Notification Push pour OTP
NetScaler Gateway prend en charge les notifications push pour OTP. Les utilisateurs n’ont pas à saisir manuellement l’OTP reçu sur leurs appareils enregistrés pour se connecter à NetScaler Gateway. Les administrateurs peuvent configurer NetScaler Gateway de telle sorte que les notifications de connexion soient envoyées aux appareils enregistrés des utilisateurs à l’aide de services de notification push. Lorsque les utilisateurs reçoivent la notification, ils doivent simplement appuyer sur Autoriser sur la notification pour se connecter à NetScaler Gateway. Lorsque la passerelle reçoit un accusé de réception de la part de l’utilisateur, elle identifie la source de la demande et envoie une réponse à cette connexion de navigateur.
Si la réponse à la notification n’est pas reçue dans le délai imparti (30 secondes), les utilisateurs sont redirigés vers la page de connexion de NetScaler Gateway. Les utilisateurs peuvent ensuite entrer l’OTP manuellement ou cliquer sur Renvoyer la notification pour recevoir à nouveau la notification sur l’appareil enregistré.
Les administrateurs peuvent faire de l’authentification par notification push l’authentification par défaut en utilisant les schémas de connexion créés pour les notifications push.
Important :
la fonctionnalité de notification push est disponible avec une licence NetScaler Premium Edition.
Avantages des notifications push
- Les notifications push fournissent un mécanisme d’authentification multifacteur plus sécurisé. L’authentification auprès de NetScaler Gateway échoue tant que l’utilisateur n’a pas approuvé la tentative de connexion.
- La notification Push est facile à administrer et à utiliser. Les utilisateurs doivent télécharger et installer l’application mobile Citrix SSO qui ne nécessite aucune assistance d’administrateur.
- Les utilisateurs n’ont pas besoin de copier ou de mémoriser le code. Ils doivent simplement appuyer sur l’appareil pour s’authentifier.
- Les utilisateurs peuvent enregistrer plusieurs appareils.
Fonctionnement des notifications push
Le flux de travail de notification push peut être classé en deux catégories :
- Enregistrement de l’appareil
- Connexion de l’utilisateur final
Conditions préalables à l’utilisation de la notification push
-
Terminez le processus d’intégration de Citrix Cloud.
-
Créez un compte d’entreprise Citrix Cloud ou rejoignez un compte existant. Pour obtenir des procédures détaillées et des instructions sur la procédure à suivre, consultez S’inscrire à Citrix Cloud.
-
Connectez-vous https://citrix.cloud.comà et sélectionnez le client.
-
Dans Menu, sélectionnez Identity and Access Management, puis accédez à l’onglet API Access pour créer un client pour le compte.
-
Copiez l’ID, le secret et l’ID client. L’ID et le secret sont nécessaires pour configurer le service push dans NetScaler en tant que « ClientID » et « ClientSecret » respectivement.
-
Important :
- Les mêmes informations d’identification d’API peuvent être utilisées sur plusieurs centres de données.
- Les appliances NetScaler locales doivent être capables de résoudre les adresses de serveur mfa.cloud.com et trust.citrixworkspacesapi.net et être accessibles depuis l’appliance. Cela permet de s’assurer qu’il n’y a pas de pare-feu ou de blocage d’adresse IP pour ces serveurs sur le port 443.
-
Téléchargez l’application mobile Citrix SSO sur l’App Store et le Play Store pour les appareils iOS et Android respectivement. La notification push est prise en charge sur iOS à partir de la version 1.1.13 sur Android à partir de la version 2.3.5.
-
Vérifiez les points suivants pour Active Directory.
- La longueur minimale des attributs doit être d’au moins 256 caractères.
- Le type d’attribut doit être « DirectoryString », par exemple UserParameters. Ces attributs peuvent contenir des valeurs de chaîne.
- Le type de chaîne d’attribut doit être Unicode, si le nom de l’appareil est en caractères non anglais.
- L’administrateur LDAP de NetScaler doit disposer d’un accès en écriture à l’attribut AD sélectionné.
- NetScaler et la machine cliente doivent être synchronisés avec un serveur Network Time commun.
Configuration des notifications Push
Voici les étapes de haut niveau qui doivent être effectuées pour utiliser la fonctionnalité de notification push.
-
L’administrateur de NetScaler Gateway doit configurer l’interface pour gérer et valider les utilisateurs.
-
Configurez un service Push.
-
Configurez NetScaler Gateway pour la gestion des OTP et la connexion des utilisateurs finaux.
Les utilisateurs doivent enregistrer leurs appareils auprès de la passerelle pour se connecter à NetScaler Gateway.
