Gateway

Pushbenachrichtigung für OTP

NetScaler Gateway unterstützt Pushbenachrichtigungen für OTP. Benutzer müssen das auf ihren registrierten Geräten empfangene OTP nicht manuell eingeben, um sich bei NetScaler Gateway anzumelden. Administratoren können NetScaler Gateway so konfigurieren, dass Anmeldebenachrichtigungen mithilfe von Pushbenachrichtigungsdiensten an die registrierten Geräte der Benutzer gesendet werden. Wenn Benutzer die Benachrichtigung erhalten, müssen sie einfach in der Benachrichtigung auf Zulassen tippen, um sich bei NetScaler Gateway anzumelden. Wenn das Gateway eine Bestätigung vom Benutzer erhält, identifiziert es die Quelle der Anfrage und sendet eine Antwort an diese Browserverbindung.

Wenn die Benachrichtigungsantwort nicht innerhalb des Timeout-Zeitraums (30 Sekunden) empfangen wird, werden Benutzer zur NetScaler Gateway-Anmeldeseite weitergeleitet. Die Benutzer können das OTP dann manuell eingeben oder auf Benachrichtigung erneut senden klicken, um die Benachrichtigung erneut auf dem registrierten Gerät zu erhalten.

Administratoren können mithilfe der für Pushbenachrichtigungen erstellten Anmeldeschemas die Pushbenachrichtigung als Standardauthentifizierung vornehmen.

Wichtig:

Die Pushbenachrichtigungsfunktion ist mit einer NetScaler Premium Edition-Lizenz verfügbar.

Vorteile von Pushbenachrichtigungen

  • Pushbenachrichtigungen bieten einen sichereren Multifaktor-Authentifizierungsmechanismus. Die Authentifizierung bei NetScaler Gateway ist erst erfolgreich, wenn der Benutzer den Anmeldeversuch genehmigt.
  • Pushbenachrichtigungen sind einfach zu verwalten und zu verwenden. Benutzer müssen die Citrix SSO Mobile App herunterladen und installieren, für die keine Administratorunterstützung erforderlich ist.
  • Benutzer müssen den Code nicht kopieren oder sich merken. Sie müssen einfach auf das Gerät tippen, um sich authentifizieren zu lassen.
  • Benutzer können mehrere Geräte registrieren.

Funktionsweise von Pushbenachrichtigungen

Der Workflow für Pushbenachrichtigungen kann in zwei Kategorien eingeteilt werden:

  • Geräteregistrierung
  • Anmeldung für Endbenutzer

Workflow

Voraussetzungen für die Verwendung von Pushbenachrichtigungen

  • Schließen Sie den Citrix Cloud-Onboarding-Prozess ab.

    1. Erstellen Sie ein Citrix Cloud-Unternehmenskonto oder treten Sie einem vorhandenen bei. Detaillierte Verfahren und Anweisungen zum weiteren Vorgehen finden Sie unter Registrierung für Citrix Cloud.

    2. Melden Sie sich bei an https://citrix.cloud.comund wählen Sie den Kunden aus.

    3. Wählen Sie im Menü Identitäts- und Zugriffsverwaltung aus und navigieren Sie dann zur Registerkarte API-Zugriff, um einen Client für das Konto zu erstellen.

    4. Kopieren Sie die ID, das Geheimnis und die Kunden-ID. Die ID und das Geheimnis sind erforderlich, um den Push-Dienst in NetScaler als “ClientID” bzw. “ClientSecret” zu konfigurieren.

Wichtig:

  • Dieselben API-Anmeldeinformationen können in mehreren Rechenzentren verwendet werden.
  • Lokal müssen NetScaler-Appliances in der Lage sein, die Serveradressen mfa.cloud.com und trust.citrixworkspacesapi.net aufzulösen und sind von der Appliance aus zugänglich. Dies soll sicherstellen, dass es keine Firewalls oder IP-Adressblöcke für diese Server über Port 443 gibt.
  • Laden Sie die Citrix SSO Mobil-App aus dem App Store und Play Store für iOS-Geräte bzw. Android-Geräte herunter. Pushbenachrichtigungen werden auf iOS ab Build 1.1.13 auf Android ab 2.3.5 unterstützt.

