Guide de validation de concept : authentification NFactor for Citrix Gateway avec extraction de groupe

Introduction

Les environnements de grande entreprise nécessitent des options d’authentification flexibles pour répondre aux besoins d’une variété de personnas utilisateur. Avec l’utilisateur d’extraction de groupe, l’appartenance au groupe AD détermine le nombre et le type de méthodes d’authentification NFactor que les utilisateurs doivent effectuer pour vérifier leur identité et accéder à leurs applications et données.

Voici des exemples de groupes d’utilisateurs :

  • normal-security-group pour les personnes qui peuvent avoir des exigences de sécurité moins élevées en raison de la nature de leur travail ou un accès limité aux données et qui sont situées dans les limites du périmètre de sécurité de l’entreprise. Ce groupe ne peut nécessiter qu’un facteur.
  • groupe de sécurité élevée pour les travailleurs tiers ou les entrepreneurs qui n’ont peut-être pas fait l’objet de vérifications des antécédents et qui ont des exigences de sécurité plus élevées. Ce groupe peut nécessiter deux facteurs ou plus.
  • groupe à haute sécurité pour les employés qui effectuent des tâches critiques et qui nécessitent une autorisation spéciale du gouvernement ou une approbation de l’industrie. Ce groupe peut nécessiter deux facteurs ou plus et des vérifications contextuelles telles que l’adresse IP source.

![(Authentification d’extraction de groupe)]/en-us/tech-zone/learn/media/poc-guides_nfactor-citrix-gateway-group-extraction_conceptualarchitecture.png

Aperçu

Ce guide explique comment implémenter un environnement Proof of Concept à l’aide de l’authentification à deux facteurs avec Citrix Gateway. Il utilise LDAP uniquement pour valider les informations d’identification Active Directory si le point de terminaison de l’utilisateur se trouve sur un sous-réseau privé, indiquant qu’ils se trouvent sur l’intranet de l’entreprise ou s’il est membre d’un groupe AD « VIP » tel qu’un CXO. Sinon, il est supposé qu’ils sont situés à l’extérieur du périmètre du réseau Enterprise et ne font pas partie d’un groupe ayant des exigences de sécurité plus faibles, et sont tenus de remplir un deuxième facteur sous la forme d’un e-mail unique mot de passe (OTP). Il utilise un bureau virtuel Citrix Virtual Apps and Desktops publié pour valider la connectivité.

Il émet des hypothèses sur l’installation et la configuration terminées des composants suivants :

  • Citrix ADC installé et sous licence
  • Citrix Gateway configuré avec un serveur virtuel accessible en externe lié à un certificat générique
  • Citrix Gateway intégré à un environnement Citrix Virtual Apps and Desktops qui utilise LDAP pour l’authentification
  • Point de terminaison avec l’application Citrix Workspace installée
  • Active Directory (AD) est disponible dans l’environnement
  • Accès à un serveur SMTP pour l’envoi de l’e-mail

Reportez-vous à la Documentation Citrix pour obtenir la dernière version du produit et les conditions requises en matière de licence : Extraction de groupe nFactor

nFactor

Tout d’abord, nous nous connectons à l’interface de ligne de commande sur notre Citrix ADC et entrons les actions d’authentification et les stratégies associées pour LDAP et Email respectivement. Ensuite, nous nous connectons à notre interface graphique pour construire notre flux NFactor dans l’outil de visualiseur et terminer la configuration d’authentification multifacteur.

Stratégies d’authentification LDAP

Nous créons les actions LDAP et les stratégies qui les référencent. Nous créons également l’action E-mail et la stratégie qui le fait référence, qui est la méthode d’authentification multifacteur pour les utilisateurs qui ne sont pas membres du groupe VIP ou sur un sous-réseau local.

Pour les actions LDAP, remplissez les champs requis pour créer l’action LDAP dans une chaîne et collez-la dans l’interface de ligne de commande :

  • ldapAction - saisissez le nom de l’action.
  • serverIP - entrez le nom de domaine complet ou l’adresse IP du serveur de domaine.
  • serverPort - entrez le port LDAP.
  • ldapBase - entrez la chaîne d’objets de domaine et de conteneurs où les utilisateurs pertinents sont stockés dans votre répertoire.
  • ldapBindDn - saisissez le compte de service utilisé pour interroger les utilisateurs du domaine.
  • ldapBindDnPassword - saisissez le mot de passe de votre compte de service.
  • ldapLoginName - saisissez le type d’objet utilisateur.
  • groupAttrName - saisissez le nom de l’attribut de groupe.
  • subAttributeName - saisissez le nom du sous-attribut.
  • secType - entrez le type de sécurité.
  • ssoNameAttribute - saisissez l’attribut de nom d’authentification unique.
  • defaultAuthenticationGroup - saisissez le groupe d’authentification par défaut.
  • alternateEmailAttr - saisissez l’attribut d’objet de domaine utilisateur où leur adresse e-mail peut être récupérée.

