PoC Guide: nFactor for Citrix Gateway Authentication with Push Token

Introduction

TOTP (Time Based One Time Passwords) sont une méthode de plus en plus courante pour fournir une authentification qui peut augmenter la posture de sécurité avec d’autres facteurs. TOTP avec PUSH tire parti des appareils mobiles en permettant aux utilisateurs de recevoir et d’accepter des demandes de validation d’authentification à portée de main. L’échange est sécurisé en appliquant un hachage à une clé partagée, distribuée pendant l’installation.

Citrix Gateway prend en charge les notifications push pour OTP et peut fournir une authentification pour divers services, y compris les services Web, VPN et Citrix Virtual Apps and Desktops. Dans ce guide POC, nous démontrons son utilisation pour l’authentification dans un environnement Citrix Virtual Apps and Desktops.

authentification PUSH

Vue d’ensemble

Ce guide explique comment implémenter un environnement Proof of Concept à l’aide de l’authentification à deux facteurs avec Citrix Gateway. Il utilise LDAP pour valider les informations d’identification Active Directory comme premier facteur et utiliser Citrix Cloud Push Authentication comme deuxième facteur. Il utilise un bureau virtuel Citrix Virtual Apps and Desktops publié pour valider la connectivité.

Il émet des hypothèses sur l’installation et la configuration terminées des composants suivants :

  • Citrix Gateway est installé, sous licence et configuré avec un serveur virtuel accessible en externe lié à un certificat générique.
  • Citrix Gateway intégré à un environnement Citrix Virtual Apps and Desktops qui utilise LDAP pour l’authentification
  • Création d’un compte Citrix Cloud
  • Point de terminaison avec l’application Citrix Workspace installée
  • Appareil mobile avec l’application Citrix SSO installée
  • Active Directory (AD) est disponible dans l’environnement

Reportez-vous à la Documentation Citrix pour connaître la dernière version du produit et les conditions requises pour les licences. authentification PUSH

Citrix Gateway

nFactor

  1. Connectez-vous à l’interface utilisateur Citrix ADC
  2. Accédez à Gestion du trafic > SSL> Certificats > Tous les certificats pour vérifier que votre certificat de domaine est installé. Dans cet exemple POC, nous avons utilisé un certificat générique correspondant à notre domaine Active Directory. Consultez Certificats SSL Citrix ADC pour plus d’informations.

Action de service Push

  1. Suivant accédez à Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > Push service
  2. Sélectionnez Ajouter
  3. Renseignez les champs suivants et cliquez sur OK : Authentification PUSH * Nom - une valeur unique. Nous allons entrer des valeurs dans les champs suivants pour intégrer Citrix Cloud - PUSH Service

* Connectez-vous à Citrix Cloud et accédez à **Identity and Access Management > API Access * Créez un nom unique pour le service push et sélectionnez créer un client copiera et collera ces valeurs dans notre stratégie Citrix ADC pour l’intégrer à Citrix Cloud -** Authentification PUSH Service PUSH * ID client - copiez et collez l’ID client à partir de la fenêtre contextuelle Citrix Cloud ID et secret * Secret client - copiez et collez l’ID client dans la fenêtre contextuelle Citrix Cloud ID et secret * Sélectionnez Fermer l'authentification PUSH * ID client - copiez et collez l’ID client à partir de la page Accès à l’API Citrix Cloud Identity and Access Management

  1. Cliquez sur Créer

LDAP - action d’authentification

  1. Suivant accédez à Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > LDAP
  2. Sélectionnez Ajouter
  3. Remplissez les champs suivants
    • Nom - une valeur unique
    • Nom du serveur/adresse IP : sélectionnez un nom de domaine complet ou une adresse IP pour le ou les serveurs AD. Nous entrons 192.0.2.50_LDAP
    • DN de base - entrez le chemin d’accès au conteneur utilisateur AD. Nous entrons OU=Team Accounts, DC=workspaces, DC=wwco, DC=net
    • Administrateur Bind DN - entrez le compte admin/service pour interroger AD pour authentifier les utilisateurs. Nous entrons workspacesserviceaccount@workspaces.wwco.net
    • Confirmer/Mot de passe administrateur - saisissez/confirmez le mot de passe du compte admin/service
    • Attribut du nom d’ouverture de session du serveur - dans le deuxième champ sous ce champ, entrez userPrincipalName
  4. Sélectionnez Créer une authentification PUSH . Pour plus d’informations, voir Stratégies d’authentification LDAP

