nFactor 身份验证
重要提示
- NetScaler 11.0 Build 62.x 及更高版本支持 nFactor 身份验证。
- 要使 nFactor 身份验证与 NetScaler 配合使用,需要高级许可证或高级许可证。
- 自版本 13.0 Build 67.x 起,只有网关/VPN 虚拟服务器的 Standard 许可证支持 nFactor 身份验证。有关使用 NetScaler Gateway 进行 nFactor 身份验证的更多信息,请参阅 网关身份验证的 nFactor
- Linux 客户端不支持 nFactor 身份验证。
多因素身份验证要求用户提供多个身份证明才能获得访问权限,从而增强了应用程序的安全性。NetScaler 设备为配置多重身份验证提供了一种可扩展的灵活方法。这种方法称为 nFactor 身份验证。
nFactor 身份验证的工作原理
每个身份验证因素都执行以下任务:
-
收集用户提供的凭据。NetScaler 支持的身份验证机制包括 LDAP、RADIUS、SAML 断言、客户端证书、OAuth OpenID Connect、Kerberos 等。
-
评估提供的凭据以确定身份验证是成功、失败还是执行组提取、属性提取等操作。
-
授予访问权限、拒绝访问权限还是选择下一个因素,具体取决于评估结果。
-
重复执行这些步骤,直到没有其他需要评估的因素。
使用 nFactor 身份验证,您可以:
- 配置任意数量的身份验证因素。
- 根据执行前一个因素的结果来选择下一个因素。
- 自定义登录界面。例如,您可以自定义标签名称、错误消息和帮助文本。
- 提取用户组信息而不进行身份验证。
- 为身份验证因素配置直通。这意味着该因素不需要显式登录交互。
- 配置应用不同类型的身份验证的顺序。NetScaler 设备支持的任何身份验证机制都可以配置为 nFactor 身份验证设置的任何因素。这些因素按配置顺序执行。
- 配置 NetScaler 设备以继续执行身份验证因素,身份验证失败时必须执行该身份验证因素。为此,您需要配置另一个具有相同条件的身份验证策略,但优先级排在第二位,操作设置为“NO_AUTH”。必须配置下一个因素,该因素必须指定要应用的替代身份验证机制。
用于 nFactor 身份验证的 NetScaler Gateway 登录信息的加密
具有 nFactor 身份验证的 NetScaler Gateway 可以在身份验证过程中对客户端(浏览器或 SSO 应用程序)提交的登录请求字段进行加密。加密的登录请求字段提供了额外的安全层,以保护用户的敏感数据免遭泄露。
兼容的浏览器
下表列出了浏览器以及支持登录加密的版本详细信息。
| 浏览器 | 版本 |
|---|---|
| Chrome | 78 及更高版本 |
| Firefox | 69 及更高版本 |
| Edge | 42 及更高版本 |
| Safari | 11.0 及更高版本 |
| Opera | 66 |
兼容的客户
以下部分列出了支持加密 NetScaler Gateway 登录信息的客户端以及版本详细信息。
- Mac 中的 Citrix Workspace 应用程序仅在操作系统版本为 10.14.x 及更高版本时才支持加密。
- Mac 中的 Citrix SSO 应用程序仅在操作系统版本为 10.14.x 及更高版本时才支持加密。
- Windows SSO 应用程序对兼容性没有限制。
使用 CLI 启用登录加密
在命令提示符下,键入:
set aaa parameter \[-loginEncryption \(ENABLED | DISABLED)]
注意
默认情况下,loginEncryption 参数设置为 DISABLED。必须将其启用。
使用 GUI 启用登录加密
- 导航到 Security(安全)> AAA – Application Traffic(AAA - 应用程序流量),然后单击 Authentication Settings(身份验证设置)部分下的 Change authentication AAA settings(更改身份验证 AAA 设置)。
- 在 Configure AAA Parameter(配置 AAA 参数)页面上,向下滚动到 Login Encryption(登录加密)选项,然后启用。
关于登录加密的重要说明:
在以下情况下,尝试登录 NetScaler Gateway 时,您会看到一条错误消息,提示密码加密失败,必须禁用密码加密才能继续登录:
- 登录加密已启用。
- 使用了不支持的浏览器。
您可以忽略禁用登录加密的建议。但是,请确保使用支持的浏览器才能成功登录。
本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
已复制!
失败!