  • Stellen Sie Folgendes für das Active Directory sicher.

    • Die minimale Attributlänge muss mindestens 256 Zeichen betragen.
    • Der Attributtyp muss ‘DirectoryString’ sein, z. B. UserParameters. Diese Attribute können Zeichenkettenwerte enthalten.
    • Der Typ der Attributzeichenfolge muss Unicode sein, wenn der Gerätename aus nicht-englischen Zeichen besteht.
    • Der NetScaler LDAP-Administrator muss Schreibzugriff auf das ausgewählte AD-Attribut haben.
    • NetScaler und der Clientcomputer müssen mit einem gemeinsamen Netzwerkzeitserver synchronisiert werden.

Konfiguration von Pushbenachrichtigungen

Im Folgenden sind die übergeordneten Schritte aufgeführt, die ausgeführt werden müssen, um die Pushbenachrichtigungsfunktion verwenden zu können.

  • Der NetScaler Gateway-Administrator muss die Schnittstelle für die Verwaltung und Validierung von Benutzern konfigurieren.

    1. Konfigurieren Sie einen Push-Dienst.

    2. Konfigurieren Sie NetScaler Gateway für die OTP-Verwaltung und die Endbenutzer-Anmeldung.

      Benutzer müssen ihre Geräte beim Gateway registrieren, um sich bei NetScaler Gateway anzumelden.

    3. Registrieren Sie Ihr Gerät bei NetScaler Gateway.

    4. Melden Sie sich bei NetScaler Gateway an.

Erstellen Sie einen Push-Dienst

  1. Navigieren Sie zu Sicherheit > AAA-Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Aktionen > Push-Dienst und klicken Sie auf Hinzufügen.

  2. Geben Sie unter Nameden Namen des Push-Dienstes ein.

  3. Geben Sie unter Client-IDdie eindeutige Identität der vertrauenswürdigen Partei für die Kommunikation mit dem NetScaler Push-Server in der Cloud ein.

  4. Geben Sie unter Client Secretdas einzigartige Geheimnis der vertrauenswürdigen Partei für die Kommunikation mit dem NetScaler Push-Server in der Cloud ein.

  5. Geben Sie unter Kunden-IDdie Kunden-ID oder den Namen des Kontos in der Cloud ein, das zur Erstellung von Client-ID und Client Secret-Paar verwendet wird.

Wichtig!

Die TLS 1.2-Version wird für den Push-Service benötigt. Weitere Informationen finden Sie unter TLS 1.2-Konfigurationsdetails.

Konfigurieren von NetScaler Gateway für OTP-Verwaltung und Endbenutzeranmeldung

Führen Sie die folgenden Schritte für die OTP-Verwaltung und die Endbenutzer-Anmeldung aus.

  • Erstellen eines Anmeldeschemas für die OTP-Verwaltung
  • Konfiguration des virtuellen Servers für Authentifizierung, Autorisierung und Überwachung
  • Konfigurieren von VPN- oder Lastausgleichs-Servern
  • Konfigurieren des Policy Label
  • Anmeldeschema für Endbenutzer-Anmeldung erstellen

Weitere Informationen zur Konfiguration finden Sie unter Native OTP-Unterstützung.

Wichtig: Für Pushbenachrichtigungen müssen Administratoren Folgendes explizit konfigurieren:

  • Erstellen Sie einen Push-Dienst.
  • Wählen Sie beim Erstellen des Anmeldeschemas für die OTP-Verwaltung je nach Bedarf das Anmeldeschema SingleAuthManageOTP.xml oder ein gleichwertiges Schema aus.
  • Wählen Sie beim Erstellen des Anmeldeschemas für die Endbenutzeranmeldung das Anmeldeschema oder ein gleichwertiges Schema von DualAuthOrPush.xml nach Bedarf aus.

Registrieren Sie Ihr Gerät bei NetScaler Gateway

Benutzer müssen ihre Geräte bei NetScaler Gateway registrieren, um die Pushbenachrichtigungsfunktion nutzen zu können.

