Gateway

L’analyse EPA en tant que facteur d’authentification nFactor

Important :

Endpoint Analysis vise à analyser l’appareil de l’utilisateur par rapport à des critères de conformité prédéterminés et n’applique ni ne valide la sécurité des appareils des utilisateurs finaux. Il est recommandé d’utiliser des systèmes de sécurité des terminaux pour protéger les appareils contre les attaques des administrateurs locaux.

Voici quelques-unes des entités de base de nFactor EPA.

Action EPA : EPA Action est un type d’action introduit pour nFactor EPA. Il contient les éléments suivants :

  • Expression de vérification de l’appareil client : cette expression est envoyée au plug-in EPA de la passerelle pour évaluation.
  • Groupe de réussite : ce groupe, s’il est configuré, est hérité de la session de passerelle si le résultat de l’EPA est vrai.
  • Groupe de quarantaine : ce groupe, s’il est configuré, est hérité de la session de passerelle si le résultat de l’EPA est faux.
  • KillProcess : Il s’agit du nom du processus auquel le processus EPA doit mettre fin.
  • DeleteFiles : spécifie les chemins séparés par des virgules vers les fichiers que le processus EPA doit supprimer.

Les groupes peuvent être utilisés pendant la durée de la session pour déterminer si le client répond à certaines conditions EPA. Si, à un facteur donné, l’EPA échoue et que la dernière action ne contient pas de « groupe de quarantaine », l’authentification est terminée pour cet utilisateur. Si le « groupe de quarantaine » existe, l’authentification se poursuit et l’administrateur peut vérifier que le groupe accorde un accès limité. Pour plus de détails, consultez la section Exécution EPA.

Pour configurer une action d’authentification EPA à l’aide de l’interface graphique :

  • Accédez à Sécurité > AAA - Trafic des applications > Stratégies > Authentification > Stratégies avancées > Actions > Action EPA d’authentification.

  • Configurez les paramètres suivants :

    • Nom : nom de l’action de l’EPA.
    • Groupe par défaut : groupe par défaut qui est choisi lorsque la vérification EPA est réussie.
    • Groupe de quarantaine : groupe de quarantaine choisi lorsque le contrôle de l’EPA échoue.
    • Kill Process : chaîne spécifiant le nom d’un processus à terminer par l’outil EPA. Les processus multiples sont séparés par une virgule.
    • Supprimer des fichiers : chaîne spécifiant les chemins et les noms des fichiers à supprimer par l’outil EPA. Les fichiers multiples sont séparés par une virgule.
    • Expression : expression de sécurité du client à envoyer au client.

Pour configurer une action d’authentification EPA à l’aide de l’interface de ligne de commande :

add authentication epaAction CWA version check scan -csecexpr sys.client_expr("sys_0_MAC-CWA_version_>=_23.9.0.99")

L’exemple de CLI précédent montre une analyse de point de terminaison pour vérifier la version de l’application Citrix Workspace sur un ordinateur macOS.

Stratégie EPA : Dans nFactor, toutes les stratégies sont ajoutées avec la même syntaxe « ajouter une stratégie d’authentification ». Toutefois, le type d’action qualifie la stratégie de stratégie de l’EPA.

Facteur EPA : Le facteur EPA est un label de stratégie ordinaire. Il n’y a pas d’entité appelée facteur EPA. Une fois que la stratégie de l’EPA est liée à un facteur, elle hérite de certaines propriétés qui en font un facteur EPA.

Remarque :

Le terme « facteur EPA » est couramment utilisé dans ce document pour désigner un facteur soumis à des stratégies de l’EPA.

EPA — Quarantaine : si, à un facteur donné, toutes les expressions de vérification de l’appareil client issues de toutes les actions échouent, et si la dernière action contient un « groupe de quarantaine », ce groupe est ajouté à la session et le NextFactor est examiné. En d’autres termes, malgré l’échec, la présence du « groupe de quarantaine » qualifie la session à l’étape suivante. Toutefois, en raison de l’héritage d’un groupe spécial, l’administrateur peut reléguer la session à un accès restreint ou à des stratégies d’authentification supplémentaires telles que OTP ou SAML.

S’il n’y a pas de groupe de quarantaine lors de la dernière action, l’authentification se termine en cas d’échec.

