nFactor para la autenticación de Gateway

La autenticación nFactor permite un conjunto completamente nuevo de posibilidades de autenticación. Los administradores que utilizan nFactor disfrutan de la flexibilidad de autenticación, autorización y auditoría (Citrix ADC AAA) al configurar los factores de autenticación para los servidores virtuales.

Dos bancos de directivas o dos factores ya no restringen a un administrador. El número de bancos de directivas puede ampliarse para adaptarse a diferentes necesidades. En función de factores anteriores, nFactor determina un método de autenticación. Los formularios de inicio de sesión dinámicos y las acciones en caso de fallo son posibles mediante nFactor.

Nota:

nFactor no es compatible con la edición estándar de Citrix ADC. Es compatible con Citrix ADC Enterprise Edition y Citrix ADC Platinum Edition.

Casos de uso

La autenticación nFactor permite flujos de autenticación dinámicos basados en el perfil de usuario. A veces, estos pueden ser flujos simples para ser intuitivos para el usuario. En otros casos, se pueden combinar con la protección de active directory u otros servidores de autenticación. A continuación se indican algunos requisitos específicos de Gateway:

1. Selección dinámica de nombre de usuario y contraseña. Tradicionalmente, los clientes Citrix (incluidos los navegadores y los receptores) utilizan la contraseña de Active Directory (AD) como primer campo de contraseña. La segunda contraseña está reservada para la contraseña de un solo tiempo (OTP). Sin embargo, para proteger los servidores de AD, es necesario validar primero OTP. nFactor puede hacerlo sin necesidad de modificaciones del cliente.

2. Puntofinal de autenticación multiinquilino . Algunas organizaciones utilizan distintos servidores de puerta de enlace para usuarios certificados y no certificados. Dado que los usuarios utilizan sus propios dispositivos para iniciar sesión, los niveles de acceso de los usuarios varían según el dispositivo NetScaler ADC según el dispositivo que se utilice. Gateway puede satisfacer diferentes necesidades de autenticación.

3. Autenticación basada en la pertenenciaa un grupo . Algunas organizaciones obtienen propiedades de usuario de los servidores de AD para determinar los requisitos de autenticación. Los requisitos de autenticación pueden variar para cada usuario.

4. Cofactoresde autenticación . En ocasiones, se utilizan diferentes pares de directivas de autenticación para autenticar distintos conjuntos de usuarios. La provisión de directivas de pares aumenta la autenticación efectiva. Las directivas dependientes se pueden crear a partir de un flujo. Por lo tanto, los conjuntos independientes de políticas se convierten en flujos propios que aumentan la eficiencia y reducen la complejidad.

Gestión de respuestas de autenticación

Los registros de devolución de llamada de NetScaler Gateway gestionan las respuestas de autenticación. Las respuestas AAAD (daemon de autenticación) y los códigos de éxito/fallo/error/diálogo se alimentan al gestor de devolución de llamada. Los códigos de éxito/fracaso/error/diálogo dirigen a Gateway a tomar las medidas adecuadas.

Asistencia del cliente

En la tabla siguiente se detallan los detalles de configuración.

Nota:

• El complemento Citrix Gateway admite la autenticación nFactor a partir de la versión 12.1 49.37.

• La aplicación Citrix Workspace admite la autenticación nFactor para los sistemas operativos compatibles de las siguientes versiones de la lista.

  • Windows 4.12
  • Linux 13.10
  • Mac 1808
  • iOS 2007
  • Android 1808
  • HTML5: compatible con Store Web
  • Chrome: compatible con Store Web

Configuración de línea de comandos

El servidor virtual de puerta de enlace necesita un servidor virtual de autenticación denominado como atributo. Esta es la única configuración requerida para este modelo.

add authnProfile <name-of-profile> -authnVsName <name-of-auth-vserver>
<!--NeedCopy-->

authnVsName es el nombre del servidor virtual de autenticación. Este servidor virtual debe configurarse con políticas de autenticación avanzadas y se usa para la autenticación nFactor.

add vpn vserver <name> <serviceType> <IP> <PORT> -authnProfile <name-of-profile>

set vpn vserver <name> -authnProfile <name-of-profile>
<!--NeedCopy-->

Donde authnProfile es el perfil de autenticación creado anteriormente.

