PoC Guide: nFactor for Citrix Gateway Authentication with Push Token
Introduction
TOTP (Time Based One Time Passwords) sont une méthode de plus en plus courante pour fournir une authentification qui peut augmenter la posture de sécurité avec d’autres facteurs. TOTP avec PUSH tire parti des appareils mobiles en permettant aux utilisateurs de recevoir et d’accepter des demandes de validation d’authentification à portée de main. L’échange est sécurisé en appliquant un hachage à une clé partagée, distribuée pendant l’installation.
Citrix Gateway prend en charge les notifications push pour OTP et peut fournir une authentification pour divers services, y compris les services Web, VPN et Citrix Virtual Apps and Desktops. Dans ce guide POC, nous démontrons son utilisation pour l’authentification dans un environnement Citrix Virtual Apps and Desktops.
Vue d’ensemble
Ce guide explique comment implémenter un environnement Proof of Concept à l’aide de l’authentification à deux facteurs avec Citrix Gateway. Il utilise LDAP pour valider les informations d’identification Active Directory comme premier facteur et utiliser Citrix Cloud Push Authentication comme deuxième facteur. Il utilise un bureau virtuel Citrix Virtual Apps and Desktops publié pour valider la connectivité.
Il émet des hypothèses sur l’installation et la configuration terminées des composants suivants :
- Citrix Gateway est installé, sous licence et configuré avec un serveur virtuel accessible en externe lié à un certificat générique.
- Citrix Gateway intégré à un environnement Citrix Virtual Apps and Desktops qui utilise LDAP pour l’authentification
- Création d’un compte Citrix Cloud
- Point de terminaison avec l’application Citrix Workspace installée
- Appareil mobile avec l’application Citrix SSO installée
- Active Directory (AD) est disponible dans l’environnement
Reportez-vous à la Documentation Citrix pour connaître la dernière version du produit et les conditions requises pour les licences. authentification PUSH
Citrix Gateway
nFactor
- Connectez-vous à l’interface utilisateur Citrix ADC
- Accédez à Gestion du trafic > SSL> Certificats > Tous les certificats pour vérifier que votre certificat de domaine est installé. Dans cet exemple POC, nous avons utilisé un certificat générique correspondant à notre domaine Active Directory. Consultez Certificats SSL Citrix ADC pour plus d’informations.
Action de service Push
- Suivant accédez à
Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > Push service
- Sélectionnez Ajouter
- Renseignez les champs suivants et cliquez sur OK :
* Nom - une valeur unique. Nous allons entrer des valeurs dans les champs suivants pour intégrer Citrix Cloud - PUSH Service
* Connectez-vous à Citrix Cloud et accédez à **Identity and Access Management > API Access
* Créez un nom unique pour le service push et sélectionnez créer un client copiera et collera ces valeurs dans notre stratégie Citrix ADC pour l’intégrer à Citrix Cloud -**
* ID client - copiez et collez l’ID client à partir de la fenêtre contextuelle Citrix Cloud ID et secret
* Secret client - copiez et collez l’ID client dans la fenêtre contextuelle Citrix Cloud ID et secret
* Sélectionnez Fermer
* ID client - copiez et collez l’ID client à partir de la page Accès à l’API Citrix Cloud Identity and Access Management
- Cliquez sur Créer
LDAP - action d’authentification
- Suivant accédez à
Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > LDAP
- Sélectionnez Ajouter
- Remplissez les champs suivants
- Nom - une valeur unique
- Nom du serveur/adresse IP : sélectionnez un nom de domaine complet ou une adresse IP pour le ou les serveurs AD. Nous entrons
192.0.2.50_LDAP
- DN de base - entrez le chemin d’accès au conteneur utilisateur AD. Nous entrons
OU=Team Accounts, DC=workspaces, DC=wwco, DC=net
- Administrateur Bind DN - entrez le compte admin/service pour interroger AD pour authentifier les utilisateurs. Nous entrons
workspacesserviceaccount@workspaces.wwco.net
- Confirmer/Mot de passe administrateur - saisissez/confirmez le mot de passe du compte admin/service
- Attribut du nom d’ouverture de session du serveur - dans le deuxième champ sous ce champ, entrez
userPrincipalName
- Sélectionnez Créer une
. Pour plus d’informations, voir Stratégies d’authentification LDAP
LDAP - action de stockage de jetons
- Suivant accédez à
Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > LDAP
- Sélectionnez l’action LDAP créée ci-dessus et sélectionnez créer
- Ajoutez OTP ou tout autre identifiant au nom et désélectionnez Authentification
- Sous Paramètres de connexion, vérifiez le DN de base, le DN de liaison administrateur et le mot de passe. Assurez-vous que l’utilisateur administrateur ou le compte de service est membre des administrateurs de domaine. Cette stratégie sera utilisée pour écrire le jeton enregistré par l’application d’authentification de l’utilisateur dans l’attribut UserParameters de leur objet utilisateur.
