Citrix ADC

Re-Captcha-Konfiguration für die nFactor-Authentifizierung

Citrix Gateway unterstützt eine neue erstklassige AktioncaptchaAction, die die Re-Captcha-Konfiguration vereinfacht. Da Re-Captcha eine erstklassige Aktion ist, kann sie ein eigener Faktor sein. Sie können Re-Captcha überall im nFactor-Flow injizieren.

Zuvor mussten Sie benutzerdefinierte WebAuth Richtlinien mit Änderungen an der RFWebUI schreiben. Mit Einführen voncaptchaActionmüssen Sie das JavaScript nicht mehr ändern.

Wichtig:

要是Re-Captcha z麻省理工学院窝Feldern毛皮窝Benutzernamen oder das Kennwort im Schema verwendet wird, ist die SchaltflächeSendendeaktiviert, bis Re-Captcha erfüllt ist.

Re-Captcha-Konfiguration

Die Re-Captcha-Konfiguration besteht aus zwei Teilen.

  1. Konfiguration bei Google für die Registrierung von Re-Captcha.
  2. Konfiguration auf der Citrix ADC Appliance zur Verwendung von Re-Captcha als Teil des Anmeldeflusses.

Re-Captcha-Konfiguration bei Google

Registrieren Sie eine Domain für Re-Captcha unterhttps://www.google.com/recaptcha/admin#llist.

  1. Wenn Sie zu dieser Seite navigieren, wird der folgende Bildschirm angezeigt.

    Eine Seite registrieren

    Hinweis

    Verwenden Sie nur reCAPTCHA v2. Unsichtbares Re-Captcha befindet sich noch in der Vorschau.

  2. Nachdem eine Domain registriert wurde, werden “SiteKey” und “SecretKey” angezeigt.

    Site-Schlüssel und geheimer Schlüssel

    Hinweis

    Der “SiteKey” und “SecretKey” sind aus Sicherheitsgründen ausgegraut. “SecretKey” muss sicher aufbewahrt werden.

Re-Captcha-Konfiguration auf einer Citrix ADC Appliance

Die Re-Captcha-Konfiguration auf der Citrix ADC Appliance kann in drei Teile unterteilt werden:

  • Bildschirm “Re-Captcha anzeigen”
  • Veröffentlichen Sie die Re-Captcha-Antwort auf dem Google-Server
  • Die LDAP-Konfiguration ist der zweite Faktor für die Benutzeranmeldung (optional)

Bildschirm “Re-Captcha anzeigen”

Die Anpassung des Anmeldeformulars erfolgt über das Anmeldeschema SingleAuthCaptcha.xml. Diese Anpassung wird auf dem virtuellen Authentifizierungsserver angegeben und zum Rendern des Anmeldeformulars an die Benutzeroberfläche gesendet. Das integrierte Anmeldeschema SingleAuthCaptcha.xml ist im Verzeichnis/nsconfig/loginSchema/LoginSchemaauf der Citrix ADC-Appliance.

Wichtig

  • Das Anmeldeschema SingleAuthCaptcha.xml kann verwendet werden, wenn LDAP als erster Faktor konfiguriert ist.
  • Basierend auf Ihrem Anwendungsfall und verschiedenen Schemas können Sie das vorhandene Schema ändern. Zum Beispiel, wenn Sie nur den Re-Captcha-Faktor (ohne Benutzername oder Kennwort) oder eine doppelte Authentifizierung mit Re-Captcha benötigen.
  • Wenn benutzerdefinierte Änderungen vorgenommen wurden oder die Datei umbenannt wird, empfiehlt Citrix, alle LoginSchemas aus dem Verzeichnis/nsconfig/loginschema/LoginSchemain das übergeordnete Verzeichnis/nsconfig/loginschemazu kopieren.

