Configurations d’authentification adaptative associées

Modifier un nom de domaine complet

Vous ne pouvez pas modifier un nom de domaine complet si l’authentification adaptative est sélectionnée comme méthode d’authentification dans la configuration de Workspace. Vous devez passer à une autre méthode d’authentification pour modifier le nom de domaine complet. Toutefois, vous pouvez modifier le certificat si nécessaire.

Important :

• Avant de modifier le nom de domaine complet, assurez-vous que le nouveau nom de domaine complet est mappé à l’adresse IP publique du serveur virtuel IdP.
• Les utilisateurs existants connectés à NetScaler Gateway à l’aide de stratégies OAuth doivent migrer votre méthode d’authentification vers Adaptive Authentication. Pour plus de détails, consultez Migrer votre méthode d’authentification vers l’authentification adaptative.

Pour modifier un nom de domaine complet, procédez comme suit :

1. Passez à une méthode d’authentification différente de celle de l’authentification adaptative.

   

2. Sélectionnez Je comprends l’impact sur l’expérience de l’abonné, puis cliquez sur Confirmer .

   Lorsque vous cliquez sur Confirmer, la connexion des utilisateurs finaux à l’espace de travail est affectée et l’authentification adaptative n’est pas utilisée pour l’authentification tant que l’authentification adaptative n’est pas réactivée Par conséquent, il est recommandé de modifier le nom de domaine complet pendant une fenêtre de maintenance.

3. Dans l’écran Upload Certificate, modifiez le nom de domaine complet.

   

4. Cliquez sur Enregistrer.

   Important :

   si vous modifiez un nom de domaine complet, vous devez également télécharger à nouveau le certificat.

5. Activez à nouveau la méthode d’authentification adaptative en cliquant sur Activer (étape 3) dans la page d’accueil de l’authentification adaptative.

   

6. Cliquez sur Actualiser.

URL personnalisée de l’espace de travail ou URL personnalisée

Une URL d’espace de travail personnalisée vous permet d’utiliser le domaine de votre choix pour accéder à votre boutique Citrix Workspace. Les utilisateurs peuvent accéder à Workspace en utilisant l’URL de l’espace de travail par défaut ou l’URL de l’espace de travail personnalisé, ou les deux.

Pour configurer une URL d’espace de travail personnalisée ou une URL personnalisée, vous devez effectuer les opérations suivantes :

1. Configurez votre domaine personnalisé. Pour plus de détails, consultez la section Configuration de votre domaine personnalisé.

2. Configurez un nouveau profil OAuthIDP avec le même identifiant client, le même secret et le même public que votre profil actuel ou par défaut (AAuthAutoConfig_OAuthIdpProf) mais avec une URL de redirection différente. Pour plus de détails, consultez la section Configuration des politiques et des profils OAuth .

   Exemple :

   Profil actuel :

   -add authentication OAuthIDPProfile AAuthAutoConfig_oauthIdpProf -clientID xxxx -clientSecret yyyy -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2023_07_09_20_09_30 -redirectURL "https://accounts-internal.cloud.com/core/login-cip" -audience zzzz -sendPassword ON

   add authentication OAuthIdPPolicy AAuthAutoConfig_oauthIdpPol -rule true -action AAuthAutoConfig_oauthIdpProf

   bind authentication vserver auth_vs -policy AAuthAutoConfig_oauthIdpPol -priority 100 -gotoPriorityExpression NEXT

   Nouveau profil :

   add authentication OAuthIDPProfile AAuthAutoConfig_oauthIdpProf_Custom1 -clientID xxxx -clientSecret yyyy -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2023_07_09_20_09_30 -redirectURL "https://custom_domain/core/login-cip" -audience zzzz -sendPassword ON

   add authentication OAuthIdPPolicy AAuthAutoConfig_oauthIdpPol_Custom1 -rule true -action AAuthAutoConfig_oauthIdpProf_Custom1

   bind authentication vserver auth_vs -policy AAuthAutoConfig_oauthIdpPol_Custom1 -priority 101 -gotoPriorityExpression NEXT

Important :

• La politique et le profil OAuth sont créés par le service d’authentification adaptative pendant la phase de provisionnement. Par conséquent, l’administrateur Citrix Cloud n’a pas accès au secret client non chiffré. Vous pouvez obtenir le secret chiffré dans le fichier ns.conf. Pour créer un profil OAuth, vous devez utiliser le secret chiffré et créer le profil en utilisant uniquement les commandes CLI.
• Vous ne pouvez pas créer de profil OAuth à l’aide de l’interface utilisateur NetScaler.

