Citrix ADC

Configuration de reCAPTCHA pour l’authentification nFactor

Citrix Gateway prend en charge une nouvelle action de première classe ‘CaptChaAction’ qui simplifie la configuration reCAPTCHA. Comme reCAPTCHA est un premier recours collectif, il peut être un facteur qui lui est propre. Vous pouvez injecter reCAPTCHA n’importe où dans le flux nFactor.

Auparavant, vous deviez écrire des stratégies WebAuth personnalisées avec des modifications à l’interface utilisateur RFWeb. Avec l’introduction de CaptChaAction, vous n’avez pas à modifier le JavaScript.

Important

Si reCAPTCHA est utilisé avec les champs nom d’utilisateur ou mot de passe dans le schéma, le bouton d’envoi est désactivé jusqu’à ce que reCAPTCHA soit rempli.

Configuration reCAPTCHA

La configuration reCAPTCHA comporte deux parties.

  1. Configuration sur Google pour l’enregistrement de reCAPTCHA.
  2. Configuration sur l’appliance Citrix ADC pour utiliser reCAPTCHA dans le cadre du flux de connexion.

Configuration reCAPTCHA sur Google

Enregistrez un domaine pour reCAPTCHA àhttps://www.google.com/recaptcha/admin#llist.

  1. Lorsque vous accédez à cette page, l’écran suivant apparaît.

    image localisée

    Remarque

    Utilisez reCAPTCHA v2 uniquement. Invisible reCAPTCHA est toujours en version bêta.

  2. Après l’enregistrement d’un domaine, les « SiteKey » et « SecretKey » s’affichent.

    image localisée

    Remarque

    Les « SiteKey » et « SecretKey » sont grisés pour des raisons de sécurité. « SecretKey » doit être gardé en sécurité.

Configuration reCAPTCHA sur l’appliance Citrix ADC

La configuration reCAPTCHA sur l’appliance Citrix ADC peut être divisée en trois parties :

  • Afficher l’écran reCaptcha
  • Publier la réponse reCaptcha sur le serveur Google
  • La configuration LDAP est le deuxième facteur pour l’ouverture de session utilisateur (facultatif)

Afficher l’écran reCaptcha

La personnalisation du formulaire de connexion se fait via le loginschema SingleAuthCaptcha.xml. Cette personnalisation est spécifiée au serveur virtuel d’authentification et est envoyée à l’interface utilisateur pour le rendu du formulaire de connexion. Le loginschema intégré, SingleAuthCaptcha.xml, se trouve dans le répertoire /NSConfig/LoginsChema/LoginsChema sur l’appliance Citrix ADC.

Important

  • En fonction de votre cas d’utilisation et de différents schémas, vous pouvez modifier le schéma existant. Par exemple, si vous n’avez besoin que d’un facteur reCAPTCHA (sans nom d’utilisateur ni mot de passe) ou d’une double authentification avec reCAPTCHA.
  • Si des modifications personnalisées sont effectuées ou si le fichier est renommé, Citrix recommande de copier tous les LoginsChemas du répertoire /nsconfig/loginschema/loginschema vers le répertoire parent, /nsconfig/loginschema.

Pour configurer l’affichage de reCAPTCHA à l’aide de l’interface de ligne de commande

  • add authentication loginSchema singleauthcaptcha -authenticationSchema /nsconfig/loginschema/SingleAuthCaptcha.xml
  • add authentication loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptcha
  • add authentication vserver auth SSL <IP> <Port>
  • add ssl certkey vserver-cert -cert <path-to-cert-file> -key <path-to-key-file>
  • bind ssl vserver auth -certkey vserver-cert
  • bind authentication vserver auth -policy singleauthcaptcha -priority 5 -gotoPriorityExpression END

Publier la réponse reCaptcha sur le serveur Google

Après avoir configuré le reCAPTCHA qui doit être affiché aux utilisateurs, les administrateurs publient la configuration au serveur Google pour vérifier la réponse reCAPTCHA du navigateur.

Pour vérifier la réponse reCAPTCHA à partir du navigateur
  • add authentication captchaAction myrecaptcha -sitekey <sitekey-copied-from-google> -secretkey <secretkey-from-google>
  • add authentication policy myrecaptcha -rule true -action myrecaptcha
  • bind authentication vserver auth -policy myrecaptcha -priority 1

Les commandes suivantes sont nécessaires pour configurer si l’authentification AD est souhaitée. Sinon, vous pouvez ignorer cette étape.

  • add authentication ldapAction ldap-new -serverIP x.x.x.x -serverPort 636 -ldapBase "cn=users,dc=aaatm,dc=com" -ldapBindDn adminuser@aaatm.com -ldapBindDnPassword <password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup ldapGroup
  • add authenticationpolicy ldap-new -rule true -action ldap-new

La configuration LDAP est le deuxième facteur pour l’ouverture de session utilisateur (facultatif)

L’authentification LDAP se produit après reCAPTCHA, vous l’ajoutez au deuxième facteur.

  • add authentication policylabel second-factor
  • bind authentication policylabel second-factor -policy ldap-new -priority 10
  • bind authentication vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor

L’administrateur doit ajouter des serveurs virtuels appropriés selon que le serveur virtuel d’équilibrage de charge ou l’appliance Citrix Gateway est utilisé pour l’accès. L’administrateur doit configurer la commande suivante si le serveur virtuel d’équilibrage de charge est requis :

  • add lb vserver lbtest HTTP <IP> <Port> -authentication ON -authenticationHost nssp.aaatm.com

    nssp.aaatm.com — Résout à l’authentification du serveur virtuel.

Validation par l’utilisateur de reCAPTCHA

Une fois que vous avez configuré toutes les étapes mentionnées dans les sections précédentes, vous devez voir les captures d’écran de l’interface utilisateur ci-dessous.

  1. Une fois que le serveur virtuel d’authentification charge la page de connexion, l’écran d’ouverture de session s’affiche. L’ouverture de session est désactivée jusqu’à ce que reCAPTCHA soit terminé.

    image localisée

  2. Sélectionnez Je ne suis pas une option de robot. Le widget reCAPTCHA s’affiche.

    image localisée

  3. Vous naviguez à travers les séries d’images reCAPTCHA, avant l’affichage de la page de fin.
  4. Entrez les informations d’identification AD, activez la case à cocher Je ne suis pas un robot et cliquez sur Connexion . Si l’authentification réussit, vous êtes redirigé vers la ressource souhaitée.

    image localisée

    Remarques

    • Si reCAPTCHA est utilisé avec l’authentification AD, le bouton Envoyer pour les informations d’identification est désactivé jusqu’à ce que reCAPTCHA soit terminé.
    • Le reCAPTCHA se produit dans un facteur qui lui est propre. Par conséquent, toute validation ultérieure comme AD doit se produire dans le « nextfactor » de reCaptcha.

Configuration de reCAPTCHA pour l’authentification nFactor