Desafíos de interoperación

La mayoría de los clientes de Legacy Gateway y los clientes de RFWeb se basan en las respuestas enviadas por Gateway. Por ejemplo, se espera una respuesta 302 a /vpn/index.html para muchos clientes. Además, estos clientes dependen de varias cookies de Gateway , como pwcount«NSC_CERT», etc.

Análisis de punto final (EPA)

EPA en nFactor no es compatible con el módulo de autenticación, autorización y auditoría de NetScaler ADC. Por lo tanto, el servidor virtual de NetScaler Gateway lleva a cabo la EPA. Después de EPA, las credenciales de inicio de sesión se envían al servidor virtual de autenticación mediante la API mencionada anteriormente. Una vez finalizada la autenticación, Gateway continúa con el proceso posterior a la autenticación y establece la sesión de usuario.

Consideraciones de configuración errónea

El cliente Gateway envía las credenciales de usuario solo una vez. Gateway obtiene una o dos credenciales del cliente con la solicitud de inicio de sesión. En el modo heredado, hay un máximo de dos factores. Las contraseñas obtenidas se utilizan para estos factores. Sin embargo, con nFactor el número de factores que se pueden configurar es prácticamente ilimitado. Las contraseñas obtenidas del cliente Gateway se reutilizan (según la configuración) para los factores configurados. Debe tenerse cuidado de que la contraseña de un solo uso (OTP) no se reutilice varias veces. Del mismo modo, un administrador debe asegurarse de que la contraseña reutilizada en un factor sea aplicable a ese factor.

Definición de clientes Citrix

La opción de configuración se proporciona para ayudar a NetScaler ADC a determinar los clientes del explorador frente a los clientes gruesos como Receiver.

Se proporciona un conjunto de patrones, ns_vpn_client_useragents, para que el administrador configure patrones para todos los clientes Citrix.

Del mismo modo, vincular la cadena “Citrix Receiver” patset a lo anterior para ignorar todos los clientes Citrix que tengan “Citrix Receiver” en el agente de usuario.

Restricción de nFactor para Gateway

La autenticación de nFactor for Gateway no ocurre si se dan las siguientes condiciones.

1. AuthnProfile no está configurado en NetScaler Gateway.

2. Las directivas de autenticación avanzada no están enlazadas al servidor virtual de autenticación y el mismo servidor virtual de autenticación se menciona en AuthnProfile.

3. La cadena User-Agent de la solicitud HTTP coincide con los User-Agent configurados enpatset ns_vpn_client_useragents.

Si no se cumplen estas condiciones, se utiliza la directiva de autenticación clásica vinculada a Gateway.

Si un agente de usuario, o parte de él, está vinculado a lo mencionado anteriormente patset, las solicitudes procedentes de esos agentes de usuario no participan en el flujo de nFactor. Por ejemplo, el siguiente comando restringe la configuración de todos los exploradores (suponiendo que todos los exploradores contengan “Mozilla” en la cadena user-agent):

bind patset ns_vpn_client_useragents Mozilla
<!--NeedCopy-->

LoginSchema

LoginSchema es una representación lógica del formulario de inicio de sesión. El lenguaje XML lo define. La sintaxis de LoginSchema cumple con la especificación Common Forms Protocol de Citrix.

LoginSchema define la “vista” del producto. Un administrador puede proporcionar una descripción personalizada, texto de ayuda, etc. del formulario. Esto incluye las etiquetas del propio formulario. Un cliente puede proporcionar el mensaje de éxito o error que describe el formulario presentado en un momento determinado.

Se requieren conocimientos de LoginSchema y nFactor

Los archivos loginSchema precompilados se encuentran en la siguiente ubicación de NetScaler ADC /NSConfig/loginSchema/loginSchema/. Estos archivos de loginSchema prediseñados se adaptan a casos de uso comunes y se pueden modificar para obtener ligeras variaciones si es necesario.

Además, la mayoría de los casos de uso de un solo factor con pocas personalizaciones no necesitan la configuración del esquema de inicio de sesión.

