PoC Guide: nFactor for Citrix Gateway Authentication with Push Token
Introducción
Las contraseñas de una sola vez basadas en tiempo (TOTP) son un método cada vez más común para proporcionar una autenticación que puede aumentar la postura de seguridad con otros factores. TOTP con PUSH aprovecha los dispositivos móviles al permitir a los usuarios recibir y aceptar solicitudes de validación de autenticación al alcance de su mano. El intercambio se protege aplicando un hash a una clave compartida, distribuida durante la instalación.
Citrix Gateway admite notificaciones push para OTP y, puede proporcionar autenticación para varios servicios, incluidos servicios web, VPN y Citrix Virtual Apps and Desktops. En esta Guía de POC, demostramos su uso para la autenticación en un entorno Citrix Virtual Apps and Desktops.
Información general
Esta guía muestra cómo implementar un entorno de prueba de concepto mediante la autenticación de dos factores con Citrix Gateway. Utiliza LDAP para validar las credenciales de Active Directory como primer factor y utilizar Citrix Cloud Push Authentication como segundo factor. Utiliza un escritorio virtual publicado por Citrix Virtual Apps and Desktops para validar la conectividad.
Se hacen suposiciones sobre la instalación y configuración completadas de los siguientes componentes:
- Citrix Gateway instalado, licenciado y configurado con un servidor virtual accesible externamente enlazado a un certificado comodín.
- Citrix Gateway integrado con un entorno Citrix Virtual Apps and Desktops que utiliza LDAP para la autenticación
- Cuenta de Citrix Cloud establecida
- Endpoint con la aplicación Citrix Workspace instalada
- Dispositivo móvil con la aplicación Citrix SSO instalada
- Active Directory (AD) está disponible en el entorno
Consulte la documentación de Citrix para obtener la versión más reciente del producto y los requisitos de licencia. autenticación PUSH
Citrix Gateway
Factor nFactor
- Inicie sesión en la interfaz de usuario de Citrix ADC
- Vaya a Administración de Tráfico > SSL> Certificados > Todos los certificados para comprobar que tiene instalado el certificado de dominio. En este ejemplo POC utilizamos un certificado comodín correspondiente a nuestro dominio de Active Directory. Consulte Certificados SSL de Citrix ADC para obtener más información.
Acción de servicio Push
- A continuación, vaya a
Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > Push service
- Seleccione Agregar
- Rellene los siguientes campos y haga clic en Aceptar:
* Nombre: un valor único. Introduciremos valores en los siguientes campos para integrarlos con Citrix Cloud - Servicio PUSH * Inicie sesión en Citrix Cloud y vaya a Administración de acceso e identidad > Acceso API * Cree un nombre único para el servicio push y seleccione crear cliente. copiará y pegará estos valores en nuestra política de Citrix ADC para integrarlos con Citrix Cloud -
* ID de cliente: copie y pegue el ID de cliente del ID de Citrix Cloud y la ventana emergente secreta * Secreto del cliente: copie y pegue el ID de cliente en la ventana emergente de secretos e ID de Citrix Cloud * Seleccione Cerrar
* ID de cliente: copie y pegue el ID de cliente de la página de acceso a la API de administración de acceso e identidad de Citrix Cloud
- Haga clic en Crear
LDAP - acción de autenticación
- A continuación, vaya a
Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > LDAP
- Seleccione Agregar
- Rellene los campos siguientes
- Nombre: Un valor único
- Nombre del servidor/dirección IP: Seleccione un FQDN o una dirección IP para los servidores AD. Entramos
192.0.2.50_LDAP
- DN base: Introduzca la ruta al contenedor de usuario de AD. Entramos
OU=Team Accounts, DC=workspaces, DC=wwco, DC=net
- Administrador Bind DN: Introduzca la cuenta de administrador/servicio para consultar AD para autenticar usuarios. Entramos
workspacesserviceaccount@workspaces.wwco.net
- Confirmar/Contraseña de administrador - introduzca/confirmar la contraseña de administrador/cuenta de servicio
- Atributo de nombre de inicio de sesión del servidor: En el segundo campo debajo de este campo introduzca
userPrincipalName
- Seleccione Crear
. Para obtener más información, consulte directivas de autenticación LDAP.