  1. Navigieren Sie in Ihrem Webbrowser zu Ihrem NetScaler Gateway FQDN und setzen Sie /manageotp an den FQDN an.

    Dadurch wird die Authentifizierungsseite geladen. Beispiel: https://gateway.company.com/manageotp

  2. Melden Sie sich je nach Bedarf mit Ihren LDAP-Anmeldeinformationen oder geeigneten Zwei-Faktor-Authentifizierungsmechanismen an.

    Login

  3. Klicken Sie auf Gerät hinzufügen.

  4. Geben Sie einen Namen für Ihr Gerät ein und klicken Sie auf Start.

    Ein QR-Code wird auf der NetScaler Gateway-Browserseite angezeigt.

    Scan

  5. Scannen Sie diesen QR-Code mit der Citrix SSO-App von dem zu registrierenden Gerät.

    Citrix SSO überprüft den QR-Code und registriert sich dann beim Gateway für Pushbenachrichtigungen. Wenn der Registrierungsprozess keine Fehler aufweist, wird das Token erfolgreich zur Kennwort-Token-Seite hinzugefügt.

    Token

  6. Wenn es keine zusätzlichen Geräte zum Hinzufügen/Verwalten gibt, melden Sie sich mit der Liste oben rechts auf der Seite ab.

Testen der Einmalkennwort-Authentifizierung

  1. Um das OTP zu testen, klicken Sie in der Liste auf Ihr Gerät und dann auf Testen.

  2. Geben Sie das OTP ein, das Sie auf Ihrem Gerät erhalten haben, und klicken Sie auf Los.

    Die Meldung “OTP-Überprüfung erfolgreich” wird angezeigt.

  3. Melden Sie sich mit der Liste oben rechts auf der Seite ab.

Hinweis: Sie können das OTP-Verwaltungsportal jederzeit verwenden, um die Authentifizierung zu testen, registrierte Geräte zu entfernen oder weitere Geräte zu registrieren.

Melden Sie sich bei NetScaler Gateway an

Nach der Registrierung ihrer Geräte bei NetScaler Gateway können Benutzer die Pushbenachrichtigungsfunktion für die Authentifizierung verwenden.

  1. Navigieren Sie zu Ihrer NetScaler Gateway-Authentifizierungsseite (z. B.: https://gateway.company.com)

    Abhängig von der Konfiguration des Anmeldeschemas werden Sie aufgefordert, nur Ihre LDAP-Anmeldeinformationen einzugeben.

    Token

  2. Geben Sie Ihren LDAP-Benutzernamen und Ihr Kennwort ein und wählen Sie dann Sendenaus.

    Eine Benachrichtigung wird an Ihr registriertes Gerät gesendet.

    Hinweis: Wenn Sie das OTP manuell eingeben möchten, müssen Sie Klicken auswählen, um OTP manuell einzugeben, und das OTP in das Feld TOTP eingeben.

  3. Öffnen Sie die Citrix SSO-App auf Ihrem registrierten Gerät und tippen Sie auf Zulassen.

    Allow

    Hinweis:

    • Im Falle eines iOS-Geräts werden Sie aufgefordert, Touch-ID/Face-ID/Passcode als zusätzlichen Authentifizierungsfaktor einzugeben.

    • Der Authentifizierungsserver wartet auf Push-Server-Benachrichtigungsantwort, bis der konfigurierte Zeitüberschreitungszeitraum abgelaufen ist. Nach dem Timeout zeigt NetScaler Gateway die Anmeldeseite an. Die Benutzer können das OTP dann manuell eingeben oder auf Benachrichtigung erneut senden klicken, um die Benachrichtigung erneut auf dem registrierten Gerät zu erhalten. Basierend auf Ihrer ausgewählten Option validiert Gateway das von Ihnen eingegebene OTP oder sendet die Benachrichtigung auf Ihrem registrierten Gerät erneut.

    Fallback

    • Es wird keine Benachrichtigung über einen Fehler bei der Anmeldung an Ihr registriertes Gerät gesendet.