Se recomienda al administrador que consulte la documentación del producto Citrix para ver otras opciones de configuración que permitan a Citrix ADC descubrir los factores. Una vez que el usuario envía las credenciales, el administrador puede configurar más de un factor para elegir y procesar de forma flexible los factores de autenticación.

Configuración de la autenticación de doble factor sin utilizar LoginSchema

NetScaler ADC determina automáticamente los requisitos de doble factor según la configuración. Una vez que el usuario presenta estas credenciales, el administrador puede configurar el primer conjunto de directivas en el servidor virtual. En cada directiva puede haber un “NextFactor” configurado como un “passthrough”. Una «transferencia» implica que el dispositivo Citrix ADC debe procesar el inicio de sesión con el conjunto de credenciales existente sin acudir al usuario. Mediante el uso de factores de “paso a través”, un administrador puede dirigir mediante programación el flujo de autenticación. Se recomienda a los administradores que lean la especificación nFactor o las guías de implementación para obtener más detalles. Consulte https://docs.citrix.com/en-us/netscaler/12-1/aaa-tm/multi-factor-nfactor-authentication.html.

Nombre de usuario: Contraseña y expresiones

Para procesar las credenciales de inicio de sesión, el administrador debe configurar LoginSchema. Los casos de uso de factor único o doble factor con pocas personalizaciones de LoginSchema no necesitan una definición XML específica. LoginSchema tiene otras propiedades, como userExpression y passwdExpression, que se pueden utilizar para modificar el nombre de usuario o la contraseña que presenta el usuario. Estas son expresiones de política avanzadas y también se pueden usar para anular la entrada del usuario.

Pasos de alto nivel en la configuración de n

El siguiente diagrama ilustra los pasos de alto nivel implicados en la configuración de nFactor.

Configuración GUI

En esta sección se describen los temas siguientes:

• Creación de un servidor virtual

• Crear servidor virtual de autenticación

• Crear perfil CERT de autenticación

• Creación de una directiva de autenticación

• Agregar un servidor de autenticación LDAP

• Agregar una directiva de autenticación LDAP

• Agregar un servidor de autenticación RADIUS

• Agregar una directiva de autenticación RADIUS

• Crear un esquema de inicio de sesión de autenticación

• Creación de una etiqueta de directiva

Creación de un servidor virtual

1. Vaya a NetScaler Gateway -> Servidores virtuales.

   

2. Haga clic en el botón Agregar para crear un servidor virtual de puerta de enlace.

   

