多因素 (nFactor) 身份验证

重要

支持从 NetScaler 11.0 Build 62.x 开始。

自 NetScaler 12.0 Build 51.x 起,用作具有多重 (nFactor) 身份验证的 SAML 服务提供程序 (SP) 的 Citrix ADC 设备现在会在登录页面上预填充用户名字段。设备将 NameID 属性作为 SAML 授权请求的一部分发送,从 Citrix ADC SAML 身份提供程序 (IdP) 检索 NameID 属性值,并预填充用户名字段。

多重身份验证通过要求用户提供多个识别证明来获取访问权限,从而增强应用程序的安全性。Citrix ADC 设备提供了一种可扩展且灵活的方法来配置多重身份验证。这种方法称为 nFactor 身份验证

使用 nFactor 身份验证,您可以:

  • 配置任意数量的身份验证因素。
  • 根据执行上一个因素的结果选择下一个因素。
  • 自定义登录界面。例如,您可以自定义标签名称、错误消息和帮助文本。
  • 无需进行身份验证即可提取用户组信息。
  • 配置身份验证因素的直通。这意味着该因素不需要显式的登录交互。
  • 配置应用不同类型身份验证的顺序。Citrix ADC 设备上支持的任何身份验证机制都可以配置为 nFactor 身份验证设置的任何因素。这些因素按配置的顺序执行。
  • 将 Citrix ADC 配置为继续进行身份验证失败时必须执行的身份验证因素。为此,您可以配置另一个身份验证策略,具有完全相同的条件,但具有下一个最高优先级,并且操作设置为“NO_AUTH”。您还必须配置下一个因素,该因素必须指定要应用的备用身份验证机制。

有关 nFactor 的优势,请参阅 用于在 NetScaler 上部署 AAA-TM 的一个公有 IP

使用 nFactor 身份验证的示例部署:

  • 预先获取两个密码,在下一个因素中直通。 读取
  • 基于组成员身份,然后进行证书或 LDAP 身份验证。 读取
  • SAML 后跟 LDAP 或证书身份验证,基于 SAML 期间提取的属性。 读取
  • SAML 的第一个因素,然后是组提取,然后是基于提取的组的 LDAP 或证书身份验证。 读取
  • 从证书预填充用户名。 读取
  • 为 401 启用流量管理虚拟服务器进行证书身份验证,然后进行组提取。 读取
  • 用户名和 2 密码,组提取在第三因素。 读取
  • 证书回退到同一级联中的 LDAP;一个虚拟服务器用于证书和 LDAP 身份验证。 读取
  • 第一因素中的 LDAP 和第二因素中的 Web 身份验证。 读取
  • 域下拉菜单中的第一个因素,然后根据组不同的策略评估。 读取

多因素 (nFactor) 身份验证