nFactor Visualizer pour une configuration simplifiée
À partir de Citrix ADC version 13.0 build 36.27, la configuration de NFactor via l’interface graphique est simplifiée à l’aide de NFactor Visualizer. Le visualiseur nFactor aide les administrateurs à ajouter plusieurs facteurs sans perdre la trace de chaque facteur. Le groupe de facteurs qui sont construits dans le flux est affiché en un seul endroit. Les administrateurs peuvent ajouter séparément les chemins de réussite et d’échec de l’authentification. Après avoir créé le flux, les administrateurs doivent lier le flux nFactor à un serveur virtuel d’authentification.
Remarque
- Tous les facteurs créés par un administrateur dans le flux nFactor sont conservés pour toute utilisation future.
- À partir de la fonctionnalité Citrix ADC version 13.0 build 64.35 et supérieure, à l’aide du visualiseur NFactor, vous pouvez démarrer le flux NFactor avec un bloc de décision.
Auparavant, la configuration de nFactor était lourde dans laquelle les administrateurs devaient visiter de nombreuses pages pour la configurer. Si une modification était nécessaire, les administrateurs devaient revoir les sections configurées à chaque fois. De plus, il n’y avait aucune option pour afficher la configuration complète en un seul endroit.
Cas d’utilisation 1 : RADIUS suivi de l’authentification LDAP, sinon repli à Captcha via nFactor Visualizer
Atteignez l’authentification RADIUS comme authentification de premier niveau suivie de l’authentification LDAP. En cas d’échec de RADIUS, l’authentification doit revenir à Captcha.
Pour atteindre ce cas d’utilisation, vous pouvez utiliser nFactor Visualizer. Le Visualizer fournit divers contrôles qui peuvent être utilisés pour ajouter ce flux et les éléments associés.
La figure suivante affiche le flux nFactor créé pour le cas d’utilisation mentionné précédemment à l’aide du visualiseur.
-
RADIUS. Vous configurez RADIUS comme premier facteur. Vous ajoutez un schéma de connexion et une stratégie. Dans cet exemple, radius_auth et Radius_Policy sont le schéma et la stratégie de connexion ajoutés. Pour Radius_Policy, vous pouvez ajouter un autre facteur pour le cas de réussite. Dans cet exemple, un bloc de facteur LDAP est ajouté pour le cas de réussite. Pour le cas d’échec, vous pouvez ajouter un facteur Captcha.
-
LDAP. Vous configurez l’authentification LDAP comme deuxième facteur. Vous ajoutez un schéma de connexion et une stratégie. Dans cet exemple, ldap_auth et ldap_Policy sont le schéma de connexion et la stratégie ajoutés.
-
Captcha. Pour le cas d’échec de stratégie RADIUS, vous créez un facteur Captcha. Dans cet exemple, captcha et captcha_policy sont le schéma de connexion et la stratégie ajoutés.
Cas d’utilisation 2 : LDAP suivi de l’authentification Radius/certificat avec Captcha basée sur l’appartenance au groupe LDAP via nFactor Visualizer
Atteignez l’authentification RADIUS comme authentification de premier niveau suivie de l’authentification LDAP. En cas d’échec de RADIUS, l’authentification doit revenir à Captcha.
La figure suivante affiche le flux nFactor créé pour le cas d’utilisation mentionné précédemment à l’aide du visualiseur.
-
LDAP. Vous configurez LDAP comme premier facteur. Vous ajoutez un schéma de connexion et une stratégie. Dans cet exemple, SingleAuth et LDAP_Policy sont le schéma et la stratégie de connexion qui sont ajoutés. Pour LDAP_Policy, vous pouvez ajouter un autre facteur pour le cas de réussite. Dans cet exemple, un bloc de décision est ajouté pour le cas de réussite. Pour le cas d’échec, vous pouvez ajouter Captcha suivi du facteur AD.
-
LDAP d’extraction de groupe. Est le bloc de décision ajouté pour le cas de réussite LDAP. Le bloc de décision est utilisé comme facteur de sortie de branche pour débrancher les utilisateurs en fonction des règles de stratégie. Visualizer permet de configurer uniquement une stratégie NO_AUTHN pour le bloc de décision.
