Configurar nFactor para aplicaciones con diferentes requisitos de sitio de inicio de sesión, incluida la autenticación escalonada

Normalmente, Citrix Gateway permite el acceso a varias aplicaciones. Dependiendo de los requisitos de seguridad, pueden tener un mecanismo de autenticación diferente. Es posible que algunas aplicaciones solo necesiten un factor único, como una intranet común. Otras aplicaciones como; SAP o herramientas de recursos humanos con datos más críticos deben tener al menos una autenticación multifactor. Sin embargo, la mayoría de los usuarios acceden solo a la intranet, por lo que multifactor para todas las aplicaciones no es la elección correcta.

En este tema se describe cómo cambiar el mecanismo de inicio de sesión dinámicamente en función de las necesidades del usuario que quiere acceder a la aplicación. Además, describa los pasos para configurar la autenticación.

Requisitos previos

Antes de configurar Citrix Gateway, revise los siguientes requisitos previos.

• Edición de licencia de Citrix ADC Advanced.
• La versión de la función NetScaler es 11.1 y posterior.
• Servidor LDAP.
• Servidor RADIUS.
• Dirección IP pública.

En el ejemplo de configuración, se utilizan dos aplicaciones con los siguientes requisitos de autenticación.

• Aplicación web verde
  • Requisito: Nombre de usuario + contraseña LDAP
• Aplicación web roja
  • Requisito: Nombre de usuario + contraseña LDAP + pin RADIUS

Nota

Junto a LDAP y RADIUS, puede utilizar otros métodos de autenticación como certificados de usuario, TACACS o SAML.

Configuración básica

1. Agregue ningún servidor y servicios virtuales de equilibrio de carga direccionable para ambas aplicaciones web.

   • Servidores virtuales de equilibrio de carga

     

   • Servicios

     

2. Agregue un servidor virtual de autenticación direccionable, autorización y auditoría básico para el inicio de sesión. No hay necesidad de más configuración en este momento.

   

3. Agregar servidor virtual Content Switching de tipo SSL con IP pública. En esta dirección IP, necesita registros DNS para cada aplicación a la que quiere acceder y también para la autenticación, autorización y auditoría del servidor virtual. En este ejemplo, utilice los siguientes nombres DNS:
   • green.lab.local: Aplicación verde
   • red.lab.local -> Aplicación Rojo
   • aaa.lab.local -> autenticación, autorización y auditoría del servidor virtual

   

   • Enlazar un certificado SSL con CN o SAN coincidentes para todos los registros DNS.

4. Agregue directivas de conmutador de contenido al servidor virtual. Una para cada aplicación, que debe coincidir con el nombre de host individual. Así es como el dispositivo Citrix ADC determina a qué aplicación quiere acceder el usuario. Además, agregue otra directiva para autenticación, autorización y auditoría con la expresión “true”.

   

5. Asegúrese de que la directiva de autenticación, autorización y auditoría tenga la máxima prioridad. De lo contrario, no sería posible acceder a las aplicaciones.

6. Agregue acciones de cambio de contenido para cada directiva que apunte al servidor virtual coincidente. En este ejemplo, en cada servidor virtual de equilibrio de carga y un servidor virtual de autenticación.

   

Configuración del nivel de autenticación

Después de completar los servidores virtuales básicos y la configuración de conmutación de contenido, habilite la autenticación y realice la definición fuerte o débil de las aplicaciones.

1. Desplácese hasta el servidor virtual de equilibrio de carga para la aplicación roja y habilite “Autenticación basada en formularios”. Y agregue un perfil de autenticación.

   

   

2. Introduzca el nombre de host del servidor virtual de autenticación, autorización y auditoría definido para la redirección cuando un usuario quiera acceder a la aplicación y no tenga ninguna sesión existente.

3. Elija el servidor virtual de autenticación como tipo y enlace la autenticación, la autorización y la auditoría del servidor virtual.

4. Defina un nivel de autenticación para configurar si una aplicación es más fuerte o más débil que otra. Una sesión en el nivel dado de 100 puede acceder a servidores virtuales con un nivel inferior sin volver a autenticarse. Por otro lado, esta sesión se ve obligada a autenticarse una vez más si el usuario intenta acceder a un servidor virtual con un nivel superior.

   

5. Repita el paso 1—4 con la aplicación Verde.

6. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Perfiles de autenticación para agregar Perfil de autenticación.

