PoC Guide: nFactor for Citrix Gateway Authentication with Push Token

Introduction

TOTP (Time Based One Time Passwords) sont une méthode de plus en plus courante pour fournir une authentification qui peut augmenter la posture de sécurité avec d’autres facteurs. TOTP avec PUSH tire parti des appareils mobiles en permettant aux utilisateurs de recevoir et d’accepter des demandes de validation d’authentification à portée de main. L’échange est sécurisé en appliquant un hachage à une clé partagée, distribuée pendant l’installation.

Citrix Gateway prend en charge les notifications push pour OTP et peut fournir une authentification pour divers services, y compris les services Web, VPN et Citrix Virtual Apps and Desktops. Dans ce guide POC, nous démontrons son utilisation pour l’authentification dans un environnement Citrix Virtual Apps and Desktops.

Vue d’ensemble

Ce guide explique comment implémenter un environnement Proof of Concept à l’aide de l’authentification à deux facteurs avec Citrix Gateway. Il utilise LDAP pour valider les informations d’identification Active Directory comme premier facteur et utiliser Citrix Cloud Push Authentication comme deuxième facteur. Il utilise un bureau virtuel Citrix Virtual Apps and Desktops publié pour valider la connectivité.

Il émet des hypothèses sur l’installation et la configuration terminées des composants suivants :

• Citrix Gateway est installé, sous licence et configuré avec un serveur virtuel accessible en externe lié à un certificat générique.
• Citrix Gateway intégré à un environnement Citrix Virtual Apps and Desktops qui utilise LDAP pour l’authentification
• Création d’un compte Citrix Cloud
• Point de terminaison avec l’application Citrix Workspace installée
• Appareil mobile avec l’application Citrix SSO installée
• Active Directory (AD) est disponible dans l’environnement

Reportez-vous à la Documentation Citrix pour connaître la dernière version du produit et les conditions requises pour les licences. authentification PUSH

Citrix Gateway

nFactor

1. Connectez-vous à l’interface utilisateur Citrix ADC
2. Accédez à Gestion du trafic > SSL> Certificats > Tous les certificats pour vérifier que votre certificat de domaine est installé. Dans cet exemple POC, nous avons utilisé un certificat générique correspondant à notre domaine Active Directory. Consultez Certificats SSL Citrix ADC pour plus d’informations.

Action de service Push

1. Suivant accédez à Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > Push service
2. Sélectionnez Ajouter
3. Renseignez les champs suivants et cliquez sur OK : * Nom - une valeur unique. Nous allons entrer des valeurs dans les champs suivants pour intégrer Citrix Cloud - PUSH Service

* Connectez-vous à Citrix Cloud et accédez à **Identity and Access Management > API Access * Créez un nom unique pour le service push et sélectionnez créer un client copiera et collera ces valeurs dans notre stratégie Citrix ADC pour l’intégrer à Citrix Cloud -** * ID client - copiez et collez l’ID client à partir de la fenêtre contextuelle Citrix Cloud ID et secret * Secret client - copiez et collez l’ID client dans la fenêtre contextuelle Citrix Cloud ID et secret * Sélectionnez Fermer * ID client - copiez et collez l’ID client à partir de la page Accès à l’API Citrix Cloud Identity and Access Management

1. Cliquez sur Créer

LDAP - action d’authentification

1. Suivant accédez à Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > LDAP
2. Sélectionnez Ajouter
3. Remplissez les champs suivants
   • Nom - une valeur unique
   • Nom du serveur/adresse IP : sélectionnez un nom de domaine complet ou une adresse IP pour le ou les serveurs AD. Nous entrons 192.0.2.50_LDAP
   • DN de base - entrez le chemin d’accès au conteneur utilisateur AD. Nous entrons OU=Team Accounts, DC=workspaces, DC=wwco, DC=net
   • Administrateur Bind DN - entrez le compte admin/service pour interroger AD pour authentifier les utilisateurs. Nous entrons workspacesserviceaccount@workspaces.wwco.net
   • Confirmer/Mot de passe administrateur - saisissez/confirmez le mot de passe du compte admin/service
   • Attribut du nom d’ouverture de session du serveur - dans le deuxième champ sous ce champ, entrez userPrincipalName
4. Sélectionnez Créer une . Pour plus d’informations, voir Stratégies d’authentification LDAP

