Guide de validation de concept : authentification NFactor for Citrix Gateway avec jeton Push

Introduction

TOTP (Time Based One Time Passwords) sont une méthode de plus en plus courante pour fournir une authentification qui peut augmenter la posture de sécurité avec d’autres facteurs. TOTP avec PUSH tire parti des appareils mobiles en permettant aux utilisateurs de recevoir et d’accepter des demandes de validation d’authentification à portée de main. L’échange est sécurisé en appliquant un hachage à une clé partagée, distribuée pendant l’installation.

Citrix Gateway prend en charge les notifications push pour OTP et peut fournir une authentification pour divers services, y compris les services Web, VPN et Citrix Virtual Apps and Desktops. Dans ce guide POC, nous démontrons son utilisation pour l’authentification dans un environnement Citrix Virtual Apps and Desktops.

authentification PUSH

Aperçu

Ce guide explique comment implémenter un environnement Proof of Concept à l’aide de l’authentification à deux facteurs avec Citrix Gateway. Il utilise LDAP pour valider les informations d’identification Active Directory comme premier facteur et utiliser Citrix Cloud Push Authentication comme deuxième facteur. Il utilise un bureau virtuel Citrix Virtual Apps and Desktops publié pour valider la connectivité.

Il émet des hypothèses sur l’installation et la configuration terminées des composants suivants :

  • Citrix Gateway est installé, sous licence et configuré avec un serveur virtuel accessible en externe lié à un certificat générique.
  • Citrix Gateway intégré à un environnement Citrix Virtual Apps and Desktops qui utilise LDAP pour l’authentification
  • Création d’un compte Citrix Cloud
  • Point de terminaison avec l’application Citrix Workspace installée
  • Appareil mobile avec l’application Citrix SSO installée
  • Active Directory (AD) est disponible dans l’environnement

Reportez-vous à la Documentation Citrix pour connaître la dernière version du produit et les conditions requises pour les licences. authentification PUSH

Citrix Gateway

nFactor

  1. Connectez-vous à l’interface utilisateur Citrix ADC
  2. Accédez à Gestion du trafic > SSL> Certificats > Tous les certificats pour vérifier que votre certificat de domaine est installé. Dans cet exemple POC, nous avons utilisé un certificat générique correspondant à notre domaine Active Directory. Consultez Certificats SSL Citrix ADC pour de plus amples informations.

Action de service Push

  1. Suivant accédez à Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > Push service
  2. Sélectionnez Ajouter
  3. Remplissez les champs suivants et cliquez sur OK authentification PUSH
    • Nom - une valeur unique. Nous entrerons des valeurs dans les champs suivants à intégrer avec Citrix Cloud - PUSH Service
    • Connectez-vous à Citrix Cloud et accédez à Identity and Access Management > API Access
    • Créer un nom unique pour le service push et sélectionnez créer un client Maintenant, nous va copier et coller ces valeurs dans notre stratégie Citrix ADC pour l’intégrer à Citrix Cloud - PUSH Service authentification PUSH
    • Client ID - copier-coller l’ID client à partir du Citrix Cloud ID et de la fenêtre contextuelle secrète Client Secret - copier-coller l’ID client à partir de Citrix Cloud ID et secret popup
    • Sélectionnez Fermer authentification PUSH
    • Customer ID - copiez et collez l’ID client à partir de la page Accès à l’API Citrix Cloud Identity and Access Management
  4. Cliquez sur Créer

LDAP - action d’authentification

  1. Suivant accédez à Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > LDAP
  2. Sélectionnez Ajouter
  3. Remplissez les champs suivants
    • Nom - une valeur unique
    • Nom du serveur/adresse IP : sélectionnez un nom de domaine complet ou une adresse IP pour le ou les serveurs AD. Nous entrons 192.0.2.50_LDAP
    • DN de base - entrez le chemin d’accès au conteneur utilisateur AD. Nous entrons OU=Team Accounts, DC=workspaces, DC=wwco, DC=net
    • Administrateur Bind DN - entrez le compte admin/service pour interroger AD pour authentifier les utilisateurs. Nous entrons workspacesserviceaccount@workspaces.wwco.net
    • Confirmer/Mot de passe administrateur - saisissez/confirmez le mot de passe du compte admin/service
    • Attribut du nom d’ouverture de session du serveur - dans le deuxième champ sous ce champ, entrez userPrincipalName
  4. Sélectionnez Créer authentification PUSH Pour plus d’informations, voir Stratégies d’authentification LDAP

