ADC

nFactor Visualizador para una configuración simplificada

A partir de la versión 13.0 de Citrix ADC, compilación 36.27, la configuración de nFactor a través de la GUI se simplifica mediante el visualizador de nFactor. El visualizador nFactor ayuda a los administradores a agregar varios factores sin perder la noción de cada factor. El grupo de factores que se generan en el flujo se muestra en un solo lugar. Los administradores pueden agregar rutas de autenticación de éxito y error por separado. Después de crear el flujo, los administradores tienen que vincular el flujo de nFactor a un servidor virtual de autenticación.

Nota

  • Todos los factores creados por un administrador en el flujo de nFactor se conservan para cualquier uso futuro.
  • Desde Citrix ADC, versión 13.0, compilación 64.35 y superior, mediante el visualizador nFactor, puede iniciar el flujo de nFactor con un bloque de decisión.

Anteriormente, la configuración nFactor era engorrosa, ya que los administradores tenían que visitar muchas páginas para configurarla. Si se requería un cambio, los administradores tenían que volver a visitar las secciones configuradas cada vez. Además, no había opción para ver la configuración completa en un solo lugar.

Caso de uso 1: RADIUS seguido de la autenticación LDAP; de lo contrario, se recurre a Captcha a través de Visualizador nFactor

Consiga la autenticación RADIUS como la autenticación de primer nivel seguida de la autenticación LDAP. En caso de que RADIUS falle, la autenticación debe volver a Captcha.

Caso de uso 1

Para lograr este caso de uso, puede usar el visualizador nFactor. El Visualizador proporciona varios controles que se pueden utilizar para agregar este flujo y los elementos relacionados.

La siguiente ilustración muestra el flujo de nFactor creado para el caso de uso mencionado anteriormente mediante el visualizador.

Use case1 en el visualizador

  • RADIO. Configurar RADIUS como primer factor. Agregue un esquema de inicio de sesión y una directiva. En este ejemplo, radius_auth y Radius_Policy son el esquema de inicio de sesión y la directiva que se agregan. Para Radius_Policy, puede agregar otro factor para el caso de éxito. En este ejemplo, se agrega un bloque de factor LDAP para el caso de éxito. Para el caso de fallo, puede agregar un factor Captcha.

  • LDAP. Configurar la autenticación LDAP como segundo factor. Agregue un esquema de inicio de sesión y una directiva. En este ejemplo, ldap_auth y LDAP_Policy son el esquema de inicio de sesión y la directiva que se agregan.

  • Captcha. Para el caso de error de directiva RADIUS, se crea un factor Captcha. En este ejemplo, captcha y captcha_policy son el esquema de inicio de sesión y la directiva que se agregan.

Caso de uso 2: LDAP seguido de RADIUS/autenticación de certificados con Captcha basada en la pertenencia al grupo LDAP a través de Visualizador nFactor

Consiga la autenticación RADIUS como la autenticación de primer nivel seguida de la autenticación LDAP. En caso de que RADIUS falle, la autenticación debe volver a Captcha.

Caso de uso 2

La siguiente ilustración muestra el flujo de nFactor creado para el caso de uso mencionado anteriormente mediante el visualizador.

Use case2 en el visualizador

  • LDAP. Configurar LDAP como el primer factor. Agregue un esquema de inicio de sesión y una directiva. En este ejemplo, SingleAuth y LDAP_Policy son el esquema de inicio de sesión y la directiva que se agregan. Para LDAP_Policy, puede agregar otro factor para el caso de éxito. En este ejemplo, se agrega un bloque de decisión para el caso de éxito. Para el caso de fallo, puede agregar Captcha seguido del factor AD.

  • LDAP de extracción de grupo. Es el bloque de decisión agregado para el caso de éxito de LDAP. El bloque de decisión se utiliza como un factor de ramificación para ramificar los usuarios en función de las reglas de directiva. Visualizer permite configurar solo una directiva NO_AUTHN para el bloque de decisión.

