Visualizador nFactor para una configuración simplificada
A partir de la versión 13.0 de NetScaler, compilación 36.27, la configuración de nFactor a través de la GUI se simplifica mediante el visualizador nFactor. El visualizador nFactor ayuda a los administradores a agregar varios factores sin perder de vista cada uno de ellos. El grupo de factores que se incluye en el flujo se muestra en un solo lugar. Los administradores pueden agregar las rutas de éxito y error de la autenticación por separado. Tras crear el flujo, los administradores deben vincular el flujo de nFactor a un servidor virtual de autenticación.
Nota
- Todos los factores creados por un administrador en el flujo de nFactor se conservan para cualquier uso futuro.
- A partir de la versión 13.0 de la versión 64.35 y versiones posteriores de NetScaler, puede iniciar el flujo de nFactor con un bloque de decisión mediante el visualizador nFactor.
Anteriormente, la configuración de nFactor era engorrosa, ya que los administradores tenían que visitar muchas páginas para configurarla. Si se requería un cambio, los administradores tenían que volver a visitar las secciones configuradas cada vez. Además, no había ninguna opción para ver la configuración completa en un solo lugar.
Caso de uso 1: RADIUS seguido de autenticación LDAP; de lo contrario, recurra a Captcha a través de nFactor Visualizer
Consiga la autenticación RADIUS como autenticación de primer nivel seguida de la autenticación LDAP. En caso de que RADIUS falle, la autenticación debe recurrir a Captcha.
Para lograr este caso de uso, puede utilizar el visualizador nFactor. El visualizador proporciona varios controles que se pueden utilizar para agregar este flujo y los elementos relacionados.
La siguiente ilustración muestra el flujo de nFactor creado para el caso de uso mencionado anteriormente mediante el visualizador.
-
RADIO. Se configura RADIUS como primer factor. Añades un esquema de inicio de sesión y una directiva. En este ejemplo, radius_auth y RADIUS_policy son el esquema de inicio de sesión y la directiva que se agregan. Para RADIUS_policy, puede agregar otro factor para el caso de éxito. En este ejemplo, se agrega un bloque de factores LDAP para el caso de éxito. Para el caso de error, puede agregar un factor Captcha.
-
LDAP. La autenticación LDAP se configura como segundo factor. Añades un esquema de inicio de sesión y una directiva. En este ejemplo, ldap_auth y LDAP_Policy son el esquema de inicio de sesión y la directiva que se agregan.
-
Captcha. Para el caso de error de la directiva RADIUS, debe crear un factor de Captcha. En este ejemplo, captcha y captcha_policy son el esquema de inicio de sesión y la directiva que se añaden.
Caso de uso 2: LDAP seguido de autenticación por RADIUS/certificado con Captcha basado en la pertenencia a un grupo LDAP a través de nFactor Visualizer
Consiga la autenticación RADIUS como autenticación de primer nivel seguida de la autenticación LDAP. En caso de que RADIUS falle, la autenticación debe recurrir a Captcha.
La siguiente ilustración muestra el flujo de nFactor creado para el caso de uso mencionado anteriormente mediante el visualizador.
-
LDAP. Se configura LDAP como primer factor. Añades un esquema de inicio de sesión y una directiva. En este ejemplo, SingleAuth y LDAP_Policy son el esquema de inicio de sesión y la directiva que se agregan. En el caso de LDAP_Policy, puede agregar otro factor para determinar el caso de éxito. En este ejemplo, se agrega un bloque de decisión para el caso de éxito. Para el caso de error, puede agregar un Captcha seguido del factor AD.
-
LDAP de extracción de grupos. Es el bloque de decisión agregado para el caso de éxito de LDAP. El bloque de decisión se utiliza como un factor de ramificación para diversificar a los usuarios en función de las reglas de la directiva. El visualizador permite configurar solo una directiva NO_AUTHN para el bloque de decisiones.