LDAP - action de stockage de jetons

  1. Suivant accédez à Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > LDAP
  2. Sélectionnez l’action LDAP créée ci-dessus et sélectionnez créer
  3. Ajouter OTP ou n’importe quel identifiant au nom et désélectionner l’authentification authentification PUSH
  4. Sous Paramètres de connexion, vérifiez le DN de base, le DN de liaison administrateur et le mot de passe. Assurez-vous que l’utilisateur administrateur ou le compte de service est membre des administrateurs de domaine. Cette stratégie sera utilisée pour écrire le jeton enregistré par l’application d’authentification de l’utilisateur dans l’attribut UserParameters de leur objet utilisateur. authentification PUSH
  5. Faites défiler vers le bas jusqu’à Autres paramètres
    • OTP Secret - entrez userParameters
    • Push Service - sélectionnez la stratégie de service PUSH créée ci-dessus authentification PUSH
  6. Sélectionnez Créer authentification PUSH

nFactor

  1. Suivant accédez à Security > AAA - Application Traffic > nFactor Visualizer > nFactor Flows
  2. Sélectionnez Ajouter et sélectionnez le signe plus dans la zone Facteur
  3. Entrez nFactor_OTP et sélectionnez créer authentification PUSH

nFactor - Flux d’enregistrement

  1. Sélectionnez Ajouter une stratégie et sélectionnez Ajouter à nouveau en regard de Sélectionner une stratégie
  2. Entrez authPol_OTPReg
  3. Sous Type d’action, sélectionnez NO_AUTHN
  4. Sélectionnez Éditeur d’expression et créez l’expression en sélectionnant ce qui suit dans les menus déroulants proposés :
    • HTTP
    • REQ
    • COOKIE.VALUE(String) = NSC_TASS
    • EQ(String) = manageotp
  5. Sélectionnez Terminé, puis Créer, puis Ajouter authentification PUSH
  6. Sélectionnez le signe plus vert en regard de la stratégie AuthPol_otPreg pour créer un facteur
  7. Saisissez OTPRegAD et sélectionnez Créer
  8. Dans la zone créée, sélectionnez Ajouter un schéma
  9. Sélectionnez Ajouter et entrez lschema_SingleRegOTP
  10. Sous Fichiers de schéma, accédez à Loginschema, puis sélectionnez SingleAuthManageOTP.xml
  11. Sélectionnez le bouton bleu de sélection, suivi de Créer, suivi de OK
  12. Dans la même zone, sélectionnez Ajouter une stratégie et sélectionnez Ajouter à nouveau en regard de Sélectionner une stratégie
  13. Entrez AuthPol_LDAP pour le nom
  14. Sous Type d’action, sélectionnez LDAP
  15. Sous Action, sélectionnez votre première action d’authentification LDAP. Nous utilisons 192.0.2.50_LDAP
  16. Sous Expression, entrez true authentification PUSH
  17. Sélectionnez Créer suivi de Ajouter
  18. Sélectionnez le signe plus vert en regard du authPol_LDAP policy pour créer un facteur
  19. Saisissez OTPRegDevice et sélectionnez Créer
  20. Dans la même zone, sélectionnez Ajouter une stratégie et sélectionnez Ajouter à nouveau en regard de Sélectionner une stratégie
  21. Entrez authPol_OTPAuthDevice pour le nom
  22. Sous Type d’action, sélectionnez LDAP
  23. Sous Action, sélectionnez votre nouvelle action d’authentification LDAP créée. Nous utilisons 192.0.2.50_LDAP_OTP
  24. Sous Expression, entrez true authentification PUSH
  25. Sélectionnez Créer suivi de Ajouter

nFactor - Flux d’authentification

  1. Sélectionnez le signe bleu plus sous la authPol_OTPReg politique
  2. Entrez authPol_OTPAuth
  3. Sous Type d’action, sélectionnez NO_AUTHN
  4. Sous Expression, entrez true
  5. Sélectionnez Créer
  6. Sélectionnez le signe plus vert en regard de la authPol_OTPAuth stratégie pour créer un facteur
  7. Entrez OTPAuthAD
  8. Sélectionnez Créer
  9. Dans la zone créée, sélectionnez Ajouter un schéma
  10. Sélectionnez Ajouter et entrez lschema_DualAuthOTP
  11. Sous Fichiers de schéma, accédez à Loginschema, puis sélectionnez DualAuthPushOrOTP.xml
  12. Sélectionnez le bouton bleu de sélection, suivi de Créer, suivi de OK
  13. Dans la même zone, sélectionnez Ajouter une stratégie
  14. Sélectionnez la stratégie que nous avons créée lors de la configuration du flux d’enregistrement qui correspond à votre première action d’authentification LDAP. Nous utilisons authPol_LDAP
  15. Sélectionnez Ajouter
  16. Sélectionnez le signe plus vert en regard de la authPol_Ldap stratégie pour créer un facteur
  17. Entrez OTPAuthDevice ce facteur utilisera le jeton OTP pour effectuer l’authentification du 2e facteur
  18. Sélectionnez Créer
  19. Dans la même zone, sélectionnez Ajouter une stratégie
  20. Sélectionnez la stratégie authPol_OTPAuthDevice que nous avons créée lors de la configuration du flux d’enregistrement
  21. Sélectionnez Ajouter
  22. Maintenant, nous avons terminé la configuration du flux nFactor et nous pouvons cliquer sur Terminé authentification PUSH

Serveur virtuel d’authentification, d’autorisation et d’audit Citrix ADC (Citrix ADC AAA)

