Citrix ADC

nFactor 認証用の再キャプチャ設定

Citrix Gateway は、新しいファーストクラスのアクション「captchaAction」をサポートし、再キャプチャの構成を簡素化します。reCaptchaはファーストクラスのアクションであるため、独自の要因になる可能性があります。nFactorフローのどこにでもreCaptchaを注入することができます。

以前は、RfWeb UI の変更を含むカスタム WebAuth ポリシーを記述する必要がありました。キャプチャアクションの導入により、JavaScriptを変更する必要はありません。

重要

reCaptchaがスキーマ内のユーザー名またはパスワードのフィールドと一緒に使用されている場合、reCaptchaが満たされるまで送信ボタンは無効になります。

再キャプチャ設定

reCaptcha 構成には、2 つの部分が含まれます。

  1. 再キャプチャを登録するためのGoogleの構成。
  2. ログインフローの一部として再キャプチャを使用するCitrix ADCアプライアンスの構成。

Googleで再キャプチャ設定

https://www.google.com/recaptcha/admin#llistでreCaptcha のドメインを登録します。

  1. このページに移動すると、次の画面が表示されます。

    ローカライズされた画像

    再CAPTCHA v2 のみを使用してください。目に見えないreCAPTCHAはまだベータ版です。

  2. ドメインを登録すると、「サイトキー」と「秘密キー」が表示されます。

    ローカライズされた画像

    セキュリティ上の理由から、「SiteKey」と「SecretKey」はグレー表示になっています。「SecretKey」は安全に保管する必要があります。

Citrix ADCアプライアンスの構成を再キャプチャする

Citrix ADCアプライアンスの再キャプチャ構成は、3つの部分に分けることができます。

  • 再キャプチャ画面を表示する
  • Googleサーバーに再キャプチャ応答を投稿する
  • LDAP 構成は、ユーザーログオンの 2 番目の要素です (オプション)

再キャプチャ画面を表示する

ログインフォームのカスタマイズは、SingleAuthCaptcha.xml Loginschemaを介して行われます。このカスタマイズは、認証仮想サーバーで指定され、ログインフォームをレンダリングするために UI に送信されます。組み込みのLoginschemaであるSingleAuthCaptcha.xmlは、Citrix ADCアプライアンス上の/nsconfig/loginschema/Loginschemaディレクトリにあります。

重要

  • ユースケースと異なるスキーマに基づいて、既存のスキーマを変更できます。たとえば、reCaptcha係数(ユーザー名またはパスワードなし)またはreCaptchaとの二重認証のみが必要な場合。
  • カスタム変更を実行した場合、またはファイルの名前を変更した場合は、すべてのloginSchemaを/nsconfig/loginschemaディレクトリから親ディレクトリ/nsconfig/loginschemaにコピーすることをお勧めします。

CLI を使用して再キャプチャの表示を設定するには

  • add authentication loginSchema singleauthcaptcha -authenticationSchema /nsconfig/loginschema/SingleAuthCaptcha.xml
  • add authentication loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptcha
  • add authentication vserver auth SSL <IP> <Port>
  • add ssl certkey vserver-cert -cert <path-to-cert-file> -key <path-to-key-file>
  • bind ssl vserver auth -certkey vserver-cert
  • bind authentication vserver auth -policy singleauthcaptcha -priority 5 -gotoPriorityExpression END

Googleサーバーに再キャプチャ応答を投稿する

あなたは、ユーザーに表示されなければならないreCaptchaを設定した後、管理者は、ブラウザからのreCaptcha応答を確認するために、Googleサーバーに構成を追加ポスト。

ブラウザから再キャプチャ応答を確認するには
  • add authentication captchaAction myrecaptcha -sitekey <sitekey-copied-from-google> -secretkey <secretkey-from-google>
  • add authentication policy myrecaptcha -rule true -action myrecaptcha
  • bind authentication vserver auth -policy myrecaptcha -priority 1

AD 認証が必要な場合は、次のコマンドが必要です。それ以外の場合は、この手順を無視できます。

  • add authentication ldapAction ldap-new -serverIP x.x.x.x -serverPort 636 -ldapBase "cn=users,dc=aaatm,dc=com" -ldapBindDn adminuser@aaatm.com -ldapBindDnPassword <password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup ldapGroup
  • add authenticationpolicy ldap-new -rule true -action ldap-new

LDAP 構成は、ユーザーログオンの 2 番目の要素です (オプション)

LDAP認証はreCaptchaの後に行われ、2番目の要素に追加します。

  • add authentication policylabel second-factor
  • bind authentication policylabel second-factor -policy ldap-new -priority 10
  • bind authentication vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor

管理者は、負荷分散仮想サーバーとCitrix Gateway アプライアンスのどちらを使用してアクセスするかに応じて、適切な仮想サーバーを追加する必要があります。負荷分散仮想サーバが必要な場合は、管理者が次のコマンドを設定する必要があります。

  • add lb vserver lbtest HTTP <IP> <Port> -authentication ON -authenticationHost nssp.aaatm.com

    nssp.aaatm.com — 認証仮想サーバーに解決します。

再キャプチャのユーザー検証

前のセクションで説明したすべての手順を設定したら、以下に示すUIのスクリーンショットを確認する必要があります。

  1. 認証仮想サーバーがログインページを読み込むと、ログオン画面が表示されます。ログオン は、再キャプチャが完了するまで無効になります。

    ローカライズされた画像

  2. [私はロボットではありません] オプションを選択します。再キャプチャウィジェットが表示されます。

    ローカライズされた画像

  3. 完了ページが表示される前に、一連のreCaptchaイメージ間を移動します。
  4. AD 資格情報を入力し、[ロボットではありません] チェックボックスをオンにして、 [ログオン] をクリックします。認証が成功すると、目的のリソースにリダイレクトされます。

    ローカライズされた画像

    • reCaptchaがAD認証で使用されている場合、reCaptchaが完了するまで、資格情報の送信ボタンは無効になります。
    • reCaptchaは、独自の要因で発生します。したがって、ADのような後続の検証は、reCaptchaの ‘nextfactor’で発生する必要があります。

nFactor 認証用の再キャプチャ設定