En este ejemplo, Group_Extraction_LDAP es el bloque de decisión. Añada dos directivas()
AD_Group_Partner and AD_Group_Employee
a este bloque de decisiones. Como se explica en los casos de uso, todas las solicitudes que se envían a través de la directiva AD_Group_Partner utilizan la autenticación RADIUS. Por lo tanto, conecte el caso de éxito de esta directiva con el siguiente factor, que es el factor RADIUS. Del mismo modo, todas las solicitudes que se envían a través de la directiva AD_Group_Employee utilizan la autenticación por certificación. Por lo tanto, debe conectar el caso de éxito de esta directiva con el siguiente factor, que es el factor de autenticación de certificación.-
RADIO. Para el caso de éxito de la directiva AD_Group_Partner, debe crear el factor de autenticación RADIUS.
-
Certificado. Para el caso de éxito de la directiva AD_Group_Employee, debe crear el factor de autenticación del certificado.
-
-
Captcha. Para el caso de error de la directiva de LDAP, cree dos factores siguientes, Captcha y factor AD.
Nota
- Si tiene un caso práctico para ramificarse como primera opción, puede crear dos flujos y enlazarlos por separado o crear un flujo con el primero como ramificación y vincularlo al servidor virtual.
- Si tiene varios bloques y para ver el flujo completo en la pantalla de nFactor Flow, haga clic en el visualizador y arrastre el flujo hacia el extremo izquierdo.
- Le recomendamos que modifique los flujos de nFactor utilizando únicamente la página Flujos de nFactor.
Para configurar nFactor mediante el visualizador nFactor
Nota:
La siguiente configuración de nFactor es un ejemplo sencillo que le ayuda a realizar las configuraciones del caso del caso de uso 1.
- Vaya a Seguridad > AAA — Tráfico de aplicaciones > nFactor Visualizer > nFactorFlows.
- Haga clic en Agregar.
-
En la página nFactor Flows, haga clic en + para agregar un primer factor para el flujo. El primer factor también sirve como identificador para este flujo de nFactor.
-
Introduzca el nombre del factor y haga clic en Crear.
El nombre del factor aparece en el bloque de factores de la página nFactor Flow.
Nota:
Se recomienda no utilizar nombres de etiquetas de directivas como,
__root
y__<flow_name>
como sufijo y_db_
como prefijo. Se utiliza como los nombres de los factores que se crean en el flujo nFactor. -
Una vez creado el factor RADIUS, se deben crear Agregar esquema y Agregar directiva.
Nota
Para obtener más información, consulte Conceptos, entidades y terminología de nFactor.
-
Haga clic en Agregar esquema. Puede agregar un nuevo esquema de inicio de sesión o seleccionar un esquema de inicio de sesión existente de la lista de esquemas de inicio de sesión de autenticación.
-
Para crear un esquema de inicio de sesión, haga clic en Agregar y, en la página Crear esquema de inicio de sesión de autenticación, introduzca el nombre del esquema. Haga clic en Modificar (icono de lápiz) para seleccionar los archivos del esquema de inicio de sesión de la lista.
-
Haga clic en Agregar directiva. Puede crear una nueva directiva o elegir una directiva de autenticación existente.
-
Para crear una nueva directiva, haga clic en Agregar y, en la página Crear directiva de autenticación, introduzca el nombre de la directiva y haga clic en Crear.
-
Después de agregar un esquema de inicio de sesión y una directiva al factor, el esquema de inicio de sesión y la directiva aparecen en el factor en el visualizador como se muestra en la siguiente ilustración. Para cualquier factor dado, puede agregar varias directivas y definir el siguiente factor para determinar el éxito o el fracaso de cada directiva. También puede eliminar las directivas que forman parte del factor.
- Después de crear el flujo, puede vincular el flujo de nFactor a un servidor virtual de autenticación.
Agregar el siguiente factor
Para agregar el siguiente factor, puede seleccionar una de las siguientes opciones según sus necesidades:
- Factor de creación. Crea un factor. Cada factor que se crea en un flujo es exclusivo de ese flujo.
-
Crea un bloque de decisiones. Cree un bloque de decisión que sirva como factor de ramificación. No puede agregar un esquema de inicio de sesión al bloque de decisiones. El visualizador permite configurar solo una directiva NO_AUTHN para el bloque de decisiones.
