nFactor-Authentifizierung
Wichtig
- Die nFactor-Authentifizierung wird ab NetScaler 11.0 Build 62.x unterstützt.
- Damit die nFactor-Authentifizierung mit NetScaler arbeitet, ist eine Advanced-Lizenz oder eine Premium-Lizenz erforderlich.
- Ab Release 13.0 Build 67.x wird die nFactor-Authentifizierung nur mit der Standardlizenz für virtuelle Gateway/VPN-Server unterstützt. Weitere Informationen zur nFactor-Authentifizierung mit NetScaler Gateway finden Sie unter nFactor for Gateway-Authentifizierung.
- Die nFactor-Authentifizierung wird für den Linux-Client nicht unterstützt.
Die Multifaktor-Authentifizierung erhöht die Sicherheit einer Anwendung, indem Benutzer mehrere Identitätsnachweise vorlegen müssen, um Zugriff zu erhalten. Die NetScaler Appliance bietet einen erweiterbaren und flexiblen Ansatz zur Konfiguration der Multifaktor-Authentifizierung. Dieser Ansatz wird als nFactor-Authentifizierungbezeichnet.
So funktioniert die nFactor-Authentifizierung
Jeder Authentifizierungsfaktor führt die folgenden Aufgaben aus:
-
Sammelt Anmeldeinformationen vom Benutzer. Zu den von NetScaler unterstützten Authentifizierungsmechanismen gehören LDAP, RADIUS, SAML-Assertion, Clientzertifikat, OAuth OpenID Connect, Kerberos und so weiter.
-
Wertet die bereitgestellten Anmeldeinformationen aus, um zu entscheiden, ob die Authentifizierung erfolgreich war, fehlgeschlagen ist oder die Aktionen wie Gruppenextraktion, Attributextraktion durchgeführt werden sollen.
-
Basierend auf den Bewertungsergebnissen wird der Zugriff entweder gewährt, verweigert oder ein nächster Faktor wird ausgewählt.
-
Wiederholen Sie diese Schritte, bis keine nächsten Faktoren mehr bewertet werden müssen.
Mit der nFactor-Authentifizierung können Sie:
- Konfigurieren Sie eine beliebige Anzahl von Authentifizierungsfaktoren.
- Basieren Sie die Auswahl des nächsten Faktors auf das Ergebnis der Ausführung des vorherigen Faktors.
- Passen Sie die Login-Schnittstelle an. Sie können beispielsweise die Labelnamen, Fehlermeldungen und den Hilfetext anpassen.
- Extrahieren Sie Benutzergruppeninformationen ohne Authentifizierung.
- Konfigurieren Sie Passthrough für einen Authentifizierungsfaktor. Dies bedeutet, dass für diesen Faktor keine explizite Login-Interaktion erforderlich ist.
- Konfigurieren Sie die Reihenfolge, in der verschiedene Authentifizierungstypen angewendet werden. Jeder der Authentifizierungsmechanismen, die auf der NetScaler-Appliance unterstützt werden, kann als jeder Faktor des nFactor-Authentifizierungs-Setups konfiguriert werden. Diese Faktoren werden in der Reihenfolge ausgeführt, in der sie konfiguriert sind.
- Konfigurieren Sie die NetScaler Appliance so, dass sie mit einem Authentifizierungsfaktor fortfährt, der ausgeführt werden muss, wenn die Authentifizierung fehlschlägt. Dazu konfigurieren Sie eine andere Authentifizierungsrichtlinie mit derselben Bedingung, jedoch mit der nächsthöheren Priorität und mit der Aktion auf “NO_AUTH” festgelegt. Sie müssen den nächsten Faktor konfigurieren, der den anzuwendenden alternativen Authentifizierungsmechanismus angeben muss.
Verschlüsselung von NetScaler Gateway-Anmeldeinformationen zur nFactor-Authentifizierung
NetScaler Gateway mit nFactor-Authentifizierung kann die Anmeldeanforderungsfelder verschlüsseln, die von einem Client (Browser oder SSO-Apps) während des Authentifizierungsprozesses eingereicht werden. Die Felder für verschlüsselte Anmeldeanfragen bieten eine zusätzliche Sicherheitsebene, um die sensiblen Daten des Benutzers vor der Offenlegung zu schützen.
Kompatible Browser
In der folgenden Tabelle sind die Browser zusammen mit Versionsdetails aufgeführt, die die Anmeldeverschlüsselung unterstützen.
| Browser | Version |
|---|---|
| Chrome | 78 und höher |
| Firefox | 69 und höher |
| Edge | 42 und höher |
| Safari | 11.0 und höher |
| Oper | 66 |
Kompatible Clients
Im folgenden Abschnitt werden die Clients zusammen mit Versionsdetails aufgeführt, die die Verschlüsselung von NetScaler Gateway-Anmeldeinformationen unterstützen.
- Die Citrix Workspace-App unter Mac unterstützt die Verschlüsselung nur, wenn die Betriebssystemversion 10.14.x und höher ist.
- Die Citrix SSO App unter Mac unterstützt die Verschlüsselung nur, wenn die Betriebssystemversion 10.14.x und höher ist.
- Die Windows SSO-App hat keine Einschränkungen hinsichtlich der Kompatibilität.
So aktivieren Sie die Login-Verschlüsselung mit der CLI
Geben Sie in der Befehlszeile Folgendes ein:
set aaa parameter \[-loginEncryption \(ENABLED | DISABLED)]
Hinweis
Der Parameter loginEncryption ist standardmäßig auf DISABLED gesetzt. Sie müssen ihn auf ENABLE setzen.
So aktivieren Sie die Anmeldungsverschlüsselung mit der GUI
- Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr und klicken Sie im AbschnittAuthentifizierungseinstellungen auf AAA-Einstellungen für Authentifizierungseinstellungen ändern.
- Scrollen Sie auf der Seite AAA-Parameter konfigurieren nach unten zur Option Login Encryption und aktivieren Sie sie.
Wichtiger Hinweis zur Login-Verschlüsselung:
Wenn Sie versuchen, sich bei NetScaler Gateway anzumelden, wird in den folgenden Szenarien eine Fehlermeldung angezeigt, dass die Kennwortverschlüsselung fehlgeschlagen ist und dass Sie die Kennwortverschlüsselung deaktivieren müssen, um mit der Anmeldung fortzufahren:
- Die Login-Verschlüsselung ist aktiviert.
- Es wird ein nicht unterstützter Browser verwendet.
Sie können den Vorschlag, die Login-Verschlüsselung zu deaktivieren, ignorieren. Stellen Sie jedoch sicher, dass Sie einen unterstützten Browser für eine erfolgreiche Anmeldung verwenden.