- Faites défiler vers le bas jusqu’à Autres paramètres
- OTP Secret - entrez
userParameters
- Push Service - sélectionnez la stratégie de service PUSH créée ci-dessus
- OTP Secret - entrez
- Sélectionnez Créer une
nFactor
- Suivant accédez à
Security > AAA - Application Traffic > nFactor Visualizer > nFactor Flows
- Sélectionnez Ajouter et sélectionnez le signe plus dans la zone Facteur
- Entrez nFactor_OTP et sélectionnez Créer une
nFactor - Flux d’enregistrement
- Sélectionnez Ajouter une stratégie et sélectionnez Ajouter à nouveau en regard de Sélectionner une stratégie
- Entrez
authPol_OTPReg
- Sous Type d’action, sélectionnez
NO_AUTHN
- Sélectionnez Éditeur d’expression et créez l’expression en sélectionnant ce qui suit dans les menus déroulants proposés :
HTTP
REQ
COOKIE.VALUE(String) = NSC_TASS
EQ(String) = manageotp
- Sélectionnez Terminé, puis Créer, puis Ajouter une
- Sélectionnez le signe plus vert en regard de la stratégie AuthPol_otPreg pour créer un facteur
- Saisissez
OTPRegAD
et sélectionnez Créer - Dans la zone créée, sélectionnez Ajouter un schéma
- Sélectionnez Ajouter et entrez
lschema_SingleRegOTP
- Sous Fichiers de schéma, accédez à Loginschema, puis sélectionnez
SingleAuthManageOTP.xml
- Sélectionnez le bouton bleu de sélection, suivi de Créer, suivi de OK
- Dans la même zone, sélectionnez Ajouter une stratégie et sélectionnez Ajouter à nouveau en regard de Sélectionner une stratégie
- Entrez AuthPol_LDAP pour le nom
- Sous Type d’action, sélectionnez LDAP
- Sous Action, sélectionnez votre première action d’authentification LDAP. Nous utilisons
192.0.2.50_LDAP
- Sous Expression, entrez
- Sélectionnez Créer suivi de Ajouter
- Sélectionnez le signe plus vert en regard du
authPol_LDAP policy
pour créer un facteur - Saisissez
OTPRegDevice
et sélectionnez Créer - Dans la même zone, sélectionnez Ajouter une stratégie et sélectionnez Ajouter à nouveau en regard de Sélectionner une stratégie
- Entrez
authPol_OTPAuthDevice
pour le nom - Sous Type d’action, sélectionnez LDAP
- Sous Action, sélectionnez votre nouvelle action d’authentification LDAP créée. Nous utilisons
192.0.2.50_LDAP_OTP
- Sous Expression, entrez
- Sélectionnez Créer suivi de Ajouter
nFactor - Flux d’authentification
- Sélectionnez le signe bleu plus sous la stratégie
authPol_OTPReg
- Entrez
authPol_OTPAuth
- Sous Type d’action, sélectionnez
NO_AUTHN
- Sous Expression, entrez true
- Sélectionnez Créer
- Sélectionnez le signe plus vert en regard de la
authPol_OTPAuth
stratégie pour créer un facteur - Entrez
OTPAuthAD
- Sélectionnez Créer
- Dans la zone créée, sélectionnez Ajouter un schéma
- Sélectionnez Ajouter et entrez
lschema_DualAuthOTP
- Sous Fichiers de schéma, accédez à Loginschema, puis sélectionnez
DualAuthPushOrOTP.xml
- Sélectionnez le bouton bleu de sélection, suivi de Créer, suivi de OK
- Dans la même zone, sélectionnez Ajouter une stratégie
- Sélectionnez la stratégie que nous avons créée lors de la configuration du flux d’enregistrement qui correspond à votre première action d’authentification LDAP. Nous utilisons
authPol_LDAP
- Sélectionnez Ajouter
- Sélectionnez le signe plus vert en regard de la
authPol_Ldap
stratégie pour créer un facteur - Entrez
OTPAuthDevice
ce facteur utilisera le jeton OTP pour effectuer l’authentification du 2e facteur - Sélectionnez Créer
- Dans la même zone, sélectionnez Ajouter une stratégie
- Sélectionnez la stratégie
authPol_OTPAuthDevice
que nous avons créée lors de la configuration du flux d’enregistrement - Sélectionnez Ajouter
- Nous avons maintenant terminé la configuration du flux nFactor et pouvons cliquer sur Done
Serveur virtuel d’authentification, d’autorisation et d’audit Citrix ADC (Citrix ADC AAA)
- Ensuite, accédez à
Security > AAA - Application Traffic > Virtual Servers
et sélectionnez Ajouter - Entrez les champs suivants et cliquez sur OK :
- Nom - une valeur unique
- Type d’adresse IP -
Non Addressable
- Sélectionnez Aucun certificat de serveur, sélectionnez le certificat de domaine, cliquez sur Sélectionner, Lier et Continuer.
