Citrix ADC

nFactor Visualizer pour une configuration simplifiée

À partir de Citrix ADC version 13.0 build 36.27, la configuration de nFactor via l’interface graphique est simplifiée à l’aide de nFactor Visualizer. Le visualiseur nFactor aide les administrateurs à ajouter plusieurs facteurs sans perdre la trace de chaque facteur. Le groupe de facteurs qui sont construits dans le flux est affiché en un seul endroit. Les administrateurs peuvent ajouter séparément les chemins de réussite et d’échec de l’authentification. Après avoir créé le flux, les administrateurs doivent lier le flux nFactor à un serveur virtuel d’authentification.

Remarque

Tous les facteurs créés par admin dans le flux nFactor sont conservés pour toute utilisation future.

Auparavant, la configuration de nFactor était lourde dans laquelle les administrateurs devaient visiter de nombreuses pages pour la configurer. Si une modification était nécessaire, les administrateurs devaient revoir les sections configurées à chaque fois. De plus, il n’y avait aucune option pour afficher la configuration complète en un seul endroit.

Cas d’utilisation 1 : RADIUS suivi de l’authentification LDAP, sinon repli à Captcha via nFactor Visualizer

Atteignez l’authentification RADIUS comme authentification de premier niveau suivie de l’authentification LDAP. En cas d’échec de RADIUS, l’authentification doit revenir à Captcha.

Image localisée

Pour atteindre ce cas d’utilisation, vous pouvez utiliser nFactor Visualizer. Le Visualizer fournit divers contrôles qui peuvent être utilisés pour ajouter ce flux et les éléments associés.

La figure suivante affiche le flux nFactor créé pour le cas d’utilisation mentionné précédemment à l’aide du visualiseur.

image localisée

  • RADIUS. Vous configurez RADIUS comme premier facteur. Vous ajoutez un schéma de connexion et une stratégie. Dans cet exemple, radius_auth et Radius_Policy sont le schéma et la stratégie de connexion ajoutés. Pour Radius_Policy, vous pouvez ajouter un autre facteur pour le cas de réussite. Dans cet exemple, un bloc de facteur LDAP est ajouté pour le cas de réussite. En cas d’échec, vous pouvez ajouter un facteur Captcha.

  • LDAP. Vous configurez l’authentification LDAP comme deuxième facteur. Vous ajoutez un schéma de connexion et une stratégie. Dans cet exemple, ldap_auth et ldap_Policy sont le schéma de connexion et la stratégie ajoutés.

  • Captcha. Pour le cas d’échec de stratégie RADIUS, vous créez un facteur Captcha. Dans cet exemple, captcha et captcha_policy sont le schéma de connexion et la stratégie ajoutés.

Cas d’utilisation 2 : LDAP suivi de l’authentification Radius/certificat avec Captcha basée sur l’appartenance au groupe LDAP via nFactor Visualizer

Atteignez l’authentification RADIUS comme authentification de premier niveau suivie de l’authentification LDAP. En cas d’échec de RADIUS, l’authentification doit revenir à Captcha.

image localisée

La figure suivante affiche le flux nFactor créé pour le cas d’utilisation mentionné précédemment à l’aide du visualiseur.

image localisée

  • LDAP. Vous configurez LDAP comme premier facteur. Vous ajoutez un schéma de connexion et une stratégie. Dans cet exemple, SingleAuth et LDAP_Policy sont le schéma et la stratégie de connexion qui sont ajoutés. Pour LDAP_Policy, vous pouvez ajouter un autre facteur pour le cas de réussite. Dans cet exemple, un bloc de décision est ajouté pour le cas de réussite. Pour le cas d’échec, vous pouvez ajouter Captcha suivi du facteur AD.

  • LDAP d’extraction de groupe. Est le bloc de décision ajouté pour le cas de réussite LDAP. Le bloc de décision est utilisé comme facteur de sortie de branche pour débrancher les utilisateurs en fonction des règles de stratégie. Visualizer permet de configurer uniquement une stratégie NO_AUTHN pour le bloc de décision.