LDAP: Acción de almacenamiento de tokens
- A continuación, vaya a
Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > LDAP
- Seleccione la acción LDAP creada anteriormente y seleccione crear
- Agregue OTP o cualquier identificador al nombre y anule la selección de autenticación Autenticación
- En Configuración de conexión, compruebe el DN base, el DN de enlace del administrador y la contraseña. Asegúrese de que el usuario administrador o la cuenta de servicio es miembro de los administradores de dominio. Esta directiva se utilizará para escribir el token registrado por la aplicación autenticadora del usuario en el atributo UserParameters de su objeto de usuario.
- Desplácese hacia abajo hasta Otros ajustes
- OTP Secret - entrar
userParameters
- Servicio Push: Seleccione la directiva de servicio PUSH creada anteriormente
- OTP Secret - entrar
- Seleccione Crear
Factor nFactor
- A continuación, vaya a
Security > AAA - Application Traffic > nFactor Visualizer > nFactor Flows
- Seleccione Agregar y seleccione el signo más en el cuadro Factor
- Introduzca nFactor_OTP y seleccione crear
nFactor - Flujo de registro
- Seleccione Agregar directiva y seleccione Agregar de nuevo junto a Seleccionar directiva
- Introduzca
authPol_OTPReg
- En Tipo de acción seleccione
NO_AUTHN
- Seleccione Editor de expresiones y cree la expresión seleccionando lo siguiente en los menús desplegables ofrecidos:
HTTP
REQ
COOKIE.VALUE(String) = NSC_TASS
EQ(String) = manageotp
- Seleccione Listo, seguido de Crear y, a continuación, Agregar
- Seleccione el signo más verde junto a la directiva AuthPol_OTPreg para crear un factor
- Introduzca
OTPRegAD
y seleccione Crear - En el cuadro creado seleccione Agregar esquema
- Seleccione Agregar e introduzca
lschema_SingleRegOTP
- En Archivos de esquema, vaya a LoginSchema y seleccione
SingleAuthManageOTP.xml
- Seleccione el botón de selección azul, seguido de Crear, seguido de Aceptar
- En el mismo cuadro, seleccione Agregar directiva y seleccione Agregar de nuevo junto a Seleccionar directiva
- Escriba AuthPol_LDAP para el nombre
- En Tipo de acción seleccione LDAP
- En Acción, seleccione la primera acción de autenticación LDAP. Usamos
192.0.2.50_LDAP
- En Expresión, introduzca verdadera
- Seleccione Crear seguido de Agregar
- Seleccione el signo más verde junto a
authPol_LDAP policy
para crear un factor - Introduzca
OTPRegDevice
y seleccione Crear - En el mismo cuadro, seleccione Agregar directiva y seleccione Agregar de nuevo junto a Seleccionar directiva
-
authPol_OTPAuthDevice
Introduzca para el nombre - En Tipo de acción seleccione LDAP
- En Acción, seleccione la acción de autenticación LDAP recién creada (segunda). Usamos
192.0.2.50_LDAP_OTP
- En Expresión, introduzca verdadera
- Seleccione Crear seguido de Agregar
nFactor - Flujo de autenticación
- Seleccione el signo más azul bajo la
authPol_OTPReg
directiva - Introduzca
authPol_OTPAuth
- En Tipo de acción seleccione
NO_AUTHN
- En Expresión escriba true
- Seleccione Crear
- Seleccione el signo más verde junto a la
authPol_OTPAuth
directiva para crear un factor - Introduzca
OTPAuthAD
- Seleccione Crear
- En el cuadro creado seleccione Agregar esquema
- Seleccione Agregar e introduzca
lschema_DualAuthOTP
- En Archivos de esquema, vaya a LoginSchema y seleccione
DualAuthPushOrOTP.xml
- Seleccione el botón de selección azul, seguido de Crear, seguido de Aceptar
- En el mismo cuadro, seleccione Agregar directiva
- Seleccione la directiva que creamos durante la configuración del flujo de registro que se asigna a su primera acción de autenticación LDAP. Usamos
authPol_LDAP
- Seleccione Agregar
- Seleccione el signo más verde junto a la
authPol_Ldap
directiva para crear un factor - Introduzca
OTPAuthDevice
este factor utilizará el token OTP para realizar la autenticación de segundo factor - Seleccione Crear
- En el mismo cuadro, seleccione Agregar directiva
- Seleccione la directiva
authPol_OTPAuthDevice
que hemos creado durante la configuración del flujo de registro - Seleccione Agregar
- Ahora hemos completado la configuración del flujo nFactor y podemos hacer clic en Finalizar
.