- Sélectionner Aucun flux nFactor
- Sous Sélectionner nFactor Flow, cliquez sur la flèche droite, sélectionnez le
nFactor_OTP
flux créé précédemment - Cliquez sur Sélectionner, puis sur Bind
Citrix Gateway - serveur virtuel
- Suivant accédez à
Citrix Gateway > Virtual Servers
- Sélectionnez votre serveur virtuel existant qui fournit un accès proxy à votre environnement Citrix Virtual Apps and Desktops
- Sélectionner Modifier
- Sous Authentification de base - Authentification primaire sélectionnez Stratégie LDAP
- Vérifiez la stratégie, sélectionnez Délier, Oui pour confirmer, puis Fermer
- Dans le menu Paramètres avancés à droite, sélectionnez Profil d’authentification
- Sélectionnez Ajouter
- Entrez un nom. Nous entrons
PUSH_auth_profile
- Sous Authentification serveur virtuel, cliquez sur la flèche droite et sélectionnez le serveur virtuel Citrix ADC AAA que nous avons créé
PUSH_Auth_Vserver
- Cliquez sur Sélectionner, puis sur Créer
- Cliquez sur OK et vérifiez qu’un profil d’authentification est maintenant sélectionné sur le serveur virtuel alors que la stratégie d’authentification de base a été supprimée.
- Cliquez sur Terminé
Point de terminaison utilisateur
Nous testons maintenant PUSH en enregistrant un appareil mobile et en nous authentifiant dans notre environnement Citrix Virtual Apps and Desktops.
Enregistrement avec l’application Citrix SSO
- Ouvrez un navigateur et accédez au nom de domaine complet géré par Citrix Gateway avec /manageotp ajouté à la fin du nom de domaine complet. Nous utilisons
https://gateway.workspaces.wwco.net/manageotp
- Une fois que votre navigateur est redirigé vers un écran de connexion, entrez l’UPN et le mot de passe
utilisateur
- Dans l’écran suivant, sélectionnez Ajouter un périphérique, entrez un nom. Nous utilisons l’
iPhone7
- Sélectionnez Go et un code QR apparaîtra
- Sur votre appareil mobile, ouvrez votre application Citrix SSO qui est disponible au téléchargement depuis les magasins d’applications
- Sélectionnez Ajouter un nouveau jeton
- Sélectionnez Scan QR Code
- Sélectionnez Orienter votre caméra vers le code QR et une fois qu’il est capturé, sélectionnez Ajouter une
- Sélectionnez Enregistrer pour stocker le jeton
- Le jeton est maintenant actif et commence à afficher les codes OTP toutes les 30 secondes.
- Sélectionnez Terminé et vous verrez la confirmation que l’appareil a été ajouté avec succès
Authentification, publication et lancement de Citrix Virtual Apps and Desktops
- Ouvrez un navigateur et accédez au nom de domaine complet géré par Citrix Gateway. Nous utilisons
https://gateway.workspaces.wwco.net
- Une fois que votre navigateur est redirigé vers un écran de connexion, entrez UPN utilisateur et mot de passe. Sur cet écran, vous voyez l’option Cliquer pour saisir OTP manuellement si, pour une raison quelconque, votre caméra ne fonctionne pas
- Sur votre appareil mobile, dans votre application Citrix SSO, sélectionnez OK pour confirmer l’authentification PUSH Authentification
.
- Vérifiez que les utilisateurs, les applications virtuelles et les bureaux sont énumérés et lancez-les une fois connecté à
.
Résumé
Avec Citrix Workspace et Citrix Gateway, les entreprises peuvent améliorer leur posture de sécurité en implémentant l’authentification multifacteur sans rendre l’expérience utilisateur complexe. Les utilisateurs peuvent accéder à toutes leurs ressources Workspaces en entrant leur utilisateur et mot de passe de domaine standard et en confirmant simplement leur identité en appuyant sur un bouton dans l’application Citrix SSO sur leur appareil mobile.
Références
Pour plus d’informations, reportez-vous à :
Authentication Push : regardez une vidéo Tech Insight sur l’utilisation de TOTP pour améliorer la sécurité de l’authentification pour votre Citrix Workspace
Authentification - Citrix Gateway sur site : regardez une vidéo Tech Insight sur l’intégration à Citrix Gateway sur site afin d’améliorer la sécurité de l’authentification pour votre Citrix Workspace