Pour les stratégies LDAP, remplissez les champs requis pour référencer l’action LDAP dans une chaîne et collez-la dans l’interface de ligne de commande :

  • Policy - saisissez le nom de la stratégie.
  • action - entrez le nom de l’action E-mail que nous avons créée ci-dessus.

Pour plus d’informations, voir Stratégies d’authentification LDAP

  1. Connectez-vous d’abord à l’interface de ligne de commande en ouvrant une session SSH à l’adresse NSIP du Citrix ADC et connectez-vous en tant qu’ nsroot administrateur ou utilisateur administrateur équivalent.

Action LDAP 1 - Authact_GroupExtract_Genf

Mettez à jour les champs suivants pour votre environnement et copiez-collez la chaîne dans l’interface de ligne de commande : add authentication ldapAction authAct_GroupExtract_genf -serverIP 192.0.2.50 -ldapBase "OU=Team M,OU=Team Accounts,OU=Demo Accounts,OU=Workspaces Users,DC=workspaces,DC=wwco,DC=net" -ldapBindDn workspacessrv@workspaces.wwco.net -ldapBindDnPassword 123xyz -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName userPrincipalName -groupAttrName memberOf -subAttributeName cn -secType SSL -authentication DISABLED

Stratégie LDAP 1 - AuthPol_GroupExtract_Genf

Mettez à jour les champs suivants pour votre environnement et copiez-collez la chaîne dans l’interface de ligne de commande : add authentication Policy authPol_GroupExtract_genf -rule true -action authAct_GroupExtract_genf

Extraction de groupe

Stratégie LDAP 2A - AuthPol_LDAPonly_Genf

Mettez à jour les champs suivants pour votre environnement et copiez-collez la chaîne dans l’interface de ligne de commande : add authentication Policy authPol_LdapOnly_genf -rule "AAA.USER.IS_MEMBER_OF(\"VIP\") || client.IP.SRC.IN_SUBNET(10.0.0.0/8)" -action NO_AUTHN

Politique LDAP 2B - AuthPol_TwoFactor_genf

Mettez à jour les champs suivants pour votre environnement et copiez-collez la chaîne dans l’interface de ligne de commande : add authentication Policy authPol_TwoFactor_genf -rule "client.IP.SRC.IN_SUBNET(10.0.0.0/8).NOT" -action NO_AUTHN

Action LDAP 3A - Authact_LDAP_Genf

Mettez à jour les champs suivants pour votre environnement et copiez-collez la chaîne dans l’interface de ligne de commande : add authentication ldapAction authAct_Ldap_genf -serverIP 192.0.2.50 -ldapBase "OU=Team M,OU=Team Accounts,OU=Demo Accounts,OU=Workspaces Users,DC=workspaces,DC=wwco,DC=net" -ldapBindDn workspacessrv@workspaces.wwco.net -ldapBindDnPassword 123xyz -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName userPrincipalName -groupAttrName memberOf -subAttributeName cn -secType SSL -passwdChange ENABLED

Politique LDAP 3A - AuthPol_GroupExtract_Genf

Mettez à jour les champs suivants pour votre environnement et copiez-collez la chaîne dans l’interface de ligne de commande : add authentication Policy authPol_Ldap_genf -rule true -action authAct_Ldap_genf

Action LDAP 3B - Authact_LDAP_EOTP_Genf

Mettez à jour les champs suivants pour votre environnement et copiez-collez la chaîne dans l’interface de ligne de commande : add authentication ldapAction authAct_LDAP_eotp_genf -serverIP 192.0.2.50 -serverPort 636 -ldapBase "DC=workspaces,DC=wwco,DC=net" -ldapBindDn workspacessrv@workspaces.wwco.net -ldapBindDnPassword 123xyz -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName userPrincipalName -groupAttrName memberOf -subAttributeName cn -secType SSL -ssoNameAttribute userPrincipalName -defaultAuthenticationGroup Email-OTP -alternateEmailAttr otherMailbox

Stratégie LDAP 3B - AUTHPOL_LDAP_EOTP_Genf

Mettez à jour les champs suivants pour votre environnement et copiez-collez la chaîne dans l’interface de ligne de commande : add authentication Policy authPol_LdapEtop_genf -rule true -action authAct_LDAP_eotp_genf

