Leitfaden für einen Machbarkeitsnachweis: nFactor für Citrix Gateway-Authentifizierung mit Push

Einführung

Zeitbasierte Einmalpasswörter (TOTP) sind eine zunehmend verbreitete Methode zur Bereitstellung einer Authentifizierung, die die Sicherheitslage mit anderen Faktoren erhöhen kann. TOTP with PUSH nutzt mobile Geräte, indem es Benutzern ermöglicht, Anfragen zur Überprüfung von Authentifizierungsdaten zu erhalten und zu akzeptieren. Die Börse wird durch Anwenden eines Hashs auf einen gemeinsam genutzten Schlüssel gesichert, der während des Setups verteilt wird.

Citrix Gateway unterstützt Push-Benachrichtigungen für OTP und kann die Authentifizierung für verschiedene Dienste wie Webdienste, VPN und Citrix Virtual Apps and Desktops bereitstellen. In diesem POC Guide zeigen wir die Verwendung für die Authentifizierung in einer Citrix Virtual Apps and Desktops Umgebung.

Übersicht

Dieser Leitfaden zeigt, wie Sie eine Proof of Concept Umgebung unter Verwendung der Zwei-Faktor-Authentifizierung mit Citrix Gateway implementieren. Es verwendet LDAP, um Active Directory-Anmeldeinformationen als ersten Faktor zu validieren und Citrix Cloud Push Authentication als zweiten Faktor zu verwenden. Es verwendet einen von Citrix Virtual Apps and Desktops veröffentlichten virtuellen Desktop, um die Konnektivität zu überprüfen.

Es trifft Annahmen über die abgeschlossene Installation und Konfiguration der folgenden Komponenten:

• Citrix Gateway wurde installiert, lizenziert und mit einem extern erreichbaren virtuellen Server konfiguriert, der an ein Platzhalterzertifikat gebunden ist.
• Citrix Gateway ist in eine Citrix Virtual Apps and Desktops Umgebung integriert, die LDAP zur Authentifizierung verwendet
• Citrix Cloud-Konto eingerichtet
• Endpoint mit installierter Citrix Workspace-App
• Mobilgerät mit installierter Citrix SSO SSO-App
• Active Directory (AD) ist in der Umgebung verfügbar

Informationen吧台neuesten Produktversionen和Lizenzanforderungen finden Sie in der Citrix Documentation.PUSH-Authentifizierung

Citrix Gateway

nFactor

1. Melden Sie sich bei der Citrix ADC UI an
2. Navigieren Sie zuTraffic Management > SSL> Zertifikate > Alle Zertifikate, um zu überprüfen, ob Sie Ihr Domain-Zertifikat installiert haben. In diesem POC-Beispiel haben wir ein Platzhalterzertifikat verwendet, das unserer Active Directory-Domäne entspricht. Weitere Informationen finden Sie unterCitrix ADC SSL-Zertifikate.

Service-Aktion schieben

1. Als nächstes navigiere zuSecurity > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > Push service
2. Wählen Sie Add
3. Füllen Sie die folgenden Felder aus und klicken Sie auf OK:* Name - ein eindeutiger Wert.Wir werden Werte in die folgenden Felder eingeben, um sie in Citrix Cloud zu integrieren - PUSH Service* Melden Sie sich bei Citrix Cloud an und navigieren Sie zuIdentity and Access Management > API-Zugriff* Erstellen Sie einen eindeutigen Namen für den Push-Service und wählen Sie Client erstellenJetzt wir kopiert diese Werte und fügt sie in unsere Citrix ADC-Richtlinie ein, um sie in Citrix Cloud - PUSH Service* Client-ID - kopiert und fügt sie aus der Citrix Cloud-ID und dem geheimen Popup* Client Secret - Kopieren und fügen Sie die Client-ID aus der Citrix Cloud-ID ein und geheim -Popup * Auswählen Schließen* Kunden-ID - Kopieren und fügen Sie die Client-ID von der Citrix Cloud Identity and Access Management-API-Zugriffsseite ein
4. Klicken Sie auf Erstellen

