Configurer l’analyse périodique Endpoint Analysis en tant que facteur dans l’authentification nFactor

Sur Citrix Gateway, Endpoint Analysis (EPA) peut être configuré pour vérifier si une machine utilisateur répond à certaines exigences de sécurité et permettre ainsi à l’utilisateur d’accéder aux ressources internes. Le plug-in Endpoint Analysis télécharge et s’installe sur la machine utilisateur lorsque les utilisateurs se connectent pour la première fois à Citrix Gateway. Si un utilisateur n’installe pas le plug-in Endpoint Analysis sur la machine utilisateur, l’utilisateur ne peut pas ouvrir de session avec le plug-in Citrix Gateway.

Pour comprendre l’EPA dans les concepts nFactor, consultez Concepts et entités utilisés pour l’EPA dans l’authentification nFactor via NetScaler.

Dans la stratégie classique, EPA périodique a été configuré dans le cadre de la stratégie de session sousvpn session action. Sous Advanced Policy Infrastructure, il peut être lié à nFactor.

Dans cette rubrique, l’analyse EPA est utilisée comme vérification continue dans une authentification nFactor ou multifacteur.

Représentation de l'analyse EPA comme un contrôle continu dans nFactor ou l'authentification multifacteur

L’utilisateur tente de se connecter à l’adresse IP virtuelle Citrix Gateway. Une page de connexion simple avec le nom d’utilisateur et le mot de passe est affichée à l’utilisateur pour fournir des informations d’identification de connexion. Avec ces informations d’identification, l’authentification basée sur LDAP ou AD est effectuée sur le back-end. En cas de succès, l’utilisateur est présenté avec une fenêtre contextuelle pour autoriser l’analyse EPA. Une fois l’autorisation de l’utilisateur, l’analyse EPA est effectuée et en fonction du succès ou de l’échec des paramètres du client utilisateur, l’utilisateur dispose d’un accès.

Si l’analyse réussit, l’analyse EPA est effectuée périodiquement pour vérifier que les exigences de sécurité configurées sont toujours respectées. Si l’analyse EPA échoue lors d’un tel contrôle, la session est interrompue.

Conditions préalables

On suppose que les configurations suivantes sont en place :

  • Configurations de serveurs virtuels d’authentification et de passerelles/serveurs virtuels VPN
  • Configurations de serveur LDAP et stratégies associées

Les stratégies et les configurations d’étiquette de stratégie requises sont affichées et associées à un profil d’authentification dans cette rubrique.

L’image suivante montre le mappage des stratégies et de l’étiquette de stratégie. C’est l’approche utilisée pour la configuration, mais de droite à gauche.

Mappage des stratégies et de l'étiquette de stratégie utilisées dans cet exemple

Effectuez les opérations suivantes à l’aide de l’interface de ligne de commande

  1. Créez une action pour effectuer une analyse EPA et l’associer à une stratégie d’analyse EPA.

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("proc_2_firefox")"
    

    L’expression ci-dessus scanne si le processus ‘Firefox’ est en cours d’exécution. Le plug-in EPA vérifie l’existence du processus toutes les 2 minutes, signifié par le chiffre « 2 » dans l’expression de numérisation.

    add authentication Policy EPA-check -rule true -action EPA-client-scan
    
  2. Configurez l’étiquette de stratégie post-ldap-epa-scan qui héberge la stratégie pour l’analyse EPA.

    add authentication policylabel post-ldap-epa-scan -loginSchema LSCHEMA_INT
    

    Remarque : LSCHEMA_INT est dans un schéma construit sans schéma, ce qui signifie qu’aucune page Web supplémentaire n’est présentée à l’utilisateur à cette étape.

  3. Associez la stratégie configurée à l’étape 1 à l’étiquette de stratégie configurée à l’étape 2.

    bind authentication policylabel post-ldap-epa-scan -policyName EPA-check -priority 100 -gotoPriorityExpression END
    

    Dans cette commande, END indique la fin du mécanisme d’authentification.

  4. Configurez la stratégie ldap-auth et associez-la à une stratégie LDAP configurée pour s’authentifier auprès d’un serveur LDAP particulier.

    add authentication Policy ldap-auth -rule true -action ldap_server1
    

    où ldap_server1 est la stratégie LDAP et ldap-auth est le nom de la stratégie.

  5. Associez la stratégie ldap-auth à l’authentification, à l’autorisation et à l’audit du serveur virtuel avec l’étape suivante pointant vers l’étiquette de stratégie post-ldap-epa-scan pour effectuer l’analyse EPA.

    bind authentication vserver MFA_AAA_vserver -policy ldap-auth -priority 100 -nextFactor post-ldap-epa-scan -gotoPriorityExpression NEXT
    

Configuration à l’aide de nFactor Visualizer dans l’interface graphique

La configuration précédente peut également être effectuée à l’aide de nFactor Visualizer, qui est une fonctionnalité disponible sur le firmware 13.0 et versions ultérieures.

Représentation de nFactor-flow dans le visualiseur

  1. Accédez à Sécurité > Trafic d’application AAA-> nFactor Visualizer > nFactor Flow et cliquez sur Ajouter.

  2. Cliquez sur + pour ajouter le flux nFactor.

    Cliquez pour ajouter un flux

  3. Ajoutez un facteur. Le nom que vous entrez est le nom du flux nFactor.

    Ajouter un nom pour le flux nFactor

  4. Cliquez sur Ajouter un schéma pour ajouter un schéma pour le premier facteur, puis cliquez sur Ajouter.

    Cliquez pour ajouter un schéma

  5. Cliquez sur Ajouter une stratégie pour ajouter la stratégie LDAP. Si la stratégie LDAP est déjà créée, vous pouvez la sélectionner.

    Cliquez pour ajouter une stratégie

    Créer une stratégie d'authentification

    Remarque : Vous pouvez créer une stratégie LDAP. Cliquez sur Ajouter et dans le champ Action, sélectionnez LDAP. Pour plus d’informations sur l’ajout d’un serveur LDAP, consultez https://support.citrix.com/article/CTX123782)

  6. Cliquez sur + pour ajouter le facteur EPA.

    Cliquez pour ajouter le facteur EPA

  7. Laissez la section Ajouter un schéma vide pour que la valeur par défaut aucun schéma soit appliquée à ce facteur. Cliquez sur Ajouter une stratégie pour ajouter la stratégie et l’action de post-authentification EPA.

    Action de l’EPA :

    Créer une action EPA

    Stratégie de l’EPA :

    Créer une stratégie EPA

    Cliquez sur Créer.

  8. Une fois le flux nFactor terminé, liez ce flux au serveur virtuel d’authentification, d’autorisation et d’audit.

    Liez le flux au serveur virtuel d'authentification

    ​​​​Remarque : Si EPA périodique est configuré en plusieurs facteurs, le dernier facteur avec configuration EPA périodique est pris en compte.

    Exemple :

    Exemple de configuration

    Dans cet exemple, EPA est le premier facteur où l’analyse recherche le processus ‘Firefox’. Si l’analyse EPA réussit, elle conduit à l’authentification LDAP, suivie de la prochaine analyse EPA, qui recherche le processus « Chrome ». Lorsqu’il existe plusieurs analyses périodiques configurées en tant que facteurs différents, la dernière analyse a priorité. Dans ce cas, le plug-in EPA recherche le processus « Chrome » toutes les 3 minutes après la connexion réussie.

Configurer l’analyse périodique Endpoint Analysis en tant que facteur dans l’authentification nFactor