LDAP - action de stockage de jetons

1. Suivant accédez à Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > LDAP
2. Sélectionnez l’action LDAP créée ci-dessus et sélectionnez créer
3. Ajoutez OTP ou tout autre identifiant au nom et désélectionnez Authentification
4. Sous Paramètres de connexion, vérifiez le DN de base, le DN de liaison administrateur et le mot de passe. Assurez-vous que l’utilisateur administrateur ou le compte de service est membre des administrateurs de domaine. Cette stratégie sera utilisée pour écrire le jeton enregistré par l’application d’authentification de l’utilisateur dans l’attribut UserParameters de leur objet utilisateur.
5. Faites défiler vers le bas jusqu’à Autres paramètres
   • OTP Secret - entrez userParameters
   • Push Service - sélectionnez la stratégie de service PUSH créée ci-dessus
6. Sélectionnez Créer une

nFactor

1. Suivant accédez à Security > AAA - Application Traffic > nFactor Visualizer > nFactor Flows
2. Sélectionnez Ajouter et sélectionnez le signe plus dans la zone Facteur
3. Entrez nFactor_OTP et sélectionnez Créer une

nFactor - Flux d’enregistrement

1. Sélectionnez Ajouter une stratégie et sélectionnez Ajouter à nouveau en regard de Sélectionner une stratégie
2. Entrez authPol_OTPReg
3. Sous Type d’action, sélectionnez NO_AUTHN
4. Sélectionnez Éditeur d’expression et créez l’expression en sélectionnant ce qui suit dans les menus déroulants proposés :
   • HTTP
   • REQ
   • COOKIE.VALUE(String) = NSC_TASS
   • EQ(String) = manageotp
5. Sélectionnez Terminé, puis Créer, puis Ajouter une
6. Sélectionnez le signe plus vert en regard de la stratégie AuthPol_otPreg pour créer un facteur
7. Saisissez OTPRegAD et sélectionnez Créer
8. Dans la zone créée, sélectionnez Ajouter un schéma
9. Sélectionnez Ajouter et entrez lschema_SingleRegOTP
10. Sous Fichiers de schéma, accédez à Loginschema, puis sélectionnez SingleAuthManageOTP.xml
11. Sélectionnez le bouton bleu de sélection, suivi de Créer, suivi de OK
12. Dans la même zone, sélectionnez Ajouter une stratégie et sélectionnez Ajouter à nouveau en regard de Sélectionner une stratégie
13. Entrez AuthPol_LDAP pour le nom
14. Sous Type d’action, sélectionnez LDAP
15. Sous Action, sélectionnez votre première action d’authentification LDAP. Nous utilisons 192.0.2.50_LDAP
16. Sous Expression, entrez
17. Sélectionnez Créer suivi de Ajouter
18. Sélectionnez le signe plus vert en regard du authPol_LDAP policy pour créer un facteur
19. Saisissez OTPRegDevice et sélectionnez Créer
20. Dans la même zone, sélectionnez Ajouter une stratégie et sélectionnez Ajouter à nouveau en regard de Sélectionner une stratégie
21. Entrez authPol_OTPAuthDevice pour le nom
22. Sous Type d’action, sélectionnez LDAP
23. Sous Action, sélectionnez votre nouvelle action d’authentification LDAP créée. Nous utilisons 192.0.2.50_LDAP_OTP
24. Sous Expression, entrez
25. Sélectionnez Créer suivi de Ajouter

nFactor - Flux d’authentification

1. Sélectionnez le signe bleu plus sous la stratégie authPol_OTPReg
2. Entrez authPol_OTPAuth
3. Sous Type d’action, sélectionnez NO_AUTHN
4. Sous Expression, entrez true
5. Sélectionnez Créer
6. Sélectionnez le signe plus vert en regard de la authPol_OTPAuth stratégie pour créer un facteur
7. Entrez OTPAuthAD
8. Sélectionnez Créer
9. Dans la zone créée, sélectionnez Ajouter un schéma
10. Sélectionnez Ajouter et entrez lschema_DualAuthOTP
11. Sous Fichiers de schéma, accédez à Loginschema, puis sélectionnez DualAuthPushOrOTP.xml
12. Sélectionnez le bouton bleu de sélection, suivi de Créer, suivi de OK
13. Dans la même zone, sélectionnez Ajouter une stratégie
14. Sélectionnez la stratégie que nous avons créée lors de la configuration du flux d’enregistrement qui correspond à votre première action d’authentification LDAP. Nous utilisons authPol_LDAP
15. Sélectionnez Ajouter
16. Sélectionnez le signe plus vert en regard de la authPol_Ldap stratégie pour créer un facteur
17. Entrez OTPAuthDevice ce facteur utilisera le jeton OTP pour effectuer l’authentification du 2e facteur
18. Sélectionnez Créer
19. Dans la même zone, sélectionnez Ajouter une stratégie
20. Sélectionnez la stratégie authPol_OTPAuthDevice que nous avons créée lors de la configuration du flux d’enregistrement
21. Sélectionnez Ajouter
22. Nous avons maintenant terminé la configuration du flux nFactor et pouvons cliquer sur Done

Serveur virtuel d’authentification, d’autorisation et d’audit Citrix ADC (Citrix ADC AAA)