LDAP - Authentifizierungsaktion

1. Als nächstes navigiere zuSecurity > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > LDAP
2. Wählen Sie Add
3. Füllen Sie die folgenden Felder aus
   • Name - ein eindeutiger Wert
   • Servername/IP-Adresse - wählen Sie einen FQDN oder eine IP-Adresse für AD-Server aus. Wir treten ein192.0.2.50_LDAP
   • Basis-DN - geben Sie den Pfad zum AD-Benutzercontainer ein. Wir treten einOU=Team Accounts, DC=workspaces, DC=wwco, DC=net
   • Administrator Bind DN - Geben Sie das Admin-/Dienstkonto ein, um AD zur Authentifizierung von Benutzern abzufragen. Wir treten einworkspacesserviceaccount@workspaces.wwco.net
   • Bestätigung/Administratorkennwort - geben Sie das Kennwort für das Admin-/Dienstkonto ein
   • Namensattribut für Serveranmeldung - im zweiten Feld unterhalb dieses Feldes geben SieuserPrincipalName
4. Wählen Sie ErstellenFür weitere Informationen sieheLDAP-Authentifizierungsrichtlinien

LDAP - Aktion “Token-Speicherung”

1. Als nächstes navigiere zuSecurity > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > LDAP
2. Wählen Sie die oben erstellte LDAP-Aktion aus und wählen Sie Erstellen
3. Hängen Sie OTP oder einen beliebigen Bezeichner an den Namen an und heben Sie die Auswahl der Authentifizierung auf
4. Überprüfen Sie unter Verbindungseinstellungen den Basis-DN, den Administrator-Bind-DN und das Kennwort.Stellen Sie sicher, dass der Administratorbenutzer oder Dienstkonto Mitglied von Domänenadministratoren ist. Diese Richtlinie wird verwendet, um das von der Authenticator-App des Benutzers registrierte Token in das UserParameter-Attribut seines Benutzerobjekts zu schreiben.
5. Scrolle nach unten zu Andere Einstellungen
   • OTP Secret - eintretenuserParameters
   • Push Service - wählen Sie die oben erstellte PUSH-Dienstrichtlinie
6. Wählen Sie Erstellen

nFactor

1. Als nächstes navigiere zuSecurity > AAA - Application Traffic > nFactor Visualizer > nFactor Flows
2. Wählen Sie Hinzufügen aus und wählen Sie das Pluszeichen im Feld Faktor aus
3. Geben Sie NFactor_OTP ein und wählen Sie Erstellen

nFactor - Registrierungsablauf

1. Wählen Sie Richtlinie hinzufügen und wählen Sie erneut neben Richtlinie auswählen
2. Geben SieauthPol_OTPReg
3. 民意调查您unt AktionstypNO_AUTHN
4. Wählen Sie den Ausdruckseditor aus und erstellen Sie den Ausdruck, indem Sie in den angebotenen Dropdown-Menüs Folgendes auswählen:
   • HTTP
   • REQ
   • COOKIE.VALUE(String) = NSC_TASS
   • EQ(String) = manageotp
5. Wählen Sie Fertig, gefolgt von Erstellen, gefolgt von Hinzufügen
6. Wählen Sie das grüne Pluszeichen neben der AuthPol_OtPreg-Richtlinie aus, um einen Faktor zu erstellen
7. Betreten SieOTPRegADund wählen Sie Erstellen
8. Wählen Sie im erstellten Feld Schema hinzufügen
9. Wählen Sie Hinzufügen und geben Sielschema_SingleRegOTP
10. Navigieren Sie unter Schemadateien zu LoginSchema und wählen SieSingleAuthManageOTP.xml
11. Wählen Sie die blaue Auswahlschaltfläche, gefolgt von Erstellen, gefolgt von OK
12. Wählen Sie im selben Feld Richtlinie hinzufügen und wählen Sie erneut neben Richtlinie auswählen
13. Geben Sie AuthPol_LDAP als Namen ein
14. 民意调查您unt AktionstypLDAP
15. Wählen Sie unter Aktion Ihre erste LDAP-Authentifizierungsaktion aus. Wir benutzen192.0.2.50_LDAP
16. Geben Sie unter Ausdruck den Wert true
17. Wählen Sie Erstellen gefolgt von Hinzufügen
18. Wählen Sie das grüne Pluszeichen neben dem,authPol_LDAP policyum einen Faktor zu erstellen
19. Betreten SieOTPRegDeviceund wählen Sie Erstellen
20. Wählen Sie im selben Feld Richtlinie hinzufügen und wählen Sie erneut neben Richtlinie auswählen
21. Geben SieauthPol_OTPAuthDevicefür den Namen
22. 民意调查您unt AktionstypLDAP
23. Wählen Sie unter Aktion Ihre neu erstellte (zweite) LDAP-Authentifizierungsaktion aus. Wir benutzen192.0.2.50_LDAP_OTP
24. Geben Sie unter Ausdruck den Wert true
25. Wählen Sie Erstellen gefolgt von Hinzufügen

