简化配置的 nFactor 可视化工具
自 Citrix ADC 13.0 Build 36.27 起,通过使用 nFactor 可视化工具简化通过 GUI 进行的 nFactor 配置。nFactor 可视化工具可帮助管理员添加多个因素,而不会丢失每个因素的跟踪。在流中构建的因素组显示在一个位置。管理员可以分别添加身份验证成功路径和失败路径。创建流程后,管理员必须将 nFactor 流绑定到身份验证虚拟服务器。
注意
- 管理员在 nFactor 流程中创建的所有因素都将保留以供将来使用。
- 从 Citrix ADC 功能版本 13.0 Build 64.35 及更高版本中,使用 nFactor 可视化工具,您可以使用决策块启动 nFactor 流。
以前,nFactor 配置很麻烦,因为管理员必须访问许多页面来进行配置。如果需要进行更改,管理员每次都必须重新访问配置的部分。此外,没有选择在一个地方查看完整的配置。
用例 1:RADIUS 后跟 LDAP 身份验证,否则通过 nFactor 可视化工具回退到 Captcha
实现 RADIUS 身份验证作为第一级身份验证,然后进行 LDAP 身份验证。如果 RADIUS 失败,身份验证必须回退到验证码。
要实现此用例,您可以使用 nFactor 可视化工具。可视化工具提供了可用于添加此流程和相关项目的各种控件。
下图显示了使用可视化工具为上文提及的用例创建的 nFactor 流。
-
RADIUS。配置 RADIUS 作为第一个因素。添加登录架构和策略。在此示例中,radius_auth 和 Radius_Policy 是添加的登录架构和策略。对于 RADIUS_Policy,您可以为成功案例添加另一个因素。在此示例中,为成功案例添加了 LDAP 因子块。对于失败情况,你可以添加验证码因素。
-
LDAP。您将 LDAP 身份验证配置为第二个因素。添加登录架构和策略。在此示例中,ldap_auth 和 LDAP_policy 是添加的登录架构和策略。
-
Captcha。对于 RADIUS 策略失败案例,您可以创建验证码因素。在此示例中,验证码和 captcha_策略是添加的登录架构和策略。
用例 2:LDAP 后跟基于通过 nFactor 可视化工具的 LDAP 组成员关系的 Captcha 进行的 RADIUS/证书身份验证
实现 RADIUS 身份验证作为第一级身份验证,然后进行 LDAP 身份验证。如果 RADIUS 失败,身份验证必须回退到验证码。
下图显示了使用可视化工具为上文提及的用例创建的 nFactor 流。
-
LDAP。您将 LDAP 配置为第一个因素。添加登录架构和策略。在此示例中,SingleAuth 和 LDAP_policy 是添加的登录架构和策略。对于 LDAP_Policy,您可以为成功案例添加另一个因素。在此示例中,为成功案例添加了决策块。对于失败情况,你可以添加验证码后跟 AD 因素。
-
组提取 LDAP。是否为 LDAP 成功案例添加了决策块。决策块用作分支出因素,根据策略规则对用户进行分支。可视化工具只允许为决策块配置 NO_AUTN 策略。
在此示例中,Group_Extraction_LDAP 是决策块。您向此决策区域添加两个策略 (
AD_Group_Partner and AD_Group_Employee
)。如在用例中所述,所有通过 AD_Group_Partner 策略路由的请求都使用 RADIUS 身份验证。因此,您将此策略的成功案例连接到 RADIUS 因素的下一个因素。同样,通过 AD_Group_Employ 策略路由的所有请求都使用认证身份验证。因此,您将此策略的成功案例连接到下一个因素,即认证身份验证因素。-
RADIUS。对于 AD_Group_Partner 策略成功案例,您可以创建 RADIUS 身份验证因子。
-
证书。对于 AD_group_Employee 策略成功案例,您可以创建证书身份验证因子。
-
-
Captcha。对于 LDAP 策略失败案例,您可以创建两个接下来的因素验证码和 AD 因素。
注意
- 如果首先要分支使用案例,那么您可以创建两个流并单独绑定,也可以创建一个流,将第一个流作为分支出来创建一个流,然后将其绑定到虚拟服务器。
- 如果您有多个模块,并且要在 nFactor Flow 屏幕中查看整个流程,请单击可视化工具并将流程拖动到最左侧。
- Citrix 建议仅使用 nFactor Flows 页面修改 nFactor 流。
使用 nFactor 可视化工具配置 nFactor
注意
