nFactor Visualizer 简化配置
自 Citrix ADC 版本 13.0 Build 36.27 起,使用 nFactor 可视化工具简化了通过 GUI 进行的 nFactor 配置。nFactor 可视化工具可帮助管理员添加多个因素,而不会丢失对每个因素的跟踪。在流中构建的因素组将显示在一个位置。管理员可以分别添加身份验证成功和失败路径。创建流后,管理员必须将 nFactor 流绑定到身份验证虚拟服务器。
注意
- 管理员在 nFactor 流中创建的所有因素都将保留以供将来使用。
- 自 Citrix ADC 功能版本 13.0 构建 Build 64.35 及更高版本起,使用 nFactor 可视化工具,您可以通过决策块启动 nFactor 流。
以前,nFactor 配置很麻烦,管理员必须访问许多页面才能进行配置。如果需要更改,管理员每次都必须重新访问已配置的部分。此外,无法在一个位置查看完整的配置。
用例 1:RADIUS 后跟 LDAP 身份验证,否则通过 nFactor 可视化工具回退到 Captcha
将 RADIUS 身份验证作为第一级身份验证,然后是 LDAP 身份验证。如果 RADIUS 失败,身份验证必须回退到 Captcha。
要实现此用例,您可以使用 nFactor 可视化工具。该可视化工具提供了各种控件,可用于添加此流以及相关项目。
下图显示了使用可视化工具为上述用例创建的 nFactor 流。
-
RADIUS。您将 RADIUS 配置为第一个因素。您可以添加登录架构和策略。在此示例中,adius_auth 和 RADIUS_policy 是添加的登录架构和策略。对于 RADIUS_Policy,您可以为成功案例添加另一个因素。在此示例中,为成功案例添加了 LDAP 因素块。对于失败情况,您可以添加 Captcha 因素。
-
LDAP。您将 LDAP 身份验证配置为第二个因素。您可以添加登录架构和策略。在此示例中,ldap_auth 和 LDAP_policy 是添加的登录架构和策略。
-
Captcha。对于 RADIUS 策略失败案例,您可以创建 Captcha 因素。在此示例中,captcha 和 captcha_policy 是添加的登录架构和策略。
用例 2:LDAP 后跟通过 nFactor 可视化工具使用基于 LDAP 组成员身份的 Captcha 进行的 RADIUS/证书身份验证
将 RADIUS 身份验证作为第一级身份验证,然后是 LDAP 身份验证。如果 RADIUS 失败,身份验证必须回退到 Captcha。
下图显示了使用可视化工具为上述用例创建的 nFactor 流。
-
LDAP。将 LDAP 配置为第一个因素。您可以添加登录架构和策略。在此示例中,SingleAuth 和 LDAP_Policy 是添加的登录架构和策略。对于 LDAP_Policy,可以为成功案例添加另一个因素。在此示例中,为成功案例添加了决策块。对于失败案例,可以添加 Captcha 后跟 AD 因素。
-
组提取 LDAP。是否为 LDAP 成功案例添加了决策块。决策块用作分支因素,根据策略规则将用户分支出去。可视化工具仅允许为决策块配置 NO_AUTHN 策略。
在此示例中,Group_Extraction_LDAP 为决策块。您在此决策块中添加两个策略 (
AD_Group_Partner and AD_Group_Employee)。如用例中所述,通过 AD_Group_Partner 策略路由的所有请求都使用 RADIUS 身份验证。因此,您将此策略的成功案例连接到下一个因素(即 RADIUS 因素)。同样,通过 AD_Group_Employee 策略路由的所有请求都使用证书身份验证。因此,您将此策略的成功案例连接到下一个因素(即证书身份验证因素)。-
RADIUS。对于 AD_Group_Partner 策略成功案例,您可以创建 RADIUS 身份验证因素。
-
证书。对于 AD_Group_Employee 策略成功案例,您可以创建证书身份验证因素。
-
-
Captcha。对于 LDAP 策略失败案例,您可以创建两个下一个因素:Captcha 和 AD 因素。
注意
- 如果首先要分支用例,您可以创建两个流并单独绑定,或者创建一个流,将第一个流作为分支创建一个流,然后将其绑定到虚拟服务器。
- 如果您有多个块,并且要在“nFactor Flow”(nFactor 流)屏幕中查看整个流,请单击可视化工具并将流拖动到最左侧。
- Citrix 建议仅使用“nFactor Flows”(nFactor 流)页面修改 nFactor 流。
使用 nFactor 可视化工具配置 nFactor
注意
以下 nFactor 配置是一个简单的示例,可帮助您完成用例 1 场景配置。
- 导航到 Security(安全)> AAA-Application Traffic(AAA - 应用程序流量)> nFactor Visualizer(nFactor 可视化工具)> nFactor Flow(nFactor 流程)。
- 单击添加。
-
在 nFactor Flows(nFactor 流)页面,单击 + 为流添加第一个因素。第一个因素还可以作为此 nFactor 流的标识符。
![添加因素]()
-
输入因素名称,然后单击 Create(创建)。
![输入因素的名称]()
因素名称将显示在“nFactor Flow”(nFactor 流)页面的因素块上。
注意
Citrix 建议您不得使用策略标签名称,例如使用
__root和__<flow_name>作为后缀,使用_db_作为前缀。它用作在 nFactor 流中创建的因素名称。 -
创建 RADIUS 因素后,必须创建“Add Schema”(添加架构)和“Add Policy”(添加策略)。
![创建架构和策略]()
注意
有关更多信息,请参阅 nFactor 概念、实体和术语
-