3. Introduzca la siguiente información.

   Nombre del parámetro	Descripción del parámetro
   Escriba el nombre del servidor virtual.	Nombre del servidor virtual de NetScaler Gateway. Debe comenzar con un carácter alfabético ASCII o de subrayado (_) y debe contener solo caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), en (@), igual (=) y guión (-). Se puede cambiar una vez creado el servidor virtual. El siguiente requisito solo se aplica a la CLI de NetScaler ADC: Si el nombre incluye uno o más espacios, escriba el nombre entre comillas dobles o simples (por ejemplo, “mi servidor” o “mi servidor”).
   Introduzca el tipo de dirección IP del servidor virtual	Seleccione una opción Dirección IP o No direccionable del menú desplegable.
   Introduzca la dirección IP del servidor virtual.	Una dirección de protocolo de Internet (dirección IP) es una etiqueta numérica asignada a cada dispositivo que participa en la red informática que utiliza el protocolo de Internet para la comunicación.
   Introduzca el número de puerto del servidor virtual.	Introduzca el número de puerto.
   Introduzca el perfil de autenticación.	Entidad de perfil de autenticación en el servidor virtual. Esta entidad se puede utilizar para transferir la autenticación al servidor virtual Citrix ADC AAA para la autenticación multifactor (nFactor)
   Introduzca el perfil del servidor RDP.	Nombre del perfil del servidor RDP asociado al servidor virtual.
   Introduzca el número máximo de usuarios.	Número máximo de sesiones de usuario simultáneas permitidas en este servidor virtual. El número real de usuarios permitidos para iniciar sesión en este servidor virtual depende del número total de licencias de usuario.
   Introduzca el número máximo de intentos de inicio	Número máximo de intentos de inicio de sesión.
   Escriba el tiempo de espera de inicio de sesión fallido.	Número de minutos que se bloquea una cuenta si el usuario supera el número máximo de intentos permitidos.
   Introduzca la actualización del complemento EPA de Windows.	Opción para establecer el comportamiento de actualización de plug-ins para Win.
   Introduzca la actualización del complemento EPA de Linux.	Opción para establecer el comportamiento de actualización de plug-ins para Linux.
   Introduzca la actualización del plug-in MAC EPA	Opción para establecer el comportamiento de actualización de plug-ins para Mac.
   Login Once	Esta opción habilita o inhabilita el SSO sin interrupciones para este servidor virtual.
   Solo ICA	Cuando se establece en ON, implica el modo Básico, en el que el usuario puede iniciar sesión mediante la aplicación Citrix Workspace o un explorador y acceder a las aplicaciones publicadas configuradas en el entorno Citrix Virtual Apps and Desktops indicado en el Wihomeparámetro. No se permite a los usuarios conectarse mediante el plug-in de NetScaler Gateway y no se pueden configurar los análisis de punto final. El número de usuarios que pueden iniciar sesión y acceder a las aplicaciones no está limitado por la licencia de este modo. - Cuando está desactivado, implica el modo SmartAccess, en el que el usuario puede iniciar sesión mediante la aplicación Citrix Workspace, un explorador o un complemento de Citrix Gateway. El administrador puede configurar los análisis de puntos finales para que se ejecuten en los sistemas cliente y, a continuación, utilizar los resultados para controlar el acceso a las aplicaciones publicadas. En este modo, el cliente puede conectarse a la puerta de enlace en otros modos de cliente, como VPN y VPN sin cliente. El número de usuarios que pueden iniciar sesión y acceder a los recursos está limitado por las licencias de la CCU en este modo.
   Habilitar autenticación	Requiere autenticación para los usuarios que se conectan a NetScaler Gateway.
   Doble salto	Utilice el dispositivo NetScaler Gateway en una configuración de doble salto. Una implementación de doble salto proporciona una capa adicional de seguridad para la red interna mediante el uso de tres firewalls para dividir la DMZ en dos etapas. Dicha implementación puede tener un dispositivo en la DMZ y un dispositivo en la red segura.
   Flush de estado descendente	Cierre las conexiones existentes cuando el servidor virtual esté marcado como DOWN, lo que significa que es posible que el servidor haya agotado el tiempo de espera. La desconexión de las conexiones existentes libera recursos y, en algunos casos, acelera la recuperación de configuraciones de equilibrio de carga sobrecargadas. Habilite este ajuste en los servidores en los que las conexiones se puedan cerrar de forma segura cuando estén marcadas como DOWN. No habilite el vaciado de estado DOWN en los servidores que deben completar sus transacciones.
   DTLS	Esta opción inicie/detiene el servicio de turno en el servidor virtual
   Registro de AppFlow	Registre registros de AppFlow que contienen información estándar de NetFlow o IPFIX, como marcas de tiempo para el inicio y el final de un flujo, recuento de paquetes y recuento de bytes. También registra registros que contienen información a nivel de aplicación, como direcciones web HTTP, métodos de solicitud HTTP y códigos de estado de respuesta, tiempo de respuesta del servidor y latencia.
   Migración de sesión proxy ICA	Esta opción determina si se transfiere una sesión de proxy ICA existente cuando el usuario inicie sesión desde otro dispositivo.
   State	El estado actual del servidor virtual, como UP, DOWN, BUSY, etc.
   Habilitar certificado de dispositivo	Indica si la comprobación del certificado de dispositivo como parte de EPA está activada o desactivada.

   

4. Seleccione la sección Sin certificado de servidor de la página.

   

5. Haga clic en > para seleccionar el certificado del servidor.

6. Seleccione el Certificado SSL y haga clic en el botón Seleccionar.

   

7. Haga clic en Bind.

   

8. Si aparece una advertencia sobre No hay cifrados utilizables, haga clic en Aceptar

9. Haga clic en el botón Continuar.

   

10. En la sección Autenticación, haga clic en el icono + en la parte superior derecha.

    

Crear servidor virtual de autenticación

1. Vaya a Seguridad -> AAA — Tráfico de aplicaciones -> Servidores virtuales.

   

2. Haga clic en el botón Add.

   

3. Complete la siguiente configuración básica para crear el servidor virtual de autenticación.

   Nota: El signo * situado a la derecha del nombre de la configuración indica campos obligatorios.

