Configurer nFactor pour les applications ayant des exigences de site de connexion différentes, y compris l’authentification renforcée
En général, un NetScaler Gateway permet d’accéder à plusieurs applications. Selon les exigences de sécurité, ils peuvent disposer d’un mécanisme d’authentification différent. Certaines applications peuvent n’avoir besoin que d’un seul facteur, comme un intranet commun. D’autres applications telles que SAP ou les outils RH contenant des données plus critiques doivent disposer d’au moins une authentification multifactorielle. Cependant, la plupart des utilisateurs n’accèdent qu’à l’intranet, de sorte que le multifacteur pour toutes les applications n’est pas le bon choix.
Cette rubrique explique comment modifier le mécanisme de connexion de manière dynamique en fonction des besoins de l’utilisateur qui souhaite accéder à l’application. Décrivez également les étapes de configuration de l’authentification.
Composants requis
Avant de configurer NetScaler Gateway, vérifiez les prérequis suivants.
- Édition de licence NetScaler Advanced.
- La version de la fonctionnalité NetScaler est 11.1 et ultérieure.
- Serveur LDAP.
- Serveur RADIUS.
- Adresse IP publique.
Dans l’exemple de configuration, vous utilisez deux applications avec les exigences d’authentification suivantes.
- Application Web verte
- Exigence : nom d’utilisateur et mot de passe LDAP
- Application Web rouge
- Exigence : nom d’utilisateur + mot de passe LDAP + code PIN RADIUS
Remarque
Outre LDAP et RADIUS, vous pouvez utiliser d’autres méthodes d’authentification, telles que les certificats utilisateur, TACACS ou SAML, si possible.
Configuration de base
-
Ajoutez des serveurs virtuels et des services d’équilibrage de charge non adressables pour les deux applications Web.
-
Équilibrage de charge des serveurs virtuels
-
Services
-
-
Ajoutez un serveur virtuel d’authentification, d’autorisation et d’audit de base non adressable pour la connexion. Aucune configuration supplémentaire n’est nécessaire pour le moment.
- Ajoutez un serveur virtuel de commutation de contenu de type SSL avec adresse IP publique. Sur cette adresse IP, vous avez besoin d’enregistrements DNS pour chaque application à laquelle vous souhaitez accéder ainsi que pour l’authentification, l’autorisation et l’audit du serveur virtuel. Dans cet exemple, vous utilisez les noms DNS suivants :
- green.lab.local - Application verte
- red.lab.local -> Application Red
- aaa.lab.local -> serveur virtuel d’authentification, d’autorisation et d’audit
- Liez un certificat SSL avec le CN ou le SAN correspondant pour tous les enregistrements DNS.
-
Ajoutez des politiques de changement de contenu au serveur virtuel. Un pour chaque application, qui doit correspondre au nom d’hôte individuel. C’est ainsi que NetScaler détermine à quelle application l’utilisateur souhaite accéder. Ajoutez également une autre politique d’authentification, d’autorisation et d’audit avec l’expression « true ».
-
Assurez-vous que la politique d’authentification, d’autorisation et d’audit est la plus haute priorité. Dans le cas contraire, il ne serait pas possible d’accéder aux applications.
-
Ajoutez des actions de changement de contenu pour chaque politique pointant vers le serveur virtuel correspondant. Dans cet exemple, sur chaque serveur virtuel d’équilibrage de charge et sur un serveur virtuel d’authentification.
Configuration du niveau d’authentification
Après avoir terminé la configuration de base des serveurs virtuels et de la commutation de contenu, vous activez l’authentification et définissez la définition forte ou faible pour vos applications.
-
Accédez au serveur virtuel d’équilibrage de charge pour l’application Red et activez « l’authentification basée sur un formulaire ». Et ajoutez un profil d’authentification.
-
Entrez le nom d’hôte du serveur virtuel d’authentification, d’autorisation et d’audit défini pour la redirection lorsqu’un utilisateur souhaite accéder à l’application et n’a pas de session existante.
-
Choisissez le serveur virtuel d’authentification comme type et liez le serveur virtuel d’authentification, d’autorisation et d’audit.
-
Définissez un niveau d’authentification pour configurer si une application est plus forte ou plus faible qu’une autre. Une session au niveau donné de 100 peut accéder à des serveurs virtuels de niveau inférieur sans se réauthentifier. En revanche, cette session est obligée de s’authentifier à nouveau si l’utilisateur essaie d’accéder à un serveur virtuel de niveau supérieur.
-
Répétez les étapes 1 à 4 avec l’application Green.
-
Accédez à Sécurité > AAA - Trafic d’applications > Profils d’authentification pour ajouter un profil d’authentification.
