Authentification, autorisation et audit du trafic des applications
De nombreuses entreprises limitent l’accès au site Web aux seuls utilisateurs valides et contrôlent le niveau d’accès autorisé à chaque utilisateur. La fonctionnalité d’authentification, d’autorisation et d’audit permet à un administrateur de site de gérer les contrôles d’accès avec l’appliance NetScaler au lieu de gérer ces contrôles séparément pour chaque application. L’authentification sur la solution matérielle-logicielle permet également de partager ces informations sur tous les sites Web du même domaine qui sont protégés par la solution matérielle-logicielle.
Pour utiliser l’authentification, l’autorisation et l’audit, vous devez configurer des serveurs virtuels d’authentification pour gérer le processus d’authentification et des serveurs virtuels de gestion du trafic pour gérer le trafic vers les applications Web nécessitant une authentification. Vous configurez également votre DNS pour attribuer des noms de noms de noms de niveau de qualité à chaque serveur virtuel. Après avoir configuré les serveurs virtuels, vous configurez un compte utilisateur pour chaque utilisateur qui s’authentifiera via l’appliance NetScaler. Vous pouvez également créer des groupes et attribuer des comptes utilisateurs à des groupes. Après avoir créé des comptes d’utilisateurs et des groupes, vous configurez des stratégies qui indiquent à la solution matérielle-logicielle comment authentifier les utilisateurs, quelles ressources autoriser les utilisateurs à accéder et comment consigner les sessions utilisateur. Pour mettre en œuvre les stratégies, vous liez chaque stratégie globalement, à un serveur virtuel spécifique ou aux comptes ou groupes d’utilisateurs appropriés. Après avoir configuré vos stratégies, vous personnalisez les sessions utilisateur en configurant les paramètres de session et en liant vos stratégies de session au serveur virtuel de gestion du trafic. Enfin, si votre intranet utilise des certificats clients, vous configurez la configuration du certificat client.
Pour comprendre le fonctionnement de l’authentification, de l’autorisation et de l’audit dans un environnement distribué, envisagez une organisation dotée d’un intranet auquel ses employés accèdent au bureau, à domicile et en déplacement. Le contenu de l’intranet est confidentiel et nécessite un accès sécurisé. Tout utilisateur souhaitant accéder à l’intranet doit disposer d’un nom d’utilisateur et d’un mot de passe valides. Pour répondre à ces exigences, l’ADC effectue les opérations suivantes :
- Redirige l’utilisateur vers la page de connexion s’il accède à l’intranet sans s’être connecté.
-
Collecte les informations d’identification de l’utilisateur, les remet au serveur d’authentification et les met en cache dans un répertoire accessible via le protocole LDAP (Lightweight Directory Access Protocol). Pour plus d’informations, voir Déterminer les attributs dans votre annuaire LDAP.
- Vérifie que l’utilisateur est autorisé à accéder au contenu intranet spécifique avant de remettre la demande de l’utilisateur au serveur d’applications.
- Conserve un délai d’expiration de session après lequel les utilisateurs doivent s’authentifier à nouveau pour pouvoir accéder à nouveau à l’intranet. (Vous pouvez configurer le délai d’expiration.)
- Consigne l’accès de l’utilisateur, y compris les tentatives de connexion non valides, dans un journal d’audit.
types d’authentification pris en charge
- Local
- LDAP
- RADIUS
- SAML
- TACACS+
- Authentification du certificat client (incluant l’authentification par carte à puce)
- Web
- Une authentification avancée
- Authentification par formulaire
- Authentification basée sur 401
- OTP natif
- Notification Push
- Envoyer un e-mail à OTP
- reCAPTCHA
NetScaler Gateway prend également en charge RSA SecurID, Gemalto Protiva et SafeWord. Vous utilisez un serveur RADIUS pour configurer ces types d’authentification.
Avant de configurer l’authentification, l’autorisation et l’audit, vous devez connaître et comprendre comment configurer l’équilibrage de charge, la commutation de contenu et le protocole SSL sur l’appliance NetScaler.
Authentification sans autorisation
L’autorisation spécifie les ressources réseau auxquelles les utilisateurs ont accès lorsqu’ils ouvrent une session sur la solution matérielle-logicielle. Le paramètre par défaut de l’autorisation consiste à refuser l’accès à toutes les ressources réseau. Citrix recommande d’utiliser le paramètre global par défaut, puis de créer des stratégies d’autorisation pour définir les ressources réseau auxquelles les utilisateurs peuvent accéder.
Vous configurez l’autorisation sur la solution matérielle-logicielle à l’aide d’une stratégie d’autorisation et d’expressions. Après avoir créé une stratégie d’autorisation, vous pouvez la lier aux utilisateurs ou aux groupes que vous avez configurés sur l’appliance.
Vous pouvez configurer la solution matérielle-logicielle pour qu’elle utilise uniquement l’authentification, sans autorisation. Lorsque vous configurez l’authentification sans autorisation, la solution matérielle-logicielle n’effectue pas de vérification d’autorisation de groupe. Les stratégies que vous configurez pour l’utilisateur ou le groupe sont attribuées à l’utilisateur.
Activation de l’authentification, de l’autorisation et de l’audit
Pour utiliser la fonctionnalité d’authentification, d’autorisation et d’audit, vous devez l’activer. Vous pouvez configurer les entités d’authentification, d’autorisation et d’audit, telles que les serveurs virtuels d’authentification et de gestion du trafic, avant d’activer la fonctionnalité d’authentification, d’autorisation et d’audit, mais les entités ne fonctionnent pas tant que la fonctionnalité n’est pas activée.
Pour activer l’authentification, l’autorisation et l’audit à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez les commandes suivantes pour activer l’authentification, l’autorisation et l’audit et vérifier la configuration :
enable ns feature AAA
<!--NeedCopy-->
Pour activer l’authentification, l’autorisation et l’audit à l’aide de l’interface graphique
- Accédez à Système > Paramètres.
- Dans le volet d’informations, sous Modes et fonctionnalités, cliquez sur Modifier les fonctionnalités de base.
- Dans la boîte de dialogue Configurer les fonctionnalités de base, activez la case à cocher Authentification, autorisation et audit .
- Cliquez sur OK.
Désactivation de l’authentification
Si votre déploiement ne nécessite pas d’authentification, vous pouvez le désactiver. Vous pouvez désactiver l’authentification pour chaque serveur virtuel qui ne nécessite pas d’authentification.
Important :
Important : Citrix recommande de désactiver l’authentification avec prudence. Si vous n’utilisez pas de serveur d’authentification externe, créez des utilisateurs et des groupes locaux pour permettre à la solution matérielle-logicielle d’authentifier les utilisateurs. La désactivation de l’authentification arrête l’utilisation des fonctionnalités d’authentification, d’autorisation et de comptabilité qui contrôlent et surveillent les connexions à l’appliance. Lorsque les utilisateurs saisissent une adresse Web pour se connecter à la solution matérielle-logicielle, la page d’ouverture de session n’apparaît pas.
Pour désactiver l’authentification
- Accédez à Configuration > NetScaler Gateway > Serveurs virtuels.
- Dans le volet d’informations, cliquez sur un serveur virtuel, puis cliquez sur Ouvrir.
- Dans la page Paramètres de base, désactivez la case à cocher Activer l’authentification .