   • Introduzca el nombre del nuevo servidor virtual de autenticación.

   • Introduzca el tipo de dirección IP. El tipo de dirección IP se puede configurar como no direccionable.

   • Introduzca la dirección IP. La dirección IP puede ser cero.

   • Introduzca el tipo de protocolo del servidor virtual de autenticación.

   • Introduzca el puerto TCP en el que el servidor virtual acepta conexiones.

   • Introduzca el dominio de la cookie de autenticación establecida por el servidor virtual de autenticación.

4. Haga clic en Aceptar.

   

5. Haga clic en Sin certificado de servidor.

   

6. Seleccione el certificado de servidor deseado de la lista.

   

7. Elija el certificado SSL deseado y haga clic en el botón Seleccionar.

   Nota: El servidor virtual de autenticación no necesita un certificado vinculado a él.

   

8. Configure el enlace de certificados de servidor.

   • Marque la casilla Certificado de servidor para SNI para enlazar una o más claves de certificado utilizadas para el procesamiento de SNI.

   • Haga clic en el botón Vincular.

   

Crear perfil CERT de autenticación

1. Vaya a Seguridad -> AAA — Tráfico de aplicaciones -> Políticas -> Autenticación -> Políticas básicas -> CERT.

   

2. Seleccione la ficha Perfiles y, a continuación, seleccione Agregar.

   

3. Complete los campos siguientes para crear el perfil CERT de autenticación. El signo * situado a la derecha del nombre de la configuración indica campos obligatorios.

   • Nombre: Nombre del perfil del servidor de autenticación del certificado del cliente (acción).

   • Dos factores: En este caso, la opción de autenticación de dos factores es NOOP.

   • Campo Nombre de usuario: Introduzca el campo client-cert del que se extrae el nombre de usuario. Debe establecerse como “Subject” o “” Emisor “” (incluya ambos conjuntos de comillas dobles).

   • Campo de nombre de grupo: Introduzca el campo cliente-cert del que se extrae el grupo. Debe establecerse como “Subject” o “” Emisor “” (incluya ambos conjuntos de comillas dobles).

   • Grupo de autenticación predeterminado: Es el grupo predeterminado que se elige cuando la autenticación se realiza correctamente además de los grupos extraídos.

4. Haga clic en Crear.

   

Creación de una directiva de autenticación

1. Vaya a Seguridad -> AAA — Tráfico de aplicaciones -> Políticas -> Autenticación -> Políticas avanzadas -> Política.

   

2. Seleccione el botón Agregar

   

3. Complete la siguiente información para crear una directiva de autenticación. El signo * situado a la derecha del nombre de la configuración indica campos obligatorios.

   a) Nombre : introduzca el nombre de la política de autenticación avanzada. Debe comenzar con una letra, un número o un carácter de guión bajo (_) y debe contener solo letras, números y guión (-), punto (.) almohadilla (#), espacio (), en (@), igual a (=), dos puntos (:) y guión bajo. No se puede cambiar una vez creada la directiva de autenticación.

   El siguiente requisito solo se aplica a la CLI de NetScaler ADC: Si el nombre incluye uno o más espacios, escriba el nombre entre comillas dobles o simples (por ejemplo, “mi directiva de autenticación” o “mi directiva de autenticación”).

   b) Tipo de acción: Introduzca el tipo de acción de autenticación.

   c) Acción: Introduzca el nombre de la acción de autenticación que se realizará si la directiva coincide.

   d) Acción de registro: Introduzca el nombre de la acción de registro de mensajes que se utilizará cuando una solicitud coincida con esta directiva.

   e) Expresión: Introduzca el nombre de la regla con nombre de NetScaler ADC, o una expresión de sintaxis predeterminada, que la directiva utiliza para determinar si se intenta autenticar al usuario con el servidor AUTHENTICATION.

   f) Comentarios: Introduzca cualquier comentario para conservar la información sobre esta directiva.

