Citrix ADC

Authentification, autorisation et audit du trafic des applications

De nombreuses entreprises restreignent l’accès au site Web aux utilisateurs valides uniquement et contrôlent le niveau d’accès autorisé à chaque utilisateur. La fonctionnalité d’authentification, d’autorisation et d’audit permet à un administrateur de site de gérer les contrôles d’accès avec l’appliance Citrix ADC au lieu de gérer ces contrôles séparément pour chaque application. L’authentification sur l’appliance permet également de partager ces informations sur tous les sites Web du même domaine protégés par l’appliance.

Pour utiliser l’authentification, l’autorisation et l’audit, vous devez configurer les serveurs virtuels d’authentification pour gérer le processus d’authentification et les serveurs virtuels de gestion du trafic pour gérer le trafic vers les applications Web nécessitant une authentification. Vous configurez également votre DNS pour attribuer des noms de domaine complets à chaque serveur virtuel. Après avoir configuré les serveurs virtuels, vous configurez un compte d’utilisateur pour chaque utilisateur qui s’authentifiera via l’appliance Citrix ADC, et éventuellement vous créez des groupes et attribuez des comptes d’utilisateur à des groupes. Après avoir créé des comptes d’utilisateurs et des groupes, vous configurez des stratégies qui indiquent à l’appliance comment authentifier les utilisateurs, quelles ressources auxquelles les utilisateurs peuvent accéder et comment consigner les sessions utilisateur. Pour mettre les stratégies en vigueur, vous liez chaque stratégie globalement, à un serveur virtuel spécifique ou aux comptes d’utilisateurs ou groupes appropriés. Après avoir configuré vos stratégies, vous personnalisez les sessions utilisateur en configurant les paramètres de session et en liant vos stratégies de session au serveur virtuel de gestion du trafic. Enfin, si votre intranet utilise des certificats client, vous configurez la configuration du certificat client.

Pour comprendre le fonctionnement de l’authentification, de l’autorisation et de l’audit dans un environnement distribué, envisagez une organisation dotée d’un intranet accessible à ses employés au bureau, à la maison et lors de leurs déplacements. Le contenu de l’intranet est confidentiel et nécessite un accès sécurisé. Tout utilisateur qui souhaite accéder à l’intranet doit avoir un nom d’utilisateur et un mot de passe valides. Pour répondre à ces exigences, l’ADC effectue les opérations suivantes :

  • Redirige l’utilisateur vers la page de connexion si l’utilisateur accède à l’intranet sans s’être connecté.
  • Collecte les informations d’identification de l’utilisateur, les remet au serveur d’authentification et les met en cache dans un répertoire accessible via le protocole LDAP (Lightweight Directory Access Protocol). Pour plus d’informations, reportez-vous à la section Détermination des attributs dans votre annuaire LDAP.

  • Vérifie que l’utilisateur est autorisé à accéder au contenu intranet spécifique avant de remettre la demande de l’utilisateur au serveur d’applications.
  • Maintient un délai d’expiration de session après lequel les utilisateurs doivent s’authentifier à nouveau pour retrouver l’accès à l’intranet. (Vous pouvez configurer le délai d’expiration.)
  • Consigne l’accès de l’utilisateur, y compris les tentatives de connexion non valides, dans un journal d’audit.

Types d’authentification supportés

  • Stockage local
  • LDAP
  • RADIUS
  • SAML
  • TACACS+
  • Authentification du certificat client (incluant l’authentification par carte à puce
  • Web
  • L’authentification avancée
  • Authentification par formulaire
  • Authentification basée sur 401
  • OTP natif
  • Notification Push
  • Courriel OTP
  • reCAPTCHA

Citrix Gateway prend également en charge RSA SecurID, Gemalto Protiva et SafeWord. Vous utilisez un serveur RADIUS pour configurer ces types d’authentification.

Avant de configurer l’authentification, l’autorisation et l’audit, vous devez connaître et comprendre comment configurer l’équilibrage de charge, la commutation de contenu et le protocole SSL sur l’appliance Citrix ADC.

Authentification sans autorisation

L’autorisation spécifie les ressources réseau auxquelles les utilisateurs ont accès lorsqu’ils ouvrent une session sur l’appliance. Le paramètre par défaut pour l’autorisation est de refuser l’accès à toutes les ressources réseau. Citrix recommande d’utiliser le paramètre global par défaut, puis de créer des stratégies d’autorisation pour définir les ressources réseau auxquelles les utilisateurs peuvent accéder.

Vous configurez l’autorisation sur l’appliance à l’aide d’une stratégie d’autorisation et d’expressions. Après avoir créé une stratégie d’autorisation, vous pouvez la lier aux utilisateurs ou aux groupes que vous avez configurés sur l’appliance.

Vous pouvez configurer l’appliance pour qu’elle utilise uniquement l’authentification, sans autorisation. Lorsque vous configurez l’authentification sans autorisation, l’appliance n’effectue pas de vérification d’autorisation de groupe. Les stratégies que vous configurez pour l’utilisateur ou le groupe sont affectées à l’utilisateur.

Activation de l’authentification, de l’autorisation et de l’audit

Pour utiliser la fonctionnalité d’authentification, d’autorisation et d’audit, vous devez l’activer. Vous pouvez configurer des entités d’authentification, d’autorisation et d’audit, telles que les serveurs virtuels d’authentification et de gestion du trafic, avant d’activer la fonctionnalité d’authentification, d’autorisation et d’audit, mais les entités ne fonctionnent pas tant que la fonctionnalité n’est pas activée.

Pour activer l’authentification, l’autorisation et l’audit à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour activer l’authentification, l’autorisation et l’audit et vérifier la configuration :

enable ns feature AAA

Pour activer l’authentification, l’autorisation et l’audit à l’aide de l’interface graphique

  1. Accédez à Système > Paramètres.
  2. Dans le volet d’informations, sous Modes et fonctionnalités, cliquez sur Modifier les fonctions de base.
  3. Dans la boîte de dialogue Configurer les fonctionnalités de base, activez la case à cocher Authentification, autorisation et audit .
  4. Cliquez sur OK.

Désactivation de l’authentification

Si votre déploiement ne nécessite pas d’authentification, vous pouvez le désactiver. Vous pouvez désactiver l’authentification pour chaque serveur virtuel qui ne nécessite pas d’authentification.

Important :

Important : Citrix recommande de désactiver l’authentification avec prudence. Si vous n’utilisez pas de serveur d’authentification externe, créez des utilisateurs et des groupes locaux pour permettre à l’appliance d’authentifier les utilisateurs. La désactivation de l’authentification arrête l’utilisation des fonctions d’authentification, d’autorisation et de comptabilité qui contrôlent et surveillent les connexions à l’appliance. Lorsque les utilisateurs tapent une adresse Web pour se connecter à l’appliance, la page d’ouverture de session n’apparaît pas.

Pour désactiver l’authentification

  1. Accédez à Configuration > Citrix Gateway > Serveurs virtuels.
  2. Dans le volet d’informations, cliquez sur un serveur virtuel, puis cliquez sur Ouvrir.
  3. Dans la page Paramètres de base, désactivez la case à cocher Activer l’authentification.
Authentification, autorisation et audit du trafic des applications