Guía de PoC - ZTNA - Autenticación adaptativa - Empleado interno frente a empleado externo

Información general

Con la necesidad de la empresa de fuerza laboral híbrida de identificar si los empleados acceden a su aplicación desde una oficina corporativa o a través de Internet. Con muchas empresas que adoptan Zero Trust, el enfoque en la ubicación de los empleados es menos importante. Sin embargo, la identificación de las ubicaciones de acceso de los empleados brinda a las empresas la oportunidad de reducir los requisitos de autenticación, reducir la fricción y, por lo tanto, mejorar la Los empleados que se encuentran en una ubicación interna detrás de un perímetro seguro solo pueden requerir dos factores de autenticación, mientras que los que se encuentran en una ubicación externa pueden requerir tres, para verificar con confianza su identidad y establecer confianza.

Implementar la autenticación multifactor es una de las mejores maneras de verificar la identidad y mejorar la postura de seguridad. LDAP es un método de comando para verificar el nombre de usuario y la contraseña del dominio. La contraseña de una vez (OTP) nativa (basada en tiempo) es una forma conveniente de implementar otro factor mediante aplicaciones de autenticación fácilmente disponibles. Permite a los usuarios introducir códigos de validación de su aplicación de autenticación, en un formulario de puerta de enlace, para autenticarse.

Citrix Adaptive Authentication admite la autenticación LDAP y OTP nativa, y puede proporcionar autenticación para varios servicios, incluidos Citrix Secure Private Access y Citrix Virtual Apps and Desktops Service. En esta Guía de POC demostramos su uso para la autenticación.

Introducción

La siguiente animación muestra un punto final que pasa una verificación de postura del dispositivo y se solicita al usuario las credenciales de dominio. A continuación, un punto final no supera la comprobación de postura del dispositivo y se solicita al usuario las credenciales de dominio y un código de acceso otp nativo.

Se hacen suposiciones sobre la instalación completada y la configuración de los siguientes componentes:

• Citrix ADC instalado, con licencia y configurado con un servidor virtual AA accesible externamente enlazado a un certificado comodín
• Citrix ADC integrado con Citrix Cloud mediante Oauth
• Endpoint con la aplicación Citrix Workspace instalada
• Una aplicación Authenticator compatible, compatible con OTP basada en tiempo, instalada (incluidos Microsoft Authenticator, Google Authenticator o Citrix SSO)
• Se puede acceder a Active Directory (AD) a través de un dispositivo Citrix Connector

Consulte la documentación de Citrix para obtener la última versión del producto y los requisitos de licencia: Autenticación OTP nativa

Configuración

Esta guía de prueba de concepto demuestra cómo:

1. Configurar Citrix Cloud
2. Configurar políticas de autenticación adaptables: CLI
3. Configurar políticas de autenticación adaptables: GUI
4. Configurar SPA y CVAD para usar SmartTags
5. Validar la autenticación de punto final

Configurar Citrix Cloud

1. Conéctese a la nube de Citrix e inicie sesión como su cuenta de administrador
2. En Citrix Workspace, acceda a Administración de identidades y accesos desde el menú superior izquierdo
3. Configure Citrix Gateway: Autenticación adaptativa como método de autenticación para el espacio de trabajo.

Configurar políticas de autenticación adaptables: CLI

Primero, iniciamos sesión en la CLI en nuestro Citrix ADC e ingresamos las acciones de autenticación y las directivas asociadas para EPA y LDAP respectivamente junto con el esquema de inicio de sesión. Luego, iniciamos sesión en nuestra GUI para aplicar nuestras políticas y completar la configuración de autenticación multifactor.

