ADC

nFactor 身份验证

重要提示

  • NetScaler 11.0 Build 62.x 及更高版本支持 nFactor 身份验证。
  • 要使 nFactor 身份验证与 NetScaler 配合使用,需要高级许可证或高级许可证。
  • 自版本 13.0 Build 67.x 起,只有网关/VPN 虚拟服务器的 Standard 许可证支持 nFactor 身份验证。有关使用 NetScaler Gateway 进行 nFactor 身份验证的更多信息,请参阅 网关身份验证的 nFactor
  • Linux 客户端不支持 nFactor 身份验证。

多因素身份验证要求用户提供多个身份证明才能获得访问权限,从而增强了应用程序的安全性。NetScaler 设备为配置多重身份验证提供了一种可扩展的灵活方法。这种方法称为 nFactor 身份验证

nFactor 身份验证的工作原理

每个身份验证因素都执行以下任务:

  • 收集用户提供的凭据。NetScaler 支持的身份验证机制包括 LDAP、RADIUS、SAML 断言、客户端证书、OAuth OpenID Connect、Kerberos 等。

  • 评估提供的凭据以确定身份验证是成功、失败还是执行组提取、属性提取等操作。

  • 授予访问权限、拒绝访问权限还是选择下一个因素,具体取决于评估结果。

  • 重复执行这些步骤,直到没有其他需要评估的因素。

使用 nFactor 身份验证,您可以:

  • 配置任意数量的身份验证因素。
  • 根据执行前一个因素的结果来选择下一个因素。
  • 自定义登录界面。例如,您可以自定义标签名称、错误消息和帮助文本。
  • 提取用户组信息而不进行身份验证。
  • 为身份验证因素配置直通。这意味着该因素不需要显式登录交互。
  • 配置应用不同类型的身份验证的顺序。NetScaler 设备支持的任何身份验证机制都可以配置为 nFactor 身份验证设置的任何因素。这些因素按配置顺序执行。
  • 配置 NetScaler 设备以继续执行身份验证因素,身份验证失败时必须执行该身份验证因素。为此,您需要配置另一个具有相同条件的身份验证策略,但优先级排在第二位,操作设置为“NO_AUTH”。必须配置下一个因素,该因素必须指定要应用的替代身份验证机制。

用于 nFactor 身份验证的 NetScaler Gateway 登录信息的加密

具有 nFactor 身份验证的 NetScaler Gateway 可以在身份验证过程中对客户端(浏览器或 SSO 应用程序)提交的登录请求字段进行加密。加密的登录请求字段提供了额外的安全层,以保护用户的敏感数据免遭泄露。

兼容的浏览器

下表列出了浏览器以及支持登录加密的版本详细信息。

浏览器 版本
Chrome 78 及更高版本
Firefox 69 及更高版本
Edge 42 及更高版本
Safari 11.0 及更高版本
Opera 66

兼容的客户

以下部分列出了支持加密 NetScaler Gateway 登录信息的客户端以及版本详细信息。

  • Mac 中的 Citrix Workspace 应用程序仅在操作系统版本为 10.14.x 及更高版本时才支持加密。
  • Mac 中的 Citrix SSO 应用程序仅在操作系统版本为 10.14.x 及更高版本时才支持加密。
  • Windows SSO 应用程序对兼容性没有限制。

使用 CLI 启用登录加密

在命令提示符下,键入:

set aaa parameter \[-loginEncryption \(ENABLED | DISABLED)]

注意

默认情况下,loginEncryption 参数设置为 DISABLED。必须将其启用。

使用 GUI 启用登录加密

  1. 导航到 Security(安全)> AAA – Application Traffic(AAA - 应用程序流量),然后单击 Authentication Settings(身份验证设置)部分下的 Change authentication AAA settings(更改身份验证 AAA 设置)。
  2. Configure AAA Parameter(配置 AAA 参数)页面上,向下滚动到 Login Encryption(登录加密)选项,然后启用。

关于登录加密的重要说明:

在以下情况下,尝试登录 NetScaler Gateway 时,您会看到一条错误消息,提示密码加密失败,必须禁用密码加密才能继续登录:

  • 登录加密已启用。
  • 使用了不支持的浏览器。

您可以忽略禁用登录加密的建议。但是,请确保使用支持的浏览器才能成功登录。

nFactor 身份验证