Documentation Produit
ADC
14.1 - Current Release 13.1 13.0 12.1
Voir PDF

Configurez SAML suivi de l’authentification LDAP ou de certificat basée sur l’extraction d’attributs SAML dans l’authentification nFactor

March 17, 2024
Contributeur: 
C

La section suivante décrit le cas d’utilisation de l’authentification LDAP ou de certificat basée sur l’extraction d’attributs SAML dans l’authentification nFactor.

Authentification SAML dans le premier facteur avec extraction d’attributs à partir de l’assertion SAML

Supposons un cas d’utilisation dans lequel les administrateurs configurent l’authentification SAML dans un premier facteur avec extraction d’attributs à partir de l’assertion SAML. En fonction des attributs extraits lors du premier facteur, vous pouvez configurer les facteurs suivants, qui peuvent avoir une authentification LDAP ou une authentification par certificat.

  1. Une fois que vous accédez au serveur virtuel de gestion du trafic, vous êtes redirigé vers l’IdP SAML externe pour vous connecter (dans ce cas, Shibboleth, comme indiqué sur la figure). Saisissez vos identifiants de connexion. Si la connexion est réussie, le fournisseur d’identité SAML envoie la réponse SAML contenant les attributs.

    Authentification Shibboleth SAML

  2. Lorsque la réponse SAML est reçue au niveau de l’appliance Citrix ADC, elle analyse et extrait les attributs tels que configurés dans l’action SAML. L’assertion SAML est vérifiée et vous passez au deuxième facteur.

  3. Le deuxième facteur est configuré en tant que relais (il n’y a pas de page d’ouverture de session pour ce facteur) avec 2 stratégies NO_AUTHN. En fonction de l’évaluation de la stratégie, vous avez configuré un accès au facteur d’authentification LDAP ou au facteur d’authentification de certificat.

    Remarque

    La stratégie NO_AUTHN signifie que si la règle configurée pour cette stratégie est évaluée à true, l’appliance Citrix ADC n’effectue aucune authentification. Il indique le facteur suivant qui est configuré.

  4. Supposons, par exemple, que l’action SAML soit configurée pour extraire l’UPN en tant qu’attribute1 et que la valeur de l’UPN soit john@citrix.com. Maintenant, l’une des règles de stratégie NO_AUTHN est configurée pour vérifier la présence de la chaîne « citrix.com ». Si la stratégie est évaluée sur true, vous pouvez configurer le saut au facteur suivant ayant l’authentification LDAP. De même, la stratégie peut être configurée pour avoir le facteur suivant comme certificat.

  5. Lorsque le facteur LDAP est sélectionné après l’authentification SAML, la page d’ouverture de session s’affiche.

    Ouverture de session par authentification LDAP

    Remarque

    La valeur du nom d’utilisateur est préremplie à l’aide de l’expression $ {http.req.user.name}, qui extrait le nom d’utilisateur du premier facteur. D’autres champs tels que les étiquettes pour le nom d’utilisateur et le mot de passe peuvent également être personnalisés.

  6. L’image suivante montre un exemple utilisé pour cette représentation du formulaire d’ouverture de session.

    Formulaire de connexion

    Remarque

    En fonction des besoins, les administrateurs peuvent modifier les valeurs du formulaire d’ouverture de session.

  7. Si le facteur de certificat est sélectionné après SAML, la page Sélectionner un certificat s’affiche.

    Sélectionner un certificat

Remarque

La configuration peut également être créée via le visualiseur nFactor disponible dans Citrix ADC version 13.0 et ultérieure.

Visualiseur NFactor SAML et LDAP

Effectuez les opérations suivantes à l’aide de l’interface de ligne de commande

  1. Configurez le serveur virtuel de gestion du trafic et le serveur d’authentification.

    • add lb vserver lb_ssl SSL 10.217.28.166 443 -persistenceType NONE -cltTimeout 180 -AuthenticationHost auth.nsi-test.com -Authentication ON -authnVsName avn
    • add authentication vserver avn SSL 10.217.28.167 443 -AuthenticationDomain nsi-test.com

  2. Configurez une stratégie SAML avec extraction d’attributs liée au serveur virtuel d’authentification.

    • add authentication samlAction shibboleth -samlIdPCertName shib-idp-242 -samlSigningCertName nssp-cert -samlRedirectUrl "https://idp.wi.int/idp/profile/SAML2/POST/SSO" -samlUserField samaccountname -samlRejectUnsignedAssertion OFF -samlIssuerName nssp.nsi-test.com -Attribute1 UserPrincipalName –Attribute2 department
    • add authentication Policy saml -rule true -action shibboleth
    • bind authentication vserver avn -policy saml -priority 1 -nextFactor label1 -gotoPriorityExpression NEXT

  3. Configurez un deuxième facteur.

    • add authentication loginSchema login2 -authenticationSchema noschema
    • add authentication Policy no_ldap -rule "http.req.user.attribute(1).contains(\"citrix.com\")" -action NO_AUTHN
    • add authentication Policy no_cert -rule "http.req.user.attribute(2).contains(\"Sales\")" -action NO_AUTHN
    • add authentication policylabel label1 -loginSchema login2
    • bind authentication policylabel label1 -policyName no_ldap -priority 1 -gotoPriorityExpression NEXT -nextFactor ldapfactor
    • bind authentication policylabel label1 -policyName no_cert -priority 2 -gotoPriorityExpression NEXT -nextFactor certfactor