1. Ensuite, accédez à Security > AAA - Application Traffic > Virtual Servers et sélectionnez Ajouter
2. Entrez les champs suivants et cliquez sur OK :
   • Nom - une valeur unique
   • Type d’adresse IP - Non Addressable
3. Sélectionnez Aucun certificat de serveur, sélectionnez le certificat de domaine, cliquez sur Sélectionner, Lier et Continuer.
4. Sélectionner Aucun flux nFactor
5. Sous Sélectionner nFactor Flow, cliquez sur la flèche droite, sélectionnez le nFactor_OTP flux créé précédemment
6. Cliquez sur Sélectionner, puis sur Bind

Citrix Gateway - serveur virtuel

1. Suivant accédez à Citrix Gateway > Virtual Servers
2. Sélectionnez votre serveur virtuel existant qui fournit un accès proxy à votre environnement Citrix Virtual Apps and Desktops
3. Sélectionner Modifier
4. Sous Authentification de base - Authentification primaire sélectionnez Stratégie LDAP
5. Vérifiez la stratégie, sélectionnez Délier, Oui pour confirmer, puis Fermer
6. Dans le menu Paramètres avancés à droite, sélectionnez Profil d’authentification
7. Sélectionnez Ajouter
8. Entrez un nom. Nous entrons PUSH_auth_profile
9. Sous Authentification serveur virtuel, cliquez sur la flèche droite et sélectionnez le serveur virtuel Citrix ADC AAA que nous avons créé PUSH_Auth_Vserver
10. Cliquez sur Sélectionner, puis sur Créer
11. Cliquez sur OK et vérifiez qu’un profil d’authentification est maintenant sélectionné sur le serveur virtuel alors que la stratégie d’authentification de base a été supprimée.
12. Cliquez sur Terminé

Point de terminaison utilisateur

Nous testons maintenant PUSH en enregistrant un appareil mobile et en nous authentifiant dans notre environnement Citrix Virtual Apps and Desktops.

Enregistrement avec l’application Citrix SSO

1. Ouvrez un navigateur et accédez au nom de domaine complet géré par Citrix Gateway avec /manageotp ajouté à la fin du nom de domaine complet. Nous utilisons https://gateway.workspaces.wwco.net/manageotp
2. Une fois que votre navigateur est redirigé vers un écran de connexion, entrez l’UPN et le mot de passe utilisateur
3. Dans l’écran suivant, sélectionnez Ajouter un périphérique, entrez un nom. Nous utilisons l’ iPhone7
4. Sélectionnez Go et un code QR apparaîtra
5. Sur votre appareil mobile, ouvrez votre application Citrix SSO qui est disponible au téléchargement depuis les magasins d’applications
6. Sélectionnez Ajouter un nouveau jeton
7. Sélectionnez Scan QR Code
8. Sélectionnez Orienter votre caméra vers le code QR et une fois qu’il est capturé, sélectionnez Ajouter une
9. Sélectionnez Enregistrer pour stocker le jeton
10. Le jeton est maintenant actif et commence à afficher les codes OTP toutes les 30 secondes.
11. Sélectionnez Terminé et vous verrez la confirmation que l’appareil a été ajouté avec succès

Authentification, publication et lancement de Citrix Virtual Apps and Desktops

1. Ouvrez un navigateur et accédez au nom de domaine complet géré par Citrix Gateway. Nous utilisons https://gateway.workspaces.wwco.net
2. Une fois que votre navigateur est redirigé vers un écran de connexion, entrez UPN utilisateur et mot de passe. Sur cet écran, vous voyez l’option Cliquer pour saisir OTP manuellement si, pour une raison quelconque, votre caméra ne fonctionne pas
3. Sur votre appareil mobile, dans votre application Citrix SSO, sélectionnez OK pour confirmer l’authentification PUSH Authentification .
4. Vérifiez que les utilisateurs, les applications virtuelles et les bureaux sont énumérés et lancez-les une fois connecté à .

Résumé

Avec Citrix Workspace et Citrix Gateway, les entreprises peuvent améliorer leur posture de sécurité en implémentant l’authentification multifacteur sans rendre l’expérience utilisateur complexe. Les utilisateurs peuvent accéder à toutes leurs ressources Workspaces en entrant leur utilisateur et mot de passe de domaine standard et en confirmant simplement leur identité en appuyant sur un bouton dans l’application Citrix SSO sur leur appareil mobile.

Références

Pour plus d’informations, reportez-vous à :

Authentication Push  : regardez une vidéo Tech Insight sur l’utilisation de TOTP pour améliorer la sécurité de l’authentification pour votre Citrix Workspace

Authentification - Citrix Gateway sur site  : regardez une vidéo Tech Insight sur l’intégration à Citrix Gateway sur site afin d’améliorer la sécurité de l’authentification pour votre Citrix Workspace