ADC

nFactor 身份验证

重要提示

  • NetScaler 11.0 Build 62.x 及更高版本支持 nFactor 身份验证。
  • 要使 nFactor 身份验证与 Citrix ADC 配合使用,需要 Advanced 许可证或 Premium 许可证。
  • 自版本 13.0 Build 67.x 起,只有网关/VPN 虚拟服务器的 Standard 许可证支持 nFactor 身份验证。有关使用 Citrix Gateway 进行 nFactor 身份验证的更多信息,请参阅 网关身份验证的 nFactor
  • Linux 客户端不支持 nFactor 身份验证。

多重身份验证要求用户提供多个身份证明以获得访问权限,从而增强了应用程序的安全性。Citrix ADC 设备为配置多重身份验证提供了一种可扩展的灵活方法。这种方法称为 nFactor 身份验证

nFactor 身份验证的工作原理

每个身份验证因素都执行以下任务:

  • 收集用户提供的凭据。Citrix ADC 支持的身份验证机制包括 LDAP、RADIUS、SAML 断言、客户端证书、OAuth OpenID Connect、Kerberos 等。

  • 评估提供的凭据以确定身份验证是成功、失败还是执行组提取、属性提取等操作。

  • 授予访问权限、拒绝访问权限还是选择下一个因素,具体取决于评估结果。

  • 重复执行这些步骤,直到没有其他需要评估的因素。

使用 nFactor 身份验证,您可以:

  • 配置任意数量的身份验证因素。
  • 根据执行前一个因素的结果来选择下一个因素。
  • 自定义登录界面。例如,您可以自定义标签名称、错误消息和帮助文本。
  • 提取用户组信息而不进行身份验证。
  • 为身份验证因素配置直通。这意味着该因素不需要显式登录交互。
  • 配置应用不同类型的身份验证的顺序。Citrix ADC 设备支持的任何身份验证机制都可以配置为 nFactor 身份验证设置的任何因素。这些因素按配置顺序执行。
  • 配置 Citrix ADC 设备以继续执行身份验证因素,身份验证失败时必须执行该身份验证因素。为此,您需要配置另一个具有相同条件的身份验证策略,但优先级排在第二位,操作设置为“NO_AUTH”。必须配置下一个因素,该因素必须指定要应用的替代身份验证机制。

用于 nFactor 身份验证的 Citrix Gateway 登录信息的加密

使用 nFactor 身份验证的 Citrix Gateway 可以加密身份验证过程中客户端(浏览器或 SSO 应用程序)提交的登录请求字段。加密的登录请求字段提供了额外的安全层,以保护用户的敏感数据免遭泄露。

兼容的浏览器

下表列出了浏览器以及支持登录加密的版本详细信息。

浏览器 版本
Chrome 78 及更高版本
Firefox 69 及更高版本
Edge 42 及更高版本
Safari 11.0 及更高版本
Opera 66

兼容的客户

以下部分列出了客户端以及支持 Citrix Gateway 登录信息加密的版本详细信息。

  • Mac 中的 Citrix Workspace 应用程序仅在操作系统版本为 10.14.x 及更高版本时才支持加密。
  • Mac 中的 Citrix SSO 应用程序仅在操作系统版本为 10.14.x 及更高版本时才支持加密。
  • Windows SSO 应用程序对兼容性没有限制。

使用 CLI 启用登录加密

在命令提示符下,键入:

set aaa parameter \[-loginEncryption \(ENABLED | DISABLED)]

注意

默认情况下,loginEncryption 参数设置为 DISABLED。必须将其启用。

使用 GUI 启用登录加密

  1. 导航到 Security(安全)> AAA – Application Traffic(AAA - 应用程序流量),然后单击 Authentication Settings(身份验证设置)部分下的 Change authentication AAA settings(更改身份验证 AAA 设置)。
  2. Configure AAA Parameter(配置 AAA 参数)页面上,向下滚动到 Login Encryption(登录加密)选项,然后启用。

关于登录加密的重要说明:

在以下情况下,尝试登录 Citrix Gateway 时,您会看到一条错误消息,提示密码加密失败,必须禁用密码加密才能继续登录:

  • 登录加密已启用。
  • 使用了不支持的浏览器。

您可以忽略禁用登录加密的建议。但是,请确保使用支持的浏览器才能成功登录。

nFactor 身份验证