Autenticación, autorización y auditoría del tráfico de aplicaciones
Muchas empresas restringen el acceso al sitio web únicamente a usuarios válidos y controlan el nivel de acceso permitido a cada usuario. La función de autenticación, autorización y auditoría permite al administrador del sitio administrar controles de acceso con el dispositivo Citrix ADC en lugar de administrar estos controles por separado para cada aplicación. La autenticación en el dispositivo también permite compartir esta información en todos los sitios web del mismo dominio protegidos por el dispositivo.
Para utilizar la autenticación, la autorización y la auditoría, debe configurar los servidores virtuales de autenticación para controlar el proceso de autenticación y los servidores virtuales de administración de tráfico para controlar el tráfico a las aplicaciones web que requieren autenticación. También puede configurar el DNS para asignar FQDN a cada servidor virtual. Después de configurar los servidores virtuales, configure una cuenta de usuario para cada usuario que se autentique mediante el dispositivo Citrix ADC y, opcionalmente, cree grupos y asigne cuentas de usuario a los grupos. Después de crear cuentas de usuario y grupos, configure directivas que indican al dispositivo cómo autenticar a los usuarios, a qué recursos se les permite acceder y cómo registrar las sesiones de usuario. Para poner en práctica las directivas, debe enlazar cada directiva globalmente, a un servidor virtual específico o a las cuentas de usuario o grupos apropiados. Después de configurar las directivas, puede personalizar las sesiones de usuario configurando la configuración de la sesión y vinculando las directivas de sesión al servidor virtual de administración de tráfico. Por último, si la intranet utiliza certificados de cliente, debe configurar la configuración del certificado de cliente.
Para comprender cómo funciona la autenticación, la autorización y la auditoría en un entorno distribuido, considere una organización con una intranet a la que acceden sus empleados en la oficina, en casa y cuando viajan. El contenido de la intranet es confidencial y requiere acceso seguro. Cualquier usuario que quiera acceder a la intranet debe tener un nombre de usuario y una contraseña válidos. Para cumplir estos requisitos, el ADC hace lo siguiente:
- Redirige al usuario a la página de inicio de sesión si el usuario accede a la intranet sin haber iniciado sesión.
-
Recopila las credenciales del usuario, las entrega al servidor de autenticación y las almacena en caché en un directorio al que se puede acceder mediante el Protocolo ligero de acceso a directorios (LDAP). Para obtener más información, consulte Determinación de atributos en el directorio LDAP.
- Comprueba que el usuario esté autorizado a acceder al contenido específico de la intranet antes de entregar la solicitud del usuario al servidor de aplicaciones.
- Mantiene un tiempo de espera de sesión después del cual los usuarios deben autenticarse de nuevo para recuperar el acceso a la intranet. (Puede configurar el tiempo de espera).
- Registra los accesos de usuario, incluidos los intentos de inicio de sesión no válidos, en un registro de auditoría.
Tipos de autenticación admitidos
- Locales
- LDAP
- RADIUS
- SAML
- TACACOS+
- Autenticación de certificado de cliente (incluida la autenticación con tarjeta inteligente)
- Web
- Autentificación avanzada
- Autentificación basada en formularios
- Autenticación basada en 401
- OTP nativo
- Notificación Push
- Correo electrónico OTP
- reCAPTCHA
Citrix Gateway también es compatible con RSA SecurID, Gemalto Protiva y SafeWord. Utilice un servidor RADIUS para configurar estos tipos de autenticación.
Antes de configurar la autenticación, la autorización y la auditoría, debe estar familiarizado con y comprender cómo configurar el equilibrio de carga, la conmutación de contenido y SSL en el dispositivo Citrix ADC.
Autenticación sin autorización
Autorización especifica los recursos de red a los que tienen acceso los usuarios cuando inician sesión en el dispositivo. La configuración predeterminada para la autorización es denegar el acceso a todos los recursos de red. Citrix recomienda utilizar la configuración global predeterminada y, a continuación, crear directivas de autorización para definir los recursos de red a los que pueden acceder los usuarios.
Puede configurar la autorización en el dispositivo mediante una directiva de autorización y expresiones. Después de crear una directiva de autorización, puede vincularla a los usuarios o grupos configurados en el dispositivo.
Puede configurar el dispositivo para que utilice únicamente autenticación, sin autorización. Cuando se configura la autenticación sin autorización, el dispositivo no realiza una comprobación de autorización de grupo. Las directivas que configure para el usuario o grupo se asignan al usuario.
Habilitar la autenticación, la autorización y la auditoría
Para utilizar la función de autenticación, autorización y auditoría, debe habilitarla. Puede configurar entidades de autenticación, autorización y auditoría, como los servidores virtuales de administración de tráfico y autenticación, antes de habilitar la función de autenticación, autorización y auditoría, pero las entidades no funcionan hasta que se habilite la función.
Para habilitar la autenticación, la autorización y la auditoría mediante la CLI
En el símbolo del sistema, escriba los siguientes comandos para habilitar la autenticación, la autorización y la auditoría y verificar la configuración:
enable ns feature AAA
<!--NeedCopy-->
Para habilitar la autenticación, la autorización y la auditoría mediante la interfaz gráfica de usuario
- Vaya a Sistema > Configuración.
- En el panel de detalles, en Modos y funciones, haga clic en Cambiar funciones básicas.
- En el cuadro de diálogo Configurar funciones básicas, active la casilla de verificación Autenticación, Autorización y Auditoría.
- Haga clic en Aceptar.
Inhabilitar la autenticación
Si la implementación no requiere autenticación, puede inhabilitarla. Puede inhabilitar la autenticación para cada servidor virtual que no requiera autenticación.
Importante:
Importante: Citrix recomienda inhabilitar la autenticación con precaución. Si no utiliza un servidor de autenticación externo, cree usuarios y grupos locales para permitir que el dispositivo autentique usuarios. Al inhabilitar la autenticación se detiene el uso de las funciones de autenticación, autorización y contabilidad que controlan y supervisan las conexiones con el dispositivo. Cuando los usuarios escriben una dirección web para conectarse al dispositivo, la página de inicio de sesión no aparece.
Para inhabilitar la autenticación
- Vaya a Configuración > Citrix Gateway > Servidores virtuales.
- En el panel de detalles, haga clic en un servidor virtual y, a continuación, haga clic en Abrir.
- En la página Configuración básica, desactive la casilla Habilitar autenticación.