   

   Un perfil para cada aplicación, ambos apuntando al nombre de host del servidor virtual de autenticación, autorización y auditoría. En el ejemplo, la aplicación Rojo es más fuerte (Nivel 100) que la aplicación Verde (Nivel 90). Significa que un usuario con una sesión existente para Red puede acceder a Verde sin volver a autenticar. Al contrario, un usuario que accedió a Green al principio debe volver a autenticarse para la aplicación Red.

Configuración nFactor para autenticación multifactor

1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Esquema de inicio de sesión > Perfiles para agregar tres esquemas de inicio de sesión y obtener la página de inicio de sesión de Citrix ADC necesaria.

   • Esquema para la autenticación LDAP normal
     • Seleccione SingleAuth XML para presentar los dos campos. Uno para el nombre de usuario y el segundo para la contraseña LDAP.
     • Asegúrese de guardar el nombre de usuario en el índice 1 y la contraseña en el índice 2. Esto es importante para hacer reauth LDAP, cuando un usuario está accediendo a la aplicación Rojo después de la aplicación Verde.

   • Esquema para la reautenticación LDAP

     • Seleccione “noschema” porque el usuario no ve el proceso de reautenticación LDAP.

     • Rellene la expresión Usuario y Contraseña con los campos de atributo definidos en el primer esquema.

       

   • Esquema para autenticación RADIUS

     • Seleccione “OnlyPassword XML” para presentar solo un campo para el pin RADIUS. El nombre de usuario no es necesario debido al primer inicio de sesión LDAP.

       

2. El siguiente paso es agregar todas las directivas de autenticación necesarias para controlar el comportamiento de nuestro mecanismo de inicio de sesión. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticación > Directiva.

   • Agregue la directiva LDAP predeterminada con el servidor LDAP requerido.

     

   • Agregue la directiva RADIUS predeterminada con el servidor RADIUS requerido.

     

   • Agregue una tercera directiva de autenticación con el tipo de acción “NO_AUTH” y la expresión “true”. Esta directiva no tendrá ningún efecto que pasar al siguiente factor.

     

   • Cuarta directiva evalúa si un usuario quiere acceder a la aplicación más fuerte Red o no. Esto es importante para hacer una autenticación multifactor para Red.
     • Seleccione “LDAP” como tipo de acción y elija su servidor LDAP.

     • La expresión evalúa si se trata de la aplicación Red comprobando la cookie NSC_TMAP. El usuario emite esta cookie accediendo al sitio de inicio de sesión de Citrix ADC y contiene el nombre del perfil de autenticación vinculado al servidor virtual de equilibrio de carga al que se accede.

       

       

   • La última directiva comprueba si el usuario ha guardado las credenciales de un primer inicio de sesión más débil. Esto es importante para la reactivación automática de LDAP cuando un usuario accedió al principio a la aplicación más débil y ahora quiere iniciar la más fuerte.

     

3. Agregue algunas etiquetas de directiva para enlazar todas las directivas de autenticación y esquemas de inicio de sesión anteriores. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticación > PolicyLabel.

   • Al principio, comience con la etiqueta para la autenticación RADIUS.

     • Asigne un nombre adecuado para la etiqueta, seleccione el esquema anterior para RADIUS y haga clic en Continuar.

       

     • El último paso para esta etiqueta es enlazar la directiva de autenticación RADIUS predeterminada.

       

   • La segunda etiqueta hace la recarga de LDAP.

     • Agregue la etiqueta y vincule el esquema de relogin.

       

     • Enlazar la directiva de autenticación LDAP y establecer la etiqueta de directiva RADIUS como siguiente factor.

       

   • Agregue la última etiqueta para la primera autenticación LDAP.

     • Seleccione el esquema adecuado y haga clic en Continuar.

       

     • Enlazar la primera directiva para una autenticación segura y establecer GoTo Expression en “Finalizar”. Seleccione la etiqueta de directiva RADIUS como factor siguiente.

     • La segunda directiva es para la autenticación verde débil sin RADIUS.

     • Asegurar la prioridad de la unión.

   • Configure la autenticación, la autenticación y la auditoría. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales.

     • Abra el servidor virtual agregado anteriormente y establezca el tema del portalfavorito.

       

     • Enlazar las dos últimas directivas de autenticación restantes directamente en el servidor virtual.