  4. Configurez un facteur d’authentification LDAP.

    • add authentication loginSchema login3 -authenticationSchema login1.xml
    • add authentication policylabel ldapfactor -loginSchema login3
    • bind authentication policylabel ldapfactor -policyName <LDAP Auth Policy> -priority 10 -gotoPriorityExpression END

  5. Configurez une authentification par facteur de certificat.

    • add authentication loginSchema login4 -authenticationSchema noschema
    • add authentication policylabel certfactor -loginSchema login4
    • bind authentication policylabel certfactor -policyName <Certificate Auth Policy> -priority 10 -gotoPriorityExpression END

  6. Liez le certificat racine au serveur virtuel et activez l’authentification du client.

    • bind ssl vserver avn -certkeyName <root cert name>-CA -ocspCheck Optional
    • set ssl vserver avn -clientAuth ENABLED -clientCert Optional

Configuration à l’aide du visualiseur nFactor

  1. Accédez à Sécurité > Trafic des applications AAA > nFactor Visualizer > Flux nFactor, puis cliquez sur Ajouter.

  2. Cliquez sur + pour ajouter le flux nFactor.

  3. Ajoutez un facteur. Le nom que vous entrez est le nom du flux nFactor.

  4. Aucun schéma n’est nécessaire pour l’authentification SAML. Cliquez sur Ajouter une stratégie pour créer une stratégie SAML pour le premier facteur.

    Ajouter un schéma

    Remarque : Pour plus d’informations sur SAML en tant que SP, consultez Citrix ADC as a SAML SP.

  5. Ajoutez la stratégie SAML.

    Ajouter une stratégie SAML

  6. Cliquez sur le signe + vert pour ajouter le facteur suivant.

    Ajouter le facteur suivant

  7. Créez une case de décision pour vérifier les attributs SAML.

    Cochez la case de décision

  8. Cliquez sur Ajouter une stratégie pour créer une stratégie.

    Ajouter une stratégie

  9. Créez une stratégie pour vérifier l’attribut « citrix.com » avec l’action NO_AUTHN.

    Stratégie sur l'authentification

  10. Sélectionnez la stratégie créée précédemment, puis cliquez sur Ajouter.

    Ajouter une stratégie

  11. Cliquez sur le signe + vert pour ajouter une deuxième stratégie.

  12. Suivez les étapes 9 et 10. Liez la stratégie pour vérifier les ventes d’attributs.

    Ventes d'attributs de liaison

  13. Pour ajouter le deuxième facteur pour l’attribut « citrix.com », cliquez sur le signe + vert en regard de la stratégie no_ldap.

    Ajouter un deuxième facteur

  14. Créez un facteur suivant pour l’authentification LDAP.

    Facteur LDAP

  15. Cliquez sur Ajouter un schéma pour le deuxième facteur.

    Deuxième schéma

  16. Créez un schéma de connexion d’authentification avec le schéma “PrefilUserFormExpr.xml” pour le deuxième facteur dont le nom d’utilisateur est prérempli.

    Créer un schéma d'authentification

  17. Cliquez sur Ajouter une stratégie pour ajouter la stratégie LDAP.

    Ajouter une stratégie LDAP

    Remarque

    Pour plus d’informations sur la création d’une authentification LDAP, reportez-vous à la section Pour configurer l’authentification LDAP à l’aide de l’utilitaire de configuration.

  18. Suivez l’étape 13. Pour ajouter un deuxième facteur pour les ventes d’attributs, cliquez sur le signe + vert en regard de no_cert.

    Ajouter une stratégie de certification

  19. Créez un facteur suivant pour l’authentification des certificats.

    Ajouter une authentification par certificat

  20. Suivez les étapes 15, 16 et 17. Ajoutez un schéma pour l’authentification du certificat et ajoutez une stratégie d’authentification de certificat.

    Remarque

    Pour plus d’informations sur l’authentification des certificats, voir Configuration et liaison d’une stratégie d’authentification de certificat client.

  21. Cliquez sur Terminé pour enregistrer la configuration.

  22. Pour lier le flux nFactor créé à un serveur virtuel d’authentification, d’autorisation et d’audit, cliquez sur Liaison au serveur d’authentification, puis sur Créer.

    Lier le serveur d'authentification

    Remarque

    Liez et déliez le flux NFactor via l’option fournie dans NFactor Flow sous Afficher les liaisons uniquement.

Délier le flux NFactor

  1. Sélectionnez le flux nFactor et cliquez sur Afficher les liaisons.

  2. Sélectionnez le serveur virtuel d’authentification et cliquez sur Dissocier.

Configurez SAML suivi de l’authentification LDAP ou de certificat basée sur l’extraction d’attributs SAML dans l’authentification nFactor
March 17, 2024
Contributeur: 
C
March 17, 2024
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.