Authentification nFactor
Important
- L’authentification nFactor est prise en charge à partir de NetScaler 11.0 Build 62.x.
- Pour que l’authentification nFactor fonctionne avec NetScaler, une licence Advanced ou Premium est requise.
- À partir de la version 13.0 build 67.x, l’authentification NFactor est prise en charge avec la licence Standard uniquement pour le serveur virtuel Gateway/VPN. Pour plus d’informations sur l’authentification nFactor avec NetScaler Gateway, consultez nFactorpour l’authentification par passerelle.
- L’authentification nFactor n’est pas prise en charge pour le client Linux.
L’authentification multifacteur améliore la sécurité d’une application en obligeant les utilisateurs à fournir plusieurs preuves d’identité pour y accéder. L’appliance NetScaler offre une approche extensible et flexible de la configuration de l’authentification multifactorielle. Cette approche s’appelle l’ authentification nFactor.
Comment fonctionne l’authentification nFactor
Chaque facteur d’authentification effectue les tâches suivantes :
-
Collecte les informations d’identification auprès de l’utilisateur. Les mécanismes d’authentification pris en charge par NetScaler incluent LDAP, RADIUS, l’assertion SAML, le certificat client, OAuth OpenID Connect, Kerberos, etc.
-
Évalue les informations d’identification fournies pour décider si l’authentification a réussi, échoué ou si des actions telles que l’extraction de groupe ou l’extraction d’attributs doivent être effectuées.
-
Sur la base des résultats de l’évaluation, l’accès est soit accordé, soit refusé, soit un facteur suivant est sélectionné.
-
Répétez ces étapes jusqu’à ce qu’il n’y ait plus aucun autre facteur à évaluer.
Avec l’authentification nFactor, vous pouvez :
- Configurez un nombre illimité de facteurs d’authentification.
- Baser la sélection du facteur suivant sur le résultat de l’exécution du facteur précédent.
- Personnalisez l’interface de connexion. Par exemple, vous pouvez personnaliser les noms des étiquettes, les messages d’erreur et le texte d’aide.
- Extrayez les informations du groupe d’utilisateurs sans authentification.
- Configurez le relais pour un facteur d’authentification. Cela signifie qu’aucune interaction de connexion explicite n’est requise pour ce facteur.
- Configurez l’ordre dans lequel les différents types d’authentification sont appliqués. Tous les mécanismes d’authentification pris en charge sur l’appliance NetScaler peuvent être configurés comme n’importe quel facteur de la configuration de l’authentification nFactor. Ces facteurs sont exécutés dans l’ordre dans lequel ils sont configurés.
- Configurez l’appliance NetScaler pour passer à un facteur d’authentification qui doit être exécuté en cas d’échec de l’authentification. Pour ce faire, vous devez configurer une autre stratégie d’authentification avec la même condition, mais avec la priorité la plus élevée suivante et avec l’action définie sur « NO_AUTH ». Vous devez configurer le facteur suivant, qui doit spécifier l’autre mécanisme d’authentification à appliquer.
Chiffrement des informations de connexion à NetScaler Gateway pour l’authentification nFactor
NetScaler Gateway avec authentification nFactor peut crypter les champs de demande de connexion soumis par un client (navigateur ou applications SSO) pendant le processus d’authentification. Les champs de demande de connexion cryptés fournissent une couche de sécurité supplémentaire pour protéger les données sensibles de l’utilisateur contre la divulgation.
Navigateurs compatibles
Le tableau suivant répertorie les navigateurs ainsi que les détails de version qui prennent en charge le cryptage de connexion.
Navigateurs | Version |
---|---|
Chrome | 78 et plus |
Firefox | 69 ans et plus |
Bord | 42 et plus |
Safari | 11,0 et plus |
Opéra | 66 |
Clients compatibles
La section suivante répertorie les clients ainsi que les détails des versions qui prennent en charge le chiffrement des informations de connexion à NetScaler Gateway.
- L’application Citrix Workspace sur Mac prend en charge le chiffrement uniquement lorsque la version du système d’exploitation est 10.14.x et supérieure.
- L’application Citrix SSO sur Mac prend en charge le cryptage uniquement lorsque la version du système d’exploitation est 10.14.x et supérieure.
- L’application Windows SSO n’est soumise à aucune restriction quant à la compatibilité.
Pour activer le chiffrement de connexion à l’aide de la CLI
À l’invite de commandes, tapez :
set aaa parameter \[-loginEncryption \(ENABLED | DISABLED)]
Remarque
Le paramètre LoginEncryption est DÉSACTIVÉ par défaut. Vous devez l’ACTIVER.
Pour activer le cryptage de connexion à l’aide de l’interface graphique
- Accédez à Sécurité > AAA — Trafic des applications, cliquez sur Modifier les paramètres AAA d’authentification dans la section Paramètres d’authentification .
- Sur la page Configurer le paramètre AAA, faites défiler vers le bas jusqu’à l’option Chiffrement de connexion et activez-la.
Remarque importante concernant le chiffrement des connexions :
Lorsque vous essayez de vous connecter à NetScaler Gateway, un message d’erreur s’affiche indiquant que le chiffrement du mot de passe a échoué et que vous devez le désactiver pour poursuivre la connexion, dans les scénarios suivants :
- Le chiffrement de connexion est activé.
- Un navigateur non pris en charge est utilisé.
Vous pouvez ignorer la suggestion de désactiver le chiffrement des connexions. Cependant, assurez-vous d’utiliser un navigateur compatible pour une connexion réussie.