    Dans cet exemple, Group_Extraction_LDAP est le bloc de décision. Vous ajoutez deux stratégies (AD_Group_Partner et AD_Group_Employee) à ce bloc de décision. Comme expliqué dans les cas d’utilisation, toutes les demandes acheminées via la stratégie AD_Group_Partner utilisent l’authentification RADIUS. Par conséquent, vous connectez le cas de réussite de cette stratégie au facteur suivant qui est le facteur RADIUS. De même, toutes les demandes acheminées via la stratégie AD_Group_Employee utilisent l’authentification de certification. Par conséquent, vous connectez le cas de réussite de cette stratégie au facteur suivant qui est le facteur d’authentification de certification.

    • RADIUS. Pour le cas de réussite de la stratégie AD_Group_Partner, vous créez le facteur d’authentification RADIUS.

    • Certificat. Pour le cas de réussite de la stratégie AD_Group_Employee, vous créez un facteur d’authentification de certificat.

  • Captcha. Pour le cas d’échec de stratégie LDAP, vous créez deux facteurs suivants, Captcha et le facteur AD.

Remarque

  • Si vous avez un cas d’utilisation pour débrancher en premier lieu, vous pouvez soit créer deux flux et lier séparément, soit créer un flux avec un premier comme branchement, et le lier au serveur virtuel.
  • Si vous avez plusieurs blocs, et pour afficher l’intégralité du flux dans l’écran nFactor Flow, cliquez sur visualiseur et faites glisser le flux vers l’extrême gauche.
  • Citrix recommande de modifier les flux nFactor à l’aide de la page nFactor Flows uniquement.

Pour configurer nFactor à l’aide de nFactor Visualizer

Remarque

La configuration nFactor suivante est un exemple simple qui vous aide à réaliser les configurations de scénario de cas d’utilisation 1.

  1. Accédez à Sécurité > AAA — Trafic d’application > nFactor Visualizer > nFactor Flows.
  2. Cliquez sur Ajouter.
  3. Sur la page nFlux de facteurs, cliquez sur + pour ajouter un premier facteur pour le flux. Le premier facteur sert également d’identificateur pour ce flux nFactor.

    image localisée

  4. Entrez le nom du facteur et cliquez sur Créer.

    image localisée

    Le nom du facteur apparaît sur le bloc de facteur dans la page nFactor Flow.

    Remarque

    Citrix vous recommande de ne pas utiliser les noms d’étiquettes de stratégie tels que,__root et __<flow_name> comme suffixe et _db_ comme préfixe. Il est utilisé comme noms de facteurs qui sont créés dans le flux nFactor.

  5. Une fois le facteur RADIUS créé, les Ajouter un schéma et Ajouter une stratégie doivent être créés.

    image localisée

    Remarque

    Pour de plus amples informations, consultez Concepts, entités et terminologie de nFactor

  6. Cliquez sur Ajouter un schéma. Vous pouvez ajouter un nouveau schéma de connexion ou sélectionner un schéma de connexion existant dans la liste Schéma de connexion d’authentification .

    image localisée

  7. Pour créer un schéma de connexion, cliquez sur Ajouter et, dans la page Créer un schéma de connexion d’authentification, entrez le nom du schéma. Cliquez sur Modifier (icône en forme de crayon) pour sélectionner les fichiers de schéma de connexion dans la liste.

    image localisée

  8. Cliquez sur Ajouter une stratégie. Vous pouvez créer une stratégie d’authentification ou sélectionner une stratégie d’authentification existante.

    image localisée

  9. Pour créer une stratégie, cliquez sur Ajouter et, dans la page Créer une stratégie d’authentification, entrez le nom de la stratégie, puis cliquez sur Créer .

    image localisée

  10. Après avoir ajouté un schéma de connexion et une stratégie au facteur, le schéma de connexion et la stratégie apparaissent sur le facteur dans le Visualizer, comme indiqué dans la figure suivante. Pour un facteur donné, vous pouvez ajouter plusieurs stratégies et définir le facteur suivant pour la réussite et l’échec de chaque stratégie. Vous pouvez également supprimer les stratégies qui font partie du facteur.

    image localisée

  11. Après avoir créé le flux, vous pouvez ensuite lier le flux nFactor à un serveur virtuel d’authentification.

Ajout du facteur suivant

Pour ajouter le facteur suivant, vous pouvez sélectionner l’une des options suivantes selon votre besoin :

  • Créer un facteur. Créez un facteur. Chaque facteur créé dans un flux est exclusif à ce flux.
  • Créez un bloc de décision. Créer un bloc de décision pour servir de facteur de sortie de succursale. Vous ne pouvez pas ajouter de schéma de connexion au bloc de décision. Visualizer permet de configurer uniquement une stratégie NO_AUTHN pour le bloc de décision.