Stratégie d’authentification par courrier électronique

Remplissez les champs suivants pour créer l’action E-mail et coller la chaîne complétée dans l’interface de ligne de commande :

  • emailAction - saisissez le nom de l’action.
  • userName  : saisissez l’utilisateur ou le compte de service qui se connecte au serveur de messagerie.
  • password - saisissez le mot de passe de votre compte de service pour vous connecter au serveur de messagerie. (Le mot de passe est chiffré par Citrix ADC par défaut)
  • serverURL - entrez le nom de domaine complet ou l’adresse IP du serveur de messagerie.
  • content - saisissez le message utilisateur à côté du champ pour entrer le code e-mail.
  • time out - saisissez le nombre de secondes pendant lesquelles le code e-mail est valide.
  • emailAddress - saisissez l’objet LDAP à rechercher l’adresse e-mail de l’utilisateur.

Pour la stratégie E-mail, remplissez les champs requis pour référencer l’action E-mail dans une chaîne et collez-la dans l’interface de ligne de commande :

  • Policy - saisissez le nom de la stratégie.
  • action - saisissez le nom de l’action E-mail

Pour plus d’informations, voir Stratégie d’authentification OTP par e-mail

Action de messagerie 4B - authact_email_eotp_genf

Mettez à jour les champs suivants pour votre environnement et copiez-collez la chaîne dans l’interface de ligne de commande :

add authentication emailAction authAct_Email_eotp_genf -userName workspacessrv@workspaces.wwco.net -password 123xyz -encrypted -encryptmethod ENCMTHD_3 -serverURL "smtps://192.0.2.40:587" -content "Your OTP is $code" -timeout 60 -emailAddress "aaa.user.attribute(\"alternate_mail\")"

Stratégie de messagerie 4B - AuthPol_Email_Eotp_Genf

Mettez à jour les champs suivants pour votre environnement et copiez-collez la chaîne dans l’interface de ligne de commande :

add authentication Policy authPol_Email_eotp_genf -rule true -action authAct_Email_eotp

Schéma de connexion

LSchema 1 - LSchema_GroupExtract_Genf

Mettez à jour les champs suivants pour votre environnement et copiez-collez la chaîne dans l’interface de ligne de commande : add authentication loginSchema lSchema_GroupExtract_genf -authenticationSchema "/nsconfig/loginschema/LoginSchema/OnlyUsername.xml"

LSchema 2 - CheckAuthType_genf

Le deuxième facteur ne nécessite pas de schéma de connexion. Il a juste des stratégies avec des expressions pour vérifier quel facteur faire ensuite.

LSchema 3A - LSchema_LDappPasswordOnly_genf

Mettez à jour les champs suivants pour votre environnement et copiez et collez la chaîne dans l’interface de ligne de commande : add authentication loginSchema lSchema_LDAPPasswordOnly_genf -authenticationSchema "/nsconfig/loginschema/PrefilUserFromExpr.xml" Ici, vous pouvez recevoir un avertissement indiquant que http.req.user a été remplacé par aaa.user. Vous devez modifier le fichier xml à partir de l’interface de ligne de commande.

Extraction de groupe

  1. Connectez-vous à l’interface de ligne de commande Citrix ADC
  2. Entrez shell
  3. Entrez cd /nsconfig/loginschema/LoginSchema
  4. Saisissez ‘vi prefilUserFromExpr.xml’
  5. Entrez /http.req
  6. Appuyez sur x 8 fois pour supprimer la chaîne http.req
  7. Appuyez sur la touche d’échappement
  8. Appuyez sur i et entrez aaa, appuyez à nouveau sur la touche d’échappement
  9. Appuyez sur la touche deux-points ‘ :’, Entrée wq et appuyez sur Entrée.
  10. NOTEZ que vous pouvez utiliser cette méthode pour modifier d’autres aspects du schéma de connexion tels que les invites de champ

LSchema 3B - LSchema_EotpPasswordOnly_genf

Mettez à jour les champs suivants pour votre environnement et copiez-collez la chaîne dans l’interface de ligne de commande : add authentication loginSchema lSchema_EOTPPasswordOnly_genf -authenticationSchema "/nsconfig/loginschema/PrefilUserFromExpr.xml"

REMARQUE : Le facteur 3B utilise également le schéma PrefilUserFromExpr.xml, mais nous étiquetons la stratégie différemment pour le chemin EOTP.