Planifier la mise à niveau de vos instances d’authentification

Pour le site ou le déploiement en cours, vous pouvez sélectionner la fenêtre de maintenance pour la mise à niveau.

Important :

ne mettez pas à niveau les instances Adaptive Authentication vers des versions RTM aléatoires. Toutes les mises à niveau sont gérées par Citrix Cloud.

1. Dans l’interface utilisateur Adaptive Authentication, dans la section Provisionner des instances d’authentification adaptative, cliquez sur le bouton de sélection.

   

2. Cliquez sur Schedule upgrade.
3. Sélectionnez le jour et l’heure de la mise à niveau.

Déprovisionner vos instances Adaptive Authentication

Les clients peuvent déprovisionner les instances Adaptive Authentication dans les cas suivants et conformément à la suggestion du support Citrix.

• Les instances d’authentification adaptative ne sont pas accessibles (en particulier après une mise à niveau planifiée), bien que ce scénario ne se produise pas.
• Si le client doit passer du mode d’appairage de réseau virtuel au mode connecteur ou inversement.
• Si le client a sélectionné un sous-réseau incorrect au moment du provisionnement du mode d’appairage de réseau virtuel (le sous-réseau entre en conflit avec d’autres sous-réseaux de son centre de données ou du réseau virtuel Azure).

Remarque :

le déprovisionnement supprime également la sauvegarde de configuration des instances. Par conséquent, vous devez télécharger les fichiers de sauvegarde et les enregistrer avant de déprovisionner vos instances Adaptive Authentication.

Effectuez les opérations suivantes pour déprovisionner une instance Adaptive Authentication :

1. Dans l’interface utilisateur Adaptive Authentication, dans la section Provisionner des instances d’authentification adaptative, cliquez sur le bouton de sélection.

   

2. Cliquez sur Déprovisionner.

   Remarque :

   avant de procéder au déprovisionnement, vous devez déconnecter NetScaler Gateway de la configuration de Workspace.

3. Entrez l’ID client pour déprovisionner les instances Adaptive Authentication.

Permettre un accès sécurisé à la passerelle

1. Dans l’interface utilisateur Adaptive Authentication, dans la section Provisionner des instances d’authentification adaptative, cliquez sur le bouton de sélection.

2. Cliquez sur Accès sécurisé à la gestion.

   

3. Dans Keys should expire in, sélectionnez une durée d’expiration pour la nouvelle clé SSH.

4. Cliquez sur Générer et télécharger des clés. Copiez ou téléchargez la clé privée SSH pour une utilisation ultérieure, car elle ne s’affiche pas après la fermeture de la page. Cette clé peut être utilisée pour se connecter aux instances Adaptive Authentication avec le nom d’utilisateur authadmin.

   Vous pouvez cliquer sur Générer et télécharger des clés pour créer une nouvelle paire de clés si la paire de clés précédente expire. Cependant, une seule paire de clés peut être active.

5. Cliquez sur Terminé.

Important :

• Si vous utilisez PuTTY sous Windows pour vous connecter à des instances d’authentification adaptative, vous devez convertir la clé privée téléchargée en PEM. Pour plus de détails, consultez https://www.puttygen.com/convert-pem-to-ppk.

• Il est recommandé d’utiliser la commande suivante pour se connecter aux instances d’authentification adaptative via le terminal à partir du MAC ou de l’invite de commande PowerShell/de Windows (version 10). ssh -i <path-to-private-key> authadmin@<ip address of ADC>
• Si vous souhaitez que les utilisateurs AD accèdent à l’interface graphique d’authentification adaptative, vous devez les ajouter en tant que nouveaux administrateurs au groupe LDAP. Pour plus de détails, consultez https://support.citrix.com/article/CTX123782. Pour toutes les autres configurations, Citrix recommande d’utiliser l’interface graphique d’authentification adaptative et non les commandes CLI.

Configuration de la connectivité aux serveurs d’authentification locaux à l’aide de l’appairage de réseaux virtuels Azure

Vous devez configurer cette configuration uniquement si vous avez sélectionné le type de connectivité comme appairage de réseaux virtuels Azure.