Bedingungen für Ausfälle

  • Die Geräteregistrierung schlägt in den folgenden Fällen möglicherweise fehl.
    • Das Serverzertifikat kann vom Endbenutzergerät nicht vertrauenswürdig sein.
    • NetScaler Gateway, das zur Registrierung für OTP verwendet wurde, ist vom Client nicht erreichbar.
  • Die Benachrichtigungen können in den folgenden Fällen fehlschlagen.
    • Das Benutzergerät ist nicht mit dem Internet verbunden
    • Benachrichtigungen auf dem Benutzergerät sind blockiert
    • Der Benutzer genehmigt die Benachrichtigung auf dem Gerät nicht

In diesen Fällen wartet der Authentifizierungsserver, bis der konfigurierte Timeout-Zeitraum abläuft. Nach dem Timeout zeigt NetScaler Gateway eine Anmeldeseite mit den Optionen an, das OTP manuell einzugeben oder die Benachrichtigung erneut auf Ihrem registrierten Gerät zu senden. Basierend auf der ausgewählten Option erfolgt eine weitere Validierung.

Fehler-Protokolle

Im Folgenden sind die erwarteten Protokolle aufgeführt, wenn der OTP-Push-Dienst nicht erreichbar ist.

  • Pushbenachrichtigung fehlgeschlagen, wenn das Benutzergerät nicht mit dem Internet verbunden ist - Push: Push Request konnte nicht auf “client name” für den Push-Dienst vorbereitet werden.
  • Fehlerprotokoll für Geräteregistrierung - Push: Es sind keine Geräte registriert, um die Push-Anfrage an die Cloud für “client name” zu senden.
  • Falls der Benutzer den Push nicht akzeptiert - Push: Response wird vom Client nicht angezeigt, für “user name”, überprüfen Sie Wiederholungsoptionen.

Citrix SSO-App-Verhalten unter iOS — weist darauf hin

Verknüpfungen für Benachrichtigungen

Die Citrix SSO iOS-App bietet Unterstützung für umsetzbare Benachrichtigungen, um die Benutzerfreundlichkeit zu verbessern. Sobald eine Benachrichtigung auf einem iOS-Gerät empfangen wurde und das Gerät gesperrt ist oder sich die Citrix SSO-App nicht im Vordergrund befindet, können Benutzer die in die Benachrichtigung integrierten Verknüpfungen verwenden, um die Anmeldeanforderung entweder zu genehmigen oder abzulehnen.

Um auf Benachrichtigungsverknüpfungen zuzugreifen, müssen Benutzer je nach Hardware des Geräts entweder eine Berührung erzwingen (3D-Touch) oder die Benachrichtigung lange drücken. Durch Auswahl der Aktion Verknüpfung zulassen wird eine Anmeldeanfrage an NetScaler gesendet. Abhängig davon, wie die Authentifizierungsrichtlinie für den virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver konfiguriert ist;

  • Die Anmeldeanfrage wird möglicherweise im Hintergrund gesendet, ohne dass die App in den Vordergrund gestellt oder das Gerät entsperrt werden muss.
  • Die App fordert möglicherweise zur Eingabe von Touch-ID/Face-ID/Passcode als zusätzlichen Faktor auf. In diesem Fall wird die App in den Vordergrund gestartet.

Shortcut

Löschen von Kennwort-Token von Citrix SSO

  1. Um ein für Push registriertes Kennwort-Token in der Citrix SSO-App zu löschen, müssen Benutzer die folgenden Schritte ausführen:

  2. Heben Sie die Registrierung des iOS/Android-Geräts auf dem Gateway auf (entfernen). Der QR-Code zum Entfernen der Registrierung vom Gerät wird angezeigt.
  3. Öffnen Sie die Citrix SSO-App und tippen Sie auf die Info-Schaltfläche des zu löschenden Kennwort-Tokens.
  4. Tippen Sie auf Token löschen und scannen Sie den QR-Code.

Hinweis:

  • Wenn der QR-Code gültig ist, wird das Token erfolgreich aus der Citrix SSO-App entfernt.
  • Benutzer können auf Löschen erzwingen tippen, um ein Kennwort-Token zu löschen, ohne den QR-Code scannen zu müssen, wenn das Gerät bereits vom Gateway entfernt wurde. Erzwungenes Löschen kann dazu führen, dass das Gerät weiterhin Benachrichtigungen erhält, wenn das Gerät nicht aus NetScaler Gateway entfernt wurde.

Delete-token

Pushbenachrichtigung für OTP