以下 nFactor 配置是一个简单的示例,可帮助您完成用例 1 方案配置。
- 导航到安全 > AAA-应用程序流量 > nFactor 可视化工具 > nFactor 流。
- 单击添加。
-
在 nFactor 流页面上,单击 + 为流添加第一个因素。第一个因素也用作此 nFactor 流的标识符。
-
输入因素名称,然后单击 创建。
因素名称显示在“nFactor 流”页面中的因素块上。
注意
Citrix 建议您不要将策略标签名称(例如
__root
和__<flow_name>
)用作后缀,不要将_db_
用作前缀。它用作在 nFactor 流中创建的因子名称。 -
创建 RADIUS 因素后,必须创建“添加架构”和“添加策略”。
注意
有关详细信息,请参阅nFactor 概念、实体和术语。
-
单击添加架构。您可以添加新的登录架构,也可以从身份验证登录架构列表中选择现有登录架构。
-
要创建登录架构,请单击添加,然后在创建身份验证登录架构页面中,输入架构的名称。单击编辑(铅笔图标)以从列表中选择登录架构文件。
-
单击添加策略。您可以创建身份验证策略或选择现有身份验证策略。
-
要创建新策略,请单击添加,然后在创建身份验证策略页面中,输入策略的名称,然后单击创建。
-
向因素添加登录架构和策略后,登录架构和策略将显示在可视化工具中的因素上,如下图所示。对于任何给定因素,您都可以添加多个策略并定义每个策略成功和失败的下一个因素。您还可以删除属于因素的一部分的策略。
- 创建流后,可以将 nFactor 流绑定到身份验证虚拟服务器。
添加下一个因素
要添加下一个因素,您可以根据您的要求选择以下选项之一:
- 创建因素。创建一个因素。在流中创建的每个因素都是该流独占的。
-
创建决策块。创建一个决策块以作为分支出因素。您不能将登录架构添加到决策块。可视化工具只允许为决策块配置 NO_AUTN 策略。
注意
您只能通过 Citrix ADC GUI 添加或编辑决策块。无法从 CLI 命令配置决策块。
- 连接到现有因素。选择一个现有因素作为下一个因素。现有列表中显示的所有因素都是专门为该流程创建的。
-
没有。删除现有连接。
将 nFactor 流绑定到身份验证服务器
-
在 nFactor 流页面上,选择您希望绑定到身份验证虚拟服务器的 nFactor 流。
-
单击汉堡图标以选择绑定到身份验证服务器选项,或在详细信息窗格中单击绑定到身份验证服务器。
-
在绑定到身份验证服务器页面上,您可以执行以下操作:
- 要添加身份验证虚拟服务器,请单击添加。
- 要从列表中选择现有身份验证服务器,请单击身份验证服务器字段。
-
单击汉堡包图标中的显示绑定以查看绑定。
-
要从特定 nFactor 流中取消绑定身份验证服务器,请执行以下步骤:
- 在nF因素流页面上,单击汉堡包图标中的 显示绑定 。
- 在身份验证服务器绑定页上,选择要取消绑定的身份验证服务器,然后单击取消绑定。单击关闭。
有关 nFactor 身份验证的详细信息,请参阅以下主题:
-
工作流程:nFactor 身份验证的工作原理。
-
配置:配置 nFactor 身份验证。
nFactor 可视化工具的增强功能
自 Citrix ADC 版本 13.0 Biuld 41.20 起,在 nFactor 可视化工具中进行以下增强。
- 管理员可以将创建的因素移动到垃圾桶图标中。
- 在身份验证虚拟服务器页面中查看 nFactor 流。
垃圾桶图标。管理员只能删除没有连接的节点。但是,如果将因素移动到垃圾桶,则不会删除基础策略或为该因素创建的架构。
要查看垃圾桶图标,请
-
导航到安全 > AAA-应用程序流量 > nFactor 可视化工具 > nFactor 流。
-
要删除因素,请单击因素块并将其拖动到回收站。
从身份验证虚拟服务器查看 nFactor 流。管理员还可以从身份验证虚拟服务器页面查看创建的 nFactor 流程。
要从身份验证虚拟服务器页面查看 nFactor 流,请
- 导航到安全性 > AAA — 应用程序流量 > 虚拟服务器。在身份验证虚拟服务器页面上,您可以执行以下步骤:
- 要添加身份验证虚拟服务器,请单击添加。
- 要编辑现有身份验证虚拟服务器,请单击详细信息窗格中的编辑选项。
-
在身份验证虚拟服务器页面上,可以查看高级身份验证策略下的 nFactor 流选项。
-
如果没有绑定到虚拟服务器的 nFactor 流,则可以单击高级身份验证策略部分下的 无 nFactor 流选项,以添加新的 nFactor 流或从列表中选择现有 nFactor 流。