Políticas de Ldap

Para Acciones LDAP, rellene los campos necesarios para crear la acción LDAP en una cadena y pegarla en la CLI:

• ldapAction: Introduzca el nombre de la acción.
• serverIP: Introduzca el servidor de dominio/s FQDN o la dirección IP.
• serverPort: Introduzca el puerto LDAP.
• ldapBase: Introduzca la cadena de objetos de dominio y contenedores donde los usuarios pertinentes se almacenan en su directorio.
• ldapBindDn: Introduzca la cuenta de servicio utilizada para consultar a los usuarios del dominio.
• ldapBindDnPassword: Introduzca la contraseña de su cuenta de servicio.
• ldapLoginName: Introduzca el tipo de objeto de usuario.
• groupAttrName: Introduzca el nombre del atributo del grupo.
• subAttributeName: Introduzca el nombre del subatributo.
• secType - introduzca el tipo de seguridad.
• ssoNameAttribute: Introduzca el atributo de nombre de inicio de sesión único.

Para las directivas LDAP, rellene los campos necesarios para hacer referencia a la Acción LDAP en una cadena y péguela en la CLI:

• Policy: Introduzca el nombre de la directiva.
• action - introduzca el nombre de la acción de correo electrónico que hemos creado anteriormente.

Para obtener más información, consulte Directivas de autenticación LDAP

1. Primero conéctese a la CLI abriendo una sesión SSH en la dirección NSIP de Citrix ADC e inicie sesión como usuario administrador.

ldapupnmanage

Esta acción y política hace coincidir las solicitudes al sitio fqdn adaptiveauth.wwco.net con /manageotp anexado a la URL y les permite inscribirse en OTP nativo con su aplicación de autenticación

Actualice los siguientes campos para su entorno y copie y pegue la cadena en la CLI: add authentication ldapAction authact_ldapupnmanage -serverIP 10.53.8.10 -serverPort 636 -authTimeout 3600 -ldapBase "DC=wwco,DC=net" -ldapBindDn s_adc@yourdomain.com -ldapBindDnPassword abc123 -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2022_02_02_16_16_21 -ldapLoginName userPrincipalName -groupAttrName memberOf -subAttributeName cn -secType SSL -ssoNameAttribute UserPrincipalName -nestedGroupExtraction ON -maxNestingLevel 3 -groupNameIdentifier userPrincipalName -groupSearchAttribute userPrincipalName -groupSearchSubAttribute userPrincipalName

add authentication Policy authpol_ldapupnmanage -rule "http.req.cookie.value(\"NSC_TASS\").eq(\"manageotp\")" -action authact_ldapupnmanage

workspaceoauth

Esta acción y política establece una comunicación de oauth segura con Citrix Cloud para la URL principal de Workspace.

Actualice los siguientes campos para su entorno y copie y pegue la cadena en la CLI: add authentication OAuthIDPProfile authact_workspaceoauth -clientID xyz1 -clientSecret abc123 -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2022_02_02_16_16_21 -redirectURL "https://accounts.cloud.com/core/login-cip" -issuer "https://adaptiveauth.yourdomain.com" -audience xyz2 -sendPassword ON

add authentication OAuthIdPPolicy authpol_workspaceoauth -rule true -action authact_workspaceoauth

workspaceoauth2

Esta acción y política establece una comunicación de oauth segura con Citrix Cloud para la URL de Workspace personalizada.

Actualice los siguientes campos para su entorno y copie y pegue la cadena en la CLI: add authentication OAuthIDPProfile authact_workspaceoauth2 -clientID xyz11 -clientSecret abc123 -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2022_02_02_16_16_21 -redirectURL "https://workspace.yourdomain.com/core/login-cip" -issuer "https://adaptiveauth.yourdomain.com" -audience xyz22 -sendPassword ON

add authentication OAuthIdPPolicy authpol_workspaceoauth2 -rule true -action authact_workspaceoauth2

ldapupn

Esta acción y política realiza la autenticación ldap con el directorio de dominio mediante UserPrincipalName.

