ADC

Configurer nFactor pour les applications ayant des exigences de site de connexion différentes, y compris l’authentification renforcée

En général, un NetScaler Gateway permet d’accéder à plusieurs applications. Selon les exigences de sécurité, ils peuvent disposer d’un mécanisme d’authentification différent. Certaines applications peuvent n’avoir besoin que d’un seul facteur, comme un intranet commun. D’autres applications telles que SAP ou les outils RH contenant des données plus critiques doivent disposer d’au moins une authentification multifactorielle. Cependant, la plupart des utilisateurs n’accèdent qu’à l’intranet, de sorte que le multifacteur pour toutes les applications n’est pas le bon choix.

Cette rubrique explique comment modifier le mécanisme de connexion de manière dynamique en fonction des besoins de l’utilisateur qui souhaite accéder à l’application. Décrivez également les étapes de configuration de l’authentification.

Conditions préalables

Avant de configurer NetScaler Gateway, vérifiez les prérequis suivants.

  • Édition de licence NetScaler Advanced.
  • La version de la fonctionnalité NetScaler est 11.1 et ultérieure.
  • Serveur LDAP.
  • Serveur RADIUS.
  • Adresse IP publique.

Dans l’exemple de configuration, vous utilisez deux applications avec les exigences d’authentification suivantes.

  • Application Web verte
    • Exigence : nom d’utilisateur et mot de passe LDAP
  • Application Web rouge
    • Exigence : nom d’utilisateur + mot de passe LDAP + code PIN RADIUS

Remarque

Outre LDAP et RADIUS, vous pouvez utiliser d’autres méthodes d’authentification, telles que les certificats utilisateur, TACACS ou SAML, si possible.

Configuration de base

  1. Ajoutez des serveurs virtuels et des services d’équilibrage de charge non adressables pour les deux applications Web.

    • Équilibrage de charge des serveurs virtuels

      Serveur virtuel d'équilibrage de charge

    • Services

      Serveur virtuel d'équilibrage de charge

  2. Ajoutez un serveur virtuel d’authentification, d’autorisation et d’audit de base non adressable pour la connexion. Aucune configuration supplémentaire n’est nécessaire pour le moment.

    Serveur virtuel d'équilibrage de charge

  3. Ajoutez un serveur virtuel de commutation de contenu de type SSL avec adresse IP publique. Sur cette adresse IP, vous avez besoin d’enregistrements DNS pour chaque application à laquelle vous souhaitez accéder ainsi que pour l’authentification, l’autorisation et l’audit du serveur virtuel. Dans cet exemple, vous utilisez les noms DNS suivants :
    • green.lab.local - Application verte
    • red.lab.local -> Application Red
    • aaa.lab.local -> serveur virtuel d’authentification, d’autorisation et d’audit

    Serveur virtuel d'équilibrage de charge

    • Liez un certificat SSL avec le CN ou le SAN correspondant pour tous les enregistrements DNS.
  4. Ajoutez des stratégies de commutateur de contenu au serveur virtuel. Un pour chaque application, qui doit correspondre au nom d’hôte individuel. C’est ainsi que NetScaler détermine à quelle application l’utilisateur souhaite accéder. En outre, ajoutez une autre stratégie pour l’authentification, l’autorisation et l’audit avec l’expression « true ».

    Serveur virtuel d'équilibrage de charge

  5. Assurez-vous que la stratégie d’authentification, d’autorisation et d’audit a la priorité la plus élevée. Dans le cas contraire, il ne serait pas possible d’accéder aux applications.

  6. Ajoutez des actions de commutateur de contenu pour chaque stratégie pointant sur le serveur virtuel correspondant. Dans cet exemple, sur chaque serveur virtuel d’équilibrage de charge et sur un serveur virtuel d’authentification.

    Serveur virtuel d'équilibrage de charge

Configuration du niveau d’authentification

Après avoir terminé la configuration de base des serveurs virtuels et de la commutation de contenu, vous activez l’authentification et définissez la définition forte ou faible pour vos applications.

  1. Accédez au serveur virtuel d’équilibrage de charge pour l’application Red et activez « l’authentification basée sur un formulaire ». Et ajoutez un profil d’authentification.

