Guía de prueba de concepto: NFactor para autenticación de Citrix Gateway con token Push

Introducción

Las contraseñas de una sola vez basadas en tiempo (TOTP) son un método cada vez más común para proporcionar una autenticación que puede aumentar la postura de seguridad con otros factores. TOTP con PUSH aprovecha los dispositivos móviles al permitir a los usuarios recibir y aceptar solicitudes de validación de autenticación al alcance de su mano. El intercambio se protege aplicando un hash a una clave compartida, distribuida durante la instalación.

Citrix Gateway admite notificaciones push para OTP y, puede proporcionar autenticación para varios servicios, incluidos servicios web, VPN y Citrix Virtual Apps and Desktops. En esta Guía de POC, demostramos su uso para la autenticación en un entorno Citrix Virtual Apps and Desktops.

autenticación PUSH

Información general

Esta guía muestra cómo implementar un entorno de prueba de concepto mediante la autenticación de dos factores con Citrix Gateway. Utiliza LDAP para validar las credenciales de Active Directory como primer factor y utilizar Citrix Cloud Push Authentication como segundo factor. Utiliza un escritorio virtual publicado por Citrix Virtual Apps and Desktops para validar la conectividad.

Se hacen suposiciones sobre la instalación y configuración completadas de los siguientes componentes:

  • Citrix Gateway instalado, licenciado y configurado con un servidor virtual accesible externamente enlazado a un certificado comodín.
  • Citrix Gateway integrado con un entorno Citrix Virtual Apps and Desktops que utiliza LDAP para la autenticación
  • Cuenta de Citrix Cloud establecida
  • Endpoint con la aplicación Citrix Workspace instalada
  • Dispositivo móvil con la aplicación Citrix SSO instalada
  • Active Directory (AD) está disponible en el entorno

Consulte la documentación de Citrix para obtener la versión más reciente del producto y los requisitos de licencia. autenticación PUSH

Citrix Gateway

Factor nFactor

  1. Inicie sesión en la interfaz de usuario de Citrix ADC
  2. Vaya a Administración de Tráfico > SSL> Certificados > Todos los certificados para comprobar que tiene instalado el certificado de dominio. En este ejemplo POC utilizamos un certificado comodín correspondiente a nuestro dominio de Active Directory. Consulte Certificados SSL de Citrix ADC para obtener más información.

Acción de servicio Push

  1. A continuación, vaya a Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > Push service
  2. Seleccione Agregar
  3. Rellene los campos siguientes y haga clic en Aceptar: autenticación PUSH * Nombre: Un valor único. Introduciremos valores en los siguientes campos para integrarlos con Citrix Cloud - PUSH Service * Inicie sesión en Citrix Cloud y vaya a Identity and Access Management > API Access * Crear un nombre único para el servicio push y seleccionar crear cliente Ahora copiará y pegará estos valores en nuestra directiva de Citrix ADC para integrarlos con Citrix Cloud - PUSH Service autenticación PUSH * ID de cliente: Copie y pegue el ID de cliente desde el ID de Citrix Cloud y la ventana emergente secreta* Client Secret: Copie y pegue el ID de cliente desde el ID de Citrix Cloud y el secreto emergente * Seleccione Cerrar autenticación PUSH * ID de cliente: Copie y pegue el ID de cliente desde la página de acceso a la API de administración de acceso de Citrix Cloud Identity and Access Management
  4. Haga clic en Crear

LDAP - acción de autenticación

  1. A continuación, vaya a Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > LDAP
  2. Seleccione Agregar
  3. Rellene los campos siguientes
    • Nombre: Un valor único
    • Nombre del servidor/dirección IP: Seleccione un FQDN o una dirección IP para los servidores AD. Entramos 192.0.2.50_LDAP
    • DN base: Introduzca la ruta al contenedor de usuario de AD. Entramos OU=Team Accounts, DC=workspaces, DC=wwco, DC=net
    • Administrador Bind DN: Introduzca la cuenta de administrador/servicio para consultar AD para autenticar usuarios. Entramos workspacesserviceaccount@workspaces.wwco.net
    • Confirmar/Contraseña de administrador - introduzca/confirmar la contraseña de administrador/cuenta de servicio
    • Atributo de nombre de inicio de sesión del servidor: En el segundo campo debajo de este campo introduzca userPrincipalName
  4. Seleccione Crear autenticación PUSH Para obtener más información, consulte Directivas de autenticación LDAP