So konfigurieren Sie die Anzeige von Re-Captcha über die CLI

add authentication loginSchema singleauthcaptcha -authenticationSchema /nsconfig/loginschema/SingleAuthCaptcha.xml add authentication loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptcha add authentication vserver auth SSL   add ssl certkey vserver-cert -cert  -key  bind ssl vserver auth -certkey vserver-cert bind authentication vserver auth -policy singleauthcaptcha -priority 5 -gotoPriorityExpression END 

Veröffentlichen Sie die Re-Captcha-Antwort auf dem Google-Server

Nachdem Sie das Re-Captcha konfiguriert haben, das den Benutzern angezeigt werden muss, fügen die Administratoren die Konfiguration zum Google-Server hinzu, um die Re-Captcha-Antwort des Browsers zu überprüfen.

So überprüfen Sie die Re-Captcha-Antwort des Browsers
add authentication captchaAction myrecaptcha -sitekey  -secretkey  add authentication policy myrecaptcha -rule true -action myrecaptcha bind authentication vserver auth -policy myrecaptcha -priority 1 

Die folgenden Befehle sind erforderlich, um zu konfigurieren, ob AD-Authentifizierung gewünscht ist. Andernfalls können Sie diesen Schritt ignorieren.

add authentication ldapAction ldap-new -serverIP x.x.x.x -serverPort 636 -ldapBase "cn=users,dc=aaatm,dc=com" -ldapBindDn adminuser@aaatm.com -ldapBindDnPassword  -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup ldapGroup add authenticationpolicy ldap-new -rule true -action ldap-new 

Die LDAP-Konfiguration ist der zweite Faktor für die Benutzeranmeldung (optional)

Die LDAP-Authentifizierung erfolgt nach Re-Captcha, Sie fügen sie dem zweiten Faktor hinzu.

add authentication policylabel second-factor bind authentication policylabel second-factor -policy ldap-new -priority 10 bind authentication vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor 

Der Administrator muss entsprechende virtuelle Server hinzufügen, je nachdem, ob der virtuelle Lastausgleichsserver oder das Citrix Gateway-Gerät für den Zugriff verwendet wird. Der Administrator muss den folgenden Befehl konfigurieren, wenn ein virtueller Lastausgleichsserver erforderlich ist:

add lb vserver lbtest HTTP   -authentication ON -authenticationHost nssp.aaatm.com 

**nssp.aaatm.com**— Löst sich in einen virtuellen Authentifizierungsserver auf.

Benutzervalidierung von re-Captcha

Nachdem Sie alle in den vorherigen Abschnitten genannten Schritte konfiguriert haben, müssen Sie die folgende Benutzeroberfläche sehen.

  1. Sobald der virtuelle Authentifizierungsserver die Anmeldeseite geladen hat, wird der Anmeldebildschirm angezeigt. DieAnmeldungist deaktiviert, bis Re-Captcha abgeschlossen ist.

    Anmeldeinformationen eingeben

  2. Wähle Ich bin keine Roboter-Option. Das Re-Captcha-Widget wird angezeigt.

    Option Roboter

  3. Sie werden durch eine Reihe von Re-Captcha-Bildern navigiert, bevor die Abschlussseite angezeigt wird.
  4. Geben Sie die AD-Anmeldeinformationen ein, aktivieren Sie das KontrollkästchenIch bin kein Roboterund klicken Sie aufAnmelden. Wenn die Authentifizierung erfolgreich ist, werden Sie zur gewünschten Ressource weitergeleitet.

    Serie von Bildern

    Hinweise:

    • Wenn Re-Captcha mit der AD-Authentifizierung verwendet wird, ist die SchaltflächeSendenfür Anmeldeinformationen deaktiviert, bis Re-Captcha abgeschlossen ist.
    • Das Re-Captcha geschieht in einem eigenen Faktor. Daher müssen alle nachfolgenden Validierungen wie AD imnextfactorvon Re-Captcha stattfinden.
Re-Captcha-Konfiguration für die nFactor-Authentifizierung