-
Enregistrez votre appareil auprès de NetScaler Gateway.
-
Connectez-vous à NetScaler Gateway.
-
Créer un service Push
-
Accédez à Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Actions > Service push, puis cliquez sur Ajouter.
-
Dans la zone Nom, saisissez le nom du service Push.
-
Dans Client ID, entrez l’identité unique de la partie de confiance pour communiquer avec le serveur NetScaler Push dans le cloud.
-
Dans Client Secret, entrez le secret unique de la partie qui se fie pour communiquer avec le serveur NetScaler Push dans le cloud.
-
Dans ID client, entrez l’ID client ou le nom du compte dans le cloud qui est utilisé pour créer la paire ID client et secret client.
Important
La version TLS 1.2 est requise pour le service push. Pour plus d’informations, reportez-vous à la section Détails de configuration TLS 1.2.
Configurer NetScaler Gateway pour la gestion des OTP et la connexion des utilisateurs finaux
Suivez les étapes suivantes pour la gestion OTP et la connexion de l’utilisateur final.
- Créer un schéma de connexion pour la gestion OTP
- Configuration du serveur virtuel d’authentification, d’autorisation et d’audit
- Configuration de serveurs virtuels VPN ou d’équilibrage de charge
- Configuration de l’étiquette de stratégie
- Créer un schéma de connexion pour la connexion de l’utilisateur final
Pour plus de détails sur la configuration, voir Prise en charge OTP native.
Important : Pour les notifications push, les administrateurs doivent configurer explicitement les éléments suivants :
- Créez un service Push.
- Lors de la création d’un schéma de connexion pour la gestion OTP, sélectionnez le schéma de connexion SingleAuthManageOTP.xml ou équivalent selon vos besoins.
- Lors de la création d’un schéma de connexion pour la connexion de l’utilisateur final, sélectionnez le schéma de connexion DualAuthOrPush.xml ou équivalent selon les besoins.
Enregistrez votre appareil auprès de NetScaler Gateway
Les utilisateurs doivent enregistrer leurs appareils auprès de NetScaler Gateway pour utiliser la fonctionnalité de notification push.
-
Dans votre navigateur Web, accédez à votre nom de domaine complet NetScaler Gateway et ajoutez-y le suffixe /manageotp .
La page d’authentification est chargée. Exemple : https://gateway.company.com/manageotp
-
Connectez-vous à l’aide de vos informations d’identification LDAP ou des mécanismes d’authentification à deux facteurs appropriés, le cas échéant.
-
Cliquez sur Ajouter appareil.
-
Entrez un nom pour votre appareil, puis cliquez sur OK.
Un code QR s’affiche sur la page du navigateur NetScaler Gateway.
-
Scannez ce code QR à l’aide de l’application Citrix SSO depuis l’appareil à enregistrer.
Citrix SSO valide le code QR, puis s’enregistre auprès de la passerelle pour recevoir des notifications push. S’il n’y a pas d’erreur dans le processus d’inscription, le jeton est correctement ajouté à la page des jetons de mot de passe.
Important :
La connexion échoue si vous entrez manuellement la clé secrète fournie dans le code QR.
-
S’il n’y a pas d’autres appareils à ajouter/gérer, déconnectez-vous à l’aide de la liste située dans le coin supérieur droit de la page.
Test de l’authentification par mot de passe unique
-
Pour tester l’OTP, cliquez sur votre appareil dans la liste, puis cliquez sur Test.
-
Saisissez le code OTP que vous avez reçu sur votre appareil, puis cliquez sur OK.
Le message de vérification OTP réussi s’affiche.
-
Déconnectez-vous en utilisant la liste en haut à droite de la page.
Remarque : Vous pouvez utiliser le portail de gestion OTP à tout moment pour tester l’authentification, supprimer des appareils enregistrés ou enregistrer d’autres appareils.
Connectez-vous à NetScaler Gateway
Après avoir enregistré leurs appareils auprès de NetScaler Gateway, les utilisateurs peuvent utiliser la fonctionnalité de notification push pour s’authentifier.
-
Accédez à votre page d’authentification NetScaler Gateway (par exemple :) https://gateway.company.com
Vous êtes invité à entrer uniquement vos informations d’identification LDAP en fonction de la configuration du schéma de connexion.
-
Saisissez votre nom d’utilisateur et votre mot de passe LDAP, puis sélectionnez Soumettre.
Une notification est envoyée sur votre appareil enregistré.
Remarque : Si vous souhaitez entrer manuellement l’OTP, vous devez sélectionner Cliquer pour saisir manuellement le code OTP et entrer l’OTP dans le champ TOTP .