LDAP: Acción de almacenamiento de tokens

  1. A continuación, vaya a Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > LDAP
  2. Seleccione la acción LDAP creada anteriormente y seleccione crear
  3. Anexar OTP o cualquier identificador al nombre y anular la selección de autenticación autenticación PUSH
  4. En Configuración de conexión, compruebe el DN base, el DN de enlace del administrador y la contraseña. Asegúrese de que el usuario administrador o la cuenta de servicio es miembro de los administradores de dominio. Esta directiva se utilizará para escribir el token registrado por la aplicación autenticadora del usuario en el atributo UserParameters de su objeto de usuario. autenticación PUSH
  5. Desplácese hacia abajo hasta Otros ajustes
    • OTP Secret - entrar userParameters
    • Servicio Push: Seleccione la directiva de servicio PUSH creada anteriormente autenticación PUSH
  6. Seleccione Crear autenticación PUSH

Factor nFactor

  1. A continuación, vaya a Security > AAA - Application Traffic > nFactor Visualizer > nFactor Flows
  2. Seleccione Agregar y seleccione el signo más en el cuadro Factor
  3. Escriba nFactor_OTP y seleccione crear autenticación PUSH

nFactor - Flujo de registro

  1. Seleccione Agregar directiva y seleccione Agregar de nuevo junto a Seleccionar directiva
  2. Introduzca authPol_OTPReg
  3. En Tipo de acción seleccione NO_AUTHN
  4. Seleccione Editor de expresiones y cree la expresión seleccionando lo siguiente en los menús desplegables ofrecidos:
    • HTTP
    • REQ
    • COOKIE.VALUE(String) = NSC_TASS
    • EQ(String) = manageotp
  5. Seleccione Listo, seguido de Crear, seguido de Agregar autenticación PUSH
  6. Seleccione el signo más verde junto a la directiva AuthPol_OTPreg para crear un factor
  7. Introduzca OTPRegAD y seleccione Crear
  8. En el cuadro creado seleccione Agregar esquema
  9. Seleccione Agregar e introduzca lschema_SingleRegOTP
  10. En Archivos de esquema, vaya a LoginSchema y seleccione SingleAuthManageOTP.xml
  11. Seleccione el botón de selección azul, seguido de Crear, seguido de Aceptar
  12. En el mismo cuadro, seleccione Agregar directiva y seleccione Agregar de nuevo junto a Seleccionar directiva
  13. Escriba AuthPol_LDAP para el nombre
  14. En Tipo de acción seleccione LDAP
  15. En Acción, seleccione la primera acción de autenticación LDAP. Usamos 192.0.2.50_LDAP
  16. En Expresión escriba true autenticación PUSH
  17. Seleccione Crear seguido de Agregar
  18. Seleccione el signo más verde junto a authPol_LDAP policy para crear un factor
  19. Introduzca OTPRegDevice y seleccione Crear
  20. En el mismo cuadro, seleccione Agregar directiva y seleccione Agregar de nuevo junto a Seleccionar directiva
  21. authPol_OTPAuthDevice Introduzca para el nombre
  22. En Tipo de acción seleccione LDAP
  23. En Acción, seleccione la acción de autenticación LDAP recién creada (segunda). Usamos 192.0.2.50_LDAP_OTP
  24. En Expresión escriba true autenticación PUSH
  25. Seleccione Crear seguido de Agregar

nFactor - Flujo de autenticación

  1. Seleccione el signo más azul bajo la authPol_OTPReg directiva
  2. Introduzca authPol_OTPAuth
  3. En Tipo de acción seleccione NO_AUTHN
  4. En Expresión escriba true
  5. Seleccione Crear
  6. Seleccione el signo más verde junto a la authPol_OTPAuth directiva para crear un factor
  7. Introduzca OTPAuthAD
  8. Seleccione Crear
  9. En el cuadro creado seleccione Agregar esquema
  10. Seleccione Agregar e introduzca lschema_DualAuthOTP
  11. En Archivos de esquema, vaya a LoginSchema y seleccione DualAuthPushOrOTP.xml
  12. Seleccione el botón de selección azul, seguido de Crear, seguido de Aceptar
  13. En el mismo cuadro, seleccione Agregar directiva
  14. Seleccione la directiva que creamos durante la configuración del flujo de registro que se asigna a su primera acción de autenticación LDAP. Usamos authPol_LDAP
  15. Seleccione Agregar
  16. Seleccione el signo más verde junto a la authPol_Ldap directiva para crear un factor
  17. Introduzca OTPAuthDevice este factor utilizará el token OTP para realizar la autenticación de segundo factor
  18. Seleccione Crear
  19. En el mismo cuadro, seleccione Agregar directiva
  20. Seleccione la directiva authPol_OTPAuthDevice que hemos creado durante la configuración del flujo de registro
  21. Seleccione Agregar
  22. Ahora hemos completado la configuración del flujo de nFactor y podemos hacer clic en Listo autenticación PUSH

Servidor virtual de autenticación, autorización y auditoría de Citrix ADC (Citrix ADC AAA)

