ADC

nFactor-Authentifizierung

Wichtig

  • Die nFactor-Authentifizierung wird ab NetScaler 11.0 Build 62.x unterstützt.
  • Damit die nFactor-Authentifizierung mit NetScaler ADC arbeitet, ist eine Advanced-Lizenz oder eine Premium-Lizenz erforderlich.
  • Ab Release 13.0 Build 67.x wird die nFactor-Authentifizierung nur mit der Standardlizenz für virtuelle Gateway/VPN-Server unterstützt. Weitere Informationen zur nFactor-Authentifizierung mit NetScaler Gateway finden Sie unter nFactor for Gateway-Authentifizierung.
  • Die nFactor-Authentifizierung wird für den Linux-Client nicht unterstützt.

Die Multifaktorauthentifizierung erhöht die Sicherheit einer Anwendung, da Benutzer mehrere Identifikationsnachweise bereitstellen müssen, um Zugriff zu erhalten. Die NetScaler ADC-Appliance bietet einen erweiterbaren und flexiblen Ansatz zur Konfiguration der Multifaktor-Authentifizierung. Dieser Ansatz wird als nFactor-Authentifizierungbezeichnet.

So funktioniert die nFactor-Authentifizierung

Jeder Authentifizierungsfaktor führt die folgenden Aufgaben aus:

  • Sammelt Anmeldeinformationen vom Benutzer. Zu den von NetScaler ADC unterstützten Authentifizierungsmechanismen gehören LDAP, RADIUS, SAML-Assertion, Clientzertifikat, OAuth OpenID Connect, Kerberos und so weiter.

  • Wertet die bereitgestellten Anmeldeinformationen aus, um zu entscheiden, ob die Authentifizierung erfolgreich war, fehlgeschlagen ist oder die Aktionen wie Gruppenextraktion, Attributextraktion durchgeführt werden sollen.

  • Basierend auf den Bewertungsergebnissen wird der Zugriff entweder gewährt, verweigert oder ein nächster Faktor wird ausgewählt.

  • Wiederholen Sie diese Schritte, bis keine nächsten Faktoren mehr bewertet werden müssen.

Mit der nFactor-Authentifizierung können Sie:

  • Konfigurieren Sie eine beliebige Anzahl von Authentifizierungsfaktoren.
  • Basieren Sie die Auswahl des nächsten Faktors auf das Ergebnis der Ausführung des vorherigen Faktors.
  • Passen Sie die Login-Schnittstelle an. Sie können beispielsweise die Labelnamen, Fehlermeldungen und den Hilfetext anpassen.
  • Extrahieren Sie Benutzergruppeninformationen ohne Authentifizierung.
  • Konfigurieren Sie Passthrough für einen Authentifizierungsfaktor. Dies bedeutet, dass für diesen Faktor keine explizite Login-Interaktion erforderlich ist.
  • Konfigurieren Sie die Reihenfolge, in der verschiedene Authentifizierungstypen angewendet werden. Jeder der Authentifizierungsmechanismen, die auf der NetScaler ADC-Appliance unterstützt werden, kann als jeder Faktor des nFactor-Authentifizierungs-Setups konfiguriert werden. Diese Faktoren werden in der Reihenfolge ausgeführt, in der sie konfiguriert sind.
  • Konfigurieren Sie die NetScaler ADC Appliance so, dass sie mit einem Authentifizierungsfaktor fortfährt, der ausgeführt werden muss, wenn die Authentifizierung fehlschlägt. Dazu konfigurieren Sie eine andere Authentifizierungsrichtlinie mit derselben Bedingung, jedoch mit der nächsthöheren Priorität und mit der Aktion auf “NO_AUTH” festgelegt. Sie müssen den nächsten Faktor konfigurieren, der den anzuwendenden alternativen Authentifizierungsmechanismus angeben muss.

Verschlüsselung von NetScaler Gateway-Anmeldeinformationen zur nFactor-Authentifizierung

NetScaler Gateway mit nFactor-Authentifizierung kann die Anmeldeanforderungsfelder verschlüsseln, die von einem Client (Browser oder SSO-Apps) während des Authentifizierungsprozesses eingereicht werden. Die Felder für verschlüsselte Anmeldeanfragen bieten eine zusätzliche Sicherheitsebene, um die sensiblen Daten des Benutzers vor der Offenlegung zu schützen.

Kompatible Browser

In der folgenden Tabelle sind die Browser zusammen mit Versionsdetails aufgeführt, die die Anmeldeverschlüsselung unterstützen.

Browser Version
Chrome 78 und höher
Firefox 69 und höher
Edge 42 und höher
Safari 11.0 und höher
Oper 66

Kompatible Clients

Im folgenden Abschnitt werden die Clients zusammen mit Versionsdetails aufgeführt, die die Verschlüsselung von NetScaler Gateway-Anmeldeinformationen unterstützen.

  • Die Citrix Workspace-App unter Mac unterstützt die Verschlüsselung nur, wenn die Betriebssystemversion 10.14.x und höher ist.
  • Die Citrix SSO App unter Mac unterstützt die Verschlüsselung nur, wenn die Betriebssystemversion 10.14.x und höher ist.
  • Die Windows SSO-App hat keine Einschränkungen hinsichtlich der Kompatibilität.

So aktivieren Sie die Login-Verschlüsselung mit der CLI

Geben Sie in der Befehlszeile Folgendes ein:

set aaa parameter \[-loginEncryption \(ENABLED | DISABLED)]

Hinweis

Der Parameter loginEncryption ist standardmäßig auf DISABLED gesetzt. Sie müssen ihn auf ENABLE setzen.

So aktivieren Sie die Anmeldungsverschlüsselung mit der GUI

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr und klicken Sie im AbschnittAuthentifizierungseinstellungen auf AAA-Einstellungen für Authentifizierungseinstellungen ändern.
  2. Scrollen Sie auf der Seite AAA-Parameter konfigurieren nach unten zur Option Login Encryption und aktivieren Sie sie.

Wichtiger Hinweis zur Login-Verschlüsselung:

Wenn Sie versuchen, sich bei Citrix Gateway anzumelden, wird in den folgenden Szenarien eine Fehlermeldung angezeigt, dass die Kennwortverschlüsselung fehlgeschlagen ist und dass Sie die Kennwortverschlüsselung deaktivieren müssen, um mit der Anmeldung fortzufahren:

  • Die Login-Verschlüsselung ist aktiviert.
  • Es wird ein nicht unterstützter Browser verwendet.

Sie können den Vorschlag, die Login-Verschlüsselung zu deaktivieren, ignorieren. Stellen Sie jedoch sicher, dass Sie einen unterstützten Browser für eine erfolgreiche Anmeldung verwenden.

nFactor-Authentifizierung