LDAP - action de stockage de jetons

  1. Suivant accédez à Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > LDAP
  2. Sélectionnez l’action LDAP créée ci-dessus et sélectionnez créer
  3. Ajoutez OTP ou tout autre identifiant au nom et désélectionnez Authentification PUSH Authentication
  4. Sous Paramètres de connexion, vérifiez le DN de base, le DN de liaison administrateur et le mot de passe. Assurez-vous que l’utilisateur administrateur ou le compte de service est membre des administrateurs de domaine. Cette stratégie sera utilisée pour écrire le jeton enregistré par l’application d’authentification de l’utilisateur dans l’attribut UserParameters de leur objet utilisateur. authentification PUSH
  5. Faites défiler vers le bas jusqu’à Autres paramètres
    • OTP Secret - entrez userParameters
    • Push Service - sélectionnez la stratégie de service PUSH créée ci-dessus authentification PUSH
  6. Sélectionnez Créer une authentification PUSH

nFactor

  1. Suivant accédez à Security > AAA - Application Traffic > nFactor Visualizer > nFactor Flows
  2. Sélectionnez Ajouter et sélectionnez le signe plus dans la zone Facteur
  3. Entrez nFactor_OTP et sélectionnez Créer une authentification PUSH

nFactor - Flux d’enregistrement

  1. Sélectionnez Ajouter une stratégie et sélectionnez Ajouter à nouveau en regard de Sélectionner une stratégie
  2. Entrez authPol_OTPReg
  3. Sous Type d’action, sélectionnez NO_AUTHN
  4. Sélectionnez Éditeur d’expression et créez l’expression en sélectionnant ce qui suit dans les menus déroulants proposés :
    • HTTP
    • REQ
    • COOKIE.VALUE(String) = NSC_TASS
    • EQ(String) = manageotp
  5. Sélectionnez Terminé, puis Créer, puis Ajouter une authentification PUSH
  6. Sélectionnez le signe plus vert en regard de la stratégie AuthPol_otPreg pour créer un facteur
  7. Saisissez OTPRegAD et sélectionnez Créer
  8. Dans la zone créée, sélectionnez Ajouter un schéma
  9. Sélectionnez Ajouter et entrez lschema_SingleRegOTP
  10. Sous Fichiers de schéma, accédez à Loginschema, puis sélectionnez SingleAuthManageOTP.xml
  11. Sélectionnez le bouton bleu de sélection, suivi de Créer, suivi de OK
  12. Dans la même zone, sélectionnez Ajouter une stratégie et sélectionnez Ajouter à nouveau en regard de Sélectionner une stratégie
  13. Entrez AuthPol_LDAP pour le nom
  14. Sous Type d’action, sélectionnez LDAP
  15. Sous Action, sélectionnez votre première action d’authentification LDAP. Nous utilisons 192.0.2.50_LDAP
  16. Sous Expression, entrez Authentification PUSH
  17. Sélectionnez Créer suivi de Ajouter
  18. Sélectionnez le signe plus vert en regard du authPol_LDAP policy pour créer un facteur
  19. Saisissez OTPRegDevice et sélectionnez Créer
  20. Dans la même zone, sélectionnez Ajouter une stratégie et sélectionnez Ajouter à nouveau en regard de Sélectionner une stratégie
  21. Entrez authPol_OTPAuthDevice pour le nom
  22. Sous Type d’action, sélectionnez LDAP
  23. Sous Action, sélectionnez votre nouvelle action d’authentification LDAP créée. Nous utilisons 192.0.2.50_LDAP_OTP
  24. Sous Expression, entrez Authentification PUSH
  25. Sélectionnez Créer suivi de Ajouter

nFactor - Flux d’authentification

  1. Sélectionnez le signe bleu plus sous la stratégie authPol_OTPReg
  2. Entrez authPol_OTPAuth
  3. Sous Type d’action, sélectionnez NO_AUTHN
  4. Sous Expression, entrez true
  5. Sélectionnez Créer
  6. Sélectionnez le signe plus vert en regard de la authPol_OTPAuth stratégie pour créer un facteur
  7. Entrez OTPAuthAD
  8. Sélectionnez Créer
  9. Dans la zone créée, sélectionnez Ajouter un schéma
  10. Sélectionnez Ajouter et entrez lschema_DualAuthOTP
  11. Sous Fichiers de schéma, accédez à Loginschema, puis sélectionnez DualAuthPushOrOTP.xml
  12. Sélectionnez le bouton bleu de sélection, suivi de Créer, suivi de OK
  13. Dans la même zone, sélectionnez Ajouter une stratégie
  14. Sélectionnez la stratégie que nous avons créée lors de la configuration du flux d’enregistrement qui correspond à votre première action d’authentification LDAP. Nous utilisons authPol_LDAP
  15. Sélectionnez Ajouter
  16. Sélectionnez le signe plus vert en regard de la authPol_Ldap stratégie pour créer un facteur
  17. Entrez OTPAuthDevice ce facteur utilisera le jeton OTP pour effectuer l’authentification du 2e facteur
  18. Sélectionnez Créer
  19. Dans la même zone, sélectionnez Ajouter une stratégie
  20. Sélectionnez la stratégie authPol_OTPAuthDevice que nous avons créée lors de la configuration du flux d’enregistrement
  21. Sélectionnez Ajouter
  22. Nous avons maintenant terminé la configuration du flux nFactor et pouvons cliquer sur Done PUSH Authentication

Serveur virtuel d’authentification, d’autorisation et d’audit Citrix ADC (Citrix ADC AAA)

