Authentification nFactor
Important
- L’authentification nFactor est prise en charge à partir de NetScaler 11.0 Build 62.x.
- Pour que l’authentification nFactor fonctionne avec Citrix ADC, une licence Advanced ou une licence Premium est requise.
- À partir de la version 13.0 build 67.x, l’authentification NFactor est prise en charge avec la licence Standard uniquement pour le serveur virtuel Gateway/VPN. Pour plus d’informations sur l’authentification NFactor avec NetScaler Gateway, consultez nFactor for Gateway Authentication.
- L’authentification nFactor n’est pas prise en charge pour le client Linux.
L’authentification multifacteur améliore la sécurité d’une application en exigeant des utilisateurs qu’ils fournissent plusieurs preuves d’identification pour y accéder. L’appliance Citrix ADC fournit une approche extensible et flexible pour configurer l’authentification multifacteur. Cette approche s’appelle l’ authentification nFactor.
Comment fonctionne l’authentification nFactor
Chaque facteur d’authentification effectue les tâches suivantes :
-
Collecte les informations d’identification auprès de l’utilisateur. Les mécanismes d’authentification pris en charge par Citrix ADC incluent LDAP, RADIUS, assertion SAML, certificat client, OAuth OpenID Connect, Kerberos, etc.
-
Évalue les informations d’identification fournies pour décider si l’authentification a réussi, échoué ou si des actions telles que l’extraction de groupe ou l’extraction d’attributs doivent être effectuées.
-
Sur la base des résultats de l’évaluation, l’accès est soit accordé, soit refusé, soit un facteur suivant est sélectionné.
-
Répétez ces étapes jusqu’à ce qu’il n’y ait plus aucun autre facteur à évaluer.
Avec l’authentification nFactor, vous pouvez :
- Configurez un nombre illimité de facteurs d’authentification.
- Baser la sélection du facteur suivant sur le résultat de l’exécution du facteur précédent.
- Personnalisez l’interface de connexion. Par exemple, vous pouvez personnaliser les noms des étiquettes, les messages d’erreur et le texte d’aide.
- Extrayez les informations du groupe d’utilisateurs sans authentification.
- Configurez le relais pour un facteur d’authentification. Cela signifie qu’aucune interaction de connexion explicite n’est requise pour ce facteur.
- Configurez l’ordre dans lequel les différents types d’authentification sont appliqués. Tous les mécanismes d’authentification pris en charge sur l’appliance Citrix ADC peuvent être configurés comme n’importe quel facteur de la configuration de l’authentification nFactor. Ces facteurs sont exécutés dans l’ordre dans lequel ils sont configurés.
- Configurez l’appliance Citrix ADC pour passer à un facteur d’authentification qui doit être exécuté en cas d’échec de l’authentification. Pour ce faire, vous devez configurer une autre stratégie d’authentification avec la même condition, mais avec la priorité la plus élevée suivante et avec l’action définie sur « NO_AUTH ». Vous devez configurer le facteur suivant, qui doit spécifier l’autre mécanisme d’authentification à appliquer.
Cryptage des informations de connexion NetScaler Gateway pour l’authentification nFactor
NetScaler Gateway avec authentification nFactor peut chiffrer les champs de demande de connexion soumis par un client (navigateur ou applications SSO) au cours du processus d’authentification. Les champs de demande de connexion cryptés fournissent une couche de sécurité supplémentaire pour protéger les données sensibles de l’utilisateur contre la divulgation.
Navigateurs compatibles
Le tableau suivant répertorie les navigateurs ainsi que les détails de version qui prennent en charge le cryptage de connexion.
Navigateurs | Version |
---|---|
Chrome | 78 et plus |
Firefox | 69 ans et plus |
Bord | 42 et plus |
Safari | 11,0 et plus |
Opéra | 66 |
Clients compatibles
La section suivante répertorie les clients ainsi que les détails de version qui prennent en charge le chiffrement des informations de connexion NetScaler Gateway.
- L’application Citrix Workspace sur Mac prend en charge le chiffrement uniquement lorsque la version du système d’exploitation est 10.14.x et supérieure.
- L’application Citrix SSO sur Mac prend en charge le cryptage uniquement lorsque la version du système d’exploitation est 10.14.x et supérieure.
- L’application Windows SSO n’est soumise à aucune restriction quant à la compatibilité.
Pour activer le chiffrement de connexion à l’aide de la CLI
À l’invite de commandes, tapez :
set aaa parameter \[-loginEncryption \(ENABLED | DISABLED)]
Remarque
Le paramètre LoginEncryption est DÉSACTIVÉ par défaut. Vous devez l’ACTIVER.
Pour activer le cryptage de connexion à l’aide de l’interface graphique
- Accédez à Sécurité > AAA — Trafic des applications, cliquez sur Modifier les paramètres AAA d’authentification dans la section Paramètres d’authentification .
- Sur la page Configurer le paramètre AAA, faites défiler vers le bas jusqu’à l’option Chiffrement de connexion et activez-la.
Remarque importante concernant le chiffrement des connexions :
Lorsque vous essayez de vous connecter à Citrix Gateway, un message d’erreur s’affiche indiquant que le chiffrement du mot de passe a échoué et que vous devez le désactiver pour poursuivre la connexion, dans les scénarios suivants :
- Le chiffrement de connexion est activé.
- Un navigateur non pris en charge est utilisé.
Vous pouvez ignorer la suggestion de désactiver le chiffrement des connexions. Cependant, assurez-vous d’utiliser un navigateur compatible pour une connexion réussie.