单击添加架构。可以添加新的登录架构,也可以从 Authentication Login Schema(身份验证登录架构)列表中选择一个现有的登录架构。
![添加架构]()
-
要创建登录架构,请单击 Add(添加),然后在 Create Authentication Login Schema(创建身份验证登录架构)页面中,输入架构的名称。单击 Edit(编辑)(铅笔图标)以从列表中选择 Login Schema Files(登录架构文件)。
![架构名称]()
-
单击 Add Policy(添加策略)。可以创建身份验证策略或选择现有的身份验证策略。
![添加策略]()
-
要创建新策略,请单击 Add(添加),在 Create Authentication Policy(创建身份验证策略)页面中,输入策略的名称,然后单击 Create(创建)。
![创建策略]()
-
向因素中添加登录架构和策略后,登录架构和策略将显示在可视化工具中的因素上,如下图所示。对于任何给定的因素,您都可以添加多个策略并定义每个策略成功和失败的下一个因素。还可以删除作为因素的一部分的策略。
![可视化工具中的登录架构和策略]()
- 创建流后,可以将 nFactor 流绑定到身份验证虚拟服务器。
添加下一个因素
要添加下一个因素,可以根据自己的要求选择以下选项之一:
- 创建因素。创建一个因素。在流中创建的每个因素都是该流所独有的。
-
创建决策块。创建一个决策块作为分支因素。您无法向决策块中添加登录架构。可视化工具仅允许为决策块配置 NO_AUTHN 策略。
注意
只能通过 Citrix ADC GUI 添加或编辑决策块。无法从 CLI 命令配置决策块。
- 连接到现有因素。选择现有因素作为下一个因素。现有列表中显示的所有因素都是专门为该流创建的。
-
无。删除现有连接。
![添加下一个因素]()
![添加决策块]()
将 nFactor 流绑定到身份验证服务器
-
在 nFactor Flows(nFactor 流)页面中,选择您希望绑定到身份验证虚拟服务器的 nFactor 流。
-
单击汉堡图标以选择 Bind to Authentication Server(绑定到身份验证服务器)选项,或者在详细信息窗格中,单击 Bind to Authentication Server(绑定到身份验证服务器)。
![绑定到身份验证服务器]()
-
在 Bind to Authentication Server(绑定到认证服务器)页面上,可以执行以下操作:
- 要添加 Authentication Virtual Server(身份验证虚拟服务器),请单击 Add(添加)。
- 要从列表中选择现有身份验证服务器,请单击 Authentication Server(身份验证服务器)字段。
![选择身份验证服务器]()
-
从汉堡图标中单击 Show Bindings(显示绑定)以查看绑定。
-
要取消身份验证服务器与特定 nFactor 流的绑定,请执行以下步骤:
- 在“nF因素流”页面上,单击汉堡包图标中的 显示绑定 。
- 在“身份验证服务器绑定”页上,选择要取消绑定的身份验证服务器,然后单击“取消绑定”。单击关闭。
![从身份验证服务器取消绑定]()
有关 nFactor 身份验证的详细信息,请参阅以下主题:
-
概念: 多因素(nFactor)身份验证。
-
工作流: nFactor 身份验证的工作原理
-
配置:配 置 nFactor 身份验证。
nFactor 可视化工具的增强功能
自 Citrix ADC 版本 13.0 Build 41.20 起,在 nFactor 可视化工具中添加了以下增强功能。
- 管理员可以将创建的因素移动到垃圾桶图标中。
- 在“Authentication Virtual server”(身份验证虚拟服务器)页面中查看 nFactor 流。
垃圾桶图标。管理员只能删除没有连接的节点。但是,如果将因素移至垃圾桶,则不会删除为因素创建的基础策略或架构。
查看垃圾桶图标
-
导航到 Security(安全)> AAA-Application Traffic(AAA - 应用程序流量)> nFactor Visualizer(nFactor 可视化工具)> nFactor Flow(nFactor 流程)。
![可视化工具 - 垃圾桶图标]()
-
要删除因素,请单击因素块并将其拖动到垃圾桶中。
从身份验证虚拟服务器查看 nFactor 流。管理员还可以从“Authentication Virtual Server”(身份验证虚拟服务器)页面查看创建的 nFactor 流。
要从“Authentication Virtual server”(身份验证虚拟服务器)页面查看 nFactor 流,请
- 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Virtual Servers(虚拟服务器)。在 Authentication Virtual Servers(身份验证虚拟服务器)页面上,可以执行以下步骤:
- 要添加身份验证虚拟服务器,请单击 Add(添加)。
- 要编辑现有身份验证虚拟服务器,请单击详细信息窗格中的 Edit(编辑)选项。
![添加或编辑身份验证服务器]()
-
在 Authentication Virtual Server(身份验证虚拟服务器)页面上,可以查看 Advanced Authentication Policies(高级身份验证策略)下的 nFactor Flow(nFactor 流)选项。
![查看 nFactor 流]()
-
如果没有绑定到虚拟服务器的 nFactor 流,则可以单击 Advanced Authentication Policies(高级身份验证策略)部分下的 No nFactor Flow(无 nFactor 流)选项,以添加新 nFactor 流或从列表中选择现有的 nFactor 流。
![未绑定 nFactor 流时]()