Actualice los siguientes campos para su entorno y copie y pegue la cadena en la CLI:

add authentication ldapAction authact_ldapupn -serverIP 10.53.8.10 -serverPort 636 -authTimeout 3600 -ldapBase "DC=yourdomain,DC=com" -ldapBindDn s_adc@yourdomain.com -ldapBindDnPassword abc123 -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2022_02_02_16_16_21 -ldapLoginName userPrincipalName -groupAttrName memberOf -subAttributeName cn -secType SSL -ssoNameAttribute UserPrincipalName -nestedGroupExtraction ON -maxNestingLevel 3 -groupNameIdentifier userPrincipalName -groupSearchAttribute userPrincipalName -groupSearchSubAttribute userPrincipalName

add authentication Policy authpol_ldapupn -rule true -action authact_ldapupn

ldapsam

Esta acción y política realiza la autenticación ldap con el directorio de dominio mediante sAMAccountName.

Actualice los siguientes campos para su entorno y copie y pegue la cadena en la CLI:

add authentication ldapAction authact_ldapsam -serverIP 10.53.8.10 -serverPort 636 -authTimeout 3600 -ldapBase "DC=yourdomain,DC=com" -ldapBindDn s_adc@yourdomain.com -ldapBindDnPassword abc123 -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2022_02_02_16_16_21 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName cn -secType SSL -ssoNameAttribute sAMAccountName -nestedGroupExtraction ON -maxNestingLevel 3 -groupNameIdentifier sAMAccountName -groupSearchAttribute sAMAccountName -groupSearchSubAttribute sAMAccountName

add authentication Policy authpol_ldapsam -rule true -action authact_ldapsam

ldapupn_otp

Esta acción y política realiza la autenticación otp nativa.

Actualice los siguientes campos para su entorno y copie y pegue la cadena en la CLI:

add authentication ldapAction authact_ldapupn_otp -serverIP 10.53.8.10 -serverPort 636 -authTimeout 3600 -ldapBase "DC=yourdomain,DC=com" -ldapBindDn s_adc@yourdomain.com -ldapBindDnPassword abc123 -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2022_02_02_16_16_21 -ldapLoginName userPrincipalName -groupAttrName memberOf -subAttributeName cn -secType SSL -ssoNameAttribute UserPrincipalName -authentication DISABLED -nested GroupExtraction ON -maxNestingLevel 3 -groupNameIdentifier userPrincipalName -groupSearchAttribute userPrincipalName -groupSearchSubAttribute userPrincipalName -OTPSecret userParameters

add authentication Policy authpol_ldapupn_otp -rule true -action authact_ldapupn_otp

EPA_Internal_Cert_Domain

Esto determina si el cliente está intentando la autenticación desde una dirección IP pública de empresa válida (esto correspondería a los intervalos de traducción de direcciones de red utilizados en firewalls y enrutadores externos). También verifica el país. También verifica un certificado de dispositivo empresarial válido. También verifica que el dispositivo esté unido al dominio empresarial.

Actualice los siguientes campos para su entorno y copie y pegue la cadena en la CLI:

add authentication epaAction authact_EPA_internal_cert_domain -csecexpr "sys.client_expr(\"device-cert_0_0\") && sys.client_expr("sys_0_DOMAIN_yourdomain.com")" -defaultEPAGroup VALIDINTERNALCERTDOMAIN -quarantineGroup NOVALIDINTERNALCERTDOMAIN

add authentication Policy authpol_EPA_internal_cert_domain -rule "CLIENT.IP.SRC.IN_SUBNET(1.0.0.0/8) && CLIENT.IP.SRC.MATCHES_LOCATION(\"*.US.*.*.*.*\")" -action authact_EPA_internal_cert_domain

noauth

Esta acción y política es un marcador de posición para la ausencia de autenticación que se usa comúnmente como marcador de posición para una etiqueta de política siguiente para evaluar cuándo fallan las políticas anteriores en la etiqueta de política actual.

Actualice los siguientes campos para su entorno y copie y pegue la cadena en la CLI:

add authentication noAuthAction authact_noauthn

add authentication Policy authpol_noauthn -rule true -action authact_noauthn

Esquema de Login

A continuación creamos esquemas de inicio de sesión utilizados con cada factor.

lspol_singlemanage

Este esquema de inicio de sesión se utiliza para el registro OTP nativo.