L’EPA dans NFactor utilise également les entités suivantes :

  • LoginSchema : représentation XML du formulaire de connexion. Il définit la « vue » du formulaire de connexion et possède également les propriétés d’un « facteur ».
  • Étiquette ou facteur de stratégie : il s’agit d’un ensemble de stratégies qui sont essayées à un stade donné de l’authentification.
  • Étiquette de serveur virtuel : le serveur virtuel est également une étiquette de stratégie, c’est-à-dire que l’on peut lier des stratégies à un serveur virtuel. Toutefois, le serveur virtuel est l’ensemble des différentes étiquettes de stratégie, car il constitue le point d’entrée de l’accès des utilisateurs.
  • facteur suivant : il est utilisé pour spécifier l’étiquette/le facteur de stratégie à utiliser une fois que la stratégie d’authentification donnée est réussie.
  • Stratégie NO_AUTHN : stratégie spéciale dont l’action aboutit toujours.
  • Facteur de transmission : Il s’agit d’une étiquette ou d’un facteur de stratégie dont le schéma de connexion ne contient pas de vue. Cela indique à l’appliance NetScaler de poursuivre l’authentification au facteur donné sans intervention de l’utilisateur.

Pour plus d’informations, consultez la section Concepts, entités et terminologie nFactor.

Exclusivité mutuelle EPA Factor

EPA Factor contient une ou plusieurs stratégies de l’EPA. Une fois que les stratégies EPA sont liées à un facteur, les stratégies d’authentification standard ne sont pas autorisées sur ce facteur. Cette restriction vise à offrir la meilleure expérience utilisateur et une séparation nette de l’analyse des points de terminaison. La seule exception à cette règle est la stratégie NO_AUTHN. La stratégie NO_AUTHN étant une stratégie spéciale utilisée pour simuler un « saut en cas d’échec », elle est autorisée dans le facteur EPA.

Exécution de l’EPA

Quel que soit le facteur (y compris le facteur serveur virtuel), avant de fournir le formulaire d’ouverture de session, l’appliance NetScaler vérifie si le facteur est configuré pour l’EPA. Si c’est le cas, il envoie une réponse spécifique au client (UI) de sorte que la séquence EPA soit déclenchée. Dans cette séquence, le client demande des expressions de contrôle de l’appareil client et envoie les résultats. Les expressions de contrôle de l’appareil client pour toutes les stratégies d’un facteur sont envoyées en une seule fois au client. Une fois les résultats obtenus au niveau de l’appliance NetScaler, chacune des expressions de toutes les actions est évaluée dans un ordre. La première action qui aboutit à la réussite de l’EPA met fin à ce facteur, et DefaultGroup, s’il est configuré, est hérité dans la session. Si la stratégie NO_AUTHN est rencontrée, elle est considérée comme une réussite automatique. Si le facteur NextFactor est spécifié, l’appliance continue avec ce facteur. Sinon, l’authentification prend fin. Cette condition s’applique également au premier facteur. S’il n’y a pas de facteur de stratégie d’authentification après l’EPA sur le serveur virtuel, l’authentification est interrompue. Ce comportement diffère du comportement de stratégie classique, où l’utilisateur affiche toujours la page de connexion après l’EPA. Toutefois, en cas d’échec de la stratégie EPA, NetScaler Gateway examine le groupe de quarantaine configuré pour la dernière stratégie EPA dans ce facteur ou cette cascade. Si la dernière stratégie est configurée avec le groupe de quarantaine, ce groupe est ajouté à la session et le NextFactor est inspecté. S’il existe un facteur NextFactor, l’authentification passe à ce facteur. Sinon, l’authentification est terminée.

Configurer le scan EPA pour qu’il s’exécute après l’authentification

Vous pouvez configurer le scan EPA pour qu’il s’exécute après l’authentification. Dans l’exemple suivant, le scan EPA est utilisé comme vérification finale dans le cadre d’une authentification nFactor ou multifactorielle. Dans cette configuration, si le scan EPA échoue lors d’une telle vérification, la session est terminée.

EPA dans la séquence de flux nFactor

  • L’utilisateur tente de se connecter à NetScaler Gateway Virtual IP.
  • Une page de connexion avec un champ de nom d’utilisateur et de mot de passe est rendue à l’utilisateur pour fournir ses informations d’identification de connexion. Avec ces informations d’identification, l’authentification LDAP ou AD est effectuée au niveau du serveur principal. En cas de succès, une fenêtre contextuelle s’affiche pour autoriser l’analyse EPA.
  • Une fois l’utilisateur autorisé, l’analyse EPA est effectuée et, en fonction de la réussite ou de l’échec des paramètres du client utilisateur, l’accès est fourni.
  • Si l’analyse est réussie, l’analyse EPA est effectuée périodiquement pour savoir si les exigences de vérification de l’appareil configurées sont toujours satisfaites.
  • Si l’analyse EPA échoue au cours d’une telle vérification, la session est interrompue.

