Citrix ADC

Configurer l’analyse EPA pré-authentification et post-authentification en tant que facteur dans l’authentification nFactor

Sur Citrix Gateway, Endpoint Analysis (EPA) peut être configuré pour vérifier si une machine utilisateur répond à certaines exigences de sécurité et, par conséquent, autoriser l’accès aux ressources internes à l’utilisateur. Le plug-in Endpoint Analysis se télécharge et s’installe sur la machine utilisateur lorsque les utilisateurs ouvrent une session sur Citrix Gateway pour la première fois. Si un utilisateur n’installe pas le plug-in Endpoint Analysis sur la machine utilisateur, l’utilisateur ne peut pas ouvrir de session avec le plug-in Citrix Gateway.

Pour comprendre les concepts EPA dans nFactor, reportez-vous à la section Concepts et entités utilisés pour EPA dans nFactor Authentication Through NetScaler.

Dans cette rubrique, l’analyse EPA est utilisée comme vérification initiale dans une authentification nFactor ou multifactorielle, suivie de la connexion et de l’analyse EPA comme vérification finale.

Représentation de l'analyse EPA utilisée comme vérification initiale dans l'authentification nFactor ou multifacteur

L’utilisateur se connecte à l’adresse IP virtuelle Citrix Gateway. Une analyse EPA est lancée. Si l’analyse EPA réussit, l’utilisateur affiche la page de connexion avec les champs de nom d’utilisateur et de mot de passe pour l’authentification LDAP ou AD (Active Directory). En fonction du succès des informations d’identification de l’utilisateur, l’utilisateur est redirigé vers le facteur EPA suivant.

Les étapes de haut niveau impliquées dans cette configuration

  1. Si l’analyse aboutit, l’utilisateur est placé ou marqué dans un groupe d’utilisateurs par défaut.

  2. La prochaine méthode d’authentification (LDAP) est choisie.

  3. En fonction du résultat de l’authentification, l’utilisateur se voit présenter le prochain ensemble de balayage.

Conditions préalables

Il est supposé que la configuration suivante est en place.

  • Configuration des serveurs virtuels/passerelles VPN et des serveurs virtuels d’authentification
  • Authentification, autorisation et audit des groupes d’utilisateurs (pour les groupes d’utilisateurs par défaut et en quarantaine) et stratégies associées
  • Configurations du serveur LDAP et stratégies associées

Configuration à l’aide de l’interface de ligne de commande

  1. Créez une action pour effectuer une analyse EPA et associez-la à une stratégie d’analyse EPA.

    add authentication epaAction SecondEPA_client_scan -csecexpr "sys.client_expr("proc_0_firefox")"
    <!--NeedCopy-->
    

    L’expression précédente analyse si le processus Firefox est en cours d’exécution sur la machine cliente.

    add authentication Policy SecondEPA_check -rule true -action SecondEPA_client_scan
    <!--NeedCopy-->
    
  2. Configurez l’étiquette de stratégie après l’analyse EPA qui héberge la stratégie pour l’analyse EPA.

    add authentication policylabel post-epa-scan -loginSchema LSCHEMA_INT
    <!--NeedCopy-->
    

    Remarque : LSCHEMA_INT est un schéma intégré sans schéma (aucun schéma), ce qui signifie qu’aucune page Web supplémentaire n’est présentée à l’utilisateur à cette étape.

  3. Associez la stratégie configurée à l’étape 1 à l’étiquette de stratégie configurée à l’étape 2.

    bind authentication policylabel post-epa-scan -policyName SecondEPA_check - priority 100 -gotoPriorityExpression END
    <!--NeedCopy-->
    

    END indique la fin du mécanisme d’authentification.

  4. Configurez la stratégie ldap-auth et associez-la à une stratégie LDAP configurée pour s’authentifier auprès d’un serveur LDAP particulier.

    add authentication Policy ldap-auth -rule true -action ldap_server1
    
    ldap_server1 is LDAP policy and ldap-auth is policy name
    <!--NeedCopy-->
    
  5. Configurez l’étiquette de stratégie ldap-factor, avec un schéma de connexion pour capturer le nom d’utilisateur et le mot de passe à facteur unique.

    add authentication policylabel ldap-factor -loginSchema LoginSchema/SingleAuth.xml
    <!--NeedCopy-->
    

    Remarque : Remplacez par le schéma dont vous avez besoin, au cas où vous ne voudriez pas utiliser dans le schéma intégré LoginSchema/SingleAuth.xml

  6. Associez la stratégie configurée à l’étape 4 à l’étiquette de stratégie configurée à l’étape 5.

    bind authentication policylabel ldap-factor -policyName ldap-auth -priority 100 -gotoPriorityExpression END -nextFactor post-epa-scan
    <!--NeedCopy-->
    

    END indique la fin du mécanisme d’authentification pour ce segment et NextFactor indique le facteur suivant l’authentification.