Actualice los siguientes campos para su entorno y copie y pegue la cadena en la CLI:

add authentication loginSchema lsact_singlemanage -authenticationSchema "/nsconfig/loginschema/LoginSchema/SingleAuthManageOTP.xml"

add authentication loginSchemaPolicy lspol_singlemanage -rule "http.req.cookie.value(\"NSC_TASS\").eq(\"manageotp\")" -action lsact_singlemanage

lspol_singleauth

Este esquema de inicio de sesión se utiliza para la autenticación de nombre de usuario y contraseña LDAP

Actualice los siguientes campos para su entorno y copie y pegue la cadena en la CLI:

add authentication loginSchema lsact_singleauth -authenticationSchema "/nsconfig/loginschema/LoginSchema/SingleAuth.xml"

add authentication loginSchemaPolicy lspol_singleauth -rule true -action lsact_singleauth

lspol_dualauthotp

Este esquema de inicio de sesión se utiliza para la autenticación OTP nativa.

Actualice los siguientes campos para su entorno y copie y pegue la cadena en la CLI:

add authentication loginSchema lsact_dualauthotp -authenticationSchema "/nsconfig/loginschema/LoginSchema/DualAuth.xml"

add authentication loginSchemaPolicy lspol_dualauthotp -rule true -action lsact_dualauthotp

Etiquetas inteligentes

A continuación, creamos etiquetas inteligentes que transmitirán los resultados de la comprobación de postura del dispositivo a los servicios de Citrix Cloud.

lspol_singlemanage

Este esquema de inicio de sesión se utiliza para el registro OTP nativo.

Actualice los siguientes campos para su entorno y copie y pegue la cadena en la CLI:

add authentication loginSchema lsact_singlemanage -authenticationSchema "/nsconfig/loginschema/LoginSchema/SingleAuthManageOTP.xml"

add authentication loginSchemaPolicy lspol_singlemanage -rule "http.req.cookie.value(\"NSC_TASS\").eq(\"manageotp\")" -action lsact_singlemanage

Certificados

certificado de dominio

En esta POC utilizamos un certificado comodín correspondiente a nuestro dominio de Active Directory y también corresponde al nombre de dominio completo que utilizamos para acceder al servidor virtual de Gateway (adaptiveauth.yourdomain.com)

1. Inicie sesión en la GUI de Citrix ADC
2. Vaya a Administración de Tráfico > SSL> Certificados > Todos los certificados para comprobar que tiene el certificado de dominio y las CA instalados y vinculados. Consulte Certificados SSL de Citrix ADC para obtener más información.

Certificado del dispositivo

Existen muchos sistemas y opciones para la administración de certificados de usuarios y dispositivos. En este POC utilizamos la entidad de certificación de Microsoft instalada en nuestro servidor de Active Directory. También tenemos nuestro dispositivo de punto final de Windows 10 unido al dominio.

1. Desde el menú de inicio en nuestro dominio se unió a Windows 10 dispositivo de punto final entramos mmc, haga clic con el botón derecho y ejecute como administrador
2. Seleccione Archivo > Agregar o quitar, seleccione Certificados, seleccione la flecha para moverlo al panel del complemento seleccionado, seleccione Cuenta de equipo, Siguiente, Equipo local, Finalizar y, haga clic en Aceptar
3. Abra la carpeta Personal, haga clic con el botón derecho en la carpeta Certificados > Todas las tareas > Solicitar nuevo certificado de
4. Haga clic en siguiente hasta que se le ofrezcan tipos de certificados, seleccione Equipo y haga clic en Inscribir, seguido de Finalizar
5. Haga doble clic en el certificado que instaló, seleccione la ficha Ruta de certificación, seleccione la CA raíz en la parte superior y haga clic en Ver certificado. (Nota: Podemos exportar la CA desde el servidor de Active Directory, pero para el POC podemos eliminar los pasos haciéndolo aquí)
6. En la ventana emergente seleccione la ficha Detalles, seleccione Copiar en archivo, haga clic en Siguiente, haga clic en Siguiente (para aceptar la codificación DER)
7. Seleccione Examinar e introduzca un nombre de archivo, seleccione guardar, seleccione Siguiente y seleccione Finalizar para almacenar el archivo de certificado de CA.
8. Ahora lo importaremos al ADC navegando a **Traffic Management > SSL> Certificados > Certificados de CA
9. Hacemos clic en Instalar, introducimos el nombre DeviceCertificateCA, seleccionamos Elegir archivo, Local, y seleccionamos el archivo, Abrir y hacemos clic en Instalar

