. Introduzca los siguientes campos y haga clic en Aceptar:
    • Nombre: Un valor único
    • Tipo de dirección IP - Non Addressable autenticación PUSH
  3. Seleccione Sin certificado de servidor, seleccione el certificado de dominio, haga clic en Seleccionar, Enlazar y Continuar
  4. Seleccionar sin nFactor de flujo
  5. En Seleccionar nFactor de flujo, haga clic en la flecha derecha, seleccione el nFactor_OTP flujo creado anteriormente
  6. Haga clic en Seleccionar, seguido de Vincular autenticación PUSH

Citrix Gateway: Servidor virtual

  1. A continuación, vaya a Citrix Gateway > Virtual Servers
  2. Seleccione el servidor virtual existente que proporcione acceso proxy al entorno de Citrix Virtual Apps and Desktops
  3. Seleccione Modificar
  4. En Autenticación básica - Autenticación primaria seleccione Directiva LDAP
  5. Compruebe la directiva, seleccione Desenlazar, seleccione Sí para confirmar y seleccione Cerrar
  6. En el menú Configuración avanzada de la derecha seleccione Perfil de autenticación
  7. Seleccione Agregar
  8. Escriba un nombre. Entramos PUSH_auth_profile
  9. En Servidor virtual Autenticación, haga clic en la flecha derecha y seleccione el servidor virtual Citrix ADC AAA que hemos creado PUSH_Auth_Vserver
  10. Haga clic en Seleccionar y Crear
  11. Haga clic en Aceptar y verifique que el servidor virtual ahora tenga un perfil de autenticación seleccionado mientras se haya eliminado la directiva de autenticación básica Autenticación PUSH
  12. Haga clic en Listo

Endpoint de usuario

Ahora probamos PUSH registrando un dispositivo móvil y autenticando en nuestro entorno Citrix Virtual Apps and Desktops.

Registro con la aplicación Citrix SSO

  1. Abra un explorador y navegue hasta el FQDN de dominio administrado por Citrix Gateway con /manageotp anexado al final del FQDN. Usamos https://gateway.workspaces.wwco.net/manageotp
  2. Después de que el navegador se redirija a una pantalla de inicio de sesión, introduzca el usuario UPN y la contraseña PUSH
  3. En la siguiente pantalla seleccione Agregar dispositivo, introduzca un nombre. Utilizamos la iPhone7 autenticación PUSH
  4. Selecciona Ir y aparecerá un código QR Autenticación PUSH
  5. En su dispositivo móvil, abra la aplicación Citrix SSO, que está disponible para su descarga desde las almacenes de aplicaciones
  6. Seleccione Agregar nuevo token
  7. Seleccione Escanear código QR con autenticación PUSH
  8. Seleccione Apuntar su cámara al código QR y, una vez capturado, seleccione Agregar autenticación PUSH.
  9. Seleccione Guardar para almacenar el token de autenticación PUSH
  10. El token ahora está activo y comienza a mostrar códigos OTP a intervalos de 30 segundos Autenticación PUSH
  11. Seleccione Listo y verá la confirmación de que el dispositivo se agregó correctamente. Autenticación PUSH

Autenticación, publicación e inicio de Citrix Virtual Apps and Desktops

  1. Abra un explorador y navegue hasta el FQDN de dominio administrado por Citrix Gateway. Usamos https://gateway.workspaces.wwco.net
  2. Después de que su explorador sea redirigido a una pantalla de inicio de sesión, introduzca UPN de usuario y contraseña. En esta pantalla, verá la opción Hacer clic para introducir OTP manualmente si, por alguna razón, su cámara no funciona. Autenticación PUSH.
  3. En su dispositivo móvil, en la aplicación Citrix SSO, seleccione Aceptar para confirmar la autenticación PUSH Autenticación PUSH.
  4. Verifique que los usuarios, las aplicaciones virtuales y los escritorios estén enumerados e inicie una vez que haya iniciado sesión en la autenticación PUSH.

Resumen

Con Citrix Workspace y Citrix Gateway, las empresas pueden mejorar su postura de seguridad implementando la autenticación multifactor sin complicar la experiencia del usuario. Los usuarios pueden obtener acceso a todos los recursos de Workspaces introduciendo su usuario y contraseña de dominio estándar y simplemente confirmando su identidad con solo presionar un botón en la aplicación Citrix SSO en su dispositivo móvil.

Referencias

Para obtener más información, consulte:

Empuje de autenticación : vea un vídeo de Tech Insight sobre el uso de TOTP para mejorar la seguridad de la autenticación de su Citrix Workspace

Autenticación: Citrix Gateway local : vea un vídeo de Tech Insight sobre la integración con Citrix Gateway local para mejorar la seguridad de la autenticación de su Citrix Workspace