  7. Créez une action pour effectuer une analyse EPA et associez-la à une stratégie d’analyse EPA.

    add authentication epaAction FirstEPA_client_scan –csecexpr “sys.client_expr("os_0_win7_sp_1")" -defaultEPAGroup default_group
    <!--NeedCopy-->
    

    Dans ce cas, default_group est un groupe d’utilisateurs préconfiguré.

    L’expression ci-dessus analyse si le Service Pack 1 est installé sur les utilisateurs de Windows 7.

    add authentication Policy FirstEPA-check -rule true -action FirstEPA_client_scan
    <!--NeedCopy-->
    
  8. Associez une stratégie d’analyse EPA au serveur virtuel d’authentification, d’autorisation et d’audit, l’étape suivante pointant vers l’étiquette de stratégie ldap-factor pour effectuer l’étape suivante de l’authentification.

    bind authentication vserver MFA_AAA_vserver -policy FirstEPA-check -priority 100 -nextFactor ldap-factor -gotoPriorityExpression NEXT
    <!--NeedCopy-->
    

Configuration à l’aide de l’interface graphique

  1. Accédez à Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Actions > EPA.

    Première analyse EPA pour vérifier la mise à jour automatique de Windows et un groupe par défaut

    Créer la première analyse EPA

    Deuxième analyse EPA pour vérifier la présence du navigateur Firefox

    Créer une deuxième analyse EPA

  2. Créez une stratégie EPA. Accédez à Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Stratégie et liez l’action créée à l’étape 1.

    Stratégie pour la première analyse de l’EPA

    Créer une stratégie pour la première analyse EPA

    Stratégie pour la deuxième analyse EPA

    Créer une stratégie pour la deuxième analyse EPA

    Pour plus d’informations sur Advanced EPA, reportez-vous à Advanced Endpoint Analysis Analysis.

  3. Créez un flux nFactor. Accédez à Sécurité > Trafic des applications AAA > nFactor Visualizer > nFactor Flow, puis cliquez sur Ajouter.

    Cliquez pour ajouter NFactor

    Remarque : nFactor Visualizer est disponible sur le firmware 13.0 et les versions ultérieures.

  4. Ajoutez un facteur. Le nom que vous entrez est le nom du flux nFactor.

    Ajouter un nom de facteur

    Aucun schéma n’est requis pour l’analyse EPA.

  5. Cliquez sur Ajouter une stratégie pour ajouter une stratégie pour le premier facteur.

    Cliquez pour ajouter une stratégie

  6. Sélectionnez la première stratégie EPA créée à l’étape 2.

    Cliquez pour sélectionner la première politique de l'EPA

  7. Cliquez sur le signe + vert et ajoutez le facteur suivant, à savoir l’authentification LDAP.

    Cliquez pour ajouter le facteur suivant

  8. Cliquez sur Ajouter un schéma, puis cliquez sur Ajouter pour ajouter un schéma pour le deuxième facteur.

    Cliquez pour ajouter un schéma

  9. Créez un schéma, dans cet exemple Single_Auth, puis choisissez ce schéma.

    Créer un schéma d'authentification unique

    Sélectionnez un schéma d'authentification unique

  10. Cliquez sur Ajouter une stratégie pour ajouter une stratégie LDAP pour l’authentification.

    Ajouter une stratégie LDAP pour l'authentification

    Pour plus d’informations sur la création d’une authentification LDAP, voir Configuration de l’authentification LDAP.

  11. Créer le facteur suivant pour l’analyse EPA après authentification.

    Créer le facteur suivant pour l'analyse EPA post-authentification

  12. Cliquez sur Ajouter une stratégie, sélectionnez la deuxième stratégie PA_check créée à l’étape 2, puis cliquez sur Ajouter.

    Cliquez pour ajouter une stratégie

  13. Cliquez sur Terminé.

  14. Cliquez sur Lier au serveur d’authentification, sélectionnez le flux nFactor, puis cliquez sur Créer.

    Liez le flux à un serveur virtuel d'authentification

Dissocier le flux nFactor

  1. Sélectionnez le flux NFactor et cliquez sur Afficher les liaisons.

  2. Sélectionnez le serveur virtuel d’authentification, puis cliquez sur Délier.

    Délier le flux du serveur virtuel d'authentification

Configurer l’analyse EPA pré-authentification et post-authentification en tant que facteur dans l’authentification nFactor