4. Haga clic en Crear.

   

Agregar un servidor de autenticación LDAP

1. Vaya a Seguridad -> AAA — Tráfico de aplicaciones -> Políticas -> Autenticación -> Políticas básicas -> LDAP .

   

2. Agregue un servidor LDAP seleccionando la ficha Servidor y seleccionando el botón Agregar.

   

Agregar una directiva de autenticación LDAP

1. Vaya a Seguridad -> AAA — Tráfico de aplicaciones -> Políticas -> Autenticación -> Políticas avanzadas -> Política.

   

2. Haga clic en Agregar para agregar una directiva de autenticación.

   

3. Complete la siguiente información para crear una directiva de autenticación. El signo * situado a la derecha del nombre de la configuración indica campos obligatorios.

   a) Nombre : nombre de la política de autenticación avanzada. Debe comenzar con una letra, un número o un carácter de guión bajo (_) y debe contener solo letras, números y guión (-), punto (.) almohadilla (#), espacio (), en (@), igual a (=), dos puntos (:) y guión bajo. No se puede cambiar una vez creada la directiva de autenticación.

   El siguiente requisito solo se aplica a la CLI de NetScaler ADC: Si el nombre incluye uno o más espacios, escriba el nombre entre comillas dobles o simples (por ejemplo, “mi directiva de autenticación” o “mi directiva de autenticación”).

   b) Tipo de acción: Tipo de acción de autenticación.

   c) Acción: Nombre de la acción de autenticación que se va a realizar si la directiva coincide.

   d) Acción de registro: Nombre de la acción de registro de mensajes que se utilizará cuando una solicitud coincida con esta directiva.

   e) Expresión: Nombre de la regla con nombre de NetScaler ADC, o una expresión de sintaxis predeterminada, que la directiva utiliza para determinar si se intenta autenticar al usuario con el servidor AUTHENTICATION.

   f) Comentarios: Cualquier comentario para preservar la información sobre esta directiva.

4. Haga clic en Crear.

   

Agregar un servidor de autenticación RADIUS

1. Vaya a Seguridad -> AAA — Tráfico de aplicaciones -> Políticas -> Autenticación -> Políticas básicas -> RADIUS.

   

2. Para agregar un servidor, seleccione la ficha Servidores y seleccione el botón Agregar.

   

3. Introduzca lo siguiente para crear un servidor RADIUS de autenticación. El signo * situado a la derecha del nombre de la configuración indica campos obligatorios.

   a) Introduzca un nombre para la acción RADIUS.

   b) Introduzca el nombre del servidor o la dirección IP del servidor asignados al servidor RADIUS.

   c) Introduzca el número de puerto en el que el servidor RADIUS escucha las conexiones.

   d) Introduzca el valor de tiempo de espera en unos segundos. Este es el valor por el que el dispositivo Citrix ADC espera una respuesta del servidor RADIUS.

   e) Introduzca la clave secreta que se comparte entre el servidor RADIUS y el dispositivo Citrix ADC. La clave secreta es necesaria para permitir que el dispositivo NetScaler ADC se comunique con el servidor RADIUS.

   f) Confirme la clave secreta .

4. Haga clic en Crear.

   

Agregar una directiva de autenticación RADIUS

1. Vaya a Seguridad -> AAA — Tráfico de aplicaciones -> Políticas -> Autenticación -> Políticas avanzadas -> Política.

   

2. Haga clic en Agregar para crear una directiva de autenticación.

   

3. Complete la siguiente información para crear una directiva de autenticación. El signo * situado a la derecha del nombre de la configuración indica campos obligatorios.

   a) Nombre : nombre de la política de autenticación avanzada. Debe comenzar con una letra, un número o un carácter de guión bajo (_) y debe contener solo letras, números y guión (-), punto (.) almohadilla (#), espacio (), en (@), igual a (=), dos puntos (:) y guión bajo. No se puede cambiar una vez creada la directiva de autenticación.

