ADC
Merci pour vos commentaires

Ce article a été traduit automatiquement. (Clause de non responsabilité)

Configuration Re-captcha pour l’authentification NFactor

NetScaler Gateway prend en charge une nouvelle action de premier ordre captchaAction qui simplifie la configuration du re-CAPTCHA. Le re-captcha étant une action de première classe, il peut être un facteur à part entière. Vous pouvez injecter Re-captcha n’importe où dans le flux nFactor.

Auparavant, vous deviez également écrire des stratégies WebAuth personnalisées avec des modifications apportées à l’interface RFWebUI. Avec l’introduction de captchaAction, vous n’avez pas à modifier le code JavaScript.

Important :

Si Re-captcha est utilisé avec les champs de nom d’utilisateur ou de mot de passe dans le schéma, le bouton Soumettre est désactivé jusqu’à ce que le re-captcha soit atteint.

Configuration du re-captcha

La configuration du re-captcha comporte deux parties.

  1. Configuration sur Google pour l’enregistrement de re-CAPTCHA.
  2. Configuration sur l’appliance NetScaler pour utiliser re-Captcha dans le cadre du flux de connexion.

Configuration du re-captcha sur Google

Enregistrez un domaine pour re-CAPTCHA sur https://www.google.com/recaptcha/admin#llist.

  1. Lorsque vous accédez à cette page, l’écran suivant apparaît.

    Enregistrer un site

    Remarque

    Utilisez uniquement reCAPTCHA v2. Le re-captcha invisible est toujours en prévisualisation.

  2. Une fois qu’un domaine est enregistré, la « SiteKey » et la « SecretKey » sont affichées.

    Clé de site et clé secrète

    Remarque

    La « SiteKey » et la « SecretKey » sont grisées pour des raisons de sécurité. « SecretKey » doit être conservé en lieu sûr.

Configuration Re-Captcha sur une appliance NetScaler

La configuration Re-Captcha sur l’appliance NetScaler peut être divisée en trois parties :

  • Afficher l’écran de re-captcha
  • Publier la réponse Re-CAPTCHA sur le serveur Google
  • La configuration LDAP est le deuxième facteur d’ouverture de session utilisateur (facultatif)

Afficher l’écran de re-captcha

La personnalisation du formulaire de connexion s’effectue via le schéma de connexion SingleAuthCaptcha.xml. Cette personnalisation est spécifiée au niveau du serveur virtuel d’authentification et est envoyée à l’interface utilisateur pour afficher le formulaire de connexion. Le schéma de connexion intégré, SingleAuthCaptcha.xml, se trouve dans le /nsconfig/loginSchema/LoginSchema répertoire de l’appliance NetScaler.

Important

  • Le schéma de connexion SingleAuthCaptcha.xml peut être utilisé lorsque LDAP est configuré comme premier facteur.
  • En fonction de votre cas d’utilisation et de différents schémas, vous pouvez modifier le schéma existant. Par exemple, si vous n’avez besoin que du facteur Re-captcha (sans nom d’utilisateur ni mot de passe) ou d’une double authentification avec Re-Captcha.
  • Si des modifications personnalisées sont effectuées ou si le fichier est renommé, Citrix recommande de copier tous les loginSchemas du répertoire /nsconfig/loginschema/LoginSchema vers le répertoire parent /nsconfig/loginschema.

Pour configurer l’affichage de re-captcha à l’aide de la CLI

add authentication loginSchema singleauthcaptcha -authenticationSchema /nsconfig/loginschema/SingleAuthCaptcha.xml add authentication loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptcha add authentication vserver auth SSL <IP> <Port> add ssl certkey vserver-cert -cert <path-to-cert-file> -key <path-to-key-file> bind ssl vserver auth -certkey vserver-cert bind authentication vserver auth -policy singleauthcaptcha -priority 5 -gotoPriorityExpression END

Publier la réponse Re-CAPTCHA sur le serveur Google

Après avoir configuré le re-captcha qui doit être affiché aux utilisateurs, les administrateurs ajoutent la configuration au serveur Google pour vérifier la réponse de re-captcha du navigateur.

Pour vérifier la réponse de re-captcha depuis le navigateur
add authentication captchaAction myrecaptcha -sitekey <sitekey-copied-from-google> -secretkey <secretkey-from-google> add authentication policy myrecaptcha -rule true -action myrecaptcha bind authentication vserver auth -policy myrecaptcha -priority 1

NetScaler contacte https://www.google.com/recaptcha/api/siteverify pour valider les informations du Captcha. Assurez-vous donc que le site est accessible depuis NetScaler.

Pour vérifier si le site de Google est accessible, exécutez le script curl -vvv https://www.google.com/recaptcha/api/siteverify.

Les commandes suivantes sont nécessaires pour configurer si l’authentification AD est souhaitée. Sinon, vous pouvez ignorer cette étape.

add authentication ldapAction ldap-new -serverIP x.x.x.x -serverPort 636 -ldapBase "cn=users,dc=aaatm,dc=com" -ldapBindDn adminuser@aaatm.com -ldapBindDnPassword <password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup ldapGroup add authenticationpolicy ldap-new -rule true -action ldap-new

La configuration LDAP est le deuxième facteur d’ouverture de session utilisateur (facultatif)

L’authentification LDAP se produit après re-captcha, vous l’ajoutez au second facteur.

add authentication policylabel second-factor bind authentication policylabel second-factor -policy ldap-new -priority 10 bind authentication vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor

L’administrateur doit ajouter des serveurs virtuels appropriés selon que le serveur virtuel d’équilibrage de charge ou l’appliance NetScaler Gateway est utilisé pour l’accès. L’administrateur doit configurer la commande suivante si un serveur virtuel d’équilibrage de charge est requis :

add lb vserver lbtest HTTP <IP> <Port> -authentication ON -authenticationHost nssp.aaatm.com

**nssp.aaatm.com** — Résolution en serveur virtuel d’authentification.

Validation utilisateur de re-CAPTCHA

Une fois que vous avez configuré toutes les étapes mentionnées dans les sections précédentes, vous devez voir l’interface utilisateur suivante.

  1. Une fois que le serveur virtuel d’authentification charge la page de connexion, l’écran de connexion s’affiche. La connexion est désactivée tant que le re-captcha n’est pas terminé.

    Entrer informations d'identification

  2. Sélectionnez l’option Je ne suis pas un robot. Le widget Re-captcha s’affiche.

    Option robot

  3. Vous parcourez une série d’images re-captcha, avant que la page de fin ne s’affiche.
  4. Entrez les informations d’identification AD, activez la case à cocher Je ne suis pas un robot et cliquez sur Ouvrir une session. Si l’authentification réussit, vous êtes redirigé vers la ressource souhaitée.

    Série d'images

    Remarques :

    • Si Re-captcha est utilisé avec l’authentification AD, le bouton Envoyer pour les informations d’identification est désactivé jusqu’à ce que le re-captcha soit terminé.
    • Le re-captcha se produit dans un facteur qui lui est propre. Par conséquent, toutes les validations ultérieures telles que AD doivent avoir lieu dans le nextfactor du Re-CAPTCHA.
La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.
Configuration Re-captcha pour l’authentification NFactor