ADC

Configuration reCAPTCHA pour l’authentification nFactor

May 5, 2023

Contributeur:

NetScaler Gateway prend en charge une nouvelle action de première classe, CaptchaAction, qui simplifie la configuration du reCAPTCHA. Le reCAPTCHA étant un recours collectif de premier ordre, il peut constituer un facteur à part entière. Vous pouvez injecter reCAPTCHA n’importe où dans le flux nFactor.

Auparavant, vous deviez écrire des politiques WebAuth personnalisées avec des modifications de l’interface utilisateur de RFWeb. Avec l’introduction de CaptchaAction, il n’est pas nécessaire de modifier le code JavaScript.

Important

Si le reCAPTCHA est utilisé avec des champs de nom d’utilisateur ou de mot de passe dans le schéma, le bouton d’envoi est désactivé jusqu’à ce que le reCAPTCHA soit atteint.

Configuration du reCAPTCHA

La configuration du reCAPTCHA comporte deux parties.

Configuration sur Google pour l’enregistrement du reCAPTCHA.
Configuration sur l’appliance NetScaler pour utiliser reCAPTCHA dans le cadre du flux de connexion.

Configuration du reCAPTCHA sur Google

Enregistrez un domaine pour reCAPTCHA à l’adresse. https://www.google.com/recaptcha/admin#llist

Lorsque vous accédez à cette page, l’écran suivant apparaît.

Remarque

Utilisez uniquement reCAPTCHA v2. Invisible reCAPTCHA est toujours en version bêta.
Une fois qu’un domaine est enregistré, la « SiteKey » et la « SecretKey » sont affichées.

Remarque

La « SiteKey » et la « SecretKey » sont grisées pour des raisons de sécurité. « SecretKey » doit être conservé en lieu sûr.

Configuration de reCAPTCHA sur l’appliance NetScaler

La configuration de reCAPTCHA sur l’appliance NetScaler peut être divisée en trois parties :

Afficher l’écran reCAPTCHA
Publiez la réponse reCAPTCHA sur le serveur Google
La configuration LDAP est le deuxième facteur d’ouverture de session utilisateur (facultatif)

Afficher l’écran reCAPTCHA

La personnalisation du formulaire de connexion s’effectue via le schéma de connexion SingleAuthCaptcha.xml. Cette personnalisation est spécifiée au niveau du serveur virtuel d’authentification et est envoyée à l’interface utilisateur pour afficher le formulaire de connexion. Le schéma de connexion intégré, SingleAuthCaptcha.xml, se trouve dans le répertoire /nsconfig/loginschema/LoginSchema de l’appliance NetScaler.

Important

En fonction de votre cas d’utilisation et de différents schémas, vous pouvez modifier le schéma existant. Par exemple, si vous n’avez besoin que du facteur reCAPTCHA (sans nom d’utilisateur ni mot de passe) ou d’une double authentification avec reCAPTCHA.

Si des modifications personnalisées sont effectuées ou si le fichier est renommé, Citrix recommande de copier tous les LoginSchemas du répertoire /nsconfig/loginschema/LoginSchema vers le répertoire parent, /nsconfig/loginschema.

Pour configurer l’affichage de reCAPTCHA à l’aide de l’interface de ligne de commande

add authentication loginSchema singleauthcaptcha -authenticationSchema /nsconfig/loginschema/SingleAuthCaptcha.xml
add authentication loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptcha
add authentication vserver auth SSL <IP> <Port>
add ssl certkey vserver-cert -cert <path-to-cert-file> -key <path-to-key-file>
bind ssl vserver auth -certkey vserver-cert
bind authentication vserver auth -policy singleauthcaptcha -priority 5 -gotoPriorityExpression END

Publiez la réponse reCAPTCHA sur le serveur Google

Une fois que vous avez configuré le reCAPTCHA qui doit être affiché aux utilisateurs, les administrateurs ajoutent la configuration au serveur Google pour vérifier la réponse du navigateur au reCAPTCHA.

Pour vérifier la réponse du reCAPTCHA depuis le navigateur

add authentication captchaAction myrecaptcha -sitekey <sitekey-copied-from-google> -secretkey <secretkey-from-google>
add authentication policy myrecaptcha -rule true -action myrecaptcha
bind authentication vserver auth -policy myrecaptcha -priority 1

Les commandes suivantes sont nécessaires pour configurer si l’authentification AD est souhaitée. Sinon, vous pouvez ignorer cette étape.

add authentication ldapAction ldap-new -serverIP x.x.x.x -serverPort 636 -ldapBase "cn=users,dc=aaatm,dc=com" -ldapBindDn adminuser@aaatm.com -ldapBindDnPassword <password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup ldapGroup
add authenticationpolicy ldap-new -rule true -action ldap-new

La configuration LDAP est le deuxième facteur d’ouverture de session utilisateur (facultatif)

L’authentification LDAP se produit après le reCAPTCHA, vous l’ajoutez au deuxième facteur.

add authentication policylabel second-factor
bind authentication policylabel second-factor -policy ldap-new -priority 10
bind authentication vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor

L’administrateur doit ajouter des serveurs virtuels appropriés selon que le serveur virtuel d’équilibrage de charge ou l’appliance NetScaler Gateway est utilisé pour l’accès. L’administrateur doit configurer la commande suivante si un serveur virtuel d’équilibrage de charge est requis :

add lb vserver lbtest HTTP <IP> <Port> -authentication ON -authenticationHost nssp.aaatm.com

nssp.aaatm.com — Résolution en serveur virtuel d’authentification.

Validation du reCAPTCHA par l’utilisateur

Une fois que vous avez configuré toutes les étapes mentionnées dans les sections précédentes, vous devez voir les captures d’écran de l’interface utilisateur ci-dessous.

Une fois que le serveur virtuel d’authentification charge la page de connexion, l’écran de connexion s’affiche. Laconnexion est désactivée jusqu’à ce que le reCAPTCHA soit terminé.
Sélectionnez l’option Je ne suis pas un robot. Le widget reCAPTCHA s’affiche.
Vous parcourez une série d’images reCAPTCHA avant que la page de fin ne s’affiche.
Entrez les informations d’identification AD, activez la case à cocher Je ne suis pas un robot et cliquez sur Ouvrir une session. Si l’authentification réussit, vous êtes redirigé vers la ressource souhaitée.
Remarques
- Si le reCAPTCHA est utilisé avec l’authentification AD, le bouton Soumettre pour les informations d’identification est désactivé jusqu’à ce que le reCAPTCHA soit terminé.
- Le reCAPTCHA intervient de manière autonome. Par conséquent, toutes les validations ultérieures, comme AD, doivent avoir lieu dans le « facteur suivant » de reCAPTCHA.

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Configuration reCAPTCHA pour l’authentification nFactor

May 5, 2023

Contributeur:

May 5, 2023

Contributeur:

Dans cet article

Configuration du reCAPTCHA

Cela vous a-t-il été utile ?