Dans cet exemple, Group_Extraction_LDAP est le bloc de décision. Vous ajoutez deux stratégies (
AD_Group_Partner and AD_Group_Employee
) à ce bloc de décision. Comme expliqué dans les cas d’utilisation, toutes les demandes acheminées via la stratégie AD_Group_Partner utilisent l’authentification RADIUS. Par conséquent, vous connectez le cas de réussite de cette stratégie au facteur suivant qui est le facteur RADIUS. De même, toutes les demandes acheminées via la stratégie AD_Group_Employee utilisent l’authentification de certification. Par conséquent, vous connectez le cas de réussite de cette stratégie au facteur suivant qui est le facteur d’authentification de certification.-
RADIUS. Pour le cas de réussite de la stratégie AD_Group_Partner, vous créez le facteur d’authentification RADIUS.
-
Certificat. Pour le cas de réussite de la stratégie AD_Group_Employee, vous créez le facteur d’authentification de certificat.
-
-
Captcha. Pour le cas d’échec de stratégie LDAP, vous créez deux facteurs suivants, Captcha et le facteur AD.
Remarque
- Si vous avez un cas d’utilisation pour déconnecter en premier lieu, vous pouvez soit créer deux flux et lier séparément, soit créer un flux avec le premier comme branche out, et le lier au serveur virtuel.
- Si vous disposez de plusieurs blocs et pour afficher l’intégralité du flux dans l’écran NFactor Flow, cliquez sur le visualiseur et faites glisser le flux vers l’extrême gauche.
- Citrix recommande de modifier les flux NFactor à l’aide de la page Flux NFactor uniquement.
Pour configurer nFactor à l’aide de nFactor Visualizer
Remarque
La configuration nFactor suivante est un exemple simple qui vous aide à réaliser les configurations de scénario de cas d’utilisation 1.
- Accédez à Sécurité > AAA — Trafic d’application > nFactor Visualizer > nFactor Flows.
- Cliquez sur Ajouter.
-
Sur la page nFlux de facteurs, cliquez sur + pour ajouter un premier facteur pour le flux. Le premier facteur sert également d’identificateur pour ce flux nFactor.
-
Entrez le nom du facteur et cliquez sur Créer.
Le nom du facteur apparaît sur le bloc de facteur dans la page nFactor Flow.
Remarque
Citrix vous recommande de ne pas utiliser les noms d’étiquettes de stratégie tels que,
__root
et__<flow_name>
comme suffixe et_db_
comme préfixe. Il est utilisé comme noms de facteurs créés dans le flux nFactor. -
Une fois le facteur RADIUS créé, les Ajouter un schéma et Ajouter une stratégie doivent être créés.
Remarque
Pour plus d’informations, voir Concepts, entités et terminologie de NFactor.
-
Cliquez sur Ajouter un schéma. Vous pouvez ajouter un nouveau schéma de connexion ou sélectionner un schéma de connexion existant dans la liste Schéma de connexion d’authentification .
-
Pour créer un schéma de connexion, cliquez sur Ajouter et, dans la page Créer un schéma de connexion d’authentification, entrez le nom du schéma. Cliquez sur Modifier (icône en forme de crayon) pour sélectionner les fichiers de schéma de connexion dans la liste.
-
Cliquez sur Ajouter une stratégie. Vous pouvez créer une stratégie d’authentification ou sélectionner une stratégie d’authentification existante.
-
Pour créer une stratégie, cliquez sur Ajouter et, dans la page Créer une stratégie d’authentification, entrez le nom de la stratégie, puis cliquez sur Créer .
-
Après avoir ajouté un schéma de connexion et une stratégie au facteur, le schéma de connexion et la stratégie apparaissent sur le facteur dans le Visualizer, comme indiqué dans la figure suivante. Pour un facteur donné, vous pouvez ajouter plusieurs stratégies et définir le facteur suivant pour le succès et l’échec de chaque stratégie. Vous pouvez également supprimer les stratégies qui font partie du facteur.
- Après avoir créé le flux, vous pouvez ensuite lier le flux nFactor à un serveur virtuel d’authentification.
Ajout du facteur suivant
Pour ajouter le facteur suivant, vous pouvez sélectionner l’une des options suivantes selon votre besoin :
- Créer un facteur. Créez un facteur. Chaque facteur créé dans un flux est exclusif à ce flux.
-
Créez un bloc de décision. Créer un bloc de décision pour servir de facteur de sortie de succursale. Vous ne pouvez pas ajouter de schéma de connexion au bloc de décision. Visualizer permet de configurer uniquement une stratégie NO_AUTHN pour le bloc de décision.