  1. A continuación, desplácese Security > AAA - Application Traffic > Virtual Servers y seleccione Agregar
  2. Introduzca los siguientes campos y haga clic en Aceptar:
    • Nombre: Un valor único
    • Tipo de dirección IP - Non Addressable autenticación PUSH
  3. Seleccione Sin certificado de servidor, seleccione el certificado de dominio, haga clic en Seleccionar, Enlazar y Continuar
  4. Seleccionar sin nFactor de flujo
  5. En Seleccionar nFactor de flujo, haga clic en la flecha derecha, seleccione el nFactor_OTP flujo creado anteriormente
  6. Haga clic en Seleccionar, seguido de Enlazar autenticación PUSH

Citrix Gateway: Servidor virtual

  1. A continuación, vaya a Citrix Gateway > Virtual Servers
  2. Seleccione el servidor virtual existente que proporcione acceso proxy al entorno de Citrix Virtual Apps and Desktops
  3. Seleccione Modificar
  4. En Autenticación básica - Autenticación primaria seleccione Directiva LDAP
  5. Compruebe la directiva, seleccione Desenlazar, seleccione Sí para confirmar y seleccione Cerrar
  6. En el menú Configuración avanzada de la derecha seleccione Perfil de autenticación
  7. Seleccione Agregar
  8. Escriba un nombre. Entramos PUSH_auth_profile
  9. En Servidor virtual Autenticación, haga clic en la flecha derecha y seleccione el servidor virtual Citrix ADC AAA que hemos creado PUSH_Auth_Vserver
  10. Haga clic en Seleccionar y Crear
  11. Haga clic en Aceptar y compruebe que el servidor virtual tiene seleccionado un perfil de autenticación mientras se ha quitado la directiva de autenticación básica. autenticación PUSH
  12. Haga clic en Hecho

Endpoint de usuario

Ahora probamos PUSH registrando un dispositivo móvil y autenticando en nuestro entorno Citrix Virtual Apps and Desktops.

Registro con la aplicación Citrix SSO

  1. Abra un explorador y navegue hasta el FQDN de dominio administrado por Citrix Gateway con /manageotp anexado al final del FQDN. Usamos https://gateway.workspaces.wwco.net/manageotp
  2. Después de que su explorador sea redirigido a una pantalla de inicio de sesión, introduzca UPN de usuario y contraseña autenticación PUSH
  3. En la siguiente pantalla seleccione Agregar dispositivo, introduzca un nombre. Usamos iPhone7 autenticación PUSH
  4. Seleccione Ir y aparecerá un código QR autenticación PUSH
  5. En su dispositivo móvil, abra la aplicación Citrix SSO, que está disponible para su descarga desde las almacenes de aplicaciones
  6. Seleccione Agregar nuevo token
  7. Seleccione Escanear código QR autenticación PUSH
  8. Seleccione Apuntar su cámara al código QR y una vez capturada seleccione Agregar autenticación PUSH
  9. Seleccione Guardar para almacenar el token autenticación PUSH
  10. El token ahora está activo y comienza a mostrar códigos OTP a intervalos de 30 segundos. autenticación PUSH
  11. Seleccione Listo y verá la confirmación de que el dispositivo se agregó correctamente autenticación PUSH

Autenticación, publicación e inicio de Citrix Virtual Apps and Desktops

  1. Abra un explorador y navegue hasta el FQDN de dominio administrado por Citrix Gateway. Usamos https://gateway.workspaces.wwco.net
  2. Después de que su explorador sea redirigido a una pantalla de inicio de sesión, introduzca UPN de usuario y contraseña. En esta pantalla se ve la opción de hacer clic para introducir OTP manualmente si por alguna razón su cámara no funciona autenticación PUSH
  3. En el dispositivo móvil de la aplicación Citrix SSO, seleccione Aceptar para confirmar la autenticación PUSH autenticación PUSH
  4. Verifique que las aplicaciones virtuales de los usuarios y los escritorios estén enumerados, e inicie una vez que haya iniciado sesión autenticación PUSH

Resumen

Con Citrix Workspace y Citrix Gateway, las empresas pueden mejorar su postura de seguridad implementando la autenticación multifactor sin complicar la experiencia del usuario. Los usuarios pueden obtener acceso a todos los recursos de Workspaces introduciendo su usuario y contraseña de dominio estándar y simplemente confirmando su identidad con solo presionar un botón en la aplicación Citrix SSO en su dispositivo móvil.

Referencias

Para obtener más información, consulte:

Push de autenticación: Vea un vídeo de Tech Insight sobre el uso de TOTP para mejorar la seguridad de autenticación de Citrix Workspace

Autenticación: Citrix Gateway local: Vea un vídeo de Tech Insight sobre la integración con Citrix Gateway local para mejorar la seguridad de autenticación de Citrix Workspace