ADC

Configurer nFactor pour les applications ayant des exigences de site de connexion différentes, y compris l’authentification renforcée

En général, un NetScaler Gateway permet d’accéder à plusieurs applications. Selon les exigences de sécurité, ils peuvent disposer d’un mécanisme d’authentification différent. Certaines applications peuvent n’avoir besoin que d’un seul facteur, comme un intranet commun. D’autres applications telles que SAP ou les outils RH contenant des données plus critiques doivent disposer d’au moins une authentification multifactorielle. Cependant, la plupart des utilisateurs n’accèdent qu’à l’intranet, de sorte que le multifacteur pour toutes les applications n’est pas le bon choix.

Cette rubrique explique comment modifier le mécanisme de connexion de manière dynamique en fonction des besoins de l’utilisateur qui souhaite accéder à l’application. Décrivez également les étapes de configuration de l’authentification.

Composants requis

Avant de configurer NetScaler Gateway, vérifiez les prérequis suivants.

  • Édition de licence NetScaler Advanced.
  • La version de la fonctionnalité NetScaler est 11.1 et ultérieure.
  • Serveur LDAP.
  • Serveur RADIUS.
  • Adresse IP publique.

Dans l’exemple de configuration, vous utilisez deux applications avec les exigences d’authentification suivantes.

  • Application Web verte
    • Exigence : nom d’utilisateur et mot de passe LDAP
  • Application Web rouge
    • Exigence : nom d’utilisateur + mot de passe LDAP + code PIN RADIUS

Remarque

Outre LDAP et RADIUS, vous pouvez utiliser d’autres méthodes d’authentification, telles que les certificats utilisateur, TACACS ou SAML, si possible.

Configuration de base

  1. Ajoutez des serveurs virtuels et des services d’équilibrage de charge non adressables pour les deux applications Web.

    • Équilibrage de charge des serveurs virtuels

      Serveur virtuel d'équilibrage de charge

    • Services

      Serveur virtuel d'équilibrage de charge

  2. Ajoutez un serveur virtuel d’authentification, d’autorisation et d’audit de base non adressable pour la connexion. Aucune configuration supplémentaire n’est nécessaire pour le moment.

    Serveur virtuel d'équilibrage de charge

  3. Ajoutez un serveur virtuel de commutation de contenu de type SSL avec adresse IP publique. Sur cette adresse IP, vous avez besoin d’enregistrements DNS pour chaque application à laquelle vous souhaitez accéder ainsi que pour l’authentification, l’autorisation et l’audit du serveur virtuel. Dans cet exemple, vous utilisez les noms DNS suivants :
    • green.lab.local - Application verte
    • red.lab.local -> Application Red
    • aaa.lab.local -> serveur virtuel d’authentification, d’autorisation et d’audit

    Serveur virtuel d'équilibrage de charge

    • Liez un certificat SSL avec le CN ou le SAN correspondant pour tous les enregistrements DNS.
  4. Ajoutez des politiques de changement de contenu au serveur virtuel. Un pour chaque application, qui doit correspondre au nom d’hôte individuel. C’est ainsi que NetScaler détermine à quelle application l’utilisateur souhaite accéder. Ajoutez également une autre politique d’authentification, d’autorisation et d’audit avec l’expression « true ».

    Serveur virtuel d'équilibrage de charge

  5. Assurez-vous que la politique d’authentification, d’autorisation et d’audit est la plus haute priorité. Dans le cas contraire, il ne serait pas possible d’accéder aux applications.

  6. Ajoutez des actions de changement de contenu pour chaque politique pointant vers le serveur virtuel correspondant. Dans cet exemple, sur chaque serveur virtuel d’équilibrage de charge et sur un serveur virtuel d’authentification.

    Serveur virtuel d'équilibrage de charge

Configuration du niveau d’authentification

Après avoir terminé la configuration de base des serveurs virtuels et de la commutation de contenu, vous activez l’authentification et définissez la définition forte ou faible pour vos applications.

  1. Accédez au serveur virtuel d’équilibrage de charge pour l’application Red et activez « l’authentification basée sur un formulaire ». Et ajoutez un profil d’authentification.

