ADC

reCAPTCHA-Konfiguration für die nFactor-Authentifizierung

May 11, 2023

Beitrag von:

NetScaler Gateway unterstützt eine neue erstklassige Aktion „CaptchaAction“, die die reCAPTCHA-Konfiguration vereinfacht. Da es sich bei reCAPTCHA um eine erstklassige Aktion handelt, kann es ein eigenständiger Faktor sein. Sie können reCAPTCHA an einer beliebigen Stelle im nFactor-Flow einfügen.

Bisher mussten Sie benutzerdefinierte WebAuth-Richtlinien mit Änderungen auch an der RFWeb-Benutzeroberfläche schreiben. Mit der Einführung von CaptchaAction müssen Sie das JavaScript nicht ändern.

Wichtig

Wenn reCAPTCHA zusammen mit den Feldern für den Benutzernamen oder das Passwort im Schema verwendet wird, ist die Schaltfläche „Senden“ deaktiviert, bis reCAPTCHA erfüllt ist.

reCAPTCHA-Konfiguration

Die reCAPTCHA-Konfiguration besteht aus zwei Teilen.

Konfiguration bei Google für die Registrierung von reCAPTCHA.
Konfiguration auf der NetScaler-Appliance zur Verwendung von reCAPTCHA als Teil des Anmeldeflusses.

reCAPTCHA-Konfiguration bei Google

Registrieren Sie eine Domain für reCAPTCHA unter. https://www.google.com/recaptcha/admin#llist

Wenn Sie zu dieser Seite navigieren, wird der folgende Bildschirm angezeigt.

Hinweis

Verwenden Sie nur reCAPTCHA v2. Invisible reCAPTCHA befindet sich noch in der Beta-Phase.
Nachdem eine Domain registriert wurde, werden “SiteKey” und “SecretKey” angezeigt.

Hinweis

Der “SiteKey” und “SecretKey” sind aus Sicherheitsgründen ausgegraut. “SecretKey” muss sicher aufbewahrt werden.

reCAPTCHA-Konfiguration auf der NetScaler-Appliance

Die reCAPTCHA-Konfiguration auf der NetScaler-Appliance kann in drei Teile unterteilt werden:

reCAPTCHA-Bildschirm anzeigen
Poste die reCAPTCHA-Antwort auf dem Google-Server
Die LDAP-Konfiguration ist der zweite Faktor für die Benutzeranmeldung (optional)

reCAPTCHA-Bildschirm anzeigen

Die Anpassung des Anmeldeformulars erfolgt über das Anmeldeschema SingleAuthCaptcha.xml. Diese Anpassung wird auf dem virtuellen Authentifizierungsserver angegeben und zum Rendern des Anmeldeformulars an die Benutzeroberfläche gesendet. Das integrierte Loginschema, SingleAuthCaptcha.xml, befindet sich im Verzeichnis /nsConfig/LoginSchema/LoginSchema auf der NetScaler-Appliance.

Wichtig

Basierend auf Ihrem Anwendungsfall und verschiedenen Schemas können Sie das vorhandene Schema ändern. Zum Beispiel, wenn Sie nur den reCAPTCHA-Faktor (ohne Benutzername oder Passwort) oder eine duale Authentifizierung mit reCAPTCHA benötigen.

Wenn benutzerdefinierte Änderungen vorgenommen oder die Datei umbenannt wird, empfiehlt Citrix, alle LoginSchemas aus dem Verzeichnis /nsconfig/loginschema/loginSchema in das übergeordnete Verzeichnis /nsconfig/loginschema zu kopieren.