Para obtener más información, consulte Directivas de autenticación LDAP

Configurar políticas de autenticación adaptables: GUI

Ahora crearemos un servidor AAA virtual y vincularemos los certificados, las políticas y el esquema con la prioridad adecuada.

Certificados

1. Vaya a Administración de Tráfico > SSL> Certificados > Todos los certificados para comprobar que tiene instalado el certificado de dominio. En este ejemplo POC utilizamos un certificado comodín correspondiente a nuestro dominio de Active Directory. Consulte Certificados SSL de Citrix ADC para obtener más información.
2. A continuación Security > AAA - Application Traffic > Virtual Servers, vaya a y seleccione Agregar
3. Introduzca los siguientes campos:
   • Nombre: Un valor único. Entramos nativeotp_authvserver
   • Tipo de dirección IP - Non Addressable
4. Haga clic en Ok
5. Seleccione Sin certificado de servidor, seleccione la flecha en Select Server Certificate, seleccione el certificado de dominio, haga clic en Seleccionar, Enlazar y Continuar
6. En Advanced Authentication Policies, seleccione No Nfactor Flow
7. Seleccione la flecha hacia la derecha debajo Select nFactor Flow, seleccione factor0_notpSelect, haga clic y haga clic en Bind
8. Haga clic en Continue, seguido de Done

Directivas de autenticación

Esquema de Login

Directiva de tráfico

Ahora creamos una directiva de tráfico para retransmitir la contraseña LDAP a StoreFront, en lugar del código OTP.

1. Vaya a Citrix Gateway > Servidores virtuales > Directivas > Tráfico
2. Seleccione la Traffic Profiles ficha y haga clic en Agregar
3. Introduzca el nombre notp_trafficprofile
4. Seleccione HTTP
5. En la expresión de contraseña de SSO, escriba http.REQ.USER.ATTRIBUTE(1)
6. Haga clic en Crear
7. Ahora haga clic en la ficha Directivas de tráfico
8. En el campo Perfil de solicitud, seleccione el perfil de notp_trafficprofile tráfico que acaba de crear.
9. Introduzca el nombre nOTP_TrafficPolicy
10. En el cuadro Express escriba true
11. Haga clic en Create

Validar extremo de usuario

Ahora probamos el OTP nativo mediante la autenticación en nuestro entorno Citrix Virtual Apps and Desktops.

Registro con la aplicación Citrix SSO

Primero, el usuario registra su dispositivo para Native OTP mediante la aplicación Citrix SSO.

1. Abra un explorador y navegue hasta el FQDN de dominio administrado por Citrix Gateway con /manageotp anexado al final del FQDN. Usamos https://adaptiveauth.yourdomain.com/manageotp
2. Después de redirigir el navegador a una pantalla de inicio de sesión, introduzca el usuario UPN y la contraseña: .
3. En la siguiente pantalla seleccione Agregar dispositivo, introduzca un nombre. Utilizamos el iPhone7_nOTP
4. Seleccione Ir y aparecerá un código QR
5. En su dispositivo móvil, abra la aplicación Citrix SSO u otra aplicación de autenticación como Microsoft o Google (disponible para su descarga en almacenes de aplicaciones)
6. Seleccione Agregar nuevo token
7. Seleccione Escanear código QR
8. Seleccione Apuntar la cámara al código QR y, una vez capturado, seleccione Agregar
9. Seleccione Guardar para almacenar el del token
10. El token ahora está activo y comienza a mostrar códigos OTP a intervalos de 30 segundos
11. Seleccione Listo y verá la confirmación de que el dispositivo se agregó correctamente

Inicio de sesión en Citrix Cloud Services

A continuación, el usuario introduce su UserPrincipalName, Contraseña y el código de acceso OTP desde la aplicación Citrix SSO para acceder a sus aplicaciones virtuales y escritorios.

