Re-Captcha-Konfiguration für die nFactor-Authentifizierung
Citrix Gateway unterstützt eine neue erstklassige AktioncaptchaAction
, die die Re-Captcha-Konfiguration vereinfacht. Da Re-Captcha eine erstklassige Aktion ist, kann sie ein eigener Faktor sein. Sie können Re-Captcha überall im nFactor-Flow injizieren.
Zuvor mussten Sie benutzerdefinierte WebAuth Richtlinien mit Änderungen an der RFWebUI schreiben. Mit Einführen voncaptchaAction
müssen Sie das JavaScript nicht mehr ändern.
Wichtig:
要是Re-Captcha z麻省理工学院窝Feldern毛皮窝Benutzernamen oder das Kennwort im Schema verwendet wird, ist die SchaltflächeSendendeaktiviert, bis Re-Captcha erfüllt ist.
Re-Captcha-Konfiguration
Die Re-Captcha-Konfiguration besteht aus zwei Teilen.
- Konfiguration bei Google für die Registrierung von Re-Captcha.
- Konfiguration auf der Citrix ADC Appliance zur Verwendung von Re-Captcha als Teil des Anmeldeflusses.
Re-Captcha-Konfiguration bei Google
Registrieren Sie eine Domain für Re-Captcha unterhttps://www.google.com/recaptcha/admin#llist.
Wenn Sie zu dieser Seite navigieren, wird der folgende Bildschirm angezeigt.
Hinweis
Verwenden Sie nur reCAPTCHA v2. Unsichtbares Re-Captcha befindet sich noch in der Vorschau.
Nachdem eine Domain registriert wurde, werden “SiteKey” und “SecretKey” angezeigt.
Hinweis
Der “SiteKey” und “SecretKey” sind aus Sicherheitsgründen ausgegraut. “SecretKey” muss sicher aufbewahrt werden.
Re-Captcha-Konfiguration auf einer Citrix ADC Appliance
Die Re-Captcha-Konfiguration auf der Citrix ADC Appliance kann in drei Teile unterteilt werden:
- Bildschirm “Re-Captcha anzeigen”
- Veröffentlichen Sie die Re-Captcha-Antwort auf dem Google-Server
- Die LDAP-Konfiguration ist der zweite Faktor für die Benutzeranmeldung (optional)
Bildschirm “Re-Captcha anzeigen”
Die Anpassung des Anmeldeformulars erfolgt über das Anmeldeschema SingleAuthCaptcha.xml. Diese Anpassung wird auf dem virtuellen Authentifizierungsserver angegeben und zum Rendern des Anmeldeformulars an die Benutzeroberfläche gesendet. Das integrierte Anmeldeschema SingleAuthCaptcha.xml ist im Verzeichnis/nsconfig/loginSchema/LoginSchema
auf der Citrix ADC-Appliance.
Wichtig
- Das Anmeldeschema SingleAuthCaptcha.xml kann verwendet werden, wenn LDAP als erster Faktor konfiguriert ist.
- Basierend auf Ihrem Anwendungsfall und verschiedenen Schemas können Sie das vorhandene Schema ändern. Zum Beispiel, wenn Sie nur den Re-Captcha-Faktor (ohne Benutzername oder Kennwort) oder eine doppelte Authentifizierung mit Re-Captcha benötigen.
- Wenn benutzerdefinierte Änderungen vorgenommen wurden oder die Datei umbenannt wird, empfiehlt Citrix, alle LoginSchemas aus dem Verzeichnis
/nsconfig/loginschema/LoginSchema
in das übergeordnete Verzeichnis/nsconfig/loginschema
zu kopieren.
So konfigurieren Sie die Anzeige von Re-Captcha über die CLI
add authentication loginSchema singleauthcaptcha -authenticationSchema /nsconfig/loginschema/SingleAuthCaptcha.xml add authentication loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptcha add authentication vserver auth SSL add ssl certkey vserver-cert -cert -key bind ssl vserver auth -certkey vserver-cert bind authentication vserver auth -policy singleauthcaptcha -priority 5 -gotoPriorityExpression END
Veröffentlichen Sie die Re-Captcha-Antwort auf dem Google-Server
Nachdem Sie das Re-Captcha konfiguriert haben, das den Benutzern angezeigt werden muss, fügen die Administratoren die Konfiguration zum Google-Server hinzu, um die Re-Captcha-Antwort des Browsers zu überprüfen.
So überprüfen Sie die Re-Captcha-Antwort des Browsers
add authentication captchaAction myrecaptcha -sitekey -secretkey add authentication policy myrecaptcha -rule true -action myrecaptcha bind authentication vserver auth -policy myrecaptcha -priority 1
Die folgenden Befehle sind erforderlich, um zu konfigurieren, ob AD-Authentifizierung gewünscht ist. Andernfalls können Sie diesen Schritt ignorieren.
add authentication ldapAction ldap-new -serverIP x.x.x.x -serverPort 636 -ldapBase "cn=users,dc=aaatm,dc=com" -ldapBindDn adminuser@aaatm.com -ldapBindDnPassword -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup ldapGroup add authenticationpolicy ldap-new -rule true -action ldap-new
Die LDAP-Konfiguration ist der zweite Faktor für die Benutzeranmeldung (optional)
Die LDAP-Authentifizierung erfolgt nach Re-Captcha, Sie fügen sie dem zweiten Faktor hinzu.
add authentication policylabel second-factor bind authentication policylabel second-factor -policy ldap-new -priority 10 bind authentication vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor
Der Administrator muss entsprechende virtuelle Server hinzufügen, je nachdem, ob der virtuelle Lastausgleichsserver oder das Citrix Gateway-Gerät für den Zugriff verwendet wird. Der Administrator muss den folgenden Befehl konfigurieren, wenn ein virtueller Lastausgleichsserver erforderlich ist:
add lb vserver lbtest HTTP -authentication ON -authenticationHost nssp.aaatm.com
**nssp.aaatm.com**
— Löst sich in einen virtuellen Authentifizierungsserver auf.
Benutzervalidierung von re-Captcha
Nachdem Sie alle in den vorherigen Abschnitten genannten Schritte konfiguriert haben, müssen Sie die folgende Benutzeroberfläche sehen.
Sobald der virtuelle Authentifizierungsserver die Anmeldeseite geladen hat, wird der Anmeldebildschirm angezeigt. DieAnmeldungist deaktiviert, bis Re-Captcha abgeschlossen ist.
Wähle Ich bin keine Roboter-Option. Das Re-Captcha-Widget wird angezeigt.
- Sie werden durch eine Reihe von Re-Captcha-Bildern navigiert, bevor die Abschlussseite angezeigt wird.
Geben Sie die AD-Anmeldeinformationen ein, aktivieren Sie das KontrollkästchenIch bin kein Roboterund klicken Sie aufAnmelden. Wenn die Authentifizierung erfolgreich ist, werden Sie zur gewünschten Ressource weitergeleitet.
Hinweise:
- Wenn Re-Captcha mit der AD-Authentifizierung verwendet wird, ist die SchaltflächeSendenfür Anmeldeinformationen deaktiviert, bis Re-Captcha abgeschlossen ist.
- Das Re-Captcha geschieht in einem eigenen Faktor. Daher müssen alle nachfolgenden Validierungen wie AD im
nextfactor
von Re-Captcha stattfinden.