Un profil pour chaque application, pointant tous deux sur le nom d’hôte du serveur virtuel d’authentification, d’autorisation et d’audit. Dans l’exemple, l’application rouge est plus forte (niveau 100) que l’application verte (niveau 90). Cela signifie qu’un utilisateur disposant d’une session existante pour Red peut accéder à Green sans se réauthentifier. Dans l’autre sens, un utilisateur qui a accédé à Green pour la première fois doit s’authentifier à nouveau pour l’application Red.
Configuration de nFactor pour l’authentification multifactorielle
-
Accédez à Sécurité > AAA - Trafic d’applications > Schéma de connexion > Profils pour ajouter trois schémas de connexion et accéder à la page de connexion NetScaler requise.
- Schéma d’authentification LDAP normale
- Sélectionnez SingleAuth XML pour afficher les deux champs. Un pour le nom d’utilisateur et le second pour le mot de passe LDAP.
- Veillez à enregistrer le nom d’utilisateur à l’index 1 et le mot de passe à l’index 2. Ceci est important pour effectuer une authentification LDAP, lorsqu’un utilisateur accède à l’application Red après l’application Green.
-
Schéma pour la réauthentification LDAP
- Sélectionnez « noschema » car l’utilisateur ne voit pas le processus de réauthentification LDAP.
-
Renseignez l’expression Utilisateur et Mot de passe avec les champs attributaires que vous avez définis dans le premier schéma.
- Schéma d’authentification RADIUS
-
Sélectionnez « OnlyPassword XML » pour ne présenter qu’un seul champ pour le code PIN RADIUS. Le nom d’utilisateur n’est pas nécessaire en raison de la première connexion LDAP.
-
- Schéma d’authentification LDAP normale
-
L’étape suivante consiste à ajouter toutes les politiques d’authentification nécessaires pour contrôler le comportement de notre mécanisme de connexion. Accédez à Sécurité > AAA - Trafic des applications > Politiques > Authentification > Politique.
-
Ajoutez la politique LDAP par défaut avec le serveur LDAP requis.
-
Ajoutez la politique RADIUS par défaut avec le serveur RADIUS requis.
-
Ajoutez une troisième politique d’authentification avec le type d’action « NO_AUTH » et l’expression « true ». Cette politique n’aura d’autre effet que le passage au facteur suivant.
- La quatrième politique évalue si un utilisateur souhaite accéder à l’application la plus puissante Red ou non. Ceci est important pour effectuer une authentification multifactorielle pour Red.
- Sélectionnez « LDAP » comme type d’action et choisissez votre serveur LDAP.
-
L’expression évalue s’il s’agit de l’application Red en vérifiant le cookie NSC_TMAP. L’utilisateur émet ce cookie en accédant au site de connexion de NetScaler et contient le nom du profil d’authentification lié au serveur virtuel d’équilibrage de charge consulté.
-
La dernière règle vérifie si l’utilisateur a enregistré les informations d’identification issues d’une première connexion plus faible. Cela est important pour la reconnexion automatique à LDAP lorsqu’un utilisateur a accédé pour la première fois à l’application la plus faible et souhaite maintenant démarrer l’application la plus puissante.
-
-
Vous ajoutez des étiquettes de politique pour lier toutes les politiques d’authentification et tous les schémas de connexion précédents. Accédez à Sécurité > AAA - Trafic des applications > Politiques > Authentification > PolicyLabel.
-
Commencez par l’étiquette pour l’authentification RADIUS.
-
Donnez un nom approprié à l’étiquette, sélectionnez le schéma précédent pour RADIUS et cliquez sur Continuer.
-
La dernière étape pour cette étiquette consiste à lier la politique d’authentification RADIUS par défaut.
-
- La deuxième étiquette permet de se reconnecter à LDAP.
-
Ajoutez l’étiquette et liez le schéma de reconnexion.
-
Liez la politique d’authentification LDAP et définissez l’étiquette de politique RADIUS comme facteur suivant.
-
- Ajoutez la dernière étiquette pour la première authentification LDAP.
-
Sélectionnez le schéma approprié et cliquez sur Continuer.
-
Liez la première politique d’authentification renforcée et définissez Goto Expression sur « Fin ». Sélectionnez l’étiquette de politique RADIUS comme facteur suivant.
-
La deuxième politique concerne l’authentification verte faible sans RADIUS.
-
Assurez-vous de la priorité de la reliure.
-
-
Configurez l’authentification, l’authentification et l’audit. Accédez à Sécurité > AAA - Trafic d’applications > Serveurs virtuels.
-
Ouvrez le serveur virtuel ajouté précédemment et définissez le thème de portailpréféré.
-
Liez les deux dernières politiques d’authentification restantes directement au serveur virtuel.