LSchema 4B - Eotp_Genf

Le quatrième facteur ne nécessite pas de schéma de connexion. Il génère l’e-mail avec le code d’accès unique.

nFactor

  1. Connectez-vous à l’interface graphique Citrix ADC
  2. Accédez à Gestion du trafic > SSL> Certificats > Tous les certificats pour vérifier que votre certificat de domaine est installé. Dans cet exemple POC, nous avons utilisé un certificat générique correspondant à notre domaine Active Directory. Consultez Certificats SSL Citrix ADC pour de plus amples informations.
  3. Suivant accédez à Security > AAA - Application Traffic > nFactor Visualizer > nFactor Flows
  4. Sélectionnez Ajouter et sélectionnez le signe plus dans la zone Facteur

Visualiseur

Factor1_GroupExtract_genf

  1. Saisissez Factor1_GroupExtract_genf et sélectionnez créer Extraction de groupe
  2. Sélectionner Ajouter un schéma
  3. Sélectionnez le schéma de connexion LSchema_GroupExtract_genf
  4. Sélectionner OK
  5. Dans la même zone, sélectionnez Ajouter une stratégie
  6. Sélectionner la stratégie LDAP authPol_GroupExtract_genf
  7. Sélectionnez Ajouter
  8. Sélectionnez le signe plus vert en regard de la authPol_GroupExtract_genf stratégie pour créer un autre facteur

Factor2_CheckAuthType_genf

  1. Entrer Factor2_CheckAuthType_genf ce facteur est utilisé pour vérifier les exigences d’authentification
  2. Sélectionnez Créer
  3. Dans la même zone, sélectionnez Ajouter une stratégie
  4. Sélectionner authPol_LdapOnly_genf
  5. Sous Goto Expression, sélectionnez END
  6. Sélectionnez Ajouter Extraction de groupe
  7. Sélectionnez le signe bleu plus sous la authPol_LdapOnly_genf stratégie pour ajouter une deuxième stratégie
  8. Sélectionnez la stratégie authPol_TwoFactor_genf
  9. Entrez 90 pour la priorité Ici, nous faisons que la stratégie à deux facteurs se produise avant la stratégie LDAP uniquement en abaissant la priorité à 90, qui est inférieure à la valeur par défaut de 100. Cela garantit que les utilisateurs distants du groupe VIP sont identifiés pour l’authentification LDAP uniquement.
  10. Sélectionnez Ajouter

Factor3A_LDAPPasswordAuth_genf

  1. Retour à côté de la authPol_GroupExtract_genf stratégie, sélectionnez le signe plus vert pour créer un autre facteur
  2. Entrez Factor3A_LDAPPasswordAuth_genf
  3. Sélectionnez Créer
  4. Dans la même zone, sélectionnez Ajouter une stratégie
  5. Sélectionner authPol_Ldap_genf
  6. Sous Goto Expression, sélectionnez END
  7. Sélectionnez Ajouter
  8. Sélectionner Ajouter un schéma
  9. Sélectionnez le schéma de connexion lSchema_LDAPPasswordOnly_genf
  10. Sélectionner OK

Factor3B_EOTPPasswordAuth_genf

  1. Retour à côté de la authPol_TwoFactor_genf stratégie, sélectionnez le signe plus vert pour créer un autre facteur
  2. Entrez Factor3B_EOTPPasswordAuth_genf
  3. Sélectionnez Créer
  4. Dans la même zone, sélectionnez Ajouter une stratégie
  5. Sélectionner authPol_LdapEtop_genf
  6. Sélectionnez Ajouter
  7. Sélectionner Ajouter un schéma
  8. Sélectionnez le schéma de connexion lSchema_EOTPPasswordOnly_genf
  9. Sélectionner OK

Factor4B_EOTP_genf

  1. À côté de la authPol_LdapEtop_genf stratégie, sélectionnez le signe plus vert pour créer un autre facteur
  2. Entrez Factor4B_EOTP_genf
  3. Sélectionnez Créer
  4. Dans la même zone, sélectionnez Ajouter une stratégie
  5. Sélectionner authPol_Email_eotp_genf
  6. Sélectionnez Ajouter
  7. Sélectionnez Terminé et le flux nFactor est terminé Extraction de groupe

Serveur virtuel d’authentification, d’autorisation et d’audit Citrix ADC (Citrix ADC AAA)

  1. Accédez ensuite à Sécurité > AAA - Trafic des applications > Serveurs virtuels et sélectionnez Ajouter
  2. Entrez les champs suivants et cliquez sur OK :
    • Nom - une valeur unique. Nous entrons GroupExtraction_AuthVserver
    • Type d’adresse IP - Non Addressable
  3. Sélectionnez Aucun certificat de serveur, sélectionnez le certificat de domaine, cliquez sur Sélectionner, Lier et Continuer.
  4. Sélectionner Aucun flux nFactor
  5. Sous Sélectionner nFactor Flow, cliquez sur la flèche droite, sélectionnez le Factor1_GroupExtract_genf flux créé précédemment
  6. Cliquez sur Sélectionner, suivi de Lier, suivi de Continuer Extraction de groupe

