ADC

nFactor 認証の設定を再キャプチャする

NetScaler Gatewayは、 captchaAction 再キャプチャ構成を簡素化する新しいファーストクラスアクションをサポートしています。再キャプチャはファーストクラスのアクションなので、それ自体が要因になる可能性があります。再キャプチャは nFactor フローのどこにでも注入できます。

以前は、RfWebUI に変更を加えたカスタム WebAuth ポリシーも作成する必要がありました。captchaActionの導入により、JavaScript を変更する必要がなくなりました。

重要:

スキーマ内のユーザー名またはパスワードフィールドとともに Re-CAPTCHA が使用されている場合、再キャプチャが満たされるまで [ 送信 ] ボタンは無効になります。

設定を再キャプチャ

再キャプチャの設定には 2 つの部分が含まれます。

  1. 再キャプチャを登録するためのGoogleでの設定。
  2. ログインフローの一部として再キャプチャを使用するようにNetScalerアプライアンスを構成します。

Google の設定を再キャプチャ

https://www.google.com/recaptcha/admin#llistで再キャプチャするドメインを登録します。

  1. このページに移動すると、次の画面が表示されます。

    サイトを登録する

    reCAPTCHA v2 のみを使用してください。見えない再キャプチャはまだプレビュー中です。

  2. ドメインが登録されると、「SiteKey」と「SecretKey」が表示されます。

    サイトキーとシークレットキー

    セキュリティ上の理由から、「siteKey」と「SecretKey」はグレー表示されています。「SecretKey」は安全に保管する必要があります。

NetScalerアプライアンスでの構成の再キャプチャ

NetScalerアプライアンスのRe-CAPTCHA構成は、次の3つの部分に分けることができます。

  • 再キャプチャ画面を表示する
  • 再キャプチャレスポンスを Google サーバに投稿する
  • LDAP 構成はユーザーログオンの 2 番目の要素です (オプション)

再キャプチャ画面を表示する

ログインフォームのカスタマイズは、SingleAuthCaptcha.xml ログインスキーマを介して行われます。このカスタマイズは認証仮想サーバーで指定され、ログインフォームをレンダリングするために UI に送信されます。組み込みのログインスキーマである SingleAuthCaptcha.xml は、 /nsconfig/loginSchema/LoginSchema NetScalerアプライアンスのディレクトリにあります。

重要

  • SingleAuthCaptcha.xml ログインスキーマは、LDAP が第 1 要素として構成されている場合に使用できます。
  • ユースケースと異なるスキーマに基づいて、既存のスキーマを変更できます。たとえば、再キャプチャ要素(ユーザー名またはパスワードなし)または再キャプチャによる二重認証のみが必要な場合などです。
  • カスタム変更が行われた場合、またはファイルの名前が変更された場合は、すべてのLoginSchemasを/nsconfig/loginschema/LoginSchemaディレクトリから親ディレクトリ/nsconfig/loginschemaにコピーすることをお勧めします 。

CLI を使用して Re-CAPTCHA の表示を設定するには

add authentication loginSchema singleauthcaptcha -authenticationSchema /nsconfig/loginschema/SingleAuthCaptcha.xml

add authentication loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptcha

add authentication vserver auth SSL <IP> <Port>

add ssl certkey vserver-cert -cert <path-to-cert-file> -key <path-to-key-file>

bind ssl vserver auth -certkey vserver-cert

bind authentication vserver auth -policy singleauthcaptcha -priority 5 -gotoPriorityExpression END
<!--NeedCopy-->

再キャプチャレスポンスを Google サーバに投稿する

ユーザーに表示する必要のある再キャプチャを設定したら、管理者はその構成をGoogleサーバーに追加して、ブラウザからの再キャプチャ応答を確認します。

ブラウザからの re-Captcha応答を確認するには
add authentication captchaAction myrecaptcha -sitekey <sitekey-copied-from-google> -secretkey <secretkey-from-google>

add authentication policy myrecaptcha -rule true -action myrecaptcha

bind authentication vserver auth -policy myrecaptcha -priority 1
<!--NeedCopy-->

https://www.google.com/recaptcha/api/siteverify NetScalerがキャプチャ情報を検証するために問い合わせます。そのため、NetScalerからサイトにアクセスできることを確認してください。

Google サイトにアクセスできるかどうかを確認するには、スクリプトcurl -vvv https://www.google.com/recaptcha/api/siteverifyを実行します。

AD 認証が必要かどうかを設定するには、次のコマンドが必要です。それ以外の場合は、この手順は無視してかまいません。

add authentication ldapAction ldap-new -serverIP x.x.x.x -serverPort 636 -ldapBase "cn=users,dc=aaatm,dc=com" -ldapBindDn adminuser@aaatm.com -ldapBindDnPassword <password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup ldapGroup

add authenticationpolicy ldap-new -rule true -action ldap-new
<!--NeedCopy-->

LDAP 構成はユーザーログオンの 2 番目の要素です (オプション)

LDAP認証は再キャプチャ後に行われ、2番目の要素に追加します。

add authentication policylabel second-factor

bind authentication policylabel second-factor -policy ldap-new -priority 10

bind authentication vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor
<!--NeedCopy-->

管理者は、アクセスに負荷分散仮想サーバーとNetScaler Gatewayアプライアンスのどちらを使用するかに応じて、適切な仮想サーバーを追加する必要があります。負荷分散仮想サーバーが必要な場合は、管理者が次のコマンドを構成する必要があります。

add lb vserver lbtest HTTP <IP> <Port> -authentication ON -authenticationHost nssp.aaatm.com
<!--NeedCopy-->

**nssp.aaatm.com** — 認証仮想サーバに解決します。

再キャプチャのユーザー検証

前のセクションで説明したすべての手順を構成したら、次の UI が表示されるはずです。

  1. 認証仮想サーバーがログインページをロードすると、ログオン画面が表示されます。再キャプチャが完了するまで、ログオンは無効になります

    資格情報の入力

  2. [ロボットではありません] オプションを選択します。Re-Captcha ウィジェットが表示されます。

    ロボットオプション

  3. 完了ページが表示される前に、一連の再キャプチャ画像をナビゲートします。
  4. AD 資格情報を入力し、[ ロボットではありません] チェックボックスをオンにして、 [ ログオン] をクリックします。認証が成功すると、目的のリソースにリダイレクトされます。

    一連の画像

    メモ:

    • 再キャプチャが AD 認証で使用されている場合、再キャプチャが完了するまで、資格情報の [ 送信 ] ボタンは無効になります。
    • 再キャプチャは独自の要因で発生します。したがって、ADのような後続の検証は、re-captchaのnextfactorで行う必要があります。
nFactor 認証の設定を再キャプチャする