    Remarque

    Vous ne pouvez ajouter ou modifier le bloc de décision que via l’interface graphique Citrix ADC. Il n’y a pas d’option pour configurer le bloc de décision à partir de la commande CLI.

  • Connectez-vous à un facteur existant. Sélectionnez un facteur existant comme facteur suivant. Tous les facteurs qui apparaissent dans la liste existante sont créés exclusivement pour ce flux.
  • Aucun. Supprimez une connexion existante.

    image localisée

    image localisée

Pour lier le flux nFactor au serveur d’authentification

  1. Sur la page nFlux Factor, sélectionnez un flux nFactor que vous préférez lier à un serveur virtuel d’authentification.

  2. Cliquez sur l’icône hamburger pour sélectionner l’option Lier au serveur d’authentification ou, dans le volet d’informations, cliquez sur Lier au serveur d’authentification .

    image localisée

  3. Sur la page Lier au serveur d’authentification, vous pouvez effectuer les actions suivantes :

    • Pour ajouter un serveur virtuel d’authentification, cliquez sur Ajouter.
    • Pour sélectionner un serveur d’authentification existant dans la liste, cliquez sur le champ Serveur d’authentification .

    image localisée

  4. Cliquez sur Afficher les liaisons à partir de l’icône hamburger pour afficher les liaisons.

  5. Pour dissocier le serveur d’authentification du flux nFactor spécifique, effectuez les opérations suivantes :

    • Sur la page NFactor Flux, cliquez sur Afficher les liaisons à partir de l’icône de hamburger.
    • Dans la page Liaisons du serveur d’authentification, sélectionnez le serveur d’authentification à dissocier et cliquez sur Dissocier. Cliquez sur Fermer.

    image localisée

Pour plus d’informations sur l’authentification nFactor, consultez les rubriques suivantes :

Améliorations apportées au visualiseur nFactor

À partir de Citrix ADC version 13.0 build 41.20, les améliorations suivantes sont apportées dans nFactor Visualizer.

  • Les administrateurs peuvent déplacer les facteurs créés vers l’icône de la corbeille.
  • Affichez les flux nFactor dans la page Authentification serveur virtuel.

Icône Corbeille. Les administrateurs peuvent uniquement supprimer les nœuds qui n’ont pas de connexion. Toutefois, les stratégies sous-jacentes ou les schémas créés pour le facteur ne sont pas supprimés si le facteur est déplacé dans la corbeille.

Pour afficher l’icône de corbeille :

  1. Accédez à Sécurité > AAA — Trafic d’application > nFactor Visualizer > nFactor Flows.

    Image localisée

  2. Pour supprimer le facteur, cliquez sur le bloc de facteur et faites-le glisser vers la corbeille.

Afficher le flux nFactor à partir du serveur virtuel d’authentification. Les administrateurs peuvent également afficher les flux nFactor créés à partir de la page Authentification Virtual Server.

Pour afficher le flux nFactor à partir de la page Authentication Virtual Server :

  1. Accédez à Sécurité > AAA — Trafic des applications > Serveurs virtuels. Sur la page Authentification des serveurs virtuels, vous pouvez effectuer les opérations suivantes :
    • Pour ajouter un serveur virtuel d’authentification, cliquez sur Ajouter.
    • Pour modifier un serveur virtuel d’authentification existant, cliquez sur l’option Modifier dans le volet d’informations.

    Image localisée

  2. Sur la page Authentification serveur virtuel, vous pouvez afficher l’option nFactor Flow sous Stratégies d’authentification avancées .

    Image localisée

  3. Si aucun flux nFactor n’est lié au serveur virtuel, vous pouvez cliquer sur l’option No nFactor Flow sous la section Stratégies d’authentification avancées pour ajouter un nouveau flux nFactor ou sélectionner le flux nFactor existant dans la liste.

    Image localisée