• Abra un navegador (o la aplicación Citrix Workspace) y vaya al FQDN de Workspace (que se encuentra en Citrix Cloud en Configuración de Workspace). Usamos https://adaptiveauth.yourdomain.com

Escenario de confianza

1. Asegúrese de que el dispositivo esté unido a un dominio y que tenga instalado un certificado de dispositivo Enterprise o esté dentro del rango de ubicaciones “internas” configurado.
2. Después de que su explorador sea redirigido a una pantalla de inicio de sesión, introduzca usuario UserPrincipalName y contraseña
3. Verifique que se muestren las aplicaciones Secure Private Access y Citrix Virtual Apps and Desktops de los usuarios

Escenario no fiable

1. Asegúrese de que el dispositivo no esté unido a un dominio ni de que falte el certificado de dispositivo empresarial o esté fuera del rango de ubicaciones “internas” configurado.
2. Después de que su explorador sea redirigido a una pantalla de inicio de sesión, introduzca usuario UserPrincipalName y contraseña
3. Abra la aplicación Citrix SSO, introduzca el código OTP en el campo de código de acceso de la entrada de iPhone7_nOTP dispositivo .
4. Verifique que se muestren las aplicaciones Secure Private Access y Citrix Virtual Apps and Desktops de los usuarios

Solución de problemas

Aquí nos fijamos en un par de áreas comunes de solución de problemas para Native OTP.

Errores NTP

Al iniciar sesión con su código OTP, la página puede publicar un mensaje aconsejándole que verifique la sincronización NTP. La hora de Citrix ADC debe estar sincronizada para generar el OTP basado en tiempo correcto. Si no ha implementado NTP, siga estos pasos:

• Establezca la hora manualmente en su Citrix ADC en la hora actual. Esto acelerará la sincronización que, de lo contrario, tomaría un período de tiempo más largo
• Agregar servidor/s NTP
• Si sigue apareciendo un error de NTP al enviar el código OTP, consulte La visualización de la hora en NetScaler no se sincroniza con NTP.

Erres de autenticación

• Cannot complete your request.: Si este mensaje de error se produce después de la autenticación correcta, probablemente indique un error al pasar las credenciales de usuario a StoreFront. Compruebe el esquema de autenticación dual y la configuración de directiva de tráfico.
• Try again or contact your help desk: Este mensaje de error a menudo indica un error de inicio de sesión LDAP. Si ha verificado que la contraseña es correcta, compruebe que se haya establecido la contraseña de enlace del administrador. Es posible que haya tenido una directiva de autenticación LDAP existente y haya creado la directiva de administración seleccionándola, seguida de agregar. Este paso ahorra tiempo rellenando la configuración existente como Base DN, y es posible que vea que el campo Contraseña de administrador parece estar rellenado, pero DEBE volver a escribir la contraseña.

Resumen

La identificación de las ubicaciones de acceso de los empleados brinda a las empresas la oportunidad de reducir los requisitos de autenticación, reducir la fricción y, por lo tanto, Los empleados que se encuentran en una ubicación interna detrás de un perímetro seguro solo pueden requerir dos factores de autenticación, mientras que los que se encuentran en una ubicación externa pueden requerir tres, para verificar con confianza su identidad y establecer confianza.

Referencias

Para obtener más información, consulte:

Autenticación OTP nativa : obtenga más información sobre la implementación de OTP nativa y los casos de uso.