Citrix Gateway

L’analyse EPA en tant que facteur d’authentification nFactor

Voici quelques-unes des entités de base de nFactor EPA.

EPA Action - EPA Action est un type d’action introduit pour nFactor EPA. Il contient les éléments suivants :

  • Expression Client Security : cette expression est envoyée au plug-in EPA de passerelle pour évaluation.
  • Groupe de réussite : ce groupe, s’il est configuré, est hérité de la session de passerelle si le résultat de l’EPA est vrai.
  • Groupe de quarantaine : ce groupe, s’il est configuré, est hérité de la session de passerelle si le résultat de l’EPA est faux.
  • KillProcess : représente le nom du processus que le processus EPA doit mettre fin.
  • DeleteFiles : spécifie les chemins d’accès séparés par des virgules vers les fichiers que le processus EPA doit supprimer.

Les groupes peuvent être utilisés pendant la durée de la session pour déterminer si le client répond à certaines conditions EPA. Si, à un facteur donné, l’EPA échoue et que la dernière action ne contient pas de « groupe de quarantaine », l’authentification est interrompue pour cet utilisateur. Si le « groupe de quarantaine » existe, l’authentification se poursuit et l’administrateur peut vérifier si le groupe accorde un accès limité. Pour plus de détails, consultez la section Exécution EPA.

Stratégie EPA - Dans nFactor, toutes les stratégies sont ajoutées avec la même syntaxe « ajouter une stratégie d’authentification ». Toutefois, le type d’action qualifie la stratégie de stratégie de l’EPA.

Facteur EPA - Le facteur EPA est une étiquette de politique régulière. Il n’y a pas d’entité appelée facteur EPA. Une fois que la stratégie de l’EPA est liée à un facteur, elle hérite de certaines propriétés qui en font un facteur EPA. Remarque : Le terme « facteur EPA » est couramment utilisé dans ce document pour désigner un facteur associé aux politiques de l’EPA.

EPA — Quarantaine - Si, à un facteur donné, toutes les expressions de sécurité client de toutes les actions échouent, et si la dernière action contient « Groupe de quarantaine », ce groupe est ajouté à la session et le facteur suivant est examiné. En d’autres termes, malgré l’échec, la présence du « groupe de quarantaine » qualifie la session à l’étape suivante. Toutefois, en raison de l’héritage d’un groupe spécial, l’administrateur peut reléguer la session à un accès restreint ou à des stratégies d’authentification supplémentaires telles que OTP ou SAML.

S’il n’y a pas de groupe de quarantaine lors de la dernière action, l’authentification se termine en cas d’échec.

L’EPA dans NFactor utilise également les entités suivantes :

  • LoginSchema — Représentation XML du formulaire d’ouverture de session. Il définit la « vue » du formulaire de connexion et possède également les propriétés d’un « facteur ».
  • Étiquette de stratégie ou facteur de stratégie : il s’agit d’un ensemble de stratégies qui sont essayées à un stade donné de l’authentification.
  • Étiquette de serveur virtuel  : le serveur virtuel est également une étiquette de stratégie, c’est-à-dire que l’on peut lier des stratégies au serveur virtuel. Toutefois, le serveur virtuel est l’ensemble des différentes étiquettes de stratégie, car il constitue le point d’entrée de l’accès des utilisateurs.
  • facteur suivant — Il est utilisé pour spécifier le libellé/le facteur de stratégie à prendre une fois que la stratégie d’authentification donnée réussit.
  • NO_AUTHN policy — stratégie spéciale dont l’action réussit toujours.
  • Facteur de transfert  : libellé/facteur de stratégie dont le schéma de connexion ne contient pas de vue. Il indique à l’appliance Citrix ADC de poursuivre l’authentification au facteur donné sans intervention de l’utilisateur.

Pour plus d’informations, consultez la section Concepts, entités et terminologie nFactor.

Exclusivité mutuelle EPA Factor

EPA Factor contient une ou plusieurs stratégies de l’EPA. Une fois que les stratégies EPA sont liées à un facteur, les stratégies d’authentification standard ne sont pas autorisées sur ce facteur. Cette restriction vise à offrir la meilleure expérience utilisateur et une séparation nette de l’analyse des points de terminaison. La seule exception à cette règle est la stratégie NO_AUTHN. Puisque la stratégie NO_AUTHN est une stratégie spéciale utilisée pour simuler un « saut en cas d’échec », elle est autorisée dans le facteur EPA.

Exécution de l’EPA

À n’importe quel facteur donné (y compris le facteur de serveur virtuel), avant de servir le formulaire d’ouverture de session, l’appliance Citrix ADC vérifie si le facteur est configuré pour EPA. Si c’est le cas, il envoie une réponse spécifique au client (UI) de sorte que la séquence EPA soit déclenchée. Cette séquence comprend la demande d’expressions de sécurité client par le client et l’envoi des résultats. Les expressions de sécurité client pour toutes les stratégies d’un facteur sont envoyées simultanément au client. Une fois les résultats obtenus au niveau de l’appliance Citrix ADC, chacune des expressions de toutes les actions est évaluée dans une séquence. La première action qui aboutit à la réussite de l’EPA met fin à ce facteur, et DefaultGroup, s’il est configuré, est hérité dans la session. Si la stratégie NO_AUTHN est rencontrée, elle est considérée comme une réussite automatique. Si le facteur NextFactor est spécifié, l’appliance continue avec ce facteur. Sinon, l’authentification prend fin. Cette condition s’applique également au premier facteur. S’il n’y a pas de facteur de stratégie d’authentification après l’EPA sur le serveur virtuel, l’authentification est interrompue. Ce comportement diffère du comportement de stratégie classique, où l’utilisateur affiche toujours la page de connexion après l’EPA. Toutefois, en cas d’échec de la stratégie EPA, Citrix Gateway examine le groupe de quarantaine configuré pour la dernière stratégie EPA de ce facteur ou de cette cascade. Si la dernière stratégie est configurée avec le groupe de quarantaine, ce groupe est ajouté à la session et le NextFactor est inspecté. S’il existe un facteur NextFactor, l’authentification passe à ce facteur. Sinon, l’authentification est terminée.