Um die Anzeige von reCAPTCHA mithilfe der CLI zu konfigurieren

add authentication loginSchema singleauthcaptcha -authenticationSchema /nsconfig/loginschema/SingleAuthCaptcha.xml
add authentication loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptcha
add authentication vserver auth SSL <IP> <Port>
add ssl certkey vserver-cert -cert <path-to-cert-file> -key <path-to-key-file>
bind ssl vserver auth -certkey vserver-cert
bind authentication vserver auth -policy singleauthcaptcha -priority 5 -gotoPriorityExpression END

Poste die reCAPTCHA-Antwort auf dem Google-Server

Nachdem Sie das reCAPTCHA konfiguriert haben, das den Benutzern angezeigt werden muss, fügen Administratoren die Konfiguration dem Google-Server hinzu, um die reCAPTCHA-Antwort vom Browser zu überprüfen.

Um die reCAPTCHA-Antwort des Browsers zu überprüfen

add authentication captchaAction myrecaptcha -sitekey <sitekey-copied-from-google> -secretkey <secretkey-from-google>
add authentication policy myrecaptcha -rule true -action myrecaptcha
bind authentication vserver auth -policy myrecaptcha -priority 1

Die folgenden Befehle sind erforderlich, um zu konfigurieren, ob AD-Authentifizierung gewünscht ist. Andernfalls können Sie diesen Schritt ignorieren.

add authentication ldapAction ldap-new -serverIP x.x.x.x -serverPort 636 -ldapBase "cn=users,dc=aaatm,dc=com" -ldapBindDn adminuser@aaatm.com -ldapBindDnPassword <password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup ldapGroup
add authenticationpolicy ldap-new -rule true -action ldap-new

Die LDAP-Konfiguration ist der zweite Faktor für die Benutzeranmeldung (optional)

Die LDAP-Authentifizierung erfolgt nach reCAPTCHA, Sie fügen sie dem zweiten Faktor hinzu.

add authentication policylabel second-factor
bind authentication policylabel second-factor -policy ldap-new -priority 10
bind authentication vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor

Der Administrator muss entsprechende virtuelle Server hinzufügen, je nachdem, ob der virtuelle Lastausgleichsserver oder das NetScaler Gateway-Gerät für den Zugriff verwendet wird. Der Administrator muss den folgenden Befehl konfigurieren, wenn ein virtueller Load-Balancing-Server erforderlich ist:

add lb vserver lbtest HTTP <IP> <Port> -authentication ON -authenticationHost nssp.aaatm.com

nssp.aaatm.com — Löst zum virtuellen Authentifizierungsserver auf.

Benutzervalidierung von reCAPTCHA

Nachdem Sie alle in den vorherigen Abschnitten genannten Schritte konfiguriert haben, müssen Sie die unten abgebildeten Screenshots der Benutzeroberfläche sehen.

Sobald der virtuelle Authentifizierungsserver die Anmeldeseite geladen hat, wird der Anmeldebildschirm angezeigt. DieAnmeldung ist deaktiviert, bis reCAPTCHA abgeschlossen ist.
Wähle Ich bin keine Roboter-Option. Das reCAPTCHA-Widget wird angezeigt.
Sie werden durch eine Reihe von reCAPTCHA-Bildern navigiert, bevor die Abschlussseite angezeigt wird.
Geben Sie die AD-Anmeldeinformationen ein, aktivieren Sie das Kontrollkästchen Ich bin kein Roboter und klicken Sie auf Anmelden. Wenn die Authentifizierung erfolgreich ist, werden Sie zur gewünschten Ressource weitergeleitet.
Hinweise
- Wenn reCAPTCHA mit der AD-Authentifizierung verwendet wird, ist die Schaltfläche Senden für Anmeldeinformationen deaktiviert, bis reCAPTCHA abgeschlossen ist.
- Das reCAPTCHA passiert in einem eigenen Faktor. Daher müssen alle nachfolgenden Validierungen wie AD im „nächsten Faktor“ von reCAPTCHA erfolgen.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

War dieser Artikel hilfreich?

reCAPTCHA-Konfiguration für die nFactor-Authentifizierung

May 11, 2023

Beitrag von:

May 11, 2023

Beitrag von:

In diesem Artikel

reCAPTCHA-Konfiguration

War dieser Artikel hilfreich?