Conditions préalables

Il est supposé que la configuration suivante est en place :

  • Configuration du serveur virtuel VPN, de la passerelle et du serveur virtuel d’authentification
  • Configurations du serveur LDAP et stratégies associées.

La section suivante capture les stratégies et les configurations d’étiquettes de stratégie requises, ainsi que le mappage des stratégies et des étiquettes de stratégie à un profil d’authentification.

EPA dans la stratégie nFactor et le mappage des étiquettes de stratégie

Sur la CLI

  1. Créez une action pour effectuer une analyse EPA avant l’authentification LDAP et associez-la à une stratégie d’analyse EPA.

    add authentication epaAction pre-ldap-epa-action -csecexpr "sys.client_expr ("proc_2_firefox")"
    
    add authentication Policy pre-ldap-epa-pol -rule true -action pre-ldap-epa-action
    <!--NeedCopy-->
    

    L’expression précédente analyse si le processus « Firefox » est en cours d’exécution. Le client de l’EPA vérifie l’existence du processus toutes les 2 minutes, ce qui est indiqué par le chiffre « 2 » dans l’expression scannée.

  2. Configurez l’étiquette de stratégie,pre-ldap-epa-label qui héberge la stratégie pour l’analyse EPA.

    add authentication policylabel pre-ldap-epa-label -loginSchema LSCHEMA_INT
    <!--NeedCopy-->
    

    Remarque :

    LSCHEMA_INT est un schéma intégré sans schéma (noschema), ce qui signifie qu’aucune page Web supplémentaire n’est présentée à l’utilisateur à cette étape.

  3. Associez la stratégie configurée à l’étape 1 à l’étiquette de stratégie configurée à l’étape 2. Le mécanisme d’authentification est terminé.

    bind authentication policylabel pre-ldap-epa-label -policyName pre-ldap-epa-pol -priority 100 -gotoPriorityExpression END
    <!--NeedCopy-->
    
  4. Configurez une action et une stratégie LDAP.

    add authentication ldapAction ldap-act -serverIP 10.106.103.60 -ldapBase "dc=cgwsanity,dc=net" -ldapBindDn user1@example.net -ldapBindDnPassword 1.cloud -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN -passwdChange ENABLED
    
    add authentication Policy ldap-pol -rule true -action ldap-act
    <!--NeedCopy-->
    
  5. Créez un schéma de connexion avec le SSO activé.

    add authentication loginSchema ldap-schema -authenticationSchema "/nsconfig/loginschema/LoginSchema/SingleAuth.xml" -SSOCredentials Yes
    <!--NeedCopy-->
    
  6. Configurez l’étiquette de stratégie,ldap-pol-label qui héberge la stratégie pour l’authentification LDAP.

    add authentication policylabel ldap-pol-label -loginSchema ldap-schema
    <!--NeedCopy-->
    
  7. Liez le schéma de connexion configuré à l’étape 5 à l’étiquette de stratégie configurée à l’étape 6.

    bind authentication policylabel ldap-pol-label -policyName ldap-pol -priority 100 -gotoPriorityExpression NEXT
    <!--NeedCopy-->
    
  8. Créez une action pour effectuer un scan EPA après l’authentification LDAP et associez-le à une stratégie de scan EPA.

    add authentication epaAction post-ldap-epa-action -csecexpr "sys.client_expr ("proc_2_chrome")"
    
    add authentication Policy post-ldap-epa-pol -rule true -action post-ldap-epa-action
    
    add authentication policylabel post-ldap-epa-label -loginSchema LSCHEMA_INT
    
    bind authentication policylabel post-ldap-epa-label -policyName post-ldap-epa-pol -priority 100 -gotoPriorityExpression
    <!--NeedCopy-->
    
  9. En réunissant le tout, associez la stratégie pre-ldap-epa-pol au serveur virtuel d’authentification, l’étape suivante pointant vers l’étiquette de la stratégie ldap-pol-label pour effectuer une analyse EPA.