-
Ouvrez l’application Citrix SSO sur votre appareil enregistré et appuyez sur Autoriser.
Remarque :
-
Sur un appareil iOS, vous êtes invité à saisir Touch-ID/Face-ID/Passcode comme facteur supplémentaire d’authentification.
-
Le serveur d’authentification attend la réponse de notification du serveur push jusqu’à ce que le délai d’expiration configuré expire. Une fois le délai écoulé, NetScaler Gateway affiche la page de connexion. Les utilisateurs peuvent ensuite entrer l’OTP manuellement ou cliquer sur Renvoyer la notification pour recevoir à nouveau la notification sur l’appareil enregistré. En fonction de l’option que vous avez sélectionnée, la passerelle valide l’OTP que vous avez saisi ou renvoie la notification sur votre appareil enregistré.
- Aucune notification n’est envoyée à votre appareil enregistré concernant un échec de connexion.
-
Conditions de panne
- L’enregistrement de l’appareil peut échouer dans les cas suivants.
- Le certificat de serveur n’est peut-être pas approuvé par la machine de l’utilisateur final.
- NetScaler Gateway utilisé pour s’inscrire à OTP n’est pas accessible par le client.
- Les notifications peuvent échouer dans les cas suivants.
- La machine utilisateur n’est pas connectée à Internet
- Les notifications sur la machine utilisateur sont bloquées
- L’utilisateur n’approuve pas la notification sur l’appareil
Dans ces cas, le serveur d’authentification attend l’expiration du délai d’expiration configuré. Une fois le délai écoulé, NetScaler Gateway affiche une page de connexion avec les options permettant de saisir manuellement l’OTP ou de renvoyer la notification sur votre appareil enregistré. En fonction de l’option sélectionnée, une validation supplémentaire se produit.
Journaux d’échec
Les journaux suivants sont attendus lorsque le service Push OTP n’est pas accessible.
- Échec de la notification Push lorsque la machine utilisateur n’est pas connectée à Internet - Push : échec de la préparation de la demande Push à “
client name
” pour le service Push. - Journal d’échec de l’enregistrement des appareils - Push : Aucun appareil n’est enregistré pour envoyer une demande Push au cloud pour “
client name
”. - Dans le cas où l’utilisateur n’accepte pas le push - Push : La réponse n’est pas vue du client, pour “
user name
”, vérifier les options de nouvelles tentatives.
Comportement de l’application Citrix SSO sur iOS — points à noter
Raccourcis de notification
L’application Citrix SSO iOS inclut la prise en charge des notifications exploitables afin d’améliorer l’expérience utilisateur. Une fois qu’une notification est reçue sur un appareil iOS, et si l’appareil est verrouillé ou si l’application Citrix SSO n’est pas au premier plan, les utilisateurs peuvent utiliser les raccourcis intégrés à la notification pour approuver ou refuser la demande de connexion.
Pour accéder aux raccourcis de notification, les utilisateurs doivent soit forcer le toucher (3D touch), soit appuyer longuement sur la notification en fonction du matériel de l’appareil. La sélection de l’action de raccourci Autoriser envoie une demande de connexion à NetScaler. Selon la façon dont la stratégie d’authentification est configurée sur le serveur virtuel d’authentification, d’autorisation et d’audit ;
- La demande de connexion peut être envoyée en arrière-plan sans qu’il soit nécessaire de lancer l’application au premier plan ou de déverrouiller l’appareil.
- L’application peut demander un code Touch-ID/Face-ID/Passcode comme facteur supplémentaire, auquel cas l’application est lancée au premier plan.
Suppression des jetons de mot de passe de Citrix SSO
-
Pour supprimer un jeton de mot de passe enregistré pour le push dans l’application Citrix SSO, les utilisateurs doivent effectuer les opérations suivantes :
- Désenregistrez (supprimez) l’appareil iOS/Android sur la passerelle. Le code QR permettant de supprimer l’enregistrement de l’appareil apparaît.
- Ouvrez l’application Citrix SSO et appuyez sur le bouton d’informations du jeton de mot de passe à supprimer.
- Appuyez sur Supprimer le jeton et scannez le code QR.
Remarque :
- Si le code QR est valide, le jeton est correctement supprimé de l’application Citrix SSO.
- Les utilisateurs peuvent appuyer sur Forcer la suppression pour supprimer un jeton de mot de passe sans avoir à scanner le code QR si l’appareil est déjà supprimé de la passerelle. La suppression forcée peut faire en sorte que l’appareil continue de recevoir des notifications s’il n’a pas été supprimé de NetScaler Gateway.