Servidor virtual de autenticación, autorización y auditoría de Citrix ADC (Citrix ADC AAA)
- A continuación, desplácese
Security > AAA - Application Traffic > Virtual Servers
y seleccione Agregar - Introduzca los siguientes campos y haga clic en Aceptar:
- Nombre: Un valor único
- Tipo de dirección IP -
Non Addressable
- Seleccione Sin certificado de servidor, seleccione el certificado de dominio, haga clic en Seleccionar, Enlazar y Continuar
- Seleccionar sin nFactor de flujo
- En Seleccionar nFactor de flujo, haga clic en la flecha derecha, seleccione el
nFactor_OTP
flujo creado anteriormente - Haga clic en Seleccionar, seguido de Vincular
Citrix Gateway: Servidor virtual
- A continuación, vaya a
Citrix Gateway > Virtual Servers
- Seleccione el servidor virtual existente que proporcione acceso proxy al entorno de Citrix Virtual Apps and Desktops
- Seleccione Modificar
- En Autenticación básica - Autenticación primaria seleccione Directiva LDAP
- Compruebe la directiva, seleccione Desenlazar, seleccione Sí para confirmar y seleccione Cerrar
- En el menú Configuración avanzada de la derecha seleccione Perfil de autenticación
- Seleccione Agregar
- Escriba un nombre. Entramos
PUSH_auth_profile
- En Servidor virtual Autenticación, haga clic en la flecha derecha y seleccione el servidor virtual Citrix ADC AAA que hemos creado
PUSH_Auth_Vserver
- Haga clic en Seleccionar y Crear
- Haga clic en Aceptar y verifique que el servidor virtual ahora tenga un perfil de autenticación seleccionado mientras se haya eliminado la directiva de autenticación básica
- Haga clic en Listo
Endpoint de usuario
Ahora probamos PUSH registrando un dispositivo móvil y autenticando en nuestro entorno Citrix Virtual Apps and Desktops.
Registro con la aplicación Citrix SSO
- Abra un explorador y navegue hasta el FQDN de dominio administrado por Citrix Gateway con /manageotp anexado al final del FQDN. Usamos
https://gateway.workspaces.wwco.net/manageotp
- Después de que el navegador se redirija a una pantalla de inicio de sesión, introduzca el usuario UPN y la contraseña
- En la siguiente pantalla seleccione Agregar dispositivo, introduzca un nombre. Utilizamos la
iPhone7
- Selecciona Ir y aparecerá un código QR
- En su dispositivo móvil, abra la aplicación Citrix SSO, que está disponible para su descarga desde las almacenes de aplicaciones
- Seleccione Agregar nuevo token
- Seleccione Escanear código QR con
- Seleccione Apuntar su cámara al código QR y, una vez capturado, seleccione
.
- Seleccione Guardar para almacenar el token de
- El token ahora está activo y comienza a mostrar códigos OTP a intervalos de 30 segundos
- Seleccione Listo y verá la confirmación de que el dispositivo se agregó correctamente.
Autenticación, publicación e inicio de Citrix Virtual Apps and Desktops
- Abra un explorador y navegue hasta el FQDN de dominio administrado por Citrix Gateway. Usamos
https://gateway.workspaces.wwco.net
- Después de que su explorador sea redirigido a una pantalla de inicio de sesión, introduzca UPN de usuario y contraseña. En esta pantalla, verá la opción Hacer clic para introducir OTP manualmente si, por alguna razón, su cámara no funciona.
.
- En su dispositivo móvil, en la aplicación Citrix SSO, seleccione Aceptar para confirmar la autenticación PUSH Autenticación
.
- Verifique que los usuarios, las aplicaciones virtuales y los escritorios estén enumerados e inicie una vez que haya iniciado sesión en la
.
Resumen
Con Citrix Workspace y Citrix Gateway, las empresas pueden mejorar su postura de seguridad implementando la autenticación multifactor sin complicar la experiencia del usuario. Los usuarios pueden obtener acceso a todos los recursos de Workspaces introduciendo su usuario y contraseña de dominio estándar y simplemente confirmando su identidad con solo presionar un botón en la aplicación Citrix SSO en su dispositivo móvil.
Referencias
Para obtener más información, consulte:
Empuje de autenticación : vea un vídeo de Tech Insight sobre el uso de TOTP para mejorar la seguridad de la autenticación de su Citrix Workspace
Autenticación: Citrix Gateway local : vea un vídeo de Tech Insight sobre la integración con Citrix Gateway local para mejorar la seguridad de la autenticación de su Citrix Workspace