   El siguiente requisito solo se aplica a la CLI de NetScaler ADC: Si el nombre incluye uno o más espacios, escriba el nombre entre comillas dobles o simples (por ejemplo, “mi directiva de autenticación” o “mi directiva de autenticación”).

   b) Tipo de acción: Tipo de acción de autenticación.

   c) Acción: Nombre de la acción de autenticación que se va a realizar si la directiva coincide.

   d) Acción de registro: Nombre de la acción de registro de mensajes que se utilizará cuando una solicitud coincida con esta directiva.

   e) Expresión: Nombre de la regla con nombre de NetScaler ADC, o una expresión de sintaxis predeterminada, que la directiva utiliza para determinar si se intenta autenticar al usuario con el servidor AUTHENTICATION.

   f) Comentarios: Cualquier comentario para preservar la información sobre esta directiva.

4. Haga clic en OK.

   

5. Compruebe que la directiva de autenticación aparezca en la lista.

   

Crear un esquema de inicio de sesión de autenticación

1. Vaya a Seguridad -> AAA — Tráfico de aplicaciones -> Esquema de inicio de sesión.

   

2. Seleccione la ficha Perfiles y haga clic en el botón Agregar.

   

3. Complete los campos siguientes para crear un esquema de inicio de sesión de autenticación:

   a) Introduzca el nombre : este es el nombre del nuevo esquema de inicio de sesión.

   b) Introduzca el esquema de autenticación : este es el nombre del archivo para leer un esquema de autenticación que se enviará a la interfaz de usuario de la página de inicio de sesión. Este archivo debe contener la definición xml de los elementos según el Protocolo de autenticación de Citrix Forms para poder procesar el formulario de inicio de sesión. Si un administrador no desea solicitar a los usuarios otras credenciales, sino continuar con las credenciales obtenidas anteriormente, se noschemapuede dar como argumento. Esto solo se aplica a los loginSchemas que se utilizan con factores definidos por el usuario y no al factor de servidor virtual

   c) Introduzca la expresión de usuario : la expresión para la extracción del nombre de usuario durante el inicio de sesión

   d) Introduzca la expresión de contraseña: Esta es la expresión para la extracción de contraseña durante el inicio de sesión

   e) Introduzca el índice de credenciales de usuario : este es el índice en el que el nombre de usuario introducido por el usuario debe almacenarse durante la sesión.

   f) Introduzca el índice de credenciales de contraseña : este es el índice en el que se debe almacenar la contraseña introducida por el usuario durante la sesión.

   g) Introduzca la fuerza de autenticación: Este es el peso de la autenticación actual.

4. Haga clic en Crear.

   

   1. Compruebe que su perfil de esquema de inicio de sesión aparezca en la lista.

   

Creación de una etiqueta de directiva

Una etiqueta de directiva especifica las directivas de autenticación de un factor concreto. Cada etiqueta de directiva corresponde a un único factor. La etiqueta de directiva especifica el formulario de inicio de sesión que debe presentarse al usuario. La etiqueta de directiva debe estar vinculada como el siguiente factor de una directiva de autenticación o de otra etiqueta de directiva de autenticación. Normalmente, una etiqueta de directiva incluye directivas de autenticación para un mecanismo de autenticación específico. Sin embargo, también puede tener una etiqueta de directiva que tenga directivas de autenticación para distintos mecanismos de autenticación.

1. Vaya a Seguridad -> AAA — Tráfico de aplicaciones -> Políticas -> Autenticación -> Políticas avanzadas -> Etiqueta de política.

   

2. Haga clic en el botón Add.

   

3. Complete los campos siguientes para crear una etiqueta de directiva de autenticación:

   a) Introduzca el nombre de la nueva etiqueta de directiva de autenticación.

   b) Introduzca el esquema de inicio de sesión asociado a la etiqueta de la política de autenticación.

   c) Haga clic en Continuar.

   

4. Seleccione una directiva en el menú desplegable.

   

5. Elija la directiva de autenticación deseada y haga clic en el botón Seleccionar.

   

6. Rellene los campos siguientes:

   a) Introduzca la prioridad de la vinculación de la directiva.

   b) Introduzca la expresión Goto: La expresión especifica la prioridad de la siguiente política que se evaluará si la regla de política actual se evalúa como TRUE.

   

7. Seleccione la directiva de autenticación deseada y haga clic en el botón Seleccionar.

   

8. Haga clic en el botón Vincular.

   

9. Haga clic en Listo.

   

10. Revise la etiqueta de directiva de autenticación.