- Liez la politique de reconnexion avec « NO_AUTH » et l’étiquette de politique de reconnexion LDAP comme facteur suivant. Cela permet d’effectuer la reconnexion LDAP automatique avec une session existante.
- Définissez une deuxième politique pour passer directement au facteur LDAP suivant lorsqu’aucune session n’existait auparavant.
-
Comme toujours, établissez les bonnes priorités.
-
-
Remarque
Le step up peut également être créé via le visualiseur nFactor disponible dans NetScaler version 13.0 et versions ultérieures.
Configuration de l’authentification multifactorielle via nFactor Visualizer
- Accédez à Sécurité > Trafic des applications AAA > Visualiseur nFactor > Flux nFactor et cliquez sur Ajouter.
-
Cliquez sur le signe + pour ajouter le nFactor Flow.
-
Entrez le nom du premier facteur et cliquez sur Créer.
-
Aucun schéma n’est nécessaire pour le premier facteur. Cliquez sur Ajouter une politique pour ajouter la politique NO_AUTH comme indiqué à l’étape 2 de la configuration de l’authentification multifactorielle.
-
Cliquez sur le signe bleu + pour ajouter une deuxième authentification.
-
Choisissez la politique d’authentification créée et cliquez sur Ajouter.
-
Cliquez sur le signe vert + pour ajouter un facteur suivant.
-
Pour ajouter le facteur d’authentification suivant, sélectionnez Créer un facteur, entrez le nom du facteur et cliquez sur Créer.
-
Pour ajouter un schéma, cliquez sur Ajouter un schéma.
-
Choisissez le schéma créé dans (configuration de l’authentification multifactorielle), puis cliquez sur OK.
-
Cliquez sur Ajouter une politique et choisissez la politique d’authentification.
-
Cliquez sur le signe vert + pour ajouter un autre facteur d’authentification RADIUS.
-
Créez un autre facteur en suivant l’étape 8.
-
Cliquez sur Ajouter un schéma et choisissez le schéma pour le mot de passe uniquement dans la liste.
-
Cliquez sur Ajouter une politique pour choisir l’authentification RADIUS, puis cliquez sur Ajouter.
-
Cliquez sur le signe vert + dans le premier facteur, à côté de step_up-pol.
-
Créez un autre facteur en suivant l’étape 8.
-
Cliquez sur Ajouter un schéma et choisissez le schéma.
-
Cliquez sur Ajouter une politique pour choisir une politique d’authentification.
-
Cliquez sur le signe bleu + pour ajouter une autre politique d’authentification pour l’authentification LDAP.
-
Choisissez la politique d’authentification LDAP et cliquez sur Ajouter.
-
Cliquez sur le signe vert + à côté de LDAP_Step_Up pour ajouter l’authentification RADIUS.
-
Comme l’authentification RADIUS est déjà présente, sélectionnez Se connecter à un facteur existant, puis sélectionnez step_up-radius dans la liste.
-
Cliquez sur Terminé pour enregistrer la configuration.
-
Pour lier le flux nFactor créé à un serveur virtuel d’authentification, d’autorisation et d’audit, cliquez sur Liaison au serveur d’authentification, puis sur Créer.
Remarque
Liez et dissociez le flux nFactor via l’option donnée dans nFactor Flow sous Afficher les liaisons uniquement.
Délier le flux NFactor
-
Sélectionnez le flux nFactor et cliquez sur Afficher les liaisons.
-
Sélectionnez le serveur virtuel d’authentification et cliquez sur Dissocier.
Résultat
Les étapes suivantes vous aideront à accéder d’abord à l’application Red.
-
Redirection vers la page de connexion du serveur virtuel d’authentification, d’autorisation et d’audit avec un premier facteur comme LDAP, après avoir accédé à « red.lab.local ».
-
nFactor évalue si l’utilisateur souhaite accéder à l’application Red et affiche le second facteur RADIUS.
-
NetScaler autorise l’accès à l’application Red.
-
Accédez à l’application Green comme suit. NetScaler accorde un accès immédiat car la session de l’application la plus puissante est Red.
Les étapes suivantes vous aideront à accéder à l’application Green dans un premier temps.
-
Redirection vers la page de connexion du serveur virtuel d’authentification, d’autorisation et d’audit après avoir accédé à « green.lab.local ».
-
nFactor évalue l’application Green et autorise l’accès sans le second facteur.
-
Accédez à l’application Red comme suit. Un niveau d’authentification plus élevé nécessite une reconnexion et nFactor se reconnecte automatiquement à LDAP avec les informations d’identification enregistrées lors de la première connexion sur l’application Green. Vous entrez uniquement les informations d’identification RADIUS.
-
NetScaler autorise l’accès à l’application Red.