Citrix Gateway - serveur virtuel

  1. Accédez ensuite à Citrix Gateway > Serveurs virtuels
  2. Sélectionnez votre serveur virtuel existant qui fournit un accès proxy à votre environnement Citrix Virtual Apps and Desktops
  3. Sélectionner Modifier
  4. Si vous avez actuellement une stratégie LDAP liée, naviguez sous Authentification de base - Authentification primaire, sélectionnez Stratégie LDAP. Vérifiez ensuite la stratégie, sélectionnez Délier, Oui pour confirmer, puis Fermer
  5. Dans le menu Paramètres avancés à droite, sélectionnez Profil d’authentification
  6. Sélectionnez Ajouter
  7. Entrez un nom. Nous entrons GroupExtract_AuthProfile
  8. Sous Authentification serveur virtuel, cliquez sur la flèche droite et sélectionnez le serveur virtuel Citrix ADC AAA que nous avons créé GroupExtraction_AuthVserver
  9. Cliquez sur Sélectionner, puis sur Créer
  10. Cliquez sur OK et vérifiez que le profil d’authentification du serveur virtuel est maintenant sélectionné alors que la stratégie d’authentification de base a été supprimée. Extraction de groupe
  11. Cliquez sur Terminé

Point de terminaison utilisateur

Tout d’abord, nous testons si l’authentification One Factor est appliquée aux utilisateurs VIP en s’authentifiant dans notre environnement Citrix Virtual Apps and Desktops.

  1. Ouvrez un navigateur et accédez au nom de domaine complet géré par Citrix Gateway. Nous utilisons https://gateway.workspaces.wwco.net Extraction de groupe
  2. Une fois que votre navigateur est redirigé vers un écran de connexion. Entrez d’abord un nom d’utilisateur. Nous utilisons wsvipuser@workspaces.wwco.net Cet utilisateur doit être membre du groupe AD VIP
  3. nFactor détermine que l’utilisateur est membre du groupe VIP et vous êtes invité à soumettre le mot de passe utilisateur. Extraction de groupe
  4. Maintenant, l’utilisateur est connecté à sa page Workspace.
  5. Sélectionnez un bureau virtuel et vérifiez le lancement. Extraction de groupe

Nous testons maintenant l’authentification à deux facteurs avec Email OTP en nous authentifiant à nouveau dans notre environnement Citrix Virtual Apps and Desktops.

  1. Ouvrez un navigateur et accédez au nom de domaine complet géré par Citrix Gateway. Nous utilisons https://gateway.workspaces.wwco.net
  2. Une fois que votre navigateur est redirigé vers un écran de connexion. Entrez d’abord un nom d’utilisateur. Nous utilisons wsuser@workspaces.wwco.net Extraction de groupe
  3. nFactor détermine que l’utilisateur n’est pas local, ni membre du groupe VIP, vous êtes invité à soumettre le mot de passe utilisateur. Extraction de groupe
  4. Le nFactor présente ensuite un formulaire demandant le code d’accès OTP. Nous copions et colons le code d’accès du compte de wsuser messagerie. Extraction de groupe
  5. Maintenant, l’utilisateur est connecté à sa page Workspace.
  6. Sélectionnez un bureau virtuel et vérifiez le lancement. Extraction de groupe

Résumé

Avec Citrix Workspace et Citrix Gateway, les entreprises peuvent améliorer leur posture de sécurité en implémentant l’authentification multifacteur sans rendre l’expérience utilisateur complexe. L’extraction de groupe permet aux entreprises de personnaliser la profondeur de leur utilisation multifactorielle, ainsi que l’authentification contextuelle, en fonction des exigences relatives aux personnes du groupe d’utilisateurs.

Références

Pour plus d’informations, reportez-vous à :

Commandes Citrix ADC to Find the Policy Hits for Citrix Gateway Session Policies - En savoir plus sur les commandes CLI comme nsconmsg -d current -g _hits le suivi de la stratégie hits pour faciliter le dépannage.

NFactor for Citrix Gateway Authentification avec Email OTP  : découvrez comment implémenter une approche extensible et flexible pour configurer l’authentification multifacteur avec l’authentification NFactor for Citrix Gateway avec un mot de passe unique e-mail.

Guide de validation de concept : authentification NFactor for Citrix Gateway avec extraction de groupe