nFactor Visualizer für vereinfachte Konfiguration
Ab Citrix ADC Version 13.0 Build 36.27 wird die nFactor-Konfiguration über die GUI mithilfe des nFactor Visualizer vereinfacht. Der nFactor Visualizer hilft Administratoren dabei, mehrere Faktoren hinzuzufügen, ohne den Überblick über jeden Faktor zu verlieren. Die Gruppe der Faktoren, die im Flow enthalten sind, wird an einer Stelle angezeigt. Administratoren können die Erfolgs- und Fehlerpfade der Authentifizierung separat hinzufügen. Nach dem Erstellen des Flows müssen Administratoren den nFactor-Flow an einen virtuellen Authentifizierungsserver binden.
Hinweis
- Alle Faktoren, die von einem Administrator im nFactor-Flow erstellt wurden, werden für jede zukünftige Verwendung aufbewahrt.
- Ab Citrix ADC Feature Release 13.0 Build 64.35 und höher können Sie mit dem nFactor-Visualizer den nFactor-Flow mit einem Entscheidungsblock starten.
Bisher war die nFactor-Konfiguration umständlich, da die Administratoren viele Seiten besuchen mussten, um sie zu konfigurieren. Wenn eine Änderung erforderlich war, mussten die Admins die konfigurierten Abschnitte jedes Mal erneut aufrufen. Außerdem gab es keine Möglichkeit, die gesamte Konfiguration an einem Ort einzusehen.
Anwendungsfall 1: RADIUS gefolgt von LDAP-Authentifizierung, andernfalls Fallback auf Captcha über nFactor Visualizer
Erzielen Sie die RADIUS-Authentifizierung als Authentifizierung der ersten Ebene, gefolgt von der LDAP-Authentifizierung. Falls RADIUS fehlschlägt, muss die Authentifizierung auf Captcha zurückgreifen.
Um diesen Anwendungsfall zu erreichen, können Sie den nFactor Visualizer verwenden. Der Visualizer bietet verschiedene Steuerelemente, mit denen dieser Flow und die zugehörigen Elemente hinzugefügt werden können.
Die folgende Abbildung zeigt den nFactor-Flow, der für den zuvor genannten Anwendungsfall mithilfe des Visualizers erstellt wurde.
-
RADIUS. Sie konfigurieren RADIUS als ersten Faktor. Sie fügen ein Anmeldeschema und eine Richtlinie hinzu. In diesem Beispiel sind radius_auth und RADIUS_Policy das Anmeldeschema und die Richtlinie, die hinzugefügt wurden. Für die RADIUS_Policy können Sie einen weiteren Faktor für den Erfolgsfall hinzufügen. In diesem Beispiel wird ein LDAP-Faktorblock für den Erfolgsfall hinzugefügt. Für den Fehlerfall können Sie einen Captcha-Faktor hinzufügen.
-
LDAP. Sie konfigurieren die LDAP-Authentifizierung als zweiten Faktor. Sie fügen ein Anmeldeschema und eine Richtlinie hinzu. In diesem Beispiel sind ldap_auth und ldap_Policy das Anmeldeschema und die Richtlinie, die hinzugefügt wurden.
-
Captcha. Für den Fall, dass die RADIUS-Richtlinie ausfällt, erstellen Sie einen Captcha-Faktor. In diesem Beispiel sind Captcha und captcha_policy das Anmeldeschema und die Richtlinie, die hinzugefügt wurden.
Anwendungsfall 2: LDAP gefolgt von einer RADIUS-/Zertifikatsauthentifizierung mit Captcha auf der Grundlage der LDAP-Gruppenmitgliedschaft über nFactor Visualizer
Erzielen Sie die RADIUS-Authentifizierung als Authentifizierung der ersten Ebene, gefolgt von der LDAP-Authentifizierung. Falls RADIUS fehlschlägt, muss die Authentifizierung auf Captcha zurückgreifen.
Die folgende Abbildung zeigt den nFactor-Flow, der für den zuvor genannten Anwendungsfall mithilfe des Visualizers erstellt wurde.