       

     • Enlazar la directiva de relogin con “NO_AUTH” y la etiqueta de directiva de relogin LDAP como factor siguiente. Esto es para hacer el reauth automático de LDAP con una sesión existente.
     • Establezca la segunda directiva para que se establezca un puente directo con el siguiente factor LDAP cuando no haya ninguna sesión antes.

     • Como siempre, establezca las prioridades correctas.

       

Nota

El paso a paso también se puede crear a través del visualizador de nFactor disponible en Citrix ADC versión 13.0 y posterior.

Configuración de autenticación multifactor a través de Visualizador nFactor

1. Vaya a Seguridad > Tráfico de aplicaciones AAA > Visualizador nFactor > Flujo de factores y haga clic en Agregar.

2. Haga clic en el signo + para agregar el flujo de nFactor.

   

3. Introduzca el nombre del primer factor y haga clic en Crear.

   

4. No se necesita ningún esquema para el primer factor. Haga clic en Agregar directiva para agregar la directiva NO_AUTH como se muestra en el paso 2 de la configuración de autenticación multifactor.

   

5. Haga clic en azul + para agregar una segunda autenticación.

   

6. Elija la directiva de autenticación creada y haga clic en Agregar.

   

7. Haga clic en verde + para agregar un factor siguiente.

   

8. Para agregar el siguiente factor de autenticación, seleccione Crear factor, introduzca el nombre del factor y haga clic en Crear.

   

9. Para agregar un esquema, haga clic en Agregar esquema.

   

10. Elija el esquema creado en (configuración de autenticación multifactor) y haga clic en Aceptar.

    

11. Haga clic en Agregar directiva y elija la directiva de autenticación.

    

12. Haga clic en verde + para agregar otro factor para la autenticación RADIUS.

    

13. Cree otro factor siguiendo el paso 8.

14. Haga clic en Agregar esquema y elija esquema para la contraseña solo en la lista.

    

15. Haga clic en Agregar directiva para elegir la autenticación RADIUS y haga clic en Agregar.

    

16. Haga clic en verde + en el primer factor, junto a step_up-pol.

    

17. Cree otro factor siguiendo el paso 8.

    

18. Haga clic en Agregar esquema y elija el esquema.

    

19. Haga clic en Agregar directiva para elegir la directiva de autenticación.

    

20. Haga clic en azul + para agregar otra directiva de autenticación para la autenticación LDAP.

    

21. Elija la directiva de autenticación LDAP y haga clic en Agregar.

    

22. Haga clic en verde + junto a LDAP_Step_Up para agregar la autenticación RADIUS.

    

23. Como la autenticación RADIUS ya está presente, seleccione Conectar al factor existente y seleccione step_up-radius de la lista.

    

24. Haga clic en Listo para guardar la configuración.

25. Para enlazar el flujo de nFactor creado a un servidor virtual de autenticación, autorización y auditoría, haga clic en Vincular al servidor de autenticación y haga clic en Crear.

    

    Nota

    Enlazar y desvincular el flujo de nFactor a través de la opción dada en NFactor Flow bajo Mostrar enlaces solamente.

Desenlazar el flujo de nFactor

1. Seleccione el flujo nFactor y haga clic en Mostrar enlaces.

2. Seleccione el servidor virtual de autenticación y haga clic en Desenlazar.

   

Resultado

Los siguientes pasos le ayudan a acceder a la aplicación Rojo como primero.

1. Redirigir a la página de inicio de sesión del servidor virtual de autenticación, autorización y auditoría con un primer factor como LDAP, después de acceder a “red.lab.local”.

   

2. nFactor evalúa que el usuario quiere acceder a la aplicación Red y muestra el segundo factor RADIUS.

   

3. Citrix ADC otorga acceso a la aplicación Red.

   

4. Acceda a la aplicación Verde como sigue. Citrix ADC concede acceso inmediato debido a que la sesión de la aplicación más fuerte Rojo.

   

Los siguientes pasos le ayudan a acceder a la aplicación Verde como primero.

1. Redirigir a la página de inicio de sesión del servidor virtual de autenticación, autorización y auditoría después de acceder a “green.lab.local”.

   

2. nFactor evalúa la aplicación Green y otorga acceso sin el segundo factor.

   

3. Acceda a la aplicación Rojo como sigue. El nivel de autenticación más alto requiere volver a conectarse y nFactor hace que LDAP vuelva a conectarse automáticamente con credenciales guardadas desde el primer inicio de sesión en la aplicación Green. Introduzca solo la credencial RADIUS.

   

4. Citrix ADC otorga acceso a la aplicación Red.