  1. Ensuite, accédez à Security > AAA - Application Traffic > Virtual Servers et sélectionnez Ajouter
  2. Entrez les champs suivants et cliquez sur OK :
    • Nom - une valeur unique
    • Type d’adresse IP - Non Addressable authentification PUSH
  3. Sélectionnez Aucun certificat de serveur, sélectionnez le certificat de domaine, cliquez sur Sélectionner, Lier et Continuer.
  4. Sélectionner Aucun flux nFactor
  5. Sous Sélectionner nFactor Flow, cliquez sur la flèche droite, sélectionnez le nFactor_OTP flux créé précédemment
  6. Cliquez sur Sélectionner, suivi de Lier authentification PUSH

Citrix Gateway - serveur virtuel

  1. Suivant accédez à Citrix Gateway > Virtual Servers
  2. Sélectionnez votre serveur virtuel existant qui fournit un accès proxy à votre environnement Citrix Virtual Apps and Desktops
  3. Sélectionner Modifier
  4. Sous Authentification de base - Authentification primaire sélectionnez Stratégie LDAP
  5. Vérifiez la stratégie, sélectionnez Délier, Oui pour confirmer, puis Fermer
  6. Dans le menu Paramètres avancés à droite, sélectionnez Profil d’authentification
  7. Sélectionnez Ajouter
  8. Entrez un nom. Nous entrons PUSH_auth_profile
  9. Sous Authentification serveur virtuel, cliquez sur la flèche droite et sélectionnez le serveur virtuel Citrix ADC AAA que nous avons créé PUSH_Auth_Vserver
  10. Cliquez sur Sélectionner, puis sur Créer
  11. Cliquez sur OK et vérifiez que le profil d’authentification du serveur virtuel est maintenant sélectionné alors que la stratégie d’authentification de base a été supprimée. authentification PUSH
  12. Cliquez sur Terminé

Point de terminaison utilisateur

Nous testons maintenant PUSH en enregistrant un appareil mobile et en nous authentifiant dans notre environnement Citrix Virtual Apps and Desktops.

Enregistrement avec l’application Citrix SSO

  1. Ouvrez un navigateur et accédez au nom de domaine complet géré par Citrix Gateway avec /manageotp ajouté à la fin du nom de domaine complet. Nous utilisons https://gateway.workspaces.wwco.net/manageotp
  2. Une fois votre navigateur redirigé vers un écran de connexion, entrez UPN utilisateur et mot de passe authentification PUSH
  3. Dans l’écran suivant, sélectionnez Ajouter un périphérique, entrez un nom. Nous utilisons iPhone7 authentification PUSH
  4. Sélectionnez Go et un code QR apparaîtra authentification PUSH
  5. Sur votre appareil mobile, ouvrez votre application Citrix SSO qui est disponible au téléchargement depuis les magasins d’applications
  6. Sélectionnez Ajouter un nouveau jeton
  7. Sélectionnez Scanner le code QR authentification PUSH
  8. Sélectionnez Aviser votre appareil photo au QR Code et une fois qu’il est capturé, sélectionnez Ajouter authentification PUSH
  9. Sélectionnez Enregistrer pour stocker le jeton authentification PUSH
  10. Le jeton est maintenant actif et commence à afficher les codes OTP à intervalles de 30 secondes authentification PUSH
  11. Sélectionnez Terminé et vous verrez la confirmation que l’appareil a été ajouté avec succès. authentification PUSH

Authentification, publication et lancement de Citrix Virtual Apps and Desktops

  1. Ouvrez un navigateur et accédez au nom de domaine complet géré par Citrix Gateway. Nous utilisons https://gateway.workspaces.wwco.net
  2. Une fois que votre navigateur est redirigé vers un écran de connexion, entrez UPN utilisateur et mot de passe. Sur cet écran, vous voyez l’option Cliquer pour entrer OTP manuellement si, pour une raison quelconque, votre appareil photo ne fonctionne pas authentification PUSH
  3. Sur votre appareil mobile dans votre application Citrix SSO, sélectionnez OK pour confirmer l’authentification PUSH authentification PUSH
  4. Vérifiez que les applications virtuelles des utilisateurs et les postes de travail sont énumérées et lancez une fois connecté authentification PUSH

Résumé

Avec Citrix Workspace et Citrix Gateway, les entreprises peuvent améliorer leur posture de sécurité en implémentant l’authentification multifacteur sans rendre l’expérience utilisateur complexe. Les utilisateurs peuvent accéder à toutes leurs ressources Workspaces en entrant leur utilisateur et mot de passe de domaine standard et en confirmant simplement leur identité en appuyant sur un bouton dans l’application Citrix SSO sur leur appareil mobile.

Références

Pour plus d’informations, reportez-vous à :

Push d’authentification — regardez une vidéo Tech Insight concernant l’utilisation de TOTP pour améliorer la sécurité de l’authentification de votre Citrix Workspace

Authentification - Citrix Gateway local — regardez une vidéo Tech Insight concernant l’intégration avec Citrix Gateway local pour améliorer la sécurité de l’authentification de votre Citrix Workspace