Configurer l’analyse EPA périodique en tant que facteur d’authentification nFactor

Vous pouvez configurer l’analyse EPA périodique en tant que facteur d’authentification nFactor à l’aide de l’infrastructure de stratégie avancée. Remarque : Dans la stratégie classique, l’EPA périodique a été configuré dans le cadre de la stratégie de session sous vpn session action. La logique suivante est utilisée à titre d’exemple pour implémenter l’analyse EPA en tant que facteur d’authentification nFactor.

EPA dans la séquence de flux nFactor

  • L’utilisateur tente de se connecter à NetScaler Gateway Virtual IP.
  • Une page de connexion avec un champ de nom d’utilisateur et de mot de passe est rendue à l’utilisateur pour fournir ses informations d’identification de connexion. Avec ces informations d’identification, l’authentification LDAP ou AD est effectuée au niveau du serveur principal. En cas de succès, une fenêtre contextuelle s’affiche pour autoriser l’analyse EPA.
  • Une fois l’utilisateur autorisé, l’analyse EPA est effectuée et, en fonction de la réussite ou de l’échec des paramètres du client utilisateur, l’accès est fourni.
  • Si l’analyse aboutit, l’analyse EPA est effectuée périodiquement pour vérifier que les exigences de sécurité configurées sont toujours respectées.
  • Si l’analyse EPA échoue au cours d’une telle vérification, la session est interrompue.

Conditions préalables

Il est supposé que la configuration suivante est en place :

  • Configuration du serveur virtuel VPN, de la passerelle et du serveur virtuel d’authentification
  • Configurations du serveur LDAP et stratégies associées.

La section suivante capture les stratégies et les configurations d’étiquettes de stratégie requises, ainsi que le mappage des stratégies et des étiquettes de stratégie à un profil d’authentification.

EPA dans la stratégie nFactor et le mappage des étiquettes de stratégie

Configuration CLI de la logique

  1. Créez une action pour effectuer l’analyse EPA et associez-la à une stratégie d’analyse EPA.

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr("proc_2_firefox")"
    
    add authentication Policy EPA-check -rule true -action EPA-client-scan
    <!--NeedCopy-->
    

    L’expression précédente analyse si le processus « Firefox » est en cours d’exécution. Le plug-in EPA vérifie l’existence du processus toutes les 2 minutes, ce qui est indiqué par le chiffre « 2 » dans l’expression d’analyse.

  2. Configurez l’ post-ldap-epa-analyse des étiquettes de stratégie », qui héberge la stratégie pour l’analyse EPA.

    add authentication policylabel post-ldap-epa-scan -loginSchema LSCHEMA_INT
    <!--NeedCopy-->
    

    Remarque : LSCHEMA_INT est un schéma intégré sans schéma (aucun schéma), ce qui signifie qu’aucune page Web supplémentaire n’est présentée à l’utilisateur à cette étape.

  3. Associez la stratégie configurée à l’étape 1 à l’étiquette de stratégie configurée à l’étape 2.

    bind authentication policylabel post-ldap-epa-scan -policyName EPA-check -priority 100 -gotoPriorityExpression END
    <!--NeedCopy-->
    

    Le mécanisme d’authentification est terminé.

  4. Configurez et associez-la ldap-auth policy à une stratégie LDAP configurée pour s’authentifier auprès d’un serveur LDAP spécifique.

    add authentication Policy ldap-auth -rule true -action ldap_server1
    <!--NeedCopy-->
    

    ldap_server1 est la stratégie LDAP et ldap-auth le nom de la stratégie.

  5. En regroupant tout cela, associez-le ldap-auth policy au serveur virtuel Citrix ADC AAA avec l’étape suivante pointant vers l’étiquette de stratégie post-ldap-epa-scan pour effectuer une analyse EPA.

    bind authentication vserver MFA_AAA_vserver -policy ldap-auth -priority 100 -nextFactor post-ldap-epa-scan -gotoPriorityExpression NEXT
    <!--NeedCopy-->
    

    Remarque : Dans l’EPA périodique configuré en tant que facteurs multiples, le dernier facteur avec une configuration EPA périodique est pris en compte.

    Dans l’exemple précédent, l’EPA est le premier facteur dans lequel l’analyse recherche le processus « Firefox ».

    • Si l’analyse EPA réussit, elle conduit à une authentification LDAP, suivie de l’analyse EPA suivante, qui recherche le processus « Chrome ».
    • Lorsque plusieurs analyses périodiques sont configurées en tant que facteurs différents, la dernière analyse est prioritaire. Dans ce cas, le plug-in EPA recherche le processus « Chrome » toutes les 3 minutes après la connexion réussie.

Références

L’analyse EPA en tant que facteur d’authentification nFactor