Remarque :

Si vous utilisez des IdP tiers tels qu’Okta, Azure AD, Ping, cette étape n’est pas obligatoire.

1. Dans l’interface utilisateur Connect Adaptive Authentication, cliquez sur Provisionner, puis sur Peering de réseau virtuel Azure.

   

   Le champ Principal de service géré Citrix contient l’ID d’application d’un principal de service Azure créé par Citrix pour votre client. Ce principal de service est requis pour permettre à Citrix d’ajouter un appairage de réseau virtuel à un réseau virtuel dans votre abonnement et votre locataire.

   Pour permettre à ce principal de service de se connecter au tenant du client, l’administrateur du site client (administrateur global du tenant) doit exécuter les commandes PowerShell suivantes pour ajouter le SPN au tenant. CloudShell peut également être utilisé. Connect-AzureAD New-AzureADServicePrincipal -AppId $App_ID Où $App_ID est un ID d’application SPN partagé par Citrix.

   Remarque :

   • La commande mentionnée précédemment génère un nom principal de service qui doit être utilisé pour les attributions de rôles.
   • Pour permettre à ce principal de service d’ajouter un appairage de réseau virtuel Azure, l’administrateur du site client (sans se limiter à l’administrateur global) doit ajouter un rôle « contributeur réseau » au réseau virtuel qui doit être lié au réseau virtuel géré par Citrix.
   • Le SPN est un identifiant unique qui est utilisé pour associer le réseau virtuel Citrix dans Azure. L’association du SPN au réseau virtuel permet au réseau virtuel Citrix de se connecter au réseau local des clients via le réseau virtuel d’Azure.

2. Créez un appairage de réseau virtuel.

   • Saisissez l’ID du locataire pour lequel les étapes précédentes ont été exécutées et cliquez sur Fetch.

   Cela permet de renseigner l’ID de ressource de réseau virtuel géré par le client avec les réseaux virtuels candidats pour lesquels le rôle de contributeur réseau est ajouté pour le SPN. Si vous ne voyez pas votre réseau virtuel, assurez-vous que les étapes précédentes sont exécutées correctement ou répétez les étapes.

   Remarque :

   Pour plus de détails sur la façon de trouver votre identifiant de locataire, consultez https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-how-to-find-tenant.

3. Sélectionnez Utiliser Azure VPN Gateway pour connecter vos réseaux locaux à Azure.
4. Dans ID de ressource de réseau virtuel géré par le client, sélectionnez le réseau virtuel identifié pour l’appairage, puis cliquez sur Ajouter. Le réseau virtuel est ajouté à la table avec le statut initial En cours. Une fois l’appairage terminé avec succès, le statut passe à Terminé.
5. Cliquez sur Terminé.

6. Poursuivez la configuration, reportez-vous à Étape 1 : Provisionnement de l’authentification adaptative.

   Important :

   • Pour que le trafic circule entre le réseau virtuel géré par Citrix et le réseau local, les règles de pare-feu et de routage peuvent être modifiées sur le site afin de diriger le trafic vers le réseau virtuel géré par Citrix.
   • Vous ne pouvez ajouter qu’un seul pair de réseau virtuel à la fois. Les peerings de réseaux virtuels multiples ne sont pas autorisés actuellement. Vous pouvez supprimer un appairage de réseaux virtuels ou en créer un selon vos besoins.

Sauvegarde et restauration de configuration

Le service Application Delivery Management assure la gestion des sauvegardes pour les instances Adaptive Authentication. Pour plus de détails, consultez la section Sauvegarder et restaurer des instances NetScaler.

1. Dans la vignette Application Delivery Management, cliquez sur Gérer .
2. Accédez à Infrastructure > Instances et accédez aux sauvegardes.

Remarque :

si vous ne voyez pas le service intégré, intégrez le service Application Delivery Management. Pour plus de détails, consultez la section Pour commencer.

Exemple de configuration d’équilibrage de charge LDAP et LDAPS

L’instance Citrix Adaptive Authentication fournit un support LDAP/LDAPS à l’aide d’un serveur virtuel d’équilibrage de charge.