    Serveur virtuel d'équilibrage de charge

    Serveur virtuel d'équilibrage de charge

  2. Entrez le nom d’hôte du serveur virtuel d’authentification, d’autorisation et d’audit défini pour la redirection lorsqu’un utilisateur souhaite accéder à l’application et n’a pas de session existante.

  3. Choisissez le serveur virtuel d’authentification comme type et liez le serveur virtuel d’authentification, d’autorisation et d’audit.

  4. Définissez un niveau d’authentification pour configurer si une application est plus forte ou plus faible qu’une autre. Une session au niveau donné de 100 peut accéder à des serveurs virtuels de niveau inférieur sans se réauthentifier. En revanche, cette session est obligée de s’authentifier à nouveau si l’utilisateur essaie d’accéder à un serveur virtuel de niveau supérieur.

    Configurer le profil d'authentification

  5. Répétez les étapes 1 à 4 avec l’application Green.

  6. Accédez à Sécurité > AAA - Trafic d’applications > Profils d’authentification pour ajouter un profil d’authentification.

    Configuration des profils d'authentification

    Un profil pour chaque application, pointant tous deux sur le nom d’hôte du serveur virtuel d’authentification, d’autorisation et d’audit. Dans l’exemple, l’application rouge est plus forte (niveau 100) que l’application verte (niveau 90). Cela signifie qu’un utilisateur disposant d’une session existante pour Red peut accéder à Green sans se réauthentifier. Dans l’autre sens, un utilisateur qui a accédé à Green pour la première fois doit s’authentifier à nouveau pour l’application Red.

Configuration de nFactor pour l’authentification multifactorielle

  1. Accédez à Sécurité > AAA - Trafic d’applications > Schéma de connexion > Profils pour ajouter trois schémas de connexion et accéder à la page de connexion NetScaler requise.

    • Schéma d’authentification LDAP normale
      • Sélectionnez SingleAuth XML pour afficher les deux champs. Un pour le nom d’utilisateur et le second pour le mot de passe LDAP.
      • Veillez à enregistrer le nom d’utilisateur à l’index 1 et le mot de passe à l’index 2. Ceci est important pour effectuer une authentification LDAP, lorsqu’un utilisateur accède à l’application Red après l’application Green.
    • Schéma pour la réauthentification LDAP

      • Sélectionnez « noschema » car l’utilisateur ne voit pas le processus de réauthentification LDAP.
      • Renseignez l’expression Utilisateur et Mot de passe avec les champs attributaires que vous avez définis dans le premier schéma.

        Configuration des profils d'authentification

    • Schéma d’authentification RADIUS
      • Sélectionnez « OnlyPassword XML » pour ne présenter qu’un seul champ pour le code PIN RADIUS. Le nom d’utilisateur n’est pas nécessaire en raison de la première connexion LDAP.

        Configurer le schéma de connexion d'authentification

  2. L’étape suivante consiste à ajouter toutes les politiques d’authentification nécessaires pour contrôler le comportement de notre mécanisme de connexion. Accédez à Sécurité > AAA - Trafic des applications > Politiques > Authentification > Politique.

    • Ajoutez la politique LDAP par défaut avec le serveur LDAP requis.

      Configuration de la politique d'authentification

    • Ajoutez la politique RADIUS par défaut avec le serveur RADIUS requis.

      Configuration de la politique d'authentification

    • Ajoutez une troisième politique d’authentification avec le type d’action « NO_AUTH » et l’expression « true ». Cette politique n’aura d’autre effet que le passage au facteur suivant.

      Configuration de la politique d'authentification

    • La quatrième politique évalue si un utilisateur souhaite accéder à l’application la plus puissante Red ou non. Ceci est important pour effectuer une authentification multifactorielle pour Red.
      • Sélectionnez « LDAP » comme type d’action et choisissez votre serveur LDAP.
      • L’expression évalue s’il s’agit de l’application Red en vérifiant le cookie NSC_TMAP. L’utilisateur émet ce cookie en accédant au site de connexion de NetScaler et contient le nom du profil d’authentification lié au serveur virtuel d’équilibrage de charge consulté.