-
LDAP. Sie konfigurieren LDAP als ersten Faktor. Sie fügen ein Anmeldeschema und eine Richtlinie hinzu. In diesem Beispiel sind SingleAuth und LDAP_Policy das Anmeldeschema und die Richtlinie, die hinzugefügt wurden. Für die LDAP_Policy können Sie einen weiteren Faktor für den Erfolgsfall hinzufügen. In diesem Beispiel wird ein Entscheidungsblock für den Erfolgsfall hinzugefügt. Für den Fehlerfall können Sie Captcha gefolgt von AD-Faktor hinzufügen.
-
Gruppenextraktion LDAP. Wurde der Entscheidungsblock für den LDAP-Erfolgsfall hinzugefügt. Der Entscheidungsblock wird als Verzweigungsfaktor verwendet, um die Benutzer auf der Grundlage der Policy-Regeln zu trennen. Visualizer ermöglicht nur die Konfiguration einer NO_AUTHN-Richtlinie für den Entscheidungsblock.
In diesem Beispiel ist Group_Extraction_LDAP der Entscheidungsblock. Sie fügen diesem Entscheidungsblock zwei Richtlinien (
AD_Group_Partner and AD_Group_Employee
) hinzu. Wie in den Anwendungsfällen erläutert, verwenden alle Anfragen, die über die AD_Group_Partner-Richtlinie weitergeleitet werden, die RADIUS-Authentifizierung. Daher verbinden Sie den Erfolgsfall dieser Richtlinie mit dem nächsten Faktor, dem RADIUS-Faktor. In ähnlicher Weise verwenden alle Anfragen, die über die AD_Group_Employee-Richtlinie weitergeleitet werden, die Zertifizierungsauthentifizierung. Daher verbinden Sie den Erfolgsfall dieser Richtlinie mit dem nächsten Faktor, dem Authentifizierungsfaktor für die Zertifizierung.-
RADIUS. Für den Erfolgsfall der AD_Group_Partner-Richtlinie erstellen Sie den RADIUS-Authentifizierungsfaktor.
-
Zertifikat. Für den Erfolgsfall der Richtlinie AD_Group_Employee erstellen Sie den Authentifizierungsfaktor für das Zertifikat.
-
-
Captcha. Für den Fall, dass die LDAP-Richtlinie ausfällt, erstellen Sie zwei nächste Faktoren: Captcha und AD-Faktor.
Hinweis
- Wenn Sie einen Anwendungsfall haben, den Sie als erstes verzweigen möchten, können Sie entweder zwei Flows erstellen und diese getrennt binden oder einen Flow erstellen, bei dem der erste als Branch-Out verwendet wird, und ihn an den virtuellen Server binden.
- Wenn Sie mehrere Blöcke haben und den gesamten Flow im nFactor Flow-Bildschirm anzeigen möchten, klicken Sie auf den Visualizer und ziehen Sie den Flow ganz nach links.
- Citrix empfiehlt, die nFactor-Flows nur mithilfe der nFactor Flows-Seite zu ändern.
So konfigurieren Sie nFactor mithilfe des nFactor Visualizer
Hinweis:
Die folgende nFactor-Konfiguration ist ein einfaches Beispiel, das Ihnen hilft, die Szenariokonfigurationen für Anwendungsfall 1 durchzuführen.
- Navigieren Sie zu Sicherheit > AAA — Application Traffic > nFactor Visualizer > nFactorFlows.
- Klicken Sie auf Hinzufügen.
-
Klicken Sie auf der Seite nFactor Flows auf +, um einen ersten Faktor für den Flow hinzuzufügen. Der erste Faktor dient auch als Identifier für diesen nFactor-Flow.
-
Geben Sie den Namen des Faktors ein und klicken Sie auf Erstellen.
Der Faktorname wird auf dem Faktorblock auf der nFactor Flow-Seite angezeigt.
Hinweis
Es wird empfohlen, keine Policy Label-Namen wie
__root
und__<flow_name>
als Suffix und_db_
als Präfix zu verwenden. Es wird als Faktorname verwendet, der im nFactor-Flow erstellt wird. -
Sobald der RADIUS-Faktor erstellt wurde, müssen die Optionen Schema hinzufügen und Richtlinie hinzufügen erstellt werden.
Hinweis
Weitere Informationen finden Sie unter Konzepte, Entitäten und Terminologie von nFactor.
-
Klicken Sie auf Schema hinzufügen. Sie können entweder ein neues Anmeldeschema hinzufügen oder ein vorhandenes Anmeldeschema aus der Liste der Anmeldeschemata für die Authentifizierung auswählen.