Remarque
Vous pouvez uniquement ajouter ou modifier le bloc de décision via l’interface graphique Citrix ADC. Il n’y a pas d’option pour configurer le bloc de décision à partir de la commande CLI.
- Connectez-vous à un facteur existant. Sélectionnez un facteur existant comme facteur suivant. Tous les facteurs qui apparaissent dans la liste existante sont créés exclusivement pour ce flux.
-
Aucun. Supprimez une connexion existante.
Pour lier le flux nFactor au serveur d’authentification
-
Sur la page nFlux Factor, sélectionnez un flux nFactor que vous préférez lier à un serveur virtuel d’authentification.
-
Cliquez sur l’icône hamburger pour sélectionner l’option Lier au serveur d’authentification ou, dans le volet d’informations, cliquez sur Lier au serveur d’authentification .
-
Sur la page Lier au serveur d’authentification, vous pouvez effectuer les actions suivantes :
- Pour ajouter un serveur virtuel d’authentification, cliquez sur Ajouter.
- Pour sélectionner un serveur d’authentification existant dans la liste, cliquez sur le champ Serveur d’authentification .
-
Cliquez sur Afficher les liaisons à partir de l’icône hamburger pour afficher les liaisons.
-
Pour dissocier le serveur d’authentification du flux nFactor spécifique, effectuez les opérations suivantes :
- Sur la page NFactor Flows, cliquez sur Afficher les liaisons à partir de l’icône Hamburger.
- Dans la page Liaisons du serveur d’authentification, sélectionnez le serveur d’authentification à dissocier et cliquez sur Dissocier. Cliquez sur Fermer.
Pour plus d’informations sur l’authentification nFactor, consultez les rubriques suivantes :
-
Concept : Authentification multi-facteurs (nFactor).
-
Workflow : Fonctionnement de l’authentification NFactor.
-
Configuration : configuration de l’authentification NFactor.
Améliorations apportées au visualiseur nFactor
À partir de Citrix ADC version 13.0 build 41.20, les améliorations suivantes sont apportées dans nFactor Visualizer.
- Les administrateurs peuvent déplacer les facteurs créés vers l’icône de la corbeille.
- Affichez les flux nFactor dans la page Authentification serveur virtuel.
Icône Corbeille. Les administrateurs peuvent uniquement supprimer les nœuds qui n’ont pas de connexion. Toutefois, les stratégies sous-jacentes ou les schémas créés pour le facteur ne sont pas supprimés si le facteur est déplacé dans la corbeille.
Pour afficher l’icône de corbeille :
-
Accédez à Sécurité > AAA — Trafic d’application > nFactor Visualizer > nFactor Flows.
-
Pour supprimer le facteur, cliquez sur le bloc de facteur et faites-le glisser vers la corbeille.
Afficher le flux nFactor à partir du serveur virtuel d’authentification. Les administrateurs peuvent également afficher les flux NFactor créés à partir de la page Authentification Virtual Server.
Pour afficher le flux nFactor à partir de la page Authentication Virtual Server :
- Accédez à Sécurité > AAA — Trafic des applications > Serveurs virtuels. Sur la page Authentification des serveurs virtuels, vous pouvez effectuer les opérations suivantes :
- Pour ajouter un serveur virtuel d’authentification, cliquez sur Ajouter.
- Pour modifier un serveur virtuel d’authentification existant, cliquez sur l’option Modifier dans le volet d’informations.
-
Sur la page Authentification serveur virtuel, vous pouvez afficher l’option nFactor Flow sous Stratégies d’authentification avancées .
-
Si aucun flux nFactor n’est lié au serveur virtuel, vous pouvez cliquer sur l’option No nFactor Flow sous la section Stratégies d’authentification avancées pour ajouter un nouveau flux nFactor ou sélectionner le flux nFactor existant dans la liste.
Dans cet article
- Cas d’utilisation 1 : RADIUS suivi de l’authentification LDAP, sinon repli à Captcha via nFactor Visualizer
- Cas d’utilisation 2 : LDAP suivi de l’authentification Radius/certificat avec Captcha basée sur l’appartenance au groupe LDAP via nFactor Visualizer
- Pour configurer nFactor à l’aide de nFactor Visualizer
- Améliorations apportées au visualiseur nFactor