        Politique de serveur virtuel LDAP

        Page de connexion à NetScaler

    • La dernière règle vérifie si l’utilisateur a enregistré les informations d’identification issues d’une première connexion plus faible. Cela est important pour la reconnexion automatique à LDAP lorsqu’un utilisateur a accédé pour la première fois à l’application la plus faible et souhaite maintenant démarrer l’application la plus puissante.

      Page de connexion à NetScaler

  3. Vous ajoutez des étiquettes de politique pour lier toutes les politiques d’authentification et tous les schémas de connexion précédents. Accédez à Sécurité > AAA - Trafic des applications > Politiques > Authentification > PolicyLabel.

    • Commencez par l’étiquette pour l’authentification RADIUS.

      • Donnez un nom approprié à l’étiquette, sélectionnez le schéma précédent pour RADIUS et cliquez sur Continuer.

        Libellé politique

      • La dernière étape pour cette étiquette consiste à lier la politique d’authentification RADIUS par défaut.

        Libellé politique

    • La deuxième étiquette permet de se reconnecter à LDAP.
      • Ajoutez l’étiquette et liez le schéma de reconnexion.

        Schéma de reconnexion

      • Liez la politique d’authentification LDAP et définissez l’étiquette de politique RADIUS comme facteur suivant.

        Politique d'authentification LDAP de Bind

    • Ajoutez la dernière étiquette pour la première authentification LDAP.
      • Sélectionnez le schéma approprié et cliquez sur Continuer.

        Sélectionnez le libellé de la politique d'authentification

      • Liez la première politique d’authentification renforcée et définissez Goto Expression sur « Fin ». Sélectionnez l’étiquette de politique RADIUS comme facteur suivant.

      • La deuxième politique concerne l’authentification verte faible sans RADIUS.

      • Assurez-vous de la priorité de la reliure.

    • Configurez l’authentification, l’authentification et l’audit. Accédez à Sécurité > AAA - Trafic d’applications > Serveurs virtuels.

      • Ouvrez le serveur virtuel ajouté précédemment et définissez le thème de portailpréféré.

        Sélectionnez le libellé de la politique d'authentification

      • Liez les deux dernières politiques d’authentification restantes directement au serveur virtuel.

        Politique d'authentification avancée

      • Liez la politique de reconnexion avec « NO_AUTH » et l’étiquette de politique de reconnexion LDAP comme facteur suivant. Cela permet d’effectuer la reconnexion LDAP automatique avec une session existante.
      • Définissez une deuxième politique pour passer directement au facteur LDAP suivant lorsqu’aucune session n’existait auparavant.
      • Comme toujours, établissez les bonnes priorités.

        Politique d'authentification prioritaire

Remarque

Le step up peut également être créé via le visualiseur nFactor disponible dans NetScaler version 13.0 et versions ultérieures.

Authentification de configuration du visualiseur nFactor

Configuration de l’authentification multifactorielle via nFactor Visualizer

  1. Accédez à Sécurité > Trafic des applications AAA > Visualiseur nFactor > Flux nFactor et cliquez sur Ajouter.
  2. Cliquez sur le signe + pour ajouter le nFactor Flow.

    Ajouter un flux nFactor

  3. Entrez le nom du premier facteur et cliquez sur Créer.

    Créer un premier facteur

  4. Aucun schéma n’est nécessaire pour le premier facteur. Cliquez sur Ajouter une politique pour ajouter la politique NO_AUTH comme indiqué à l’étape 2 de la configuration de l’authentification multifactorielle.

    Choisissez une politique et ajoutez

  5. Cliquez sur le signe bleu + pour ajouter une deuxième authentification.

    Deuxième authentification

  6. Choisissez la politique d’authentification créée et cliquez sur Ajouter.

    Politique > Ajouter > Choisir

  7. Cliquez sur le signe vert + pour ajouter un facteur suivant.

    La politique ajoute

  8. Pour ajouter le facteur d’authentification suivant, sélectionnez Créer un facteur, entrez le nom du facteur et cliquez sur Créer.

