nFactor 認証用の再キャプチャ設定
Citrix Gateway は、新しいファーストクラスのアクション「captchaAction」をサポートし、再キャプチャの構成を簡素化します。reCaptchaはファーストクラスのアクションであるため、独自の要因になる可能性があります。nFactorフローのどこにでもreCaptchaを注入することができます。
以前は、RfWeb UI の変更を含むカスタム WebAuth ポリシーを記述する必要がありました。キャプチャアクションの導入により、JavaScriptを変更する必要はありません。
重要
reCaptchaがスキーマ内のユーザー名またはパスワードのフィールドと一緒に使用されている場合、reCaptchaが満たされるまで送信ボタンは無効になります。
再キャプチャ設定
reCaptcha 構成には、2 つの部分が含まれます。
- 再キャプチャを登録するためのGoogleの構成。
- ログインフローの一部として再キャプチャを使用するCitrix ADCアプライアンスの構成。
Googleで再キャプチャ設定
https://www.google.com/recaptcha/adminでreCaptcha のドメインを登録します。
-
このページに移動すると、次の画面が表示されます。
注
再CAPTCHA v2 のみを使用してください。目に見えないreCAPTCHAはまだベータ版です。
-
ドメインを登録すると、「サイトキー」と「秘密キー」が表示されます。
注
セキュリティ上の理由から、「SiteKey」と「SecretKey」はグレー表示になっています。「SecretKey」は安全に保管する必要があります。
Citrix ADCアプライアンスの構成を再キャプチャする
Citrix ADCアプライアンスの再キャプチャ構成は、3つの部分に分けることができます。
- 再キャプチャ画面を表示する
- Googleサーバーに再キャプチャ応答を投稿する
- LDAP 構成は、ユーザーログオンの 2 番目の要素です (オプション)
再キャプチャ画面を表示する
ログインフォームのカスタマイズは、SingleAuthCaptcha.xml Loginschemaを介して行われます。このカスタマイズは、認証仮想サーバーで指定され、ログインフォームをレンダリングするために UI に送信されます。組み込みのLoginschemaであるSingleAuthCaptcha.xmlは、Citrix ADCアプライアンス上の/nsconfig/loginschema/Loginschemaディレクトリにあります。
重要
- ユースケースと異なるスキーマに基づいて、既存のスキーマを変更できます。たとえば、reCaptcha係数(ユーザー名またはパスワードなし)またはreCaptchaとの二重認証のみが必要な場合。
- カスタム変更を実行した場合、またはファイルの名前を変更した場合は、すべてのloginSchemaを/nsconfig/loginschemaディレクトリから親ディレクトリ/nsconfig/loginschemaにコピーすることをお勧めします。
CLI を使用して再キャプチャの表示を設定するには
add authentication loginSchema singleauthcaptcha -authenticationSchema /nsconfig/loginschema/SingleAuthCaptcha.xmladd authentication loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptchaadd authentication vserver auth SSL <IP> <Port>add ssl certkey vserver-cert -cert <path-to-cert-file> -key <path-to-key-file>bind ssl vserver auth -certkey vserver-certbind authentication vserver auth -policy singleauthcaptcha -priority 5 -gotoPriorityExpression END
Googleサーバーに再キャプチャ応答を投稿する
あなたは、ユーザーに表示されなければならないreCaptchaを設定した後、管理者は、ブラウザからのreCaptcha応答を確認するために、Googleサーバーに構成を追加ポスト。
ブラウザから再キャプチャ応答を確認するには
add authentication captchaAction myrecaptcha -sitekey <sitekey-copied-from-google> -secretkey <secretkey-from-google>add authentication policy myrecaptcha -rule true -action myrecaptchabind authentication vserver auth -policy myrecaptcha -priority 1
AD 認証が必要な場合は、次のコマンドが必要です。それ以外の場合は、この手順を無視できます。
add authentication ldapAction ldap-new -serverIP x.x.x.x -serverPort 636 -ldapBase "cn=users,dc=aaatm,dc=com" -ldapBindDn adminuser@aaatm.com -ldapBindDnPassword <password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup ldapGroupadd authenticationpolicy ldap-new -rule true -action ldap-new
LDAP 構成は、ユーザーログオンの 2 番目の要素です (オプション)
LDAP認証はreCaptchaの後に行われ、2番目の要素に追加します。
add authentication policylabel second-factorbind authentication policylabel second-factor -policy ldap-new -priority 10bind authentication vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor
管理者は、負荷分散仮想サーバーとCitrix Gateway アプライアンスのどちらを使用してアクセスするかに応じて、適切な仮想サーバーを追加する必要があります。ロードバランシング仮想サーバが必要な場合は、管理者が次のコマンドを設定する必要があります。
-
add lb vserver lbtest HTTP <IP> <Port> -authentication ON -authenticationHost nssp.aaatm.comnssp.aaatm.com — 認証仮想サーバーに解決します。
再キャプチャのユーザー検証
前のセクションで説明したすべての手順を設定したら、以下に示すUIのスクリーンショットを確認する必要があります。
-
認証仮想サーバーがログインページを読み込むと、ログオン画面が表示されます。ログオン は、再キャプチャが完了するまで無効になります。
-
[私はロボットではありません] オプションを選択します。再キャプチャウィジェットが表示されます。
- 完了ページが表示される前に、一連のreCaptchaイメージ間を移動します。
-
AD 資格情報を入力し、[ロボットではありません] チェックボックスをオンにして、 [ログオン] をクリックします。認証が成功すると、目的のリソースにリダイレクトされます。
メモ
- reCaptchaがAD認証で使用されている場合、reCaptchaが完了するまで、資格情報の送信ボタンは無効になります。
- reCaptchaは、独自の要因で発生します。したがって、ADのような後続の検証は、reCaptchaの ‘nextfactor’で発生する必要があります。