  1. Ensuite, accédez à Security > AAA - Application Traffic > Virtual Servers et sélectionnez Ajouter
  2. Entrez les champs suivants et cliquez sur OK :
    • Nom - une valeur unique
    • Type d’adresse IP - Non Addressable authentification PUSH
  3. Sélectionnez Aucun certificat de serveur, sélectionnez le certificat de domaine, cliquez sur Sélectionner, Lier et Continuer.
  4. Sélectionner Aucun flux nFactor
  5. Sous Sélectionner nFactor Flow, cliquez sur la flèche droite, sélectionnez le nFactor_OTP flux créé précédemment
  6. Cliquez sur Sélectionner, puis sur Bind PUSH Authentication

Citrix Gateway - serveur virtuel

  1. Suivant accédez à Citrix Gateway > Virtual Servers
  2. Sélectionnez votre serveur virtuel existant qui fournit un accès proxy à votre environnement Citrix Virtual Apps and Desktops
  3. Sélectionner Modifier
  4. Sous Authentification de base - Authentification primaire sélectionnez Stratégie LDAP
  5. Vérifiez la stratégie, sélectionnez Délier, Oui pour confirmer, puis Fermer
  6. Dans le menu Paramètres avancés à droite, sélectionnez Profil d’authentification
  7. Sélectionnez Ajouter
  8. Entrez un nom. Nous entrons PUSH_auth_profile
  9. Sous Authentification serveur virtuel, cliquez sur la flèche droite et sélectionnez le serveur virtuel Citrix ADC AAA que nous avons créé PUSH_Auth_Vserver
  10. Cliquez sur Sélectionner, puis sur Créer
  11. Cliquez sur OK et vérifiez qu’un profil d’authentification est maintenant sélectionné sur le serveur virtuel alors que la stratégie d’authentification de base a été supprimée. Authentification PUSH
  12. Cliquez sur Terminé

Point de terminaison utilisateur

Nous testons maintenant PUSH en enregistrant un appareil mobile et en nous authentifiant dans notre environnement Citrix Virtual Apps and Desktops.

Enregistrement avec l’application Citrix SSO

  1. Ouvrez un navigateur et accédez au nom de domaine complet géré par Citrix Gateway avec /manageotp ajouté à la fin du nom de domaine complet. Nous utilisons https://gateway.workspaces.wwco.net/manageotp
  2. Une fois que votre navigateur est redirigé vers un écran de connexion, entrez l’UPN et le mot de passe de l'utilisateur
  3. Dans l’écran suivant, sélectionnez Ajouter un périphérique, entrez un nom. Nous utilisons l’ iPhone7 authentification PUSH
  4. Sélectionnez Go et un code QR apparaîtra Authentification PUSH
  5. Sur votre appareil mobile, ouvrez votre application Citrix SSO qui est disponible au téléchargement depuis les magasins d’applications
  6. Sélectionnez Ajouter un nouveau jeton
  7. Sélectionnez Scan QR Code PUSH Authentification
  8. Sélectionnez Orienter votre caméra vers le code QR et une fois qu’il est capturé, sélectionnez Ajouter une authentification PUSH
  9. Sélectionnez Enregistrer pour stocker le jeton d'authentification PUSH
  10. Le jeton est maintenant actif et commence à afficher les codes OTP toutes les 30 secondes. Authentification PUSH
  11. Sélectionnez Terminé et vous verrez la confirmation que l’appareil a été ajouté avec succès Authentification PUSH

Authentification, publication et lancement de Citrix Virtual Apps and Desktops

  1. Ouvrez un navigateur et accédez au nom de domaine complet géré par Citrix Gateway. Nous utilisons https://gateway.workspaces.wwco.net
  2. Une fois que votre navigateur est redirigé vers un écran de connexion, entrez UPN utilisateur et mot de passe. Sur cet écran, vous voyez l’option Cliquer pour saisir OTP manuellement si, pour une raison quelconque, votre caméra ne fonctionne pas Authentification PUSH
  3. Sur votre appareil mobile, dans votre application Citrix SSO, sélectionnez OK pour confirmer l’authentification PUSH Authentification PUSH.
  4. Vérifiez que les utilisateurs, les applications virtuelles et les bureaux sont énumérés et lancez-les une fois connecté à l'authentification PUSH.

Résumé

Avec Citrix Workspace et Citrix Gateway, les entreprises peuvent améliorer leur posture de sécurité en implémentant l’authentification multifacteur sans rendre l’expérience utilisateur complexe. Les utilisateurs peuvent accéder à toutes leurs ressources Workspaces en entrant leur utilisateur et mot de passe de domaine standard et en confirmant simplement leur identité en appuyant sur un bouton dans l’application Citrix SSO sur leur appareil mobile.

Références

Pour plus d’informations, reportez-vous à :

Authentication Push  : regardez une vidéo Tech Insight sur l’utilisation de TOTP pour améliorer la sécurité de l’authentification pour votre Citrix Workspace

Authentification - Citrix Gateway sur site  : regardez une vidéo Tech Insight sur l’intégration à Citrix Gateway sur site afin d’améliorer la sécurité de l’authentification pour votre Citrix Workspace