Configuration de reCAPTCHA pour l’authentification nFactor
Citrix Gateway prend en charge une nouvelle action de première classe ‘CaptChaAction’ qui simplifie la configuration reCAPTCHA. Comme reCAPTCHA est un premier recours collectif, il peut être un facteur qui lui est propre. Vous pouvez injecter reCAPTCHA n’importe où dans le flux nFactor.
Auparavant, vous deviez écrire des stratégies WebAuth personnalisées avec des modifications à l’interface utilisateur RFWeb. Avec l’introduction de CaptChaAction, vous n’avez pas à modifier le JavaScript.
Important
Si reCAPTCHA est utilisé avec les champs nom d’utilisateur ou mot de passe dans le schéma, le bouton d’envoi est désactivé jusqu’à ce que reCAPTCHA soit rempli.
Configuration reCAPTCHA
La configuration reCAPTCHA comporte deux parties.
- Configuration sur Google pour l’enregistrement de reCAPTCHA.
- Configuration sur l’appliance Citrix ADC pour utiliser reCAPTCHA dans le cadre du flux de connexion.
Configuration reCAPTCHA sur Google
Enregistrez un domaine pour reCAPTCHA àhttps://www.google.com/recaptcha/admin.
-
Lorsque vous accédez à cette page, l’écran suivant apparaît.
Remarque
Utilisez reCAPTCHA v2 uniquement. Invisible reCAPTCHA est toujours en version bêta.
-
Après l’enregistrement d’un domaine, les « SiteKey » et « SecretKey » s’affichent.
Remarque
Les « SiteKey » et « SecretKey » sont grisés pour des raisons de sécurité. « SecretKey » doit être gardé en sécurité.
Configuration reCAPTCHA sur l’appliance Citrix ADC
La configuration reCAPTCHA sur l’appliance Citrix ADC peut être divisée en trois parties :
- Afficher l’écran reCaptcha
- Publier la réponse reCaptcha sur le serveur Google
- La configuration LDAP est le deuxième facteur pour l’ouverture de session utilisateur (facultatif)
Afficher l’écran reCaptcha
La personnalisation du formulaire de connexion se fait via le loginschema SingleAuthCaptcha.xml. Cette personnalisation est spécifiée au serveur virtuel d’authentification et est envoyée à l’interface utilisateur pour le rendu du formulaire de connexion. Le loginschema intégré, SingleAuthCaptcha.xml, se trouve dans le répertoire /NSConfig/LoginsChema/LoginsChema sur l’appliance Citrix ADC.
Important
- En fonction de votre cas d’utilisation et de différents schémas, vous pouvez modifier le schéma existant. Par exemple, si vous n’avez besoin que d’un facteur reCAPTCHA (sans nom d’utilisateur ni mot de passe) ou d’une double authentification avec reCAPTCHA.
- Si des modifications personnalisées sont effectuées ou si le fichier est renommé, Citrix recommande de copier tous les LoginsChemas du répertoire /nsconfig/loginschema/loginschema vers le répertoire parent, /nsconfig/loginschema.
Pour configurer l’affichage de reCAPTCHA à l’aide de l’interface de ligne de commande
add authentication loginSchema singleauthcaptcha -authenticationSchema /nsconfig/loginschema/SingleAuthCaptcha.xml
add authentication loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptcha
add authentication vserver auth SSL <IP> <Port>
add ssl certkey vserver-cert -cert <path-to-cert-file> -key <path-to-key-file>
bind ssl vserver auth -certkey vserver-cert
bind authentication vserver auth -policy singleauthcaptcha -priority 5 -gotoPriorityExpression END
Publier la réponse reCaptcha sur le serveur Google
Après avoir configuré le reCAPTCHA qui doit être affiché aux utilisateurs, les administrateurs publient la configuration au serveur Google pour vérifier la réponse reCAPTCHA du navigateur.
Pour vérifier la réponse reCAPTCHA à partir du navigateur
add authentication captchaAction myrecaptcha -sitekey <sitekey-copied-from-google> -secretkey <secretkey-from-google>
add authentication policy myrecaptcha -rule true -action myrecaptcha
bind authentication vserver auth -policy myrecaptcha -priority 1
Les commandes suivantes sont nécessaires pour configurer si l’authentification AD est souhaitée. Sinon, vous pouvez ignorer cette étape.
add authentication ldapAction ldap-new -serverIP x.x.x.x -serverPort 636 -ldapBase "cn=users,dc=aaatm,dc=com" -ldapBindDn adminuser@aaatm.com -ldapBindDnPassword <password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup ldapGroup
add authenticationpolicy ldap-new -rule true -action ldap-new
La configuration LDAP est le deuxième facteur pour l’ouverture de session utilisateur (facultatif)
L’authentification LDAP se produit après reCAPTCHA, vous l’ajoutez au deuxième facteur.
add authentication policylabel second-factor
bind authentication policylabel second-factor -policy ldap-new -priority 10
bind authentication vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor
L’administrateur doit ajouter des serveurs virtuels appropriés selon que le serveur virtuel d’équilibrage de charge ou l’appliance Citrix Gateway est utilisé pour l’accès. L’administrateur doit configurer la commande suivante si le serveur virtuel d’équilibrage de charge est requis :
-
add lb vserver lbtest HTTP <IP> <Port> -authentication ON -authenticationHost nssp.aaatm.com
nssp.aaatm.com — Résout à l’authentification du serveur virtuel.
Validation par l’utilisateur de reCAPTCHA
Une fois que vous avez configuré toutes les étapes mentionnées dans les sections précédentes, vous devez voir les captures d’écran de l’interface utilisateur ci-dessous.
-
Une fois que le serveur virtuel d’authentification charge la page de connexion, l’écran d’ouverture de session s’affiche. L’ouverture de session est désactivée jusqu’à ce que reCAPTCHA soit terminé.
-
Sélectionnez Je ne suis pas une option de robot. Le widget reCAPTCHA s’affiche.
- Vous naviguez à travers les séries d’images reCAPTCHA, avant l’affichage de la page de fin.
-
Entrez les informations d’identification AD, activez la case à cocher Je ne suis pas un robot et cliquez sur Connexion . Si l’authentification réussit, vous êtes redirigé vers la ressource souhaitée.
Remarques
- Si reCAPTCHA est utilisé avec l’authentification AD, le bouton Envoyer pour les informations d’identification est désactivé jusqu’à ce que reCAPTCHA soit terminé.
- Le reCAPTCHA se produit dans un facteur qui lui est propre. Par conséquent, toute validation ultérieure comme AD doit se produire dans le « nextfactor » de reCaptcha.