-
Um ein Anmeldeschema zu erstellen, klicken Sie auf Hinzufügen und geben Sie auf der Seite Authentifizierungs-Anmeldeschema erstellen den Namen für das Schema ein. Klicken Sie auf Bearbeiten (Stiftsymbol), um die Anmeldeschemadateien aus der Liste auszuwählen.
-
Klicken Sie auf Richtlinie hinzufügen. Sie können entweder eine neue Richtlinie erstellen oder eine vorhandene Authentifizierungsrichtlinie auswählen.
-
Um eine neue Richtlinie zu erstellen, klicken Sie auf Hinzufügen und geben Sie auf der Seite „ Authentifizierungsrichtlinie erstellen “ den Namen für die Richtlinie ein und klicken Sie auf Erstellen.
-
Nachdem Sie dem Faktor ein Anmeldeschema und eine Richtlinie hinzugefügt haben, werden das Anmeldeschema und die Richtlinie auf dem Faktor im Visualizer angezeigt, wie in der folgenden Abbildung dargestellt. Für jeden bestimmten Faktor können Sie mehrere Richtlinien hinzufügen und den nächsten Faktor für den Erfolg und Misserfolg jeder Richtlinie definieren. Sie können auch die Richtlinien entfernen, die Teil des Faktors sind.
- Nachdem Sie den Flow erstellt haben, können Sie den nFactor-Flow an einen virtuellen Authentifizierungsserver binden.
Den nächsten Faktor hinzufügen
Um den nächsten Faktor hinzuzufügen, können Sie je nach Anforderung eine der folgenden Optionen auswählen:
- Faktor erstellen. Erstellen Sie einen Faktor. Jeder Faktor, der in einem Flow erzeugt wird, ist ausschließlich für diesen Fluss bestimmt.
-
Erstellen Sie einen Entscheidungsblock. Erstellen Sie einen Entscheidungsblock, der als Verzweigungsfaktor dient. Sie können dem Entscheidungsblock kein Anmeldeschema hinzufügen. Visualizer ermöglicht nur die Konfiguration einer NO_AUTHN-Richtlinie für den Entscheidungsblock.
Hinweis
Sie können den Entscheidungsblock nur über die Citrix ADC GUI hinzufügen oder bearbeiten. Es gibt keine Möglichkeit, den Entscheidungsblock über den CLI-Befehl zu konfigurieren.
- Stellen Sie eineVerbindung zu einem vorhandenen Factorher. Wählen Sie einen vorhandenen Faktor als nächsten Faktor aus. Alle Faktoren, die in der vorhandenen Liste erscheinen, wurden ausschließlich für diesen Flow erstellt.
-
Keine. Entfernen Sie eine bestehende Verbindung.
Den nächsten Faktor hinzufügen
Um den nächsten Faktor hinzuzufügen, können Sie je nach Anforderung eine der folgenden Optionen auswählen:
- Faktor erstellen. Erstellen Sie einen Faktor. Jeder Faktor, der in einem Flow erzeugt wird, ist ausschließlich für diesen Fluss bestimmt.
-
Erstellen Sie einen Entscheidungsblock. Erstellen Sie einen Entscheidungsblock, der als Verzweigungsfaktor dient. Sie können dem Entscheidungsblock kein Anmeldeschema hinzufügen. Visualizer ermöglicht nur die Konfiguration einer NO_AUTHN-Richtlinie für den Entscheidungsblock.
Hinweis
Sie können den Entscheidungsblock nur über die Citrix ADC GUI hinzufügen oder bearbeiten. Es gibt keine Möglichkeit, den Entscheidungsblock über den CLI-Befehl zu konfigurieren.
- Stellen Sie eineVerbindung zu einem vorhandenen Factorher. Wählen Sie einen vorhandenen Faktor als nächsten Faktor aus. Alle Faktoren, die in der vorhandenen Liste erscheinen, wurden ausschließlich für diesen Flow erstellt.
-
Keine. Entfernen Sie eine bestehende Verbindung.
Um den nFactor-Flow an den Authentifizierungsserver zu binden
-
Wählen Sie auf der Seite nFactor Flows einen nFactor-Flow aus, den Sie lieber an einen virtuellen Authentifizierungsserver binden möchten.