    Serveur virtuel d'équilibrage de charge

    Serveur virtuel d'équilibrage de charge

  2. Entrez le nom d’hôte du serveur virtuel d’authentification, d’autorisation et d’audit défini pour la redirection lorsqu’un utilisateur souhaite accéder à l’application et n’a pas de session existante.

  3. Choisissez le serveur virtuel d’authentification comme type et liez le serveur virtuel d’authentification, d’autorisation et d’audit.

  4. Définissez un niveau d’authentification pour configurer si une application est plus forte ou plus faible qu’une autre. Une session au niveau donné de 100 peut accéder à des serveurs virtuels de niveau inférieur sans se réauthentifier. En revanche, cette session est obligée de s’authentifier à nouveau si l’utilisateur essaie d’accéder à un serveur virtuel de niveau supérieur.

    Configurer le profil d'authentification

  5. Répétez les étapes 1 à 4 avec l’application Green.

  6. Accédez à Sécurité > AAA - Trafic d’applications > Profils d’authentification pour ajouter un profil d’authentification.

    Configuration des profils d'authentification

    Un profil pour chaque application, pointant tous deux sur le nom d’hôte du serveur virtuel d’authentification, d’autorisation et d’audit. Dans l’exemple, l’application rouge est plus forte (niveau 100) que l’application verte (niveau 90). Cela signifie qu’un utilisateur disposant d’une session existante pour Red peut accéder à Green sans se réauthentifier. Dans l’autre sens, un utilisateur qui a accédé à Green pour la première fois doit s’authentifier à nouveau pour l’application Red.

Configuration de nFactor pour l’authentification multifactorielle

  1. Accédez à Sécurité > AAA - Trafic d’applications > Schéma de connexion > Profils pour ajouter trois schémas de connexion et accéder à la page de connexion NetScaler requise.

    • Schéma d’authentification LDAP normale
      • Sélectionnez SingleAuth XML pour afficher les deux champs. Un pour le nom d’utilisateur et le second pour le mot de passe LDAP.
      • Veillez à enregistrer le nom d’utilisateur à l’index 1 et le mot de passe à l’index 2. Ceci est important pour effectuer une authentification LDAP, lorsqu’un utilisateur accède à l’application Red après l’application Green.
    • Schéma pour la réauthentification LDAP

      • Sélectionnez « noschema » car l’utilisateur ne voit pas le processus de réauthentification LDAP.
      • Renseignez l’expression Utilisateur et Mot de passe avec les champs attributaires que vous avez définis dans le premier schéma.

        Configuration des profils d'authentification

    • Schéma d’authentification RADIUS
      • Sélectionnez « OnlyPassword XML » pour ne présenter qu’un seul champ pour le code PIN RADIUS. Le nom d’utilisateur n’est pas nécessaire en raison de la première connexion LDAP.

        Configurer le schéma de connexion d'authentification

  2. L’étape suivante consiste à ajouter toutes les stratégies d’authentification nécessaires pour contrôler le comportement de notre mécanisme de connexion. Accédez à Sécurité > AAA - Trafic des applications > Stratégies > Authentification > Stratégie.

    • Ajoutez la stratégie LDAP par défaut avec le serveur LDAP requis.

      Configurer la stratégie d'authentification

    • Ajoutez la stratégie RADIUS par défaut avec le serveur RADIUS requis.

      Configurer la stratégie d'authentification

    • Ajoutez une troisième stratégie d’authentification avec le type d’action « NO_AUTH » et l’expression « true ». Cette stratégie n’aura aucun effet que de se rapprocher du facteur suivant.

      Configurer la stratégie d'authentification

    • Quatrième stratégie évalue si un utilisateur veut accéder à l’application plus forte Rouge ou non. Ceci est important pour effectuer une authentification multifactorielle pour Red.
      • Sélectionnez « LDAP » comme type d’action et choisissez votre serveur LDAP.
      • L’expression évalue s’il s’agit de l’application Red en vérifiant le cookie NSC_TMAP. L’utilisateur émet ce cookie en accédant au site de connexion de NetScaler et contient le nom du profil d’authentification lié au serveur virtuel d’équilibrage de charge consulté.