Remarque :

• Si vous n’utilisez pas l’équilibrage de charge pour LDAP/LDAPS, évitez de créer un service ou un serveur pour un serveur LDAP car cela pourrait interrompre le tunnel d’authentification adaptative.
• Si vous utilisez l’équilibrage de charge pour LDAP, créez un groupe de services et liez-le au service d’équilibrage de charge et non à un service autonome.
• Lorsque vous utilisez un serveur virtuel d’équilibrage de charge pour l’authentification, veillez à ajouter l’adresse IP du serveur virtuel d’équilibrage de charge au lieu de l’adresse IP réelle du serveur LDAP dans l’action LDAP.
• Par défaut, un moniteur TCP est lié au service que vous créez. Sur les instances NetScaler Adaptive Authentication, le service est marqué comme étant actif par défaut si un moniteur TCP est utilisé.
• Pour la surveillance, il est recommandé d’utiliser des moniteurs personnalisés.

Conditions préalables

Adresse IP privée (adresse RFC1918) du serveur virtuel d’équilibrage de charge. Il peut s’agir d’une adresse IP fictive car cette adresse est utilisée pour la configuration interne.

Serveurs LDAP d’équilibrage de charge

Pour les serveurs LDAP d’équilibrage de charge, créez un groupe de services et liez-le au serveur virtuel d’équilibrage de charge. Ne créez pas de service pour les serveurs LDAP d’équilibrage de charge.

Configurez LDAP à l’aide de l’interface de ligne de commande NetScaler :

Vous pouvez utiliser les commandes CLI suivantes comme référence pour configurer LDAP.

1. add serviceGroup <serviceGroupName> <serviceType>
2. bind servicegroup <serviceGroupName> (<IP> | <serverName>) <port>
3. add lb vserver <name> <serviceType> <ip> <port> - Le port doit être 389. Ce port est utilisé pour les communications internes et la connexion à un serveur local se fait via SSL en fonction du port configuré pour le groupe de services.
4. bind lb vserver <name> <serviceGroupName>
5. add authentication ldapAction <name> {-serverIP} <ip_addr> | {-serverName <string>}} <lb vserver ip>
6. add authentication policy <ldap_policy_name> -rule <expression> -action <string>
7. bind authentication vserver auth_vs -policy <ldap_policy_name> -priority <ldap_policy_priority> -gotoPriorityExpression NEXT

Configurez LDAP à l’aide de l’interface graphique NetScaler :

1. Accédez à Gestion du trafic > Équilibrage de charge, puis cliquez sur Serveurs virtuels.

2. Créez un serveur virtuel de type TCP et de port 389.

   Ne créez pas de serveur virtuel d’équilibrage de charge de type SSL/SSL_TCP.

3. Accédez à Gestion du trafic > Équilibrage de charge, puis cliquez sur Groupes de services.
4. Créez un groupe de services de type TCP et de port 389.
5. Liez le groupe de services au serveur virtuel que vous avez créé à l’étape 1.

Pour plus de détails sur les procédures, voir Configuration de l’équilibrage de charge de base.

Serveurs LDAPS d’équilibrage de charge

Pour les serveurs LDAPS d’équilibrage de charge, vous devez créer un serveur virtuel d’équilibrage de charge de type TCP afin d’éviter le chiffrement ou le déchiffrement SSL interne dans l’instance d’authentification adaptative. Le serveur virtuel d’équilibrage de charge gère le chiffrement/déchiffrement TLS dans ce cas. Ne créez pas de serveur virtuel d’équilibrage de charge de type SSL.

Configurez LDAPS à l’aide de l’interface de ligne de commande NetScaler :

Vous pouvez utiliser les commandes CLI suivantes comme référence pour configurer LDAPS.

1. add lb vserver <name> <serviceType> <ip> <port> - Le port doit être 636.
2. bind lb vserver <name> <serviceGroupName>
3. add authentication ldapAction <name> {-serverIP} <ip_addr> | {-serverName <string>}} <lb vserver ip>
4. add authentication policy <ldap_policy_name> -rule <expression> -action <string>
5. bind authentication vserver auth_vs -policy <ldap_policy_name> -priority <ldap_policy_priority> -gotoPriorityExpression NEXT

Configurez LDAPS à l’aide de l’interface graphique NetScaler :

1. Accédez à Gestion du trafic > Équilibrage de charge, puis cliquez sur Serveurs virtuels.

2. Créez un serveur virtuel de type TCP et de port 636.

   Ne créez pas de serveur virtuel d’équilibrage de charge de type SSL/SSL_TCP.