-
Klicken Sie auf die horizontale Ellipse und wählen Sie An Authentifizierungsserver binden aus, oder klicken Sie auf der Seite nFactor Flows auf An Authentifizierungsserver binden.
-
Auf der Seite An Authentifizierungsserver binden können Sie die folgenden Aktionen ausführen:
- Um einen virtuellen Authentifizierungsserverhinzuzufügen, klicken Sie auf Hinzufügen.
- Um einen vorhandenen Authentifizierungsserver aus der Liste auszuwählen, klicken Sie auf das Feld Authentifizierungsserver .
-
Klicken Sie auf dem Hamburger-Symbol auf Bindungen anzeigen, um die Bindungen anzuzeigen.
-
Gehen Sie wie folgt vor, um den Authentifizierungsserver vom spezifischen nFactor-Flow zu trennen:
- Klicken Sie auf der nFactor Flows-Seite im Hamburger-Symbol auf Bindungen anzeigen .
- Wählen Sie auf der Seite Authentifizierungsserver-Bindungen den Authentifizierungsserver aus, dessen Bindung aufgehoben werden soll, und klicken Sie auf Bindung aufheben. Klicken Sie auf Schließen.
Weitere Informationen zur nFactor-Authentifizierung finden Sie in den folgenden Themen:
-
Konzept: Multi-Factor (nFactor) Authentifizierung.
-
Konfiguration: Konfigurieren der nFactor-Authentifizierung.
Verbesserungen am nFactor Visualizer
Ab Citrix ADC Version 13.0 Build 41.20 wurden die folgenden Verbesserungen im nFactor Visualizer vorgenommen.
- Administratoren können die erstellten Faktoren auf das Papierkorbsymbol verschieben.
- Sehen Sie sich die nFactor-Flows auf der Seite Virtueller Authentifizierungsserver an.
Mülleimersymbol. Administratoren können nur die Knoten löschen, die keine Verbindungen haben. Die zugrunde liegenden Richtlinien oder Schemas, die für den Faktor erstellt wurden, werden jedoch nicht gelöscht, wenn der Faktor in den Papierkorb verschoben wird.
Um das Papierkorbsymbol zu sehen,
-
Navigieren Sie zu Sicherheit > AAA — Application Traffic > nFactor Visualizer > nFactorFlows. Sie können das Papierkorbsymbol in der oberen linken Ecke sehen.
-
Um den Faktor zu löschen, klicken Sie auf den Faktorblock und ziehen Sie ihn in den Papierkorb.
Zeigen Sie den nFactor-Flow vom virtuellen Authentifizierungsserveran. Administratoren können die erstellten nFactor-Flows auch auf der Seite Virtueller Authentifizierungsserver einsehen.
Um den nFactor-Flow auf der Seite „Virtueller Authentifizierungsserver“ anzuzeigen,
- Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Virtuelle Server. Auf der Seite Virtuelle Authentifizierungsserver können Sie die folgenden Schritte ausführen:
- Um einen virtuellen Authentifizierungsserver hinzuzufügen, klicken Sie auf Hinzufügen.
- Um einen vorhandenen virtuellen Authentifizierungsserver zu bearbeiten, klicken Sie im Detailbereich auf Option Bearbeiten .
-
Auf der Seite Virtueller Authentifizierungsserver können Sie die Option nFactor Flow unter Advanced Authentication Policieseinsehen.
- Wenn kein nFactor-Flow an den virtuellen Server gebunden ist, können Sie im Abschnitt Erweiterte Authentifizierungsrichtlinien auf die Option Kein nFactor-Flow klicken, um entweder einen neuen nFactor-Flow hinzuzufügen oder den vorhandenen nFactor-Flow aus der Liste auszuwählen.
In diesem Artikel
- Anwendungsfall 1: RADIUS gefolgt von LDAP-Authentifizierung, andernfalls Fallback auf Captcha über nFactor Visualizer
- Anwendungsfall 2: LDAP gefolgt von einer RADIUS-/Zertifikatsauthentifizierung mit Captcha auf der Grundlage der LDAP-Gruppenmitgliedschaft über nFactor Visualizer
- So konfigurieren Sie nFactor mithilfe des nFactor Visualizer
- Verbesserungen am nFactor Visualizer