    Créer une reconnexion factorielle

  9. Pour ajouter un schéma, cliquez sur Ajouter un schéma.

    Ajouter une authentification par étape

  10. Choisissez le schéma créé dans (configuration de l’authentification multifactorielle), puis cliquez sur OK.

    Schéma de connexion d'authentification

  11. Cliquez sur Ajouter une politique et choisissez la politique d’authentification.

    LDAP ajoute une authentification

  12. Cliquez sur le signe vert + pour ajouter un autre facteur d’authentification RADIUS.

    Schéma de connexion d'authentification

  13. Créez un autre facteur en suivant l’étape 8.

  14. Cliquez sur Ajouter un schéma et choisissez le schéma pour le mot de passe uniquement dans la liste.

    Liste des schémas de mots de passe

  15. Cliquez sur Ajouter une politique pour choisir l’authentification RADIUS, puis cliquez sur Ajouter.

    Authentification de la politique RADIUS

  16. Cliquez sur le signe vert + dans le premier facteur, à côté de step_up-pol.

    Authentification de la politique RADIUS

  17. Créez un autre facteur en suivant l’étape 8.

    Améliorez le LDAP

  18. Cliquez sur Ajouter un schéma et choisissez le schéma.

    Schéma d'authentification unique

  19. Cliquez sur Ajouter une politique pour choisir une politique d’authentification.

    LDAP passe à la vitesse supérieure

  20. Cliquez sur le signe bleu + pour ajouter une autre politique d’authentification pour l’authentification LDAP.

    LDAP, une autre politique

  21. Choisissez la politique d’authentification LDAP et cliquez sur Ajouter.

    Politique relative aux publicités LDAP

  22. Cliquez sur le signe vert + à côté de LDAP_Step_Up pour ajouter l’authentification RADIUS.

    Ajouter une authentification RADIUS

  23. Comme l’authentification RADIUS est déjà présente, sélectionnez Se connecter à un facteur existant, puis sélectionnez step_up-radius dans la liste.

    Ajouter une authentification RADIUS

  24. Cliquez sur Terminé pour enregistrer la configuration.

  25. Pour lier le flux nFactor créé à un serveur virtuel d’authentification, d’autorisation et d’audit, cliquez sur Liaison au serveur d’authentification, puis sur Créer.

    Serveur d'authentification créé par Bind

    Remarque

    Liez et dissociez le flux nFactor via l’option donnée dans nFactor Flow sous Afficher les liaisons uniquement.

Délier le flux NFactor

  1. Sélectionnez le flux nFactor et cliquez sur Afficher les liaisons.

  2. Sélectionnez le serveur virtuel d’authentification et cliquez sur Dissocier.

    Dissocier le serveur d'authentification

Résultat

Les étapes suivantes vous aideront à accéder d’abord à l’application Red.

  1. Redirection vers la page de connexion du serveur virtuel d’authentification, d’autorisation et d’audit avec un premier facteur comme LDAP, après avoir accédé à « red.lab.local ».

    Page de connexion Auth

  2. nFactor évalue si l’utilisateur souhaite accéder à l’application Red et affiche le second facteur RADIUS.

    Deuxième facteur RADIUS

  3. NetScaler autorise l’accès à l’application Red.

    Affichage rouge de l'application

  4. Accédez à l’application Green comme suit. NetScaler accorde un accès immédiat car la session de l’application la plus puissante est Red.

    Affichage vert de l'application

Les étapes suivantes vous aideront à accéder à l’application Green dans un premier temps.

  1. Redirection vers la page de connexion du serveur virtuel d’authentification, d’autorisation et d’audit après avoir accédé à « green.lab.local ».

    Page de connexion Auth

  2. nFactor évalue l’application Green et autorise l’accès sans le second facteur.

    Affichage vert de l'application

  3. Accédez à l’application Red comme suit. Un niveau d’authentification plus élevé nécessite une reconnexion et nFactor se reconnecte automatiquement à LDAP avec les informations d’identification enregistrées lors de la première connexion sur l’application Green. Vous entrez uniquement les informations d’identification RADIUS.

    Deuxième facteur RADIUS

  4. NetScaler autorise l’accès à l’application Red.

    Affichage rouge de l'application

Configurer nFactor pour les applications ayant des exigences de site de connexion différentes, y compris l’authentification renforcée