3. Accédez à Gestion du trafic > Équilibrage de charge, puis cliquez sur Service.
4. Créez un service de type SSL_TCP avec le port 636.
5. Liez le service au serveur virtuel que vous avez créé à l’étape 1.

Pour plus de détails sur les procédures, voir Configuration de l’équilibrage de charge de base.

Créez des moniteurs personnalisés

Créez des moniteurs personnalisés à l’aide de l’interface graphique NetScaler :

1. Accédez à Gestion du trafic > Équilibrage de charge > Moniteurs .
2. Créez un moniteur de type LDAP. Assurez-vous de régler l’intervalle entre les sondes du moniteur à 15 secondes et le délai de réponse à 10 secondes.
3. Liez ce moniteur à votre service.

Pour plus de détails, consultez la section Moniteurs personnalisés.

Possibilité d’ajouter jusqu’à 15 adresses IP d’administration

Le service d’authentification adaptative vous permet de saisir jusqu’à 15 sous-réseaux IP publics et adresses IP individuelles pour accéder à la console de gestion de l’authentification adaptative.

Points à noter lors de la saisie des adresses IP/sous-réseaux :

• Assurez-vous que les CIDR des sous-réseaux IP publics se situent entre /20 et /32.B.
• Assurez-vous qu’il n’y a pas de chevauchement entre les entrées.

Exemples :

• 192.0.2.0/24 et 192.0.2.8 ne sont pas acceptés car 192.0.2.8 se trouve dans 192.0.5.0/24.
• Sous-réseaux superposés : 192.0.2.0/24 et 192.0.0.0/20 ne sont pas acceptés car les sous-réseaux se chevauchent.

• Lorsque vous entrez une valeur de sous-réseau réseau, entrez l’adresse IP du réseau comme valeur d’adresse IP.

  Exemple :

  • 192.0.2.2/24 est incorrect, utilisez plutôt 191.0.2.0/24
  • 192.0.2.0/20 est incorrect, utilisez plutôt 192.0.0.0/20

Pour activer cette fonctionnalité, contactez le support Citrix.

Migrez votre méthode d’authentification vers l’authentification adaptative

Les clients qui utilisent déjà Adaptive Authentication avec méthode d’authentification en tant que NetScaler Gateway doivent migrer Adaptive Authentication, puis supprimer la configuration OAuth de l’instance Adaptive Authentication.

1. Passez à une autre méthode d’authentification autre que NetScaler Gateway.

2. Dans Citrix Cloud > Gestion des identités et des accès, cliquez sur le bouton de sélection correspondant à NetScaler Gateway, puis cliquez sur Déconnecter.

   

3. Sélectionnez Je comprends l’impact sur l’expérience de l’abonné, puis cliquez sur Confirmer.

   Lorsque vous cliquez sur Confirmer, la connexion des utilisateurs finaux à l’espace de travail est affectée et l’authentification adaptative n’est pas utilisée pour l’authentification tant que l’authentification adaptative n’est pas réactivée

4. Dans la console de gestion de l’instance Adaptive Authentication, supprimez la configuration liée à OAuth.

   En utilisant la CLI :

   unbind authentication vs <authvsName> -policy <oauthIdpPolName>
   rm authentication oauthIdpPolicy <oauthIdpPolName>
   rm authentication oauthIdpProfile <oauthIdpProfName>
   <!--NeedCopy-->
   

   En utilisant l’interface graphique :

   1. Accédez à Sécurité > AAA - Trafic des applications > Serveurs virtuels.
   2. Dissociez la stratégie OAuth.
   3. Accédez à Sécurité > AAA - Trafic des applications > Stratégies > Authentification > Stratégies avancées > IDP OAuth.
   4. Supprimez la stratégie et le profil OAuth.

5. Accédez à Citrix Cloud > Gestion des identités et des accès. Dans l’onglet Authentification, dans Authentification adaptative, cliquez sur le menu en ellipse et sélectionnez Gérer .

   OU accédez à https://adaptive-authentication.cloud.com

6. Cliquez sur Voir les détails.
7. Dans l’écran Upload Certificate, procédez comme suit :
   • Ajoutez le nom de domaine complet d’authentification adaptative.
   • Supprimez les certificats et les fichiers clés, puis chargez-les à nouveau.