    bind authentication vserver user.auth.test -policy pre-ldap-epa-pol -priority 100 -nextFactor ldap-pol-label -gotoPriorityExpression NEXT
    
    bind authentication policylabel ldap-pol-label -policyName ldap-pol -priority 100 -gotoPriorityExpression NEXT -nextFactor post-ldap-epa-label
    <!--NeedCopy-->
    

Remarque :

  • Dans l’EPA périodique configuré en plusieurs facteurs, le dernier facteur avec une configuration EPA périodique est pris en compte.
  • Les analyses périodiques ne peuvent être effectuées qu’à l’aide du plug-in EPA et non sur le navigateur.
  • Dans le premier exemple, l’EPA est le premier facteur par lequel le scan recherche le processus « Firefox ».
  • Si l’analyse EPA est réussie, elle entraîne une authentification LDAP, suivie du scan EPA suivant, qui recherche le processus « Chrome ».
  • Lorsque plusieurs analyses périodiques sont configurées en tant que facteurs différents, la dernière analyse est prioritaire. Dans ce cas, le plug-in EPA recherche le processus « Chrome » toutes les 2 minutes après la réussite de la connexion.

Sur l’interface graphique (à l’aide de nFactor Visualizer)

Vous pouvez configurer le scan EPA avancé en tant que facteur à l’aide du visualiseur nFactor sur l’interface graphique. Dans l’exemple suivant, nous avons utilisé le LDAP comme premier facteur et l’EPA comme facteur suivant.

  1. Créez un premier facteur pour le flux nFactor.

    • Accédez à Sécurité > Trafic des applications AAA > nFactor Visualizer > Flux nFactor, puis cliquez sur Ajouter.

    • Cliquez sur + pour ajouter le flux nFactor.
    • Ajoutez un facteur et cliquez sur Créer.

    EPA dans la séquence de flux nFactor

  2. Créez un schéma de connexion et une stratégie pour le premier facteur.

    • Sur la première vignette de facteurs, cliquez sur Ajouter un schéma pour ajouter un schéma de connexion. Vous pouvez sélectionner un schéma de connexion d’authentification existant dans la liste déroulante ou créer un schéma de connexion.
    • Pour créer un schéma de connexion d’authentification, cliquez sur Ajouter. Pour des informations détaillées sur le schéma de connexion à l’authentification, consultez la section Configuration de l’authentification nFactor.

      EPA dans la séquence de flux nFactor

    • Cliquez sur Ajouter une stratégie pour ajouter la stratégie LDAP. Si la stratégie LDAP est déjà créée, vous pouvez la sélectionner. Cliquez sur Ajouter.

      Remarque :

      Si aucune stratégie LDAP n’est créée, vous pouvez en créer une. Cliquez sur le bouton Ajouter à côté de la liste déroulante Sélectionner une stratégie. Dans le champ Action, sélectionnez LDAP. Pour plus d’informations sur l’ajout d’un serveur LDAP d’authentification, consultez https://support.citrix.com/article/CTX123782.

      EPA dans la séquence de flux nFactor

  3. Créez un facteur suivant et connectez-le au premier facteur.

    • Cliquez sur l’icône + verte ou rouge pour ajouter l’EPA comme facteur suivant.
    • Créez le facteur suivant sur la page Next Factor to Connect.
    • Laissez la section Ajouter un schéma vide, afin qu’aucun schéma par défaut ne soit appliqué à ce facteur.
  4. Ajoutez une stratégie pour le facteur suivant.

    • Cliquez sur Ajouter une stratégie pour ajouter la stratégie et l’action de l’EPA après authentification.
    • Vous pouvez choisir parmi une liste de stratégies existante ou créer une stratégie. Pour choisir parmi les stratégies existantes, sélectionnez-en une dans la liste déroulante Sélectionner une stratégie, fournissez les informations contraignantes, puis cliquez sur Ajouter.
    • Pour créer une stratégie, cliquez sur le bouton Ajouter à côté de la liste déroulante Sélectionner une stratégie.

    EPA dans la séquence de flux nFactor

  5. Une fois le flux nFactor terminé, cliquez sur Terminé.

  6. Liez le flux nFactor à un serveur d’authentification.

    • Accédez à Security AAA - Trafic d’applications > nFactor Visualizer > nFactor Flows.
    • Sélectionnez le nFactor et cliquez sur Lier au serveur d’authentification.

    EPA dans la séquence de flux nFactor

Références

L’analyse EPA en tant que facteur d’authentification nFactor