        Stratégie de serveur virtuel LDAP

        Page de connexion à NetScaler

    • La dernière règle vérifie si l’utilisateur a enregistré les informations d’identification issues d’une première connexion plus faible. Cela est important pour la reconnexion automatique à LDAP lorsqu’un utilisateur a accédé pour la première fois à l’application la plus faible et souhaite maintenant démarrer l’application la plus puissante.

      Page de connexion à NetScaler

  3. Vous ajoutez des étiquettes de stratégie pour lier toutes les stratégies d’authentification et schémas de connexion précédents. Accédez à Sécurité > AAA - Trafic d’application > Stratégies > Authentification > Étiquette de stratégie.

    • Commencez par l’étiquette pour l’authentification RADIUS.

      • Donnez un nom approprié à l’étiquette, sélectionnez le schéma précédent pour RADIUS et cliquez sur Continuer.

        Libellé stratégie

      • La dernière étape de cette étiquette consiste à lier la stratégie d’authentification RADIUS par défaut.

        Libellé stratégie

    • La deuxième étiquette permet de se reconnecter à LDAP.
      • Ajoutez l’étiquette et liez le schéma de reconnexion.

        Schéma de reconnexion

      • Liez la stratégie d’authentification LDAP et définissez l’étiquette de stratégie RADIUS comme facteur suivant.

        Lier la stratégie d'authentification LDAP

    • Ajoutez la dernière étiquette pour la première authentification LDAP.
      • Sélectionnez le schéma approprié et cliquez sur Continuer.

        Sélectionner l'étiquette de stratégie d'authentification

      • Liez la première stratégie pour une authentification forte et définissez Goto Expression sur « Fin ». Sélectionnez l’étiquette de stratégie RADIUS comme facteur suivant.

      • La deuxième stratégie est pour l’authentification verte faible sans RADIUS.

      • Assurez-vous de la priorité de la reliure.

    • Configurez l’authentification, l’authentification et l’audit. Accédez à Sécurité > AAA - Trafic d’applications > Serveurs virtuels.

      • Ouvrez le serveur virtuel ajouté précédemment et définissez le thème de portailpréféré.

        Sélectionner l'étiquette de stratégie d'authentification

      • Liez les deux dernières stratégies d’authentification restantes directement sur le serveur virtuel.

        Stratégie d'authentification anticipée

      • Lier la stratégie de reconnexion avec « NO_AUTH » et l’étiquette de stratégie de reconnexion LDAP comme facteur suivant. Cela permet d’effectuer la reconnexion LDAP automatique avec une session existante.
      • Définissez la deuxième stratégie pour qu’elle relie directement au facteur suivant LDAP lorsqu’aucune session n’existe auparavant.
      • Comme toujours, établissez les bonnes priorités.

        Stratégie d'authentification prioritaire

Remarque

Le step up peut également être créé via le visualiseur nFactor disponible dans NetScaler version 13.0 et versions ultérieures.

Authentification de configuration du visualiseur nFactor

Configuration de l’authentification multifactorielle via nFactor Visualizer

  1. Accédez à Sécurité > Trafic des applications AAA > Visualiseur nFactor > Flux nFactor et cliquez sur Ajouter.
  2. Cliquez sur le signe + pour ajouter le nFactor Flow.

    Ajouter un flux nFactor

  3. Entrez le nom du premier facteur et cliquez sur Créer.

    Créer un premier facteur

  4. Aucun schéma n’est nécessaire pour le premier facteur. Cliquez sur Ajouter une stratégie pour ajouter une stratégie NO_AUTH comme indiqué à l’étape 2 de la configuration d’authentification multifacteur.

    Choisir une stratégie ajouter

  5. Cliquez sur le signe bleu + pour ajouter une deuxième authentification.

    Deuxième authentification

  6. Choisissez la stratégie d’authentification créée et cliquez sur Ajouter.

    Ajouter une stratégie choisissez

  7. Cliquez sur le signe vert + pour ajouter un facteur suivant.

    Ajout de la stratégie

  8. Pour ajouter le facteur d’authentification suivant, sélectionnez Créer un facteur, entrez le nom du facteur et cliquez sur Créer .