    En este ejemplo, Group_Extraction_LDAP es el bloque de decisión. Agregue dos directivas (AD_Group_Partner and AD_Group_Employee) a este bloque de decisión. Como se explica en los casos de uso, todas las solicitudes enrutadas a través de la directiva AD_Group_Partner utilizan autenticación RADIUS. Por lo tanto, conecte el caso de éxito de esta directiva al siguiente factor que es el factor RADIUS. Del mismo modo, todas las solicitudes enrutadas a través de la directiva AD_Group_Employee utilizan autenticación de certificación. Por lo tanto, conecte el caso de éxito de esta directiva al siguiente factor que es el factor de autenticación de certificación.

    • RADIO. Para el caso de éxito de la directiva AD_Group_Partner, se crea el factor de autenticación RADIUS.

    • Certificado. Para el caso de éxito de la directiva AD_Group_Employee, se crea el factor de autenticación de certificado.

  • Captcha. Para el caso de error de directiva LDAP, cree dos factores siguientes, Captcha y factor AD.

Nota

  • Si tiene un caso de uso para ramificar como primera cosa, puede crear dos flujos y enlazar por separado o crear un flujo con el primero como rama de salida, y vincularlo al servidor virtual.
  • Si tiene varios bloques y para ver todo el flujo en la pantalla Flujo de nFactor, haga clic en el visualizador y arrastre el flujo hacia el extremo izquierdo.
  • Citrix recomienda modificar los flujos de nFactor mediante la página nFlujos de factor solamente.

Para configurar nFactor mediante el visualizador nFactor

Nota

La siguiente configuración nFactor es un ejemplo sencillo que le ayuda a realizar las configuraciones de caso de caso de uso 1.

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Visualizador nFactor > Flujos de nFactor.
  2. Haga clic en Agregar.
  3. En la página Flujos de factor, haga clic en + para agregar un primer factor para el flujo. El primer factor también sirve como un identificador para este flujo de nFactor.

    Adición de un factor

  4. Introduzca el nombre del factor y haga clic en Crear.

    Introduzca un nombre para el factor

    El nombre del factor aparece en el bloque de factores en la página Flujo de nFactor.

    Nota

    Citrix recomienda no utilizar nombres de etiqueta de directiva como,__root y __<flow_name>como sufijo y_db_prefijo. Se utiliza como los nombres de factores que se crean en el flujo de nFactor.

  5. Una vez creado el factor RADIUS, se deben crear Agregar esquema y Agregar directiva.

    Crear esquema y directiva

    Nota

    Para obtener más información, consulte Conceptos, entidades y terminología de nFactor.

  6. Haga clic en Agregar esquema. Puede agregar un nuevo esquema de inicio de sesión o seleccionar un esquema de inicio de sesión existente en la lista Esquema de inicio de sesión de autenticación.

    Agregar esquema

  7. Para crear un esquema de inicio de sesión, haga clic en Agregar y, en la página Crear esquema de inicio de sesión de autenticación, escriba el nombre del esquema. Haga clic en Modificar (icono de lápiz) para seleccionar los archivos de esquema de inicio de sesión en la lista.

    Nombre del esquema

  8. Haga clic en Agregar directiva. Puede crear una directiva de autenticación o seleccionar una directiva de autenticación existente.

    Agregar directiva

  9. Para crear una directiva nueva, haga clic en Agregar y, en la página Crear directiva de autenticación, escriba el nombre de la directiva y haga clic en Crear.

    Crear una directiva

  10. Después de agregar un esquema de inicio de sesión y una directiva al factor, el esquema de inicio de sesión y la directiva aparecen en el factor en el visualizador como se muestra en la siguiente ilustración. Para cualquier factor determinado, puede agregar varias directivas y definir el siguiente factor para el resultado correcto o incorrecto de cada directiva. También puede quitar las directivas que forman parte del factor.

