Citrix ADC

多重 (nFactor) 身份验证

重要

  • nFactor 身份验证功能需要 Citrix ADC Advanced Edition 或 Citrix ADC Premium Edition 才能正常运行。

  • 支持从 NetScaler 11.0 Build 62.x 开始。

  • 自 NetScaler 12.0 Build 51.x 起,用作具有多重 (nFactor) 身份验证的 SAML 服务提供程序 (SP) 的 Citrix ADC 设备现在会在登录页面上预填充用户名字段。设备在 SAML 授权请求中发送 NameID 属性,从 Citrix ADC SAML 身份提供程序 (IdP) 中检索 NameID 属性值,并预填充用户名字段。

多重身份验证要求用户提供多个身份证明以获得访问权限,从而增强了应用程序的安全性。Citrix ADC 设备提供了一种可扩展且灵活的方法来配置多因素身份验证。这种方法称为 nFactor 身份验证

nFactor 身份验证的工作原理

每个身份验证因子都执行以下任务:

  • 从用户收集凭据。Citrix ADC 支持的身份验证机制包括 LDAP、RADIUS、SAML 断言、客户端证书、OAuth OpenID 连接、Kerberos 等。

  • 评估提供的凭据,以确定身份验证是否成功、失败或执行组提取、属性提取等操作。

  • 根据评估结果,授予访问权限、拒绝访问权限或选择下一个因素。

  • 重复这些步骤,直到没有下一个要评估的因素为止。

使用 nFactor 身份验证,您可以:

  • 配置任意数量的身份验证因素。
  • 根据执行上一个因素的结果选择下一个因素。
  • 自定义登录界面。例如,您可以自定义标签名称、错误消息和帮助文本。
  • 提取用户组信息而不进行身份验证。
  • 配置身份验证因素的直通。这意味着该因素不需要显式登录交互。
  • 配置应用不同类型身份验证的顺序。Citrix ADC 设备上支持的任何身份验证机制都可以配置为 nFactor 身份验证设置的任何因素。这些因素按配置的顺序执行。
  • 将 Citrix ADC 配置为继续进行身份验证失败时必须执行的身份验证因素。为此,您可以配置另一个身份验证策略,具有完全相同的条件,但具有下一个最高优先级,并且操作设置为“NO_AUTH”。您必须配置下一个因子,该因子必须指定要应用的替代身份验证机制。

加密 Citrix Gateway 登录信息以进行 nFactor 身份验证

使用 nFactor 身份验证的 Citrix Gateway 可以加密客户端(浏览器或 SSO 应用程序)在身份验证过程中提交的登录请求字段。加密的登录请求字段提供了额外的安全层,以防止用户的敏感数据被泄露。

兼容的浏览器

下表列出了支持登录加密的浏览器以及版本详细信息。

浏览器 版本
Chrome 78 及以上
Firefox 69 及以上
Internet Explorer 11
Edge 42 及以上
Safari 11.0 及以上
Opera 66

兼容的客户端

以下部分列出了支持 Citrix Gateway 登录信息加密的客户端以及版本详细信息。

  • 仅当操作系统版本为 10.14.x 及更高版本时,Mac 中的 Citrix Workspace 应用程序才支持加密。
  • 仅当操作系统版本为 10.14.x 及更高版本时,Mac 中的 Citrix SSO 应用才支持加密。
  • Windows SSO 应用程序对兼容性没有限制。
  • 仅在 Internet 浏览器 11 版本中支持适用于 Windows 客户端的 Citrix Workspace 应用程序中的密码加密。

使用 CLI 启用登录加密

在命令提示窗口中,键入:

设置 aaa 参数 [-登录加密 (已启用 | 已禁用)]

注意

默认情况下,登录加密参数处于禁用状态。您必须启用它。

使用 GUI 启用登录加密

  1. 导航到安全”>“AAA — 应用程序流量,单击身份验证设置部分下的更改身份验证 AAA 设置
  2. 配置 AAA 参数页面上,向下滚动到登录加密选项,然后将其启用。

多重 (nFactor) 身份验证