    Créer une reconnexion factorielle

  9. Pour ajouter un schéma, cliquez sur Ajouter un schéma.

    Ajouter une authentification par étape

  10. Choisissez le schéma créé dans (configuration de l’authentification multifactorielle), puis cliquez sur OK.

    Schéma de connexion d'authentification

  11. Cliquez sur Ajouter une stratégie et choisissez la stratégie d’authentification.

    LDAP ajoute une authentification

  12. Cliquez sur le signe vert + pour ajouter un autre facteur d’authentification RADIUS.

    Schéma de connexion d'authentification

  13. Créez un autre facteur en suivant l’étape 8.

  14. Cliquez sur Ajouter un schéma et choisissez le schéma pour le mot de passe uniquement dans la liste.

    Liste des schémas de mots de passe

  15. Cliquez sur Ajouter une stratégie pour choisir Authentification RADIUS, puis cliquez sur Ajouter .

    RADIUS policy auth

  16. Cliquez sur le signe vert + dans le premier facteur, à côté de step_up-pol.

    RADIUS policy auth

  17. Créez un autre facteur en suivant l’étape 8.

    Améliorez le LDAP

  18. Cliquez sur Ajouter un schéma et choisissez le schéma.

    Schéma d'authentification unique

  19. Cliquez sur Ajouter une stratégie pour choisir une stratégie d’authentification.

    LDAP passe à la vitesse supérieure

  20. Cliquez sur bleu+ pour ajouter une autre stratégie d’authentification pour l’authentification LDAP.

    LDAP autre stratégie

  21. Choisissez la stratégie d’authentification LDAP et cliquez sur Ajouter.

    Stratégie adv LDAP

  22. Cliquez sur le signe vert + à côté de LDAP_Step_Up pour ajouter l’authentification RADIUS.

    Ajouter une authentification RADIUS

  23. Comme l’authentification RADIUS est déjà présente, sélectionnez Se connecter à un facteur existant, puis sélectionnez step_up-radius dans la liste.

    Ajouter une authentification RADIUS

  24. Cliquez sur Terminé pour enregistrer la configuration.

  25. Pour lier le flux nFactor créé à un serveur virtuel d’authentification, d’autorisation et d’audit, cliquez sur Liaison au serveur d’authentification, puis sur Créer.

    Serveur d'authentification créé par Bind

    Remarque

    Liez et dissociez le flux nFactor via l’option donnée dans nFactor Flow sous Afficher les liaisons uniquement.

Délier le flux NFactor

  1. Sélectionnez le flux nFactor et cliquez sur Afficher les liaisons.

  2. Sélectionnez le serveur virtuel d’authentification et cliquez sur Délier.

    Dissocier le serveur d'authentification

Résultat

Les étapes suivantes vous aideront à accéder d’abord à l’application Red.

  1. Redirection vers la page de connexion du serveur virtuel d’authentification, d’autorisation et d’audit avec un premier facteur comme LDAP, après avoir accédé à « red.lab.local ».

    Page de connexion Auth

  2. nFactor évalue si l’utilisateur souhaite accéder à l’application Red et affiche le second facteur RADIUS.

    Deuxième facteur RADIUS

  3. NetScaler autorise l’accès à l’application Red.

    Affichage rouge de l'application

  4. Accédez à l’application Green comme suit. NetScaler accorde un accès immédiat car la session de l’application la plus puissante est Red.

    Affichage vert de l'application

Les étapes suivantes vous aideront à accéder à l’application Green dans un premier temps.

  1. Redirection vers la page de connexion du serveur virtuel d’authentification, d’autorisation et d’audit après avoir accédé à « green.lab.local ».

    Page de connexion Auth

  2. nFactor évalue l’application Green et autorise l’accès sans le second facteur.

    Affichage vert de l'application

  3. Accédez à l’application Red comme suit. Un niveau d’authentification plus élevé nécessite une reconnexion et nFactor se reconnecte automatiquement à LDAP avec les informations d’identification enregistrées lors de la première connexion sur l’application Green. Vous entrez uniquement les informations d’identification RADIUS.

    Deuxième facteur RADIUS

  4. NetScaler autorise l’accès à l’application Red.

    Affichage rouge de l'application

Configurer nFactor pour les applications ayant des exigences de site de connexion différentes, y compris l’authentification renforcée