Nota
Solo puede agregar o modificar el bloque de decisión a través de la GUI de NetScaler. No hay ninguna opción para configurar el bloque de decisiones desde el comando CLI.
- Conéctese a un factor existente. Seleccione un factor existente como el siguiente factor. Todos los factores que aparecen en la lista existente se crean exclusivamente para ese flujo.
-
Ninguna. Eliminar una conexión existente.
Para vincular el flujo nFactor al servidor de autenticación
-
En la página nFactor Flows, seleccione un flujo de nFactor que prefiera vincular a un servidor virtual de autenticación.
-
Haga clic en los puntos suspensivos horizontales y seleccione Vincular al servidor de autenticación o, en la página nFactor Flows, haga clic en Vincular al servidor de autenticación.
-
En la página Enlazar al servidor de autenticación, puede realizar las siguientes acciones:
- Para agregar un servidor virtual de autenticación, haga clic en Agregar.
- Para seleccionar un servidor de autenticación existente de la lista, haga clic en el campo Servidor de autenticación.
-
Haga clic en Mostrar encuadernaciones en el icono de tres líneas para ver las encuadernaciones.
-
Para desvincular el servidor de autenticación del flujo de nFactor específico, lleve a cabo los siguientes pasos:
- En la página Flujo de nFactor, haga clic en Mostrar enlaces en el icono de tres líneas.
- En la página Enlaces del servidor de autenticación, seleccione el servidor de autenticación que quiera desvincular y haga clic en Desvincular. Haga clic en Cerrar.
Para obtener más información sobre la autenticación nFactor, consulte los temas siguientes:
-
Concepto: Autenticación multifactor (nFactor).
-
Flujo de trabajo: cómo funciona la autenticación nFactor.
-
Configuración: configuración de la autenticación nFactor.
Mejoras en el visualizador nFactor
A partir de la versión 13.0, compilación 41.20 de NetScaler, se han realizado las siguientes mejoras en nFactor Visualizer.
- Los administradores pueden mover los factores creados al icono de la papelera.
- Consulte los flujos de nFactor en la página del servidor virtual de autenticación.
Icono de papelera. Los administradores solo pueden eliminar los nodos que no tienen conexiones. Sin embargo, las directivas subyacentes o los esquemas que se crean para el factor no se eliminan si el factor se mueve a la papelera.
Para ver el icono de la papelera,
-
Vaya a Seguridad > AAA — Tráfico de aplicaciones > nFactor Visualizer > nFactorFlows. Puede ver el icono de la papelera en la esquina superior izquierda.
-
Para eliminar el factor, haga clic en el bloque de factores y arrástrelo a la papelera.
Vea el flujo de nFactor desde el servidor virtual de autenticación. Los administradores también pueden ver los flujos de nFactor creados desde la página del servidor virtual de autenticación.
Para ver el flujo de nFactor desde la página del servidor virtual de autenticación,
- Vaya a Seguridad > AAA — Tráfico de aplicaciones > Servidores virtuales. En la página Servidores virtuales de autenticación, puede realizar los siguientes pasos:
- Para agregar un servidor virtual de autenticación, haga clic en Agregar.
- Para modificar un servidor virtual de autenticación existente, haga clic en la opción Modificar del panel de detalles.
-
En la página del servidor virtual de autenticación, puede ver la opción nFactor Flow en Directivas de autenticación avanzadas.
- Si no hay ningún flujo de nFactor vinculado al servidor virtual, puede hacer clic en la opción Sin flujo de nFactor en la sección Directivas de autenticación avanzadas para agregar un nuevo flujo de nFactor o seleccionar el flujo de nFactor existente de la lista.
En este artículo
- Caso de uso 1: RADIUS seguido de autenticación LDAP; de lo contrario, recurra a Captcha a través de nFactor Visualizer
- Caso de uso 2: LDAP seguido de autenticación por RADIUS/certificado con Captcha basado en la pertenencia a un grupo LDAP a través de nFactor Visualizer
- Para configurar nFactor mediante el visualizador nFactor
- Mejoras en el visualizador nFactor