    Esquema y directiva de inicio de sesión en el visualizador

  11. Después de crear el flujo, puede enlazar el flujo de nFactor a un servidor virtual de autenticación.

Agregar el siguiente factor

Para agregar el siguiente factor, puede seleccionar una de las siguientes opciones según su requisito:

  • Crear factor. Cree un factor. Cada factor que se crea en un flujo es exclusivo de ese flujo.
  • Cree un bloque de decisión. Cree un bloque de decisión que sirva como factor de ramificación. No puede agregar un esquema de inicio de sesión al bloque de decisión. Visualizer permite configurar solo una directiva NO_AUTHN para el bloque de decisión.

    Nota

    Solo puede agregar o modificar el bloque de decisión a través de la GUI de Citrix ADC. No hay opción para configurar el bloque de decisión desde el comando CLI.

  • Conéctese a un factor existente. Seleccione un factor existente como su siguiente factor. Todos los factores que aparecen en la lista existente se crean exclusivamente para ese flujo.
  • Ninguno. Quitar una conexión existente.

    Agregar el siguiente factor

    Agregar un bloque de decisión

Para enlazar el flujo de nFactor al servidor de autenticación

  1. En la página Flujos de nFactor, seleccione un flujo de nFactor que prefiera enlazar a un servidor virtual de autenticación.

  2. Haga clic en el icono de tres líneas para seleccionar la opción Vincular al servidor de autenticación o, en el panel de detalles, haga clic en Vincular al servidor de autenticación.

    Enlace al servidor de autenticación

  3. En la página Vincular al servidor de autenticación, puede realizar las siguientes acciones:

    • Para agregar un servidor virtual de autenticación, haga clic en Agregar.
    • Para seleccionar un servidor de autenticación existente de la lista, haga clic en el campo Servidor de autenticación.

    Selección de un servidor de autenticación

  4. Haga clic en Mostrar enlaces en el icono de tres líneas para ver los enlaces.

  5. Para desvincular el servidor de autenticación del flujo de nFactor específico, lleve a cabo los siguientes pasos:

    • En la página Flujo de nFactor, haga clic en Mostrar enlaces en el icono de hamburguesa.
    • En la página Enlaces del servidor de autenticación, seleccione el servidor de autenticación que quiere desenlazar y haga clic en Desenlazar. Haga clic en Cerrar.

    Desvinculación del servidor de autenticación

Para obtener más información sobre la autenticación nFactor, consulte los temas siguientes:

Mejoras en el visualizador nFactor

A partir de Citrix ADC versión 13.0 compilación 41.20, se realizan las siguientes mejoras en Visualizador nFactor.

  • Los administradores pueden mover los factores creados al icono de la papelera.
  • Vea los flujos nFactor en la página Servidor Virtual de Autenticación.

Icono de papelera. Los administradores solo pueden eliminar los nodos que no tienen conexiones. Sin embargo, las directivas subyacentes o los esquemas que se crean para el factor no se eliminan si el factor se mueve a la papelera.

Para ver el icono de papelera,

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Visualizador nFactor > Flujos de nFactor.

    Visualizador - icono de la papelera

  2. Para eliminar el factor, haga clic en el bloque de factores y arrástrelo a la papelera.

Ver el flujo de nFactor desde el servidor virtual de autenticación. Los administradores también pueden ver los flujos de NFactor creados desde la página Servidor Virtual de Autenticación.

Para ver el flujo de nFactor desde la página Servidor Virtual de Autenticación,

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones > Servidores virtuales. En la página Servidores virtuales de autenticación, puede realizar los siguientes pasos:
    • Para agregar un servidor virtual de autenticación, haga clic en Agregar.
    • Para modificar un servidor virtual de autenticación existente, haga clic en la opción Modificar en el panel de detalles.

    Agregar o modificar un servidor de autenticación

  2. En la página Servidor virtual de autenticación, puede ver la opción Flujo de nFactor en Directivas de autenticación avanzadas.

    Visualización del flujo de nFactor

  3. Si no hay flujo de nFactor enlazado al servidor virtual, puede hacer clic en la opción Sin flujo de nFactor en la sección Directivas de autenticación avanzadas para agregar un nuevo flujo de nFactor o seleccionar el flujo de nFactor existente de la lista.

    Cuando ningún flujo de nFactor está enlazado