   

   Important :

   Si vous modifiez un nom de domaine complet ou la paire de clés de certificat directement sans migrer vers Adaptive Authentication, la connexion à Identity and Access Management échoue et les erreurs suivantes s’affichent. Vous devez migrer vers la méthode d’authentification adaptative pour corriger ces erreurs.

   • La commande ADC a échoué avec une erreur. Une stratégie est déjà liée à la priorité spécifiée.
   • La commande ADC a échoué avec une erreur. Impossible de dissocier une stratégie qui n’est pas liée.

8. Cliquez sur Enregistrer.

   À ce stade, Identity and Access Management affiche l’authentification adaptative comme étant connectée et le profil OAuth de l’instance Adaptive Authentication est automatiquement configuré.

   Vous pouvez le valider à partir de l’interface graphique.

   1. Accédez à votre instance Adaptive Authentication et connectez-vous avec vos informations d’identification.
   2. Accédez à Sécurité > AAA - Trafic des applications > Serveurs virtuels. Vous devez voir que le profil d’IdP OAuth a été créé.
   3. Accédez à Citrix Cloud > Gestion des identités et des accès. L’authentification adaptative a l’état Connecté .

9. Activez à nouveau la méthode d’authentification adaptative en cliquant sur Activer (étape 3) dans la page d’accueil de l’authentification adaptative.

   

   Cette étape active la méthode d’authentification en tant qu’authentification adaptative dans la configuration de votre espace de travail.

10. Cliquez sur le lien Espace de travail à l’étape 3 après avoir cliqué sur Activer Vous devez voir que la méthode d’authentification est remplacée par Adaptive Authentication.

Remarque :

les nouveaux utilisateurs doivent suivre les mêmes étapes, à l’exception de l’étape de suppression de la configuration liée à OAuth.

Exemples de configurations d’authentification

Les clients peuvent configurer la stratégie d’authentification de leur choix et la lier au serveur virtuel d’authentification. Les liaisons de profil d’authentification ne sont pas requises pour le serveur virtuel d’authentification. Seules les stratégies d’authentification peuvent être configurées. Voici quelques exemples d’utilisation.

Important :

la configuration de l’authentification doit être effectuée uniquement sur les nœuds principaux.

Authentification multifacteur avec authentification conditionnelle

• Authentification à deux facteurs avec LDAP et RADIUS à l’aide d’un schéma à deux facteurs (ne prenant en compte qu’une entrée utilisateur)
• Méthode d’authentification en fonction des services de l’utilisateur (Employé, Partenaire, Fournisseur) dans l’organisation avec menu déroulant pour sélectionner le département
• Méthode d’authentification et de connexion en fonction des domaines des utilisateurs avec menu déroulant
• Configurez la saisie de l’ID e-mail (ou du nom d’utilisateur) comme premier facteur avec un accès conditionnel basé sur l’extraction du groupe avec l’ID e-mail au premier facteur et fournissez un type d’ouverture de session différent pour chaque groupe
• Authentification multifacteur à l’aide de l’authentification par certificat pour les utilisateurs disposant de certificats utilisateur et de l’enregistrement OTP natif pour les utilisateurs non certifiés
• Type d’authentification différent avec authentification conditionnelle en fonction des entrées du nom d’hôte de l’utilisateur
• Authentification à deux facteurs avec authentification OTP native
• Re-CAPTCHA de Google

Intégration de tiers avec authentification multifactorielle

• Configurer Azure AD en tant que fournisseur d’identité SAML (Configurer le facteur suivant en tant que stratégie LDAP - NO_AUTH pour terminer la confiance OAuth)
• Authentification conditionnelle avec d’abord le facteur SAML, puis connexion personnalisée au certificat ou LDAP basée sur les attributs SAML
• Premier facteur en tant que connexion webauth suivi de LDAP

Scans de posture de l’appareil (EPA)

• Vérification de l’état de l’appareil pour la vérification de la version suivie d’une connexion personnalisée pour les utilisateurs conformes (RADIUS) et non conformes (LDAP)
• Authentification LDAP suivie d’une analyse obligatoire de l’état
• Vérification de la position de l’appareil avant et après l’authentification AD - Facteur avant et après l’EPA
• Certificat d’appareil en tant que facteur EPA

Scénarios divers

• Ajouter un CLUF avec authentification
• Personnaliser les libellés de stratégie nFactor, le schéma