nFactor - Authentifizierungsfluss

1. Wählen Sie das blaue Pluszeichen unter derauthPol_OTPRegRichtlinie
2. Geben SieauthPol_OTPAuth
3. 民意调查您unt AktionstypNO_AUTHN
4. Geben Sie unter Ausdruck den Wert true
5. Wählen Sie Erstellen
6. Wählen Sie das grüne Pluszeichen neben derauthPol_OTPAuthRichtlinie aus, um einen Faktor zu erstellen
7. Geben SieOTPAuthAD
8. Wählen Sie Erstellen
9. Wählen Sie im erstellten Feld Schema hinzufügen
10. Wählen Sie Hinzufügen und geben Sielschema_DualAuthOTP
11. Navigieren Sie unter Schemadateien zu LoginSchema und wählen SieDualAuthPushOrOTP.xml
12. Wählen Sie die blaue Auswahlschaltfläche, gefolgt von Erstellen, gefolgt von OK
13. Wählen Sie im selben Feld Richtlinie hinzufügen
14. Wählen Sie die Richtlinie aus, die wir während der Einrichtung des Registrierungsablaufs erstellt haben, die Ihrer ersten LDAP-Authentifizierungsaktion zugeordnet ist. Wir benutzenauthPol_LDAP
15. Wählen Sie Add
16. Wählen Sie das grüne Pluszeichen neben derauthPol_LdapRichtlinie aus, um einen Faktor zu erstellen
17. Geben SieOTPAuthDeviceDieser Faktor ein verwendet das OTP-Token zur Durchführung der 2. Faktor-Authentifizierung
18. Wählen Sie Erstellen
19. Wählen Sie im selben Feld Richtlinie hinzufügen
20. Wählen Sie die Richtlinie ausauthPol_OTPAuthDevice, die wir während der Einrichtung des Registrierungsablaufs erstellt haben
21. Wählen Sie Add
22. Jetzt haben wir die Einrichtung des nFactor-Flows abgeschlossen und können auf Fertig klicken

Virtueller Server Citrix ADC Authentifizierung, Autorisierung und Auditing (Citrix ADC AAA)

1. Als nächstes navigiere zuSecurity > AAA - Application Traffic > Virtual Serversund wähle Hinzufügen
2. Geben Sie die folgenden Felder ein und klicken Sie auf OK:
   • Name - ein eindeutiger Wert
   • Typ der IP-Adresse -Non Addressable
3. Wählen Sie Kein Serverzertifikat aus, wählen Sie das Domänenzertifikat aus, klicken Sie auf Auswählen, binden und
4. Wählen Sie Kein nFactor Flow
5. Klicken Sie unter Select nFactor Flow auf den Pfeil nach rechts und wählen Sie dennFactor_OTPzuvor erstellten
6. Klicken Sie auf Auswählen, gefolgt von Bind

Citrix Gateway - virtueller Server

1. Als nächstes navigiere zuCitrix Gateway > Virtual Servers
2. Wählen Sie Ihren vorhandenen virtuellen Server aus, der Proxy-Zugriff auf Ihre Citrix Virtual Apps and Desktops Umgebung bietet
3. Wählen Sie Bearbeiten
4. Unter Standardauthentifizierung - Primäre Authentifizierung wählen Sie LDAP-Richtlinie
5. Überprüfen Sie die Richtlinie, wählen Sie Bindung aufheben, wählen Sie Ja zur Bestätigung und wählen Sie Schließen
6. Wählen Sie rechts im Menü Erweiterte Einstellungen die Option Authentifizierungsprofil
7. Wählen Sie Add
8. Geben Sie einen Namen ein. Wir treten einPUSH_auth_profile
9. Klicken Sie unter Virtueller Authentifizierungsserver auf den Pfeil nach rechts und wählen Sie den von uns erstellten Citrix ADC AAA-ServerPUSH_Auth_Vserver
10. Klicken Sie auf Auswählen und erstellen
11. Klicken Sie auf OK und stellen Sie sicher, dass auf dem virtuellen Server jetzt ein Authentifizierungsprofil ausgewählt ist, während die Standardauthentifizierungsrichtlinie entfernt wurde
12. Klicken Sie auf Fer

Benutzer-Endpoint

Jetzt testen wir PUSH, indem wir ein mobiles Gerät registrieren und uns bei unserer Citrix Virtual Apps and Desktops Umgebung authentifizieren.

Registrierung bei Citrix SSO App

1. Öffnen Sie einen Browser und navigieren Sie zu dem vom Citrix Gateway verwalteten Domänen-FQDN, wobei /manageotp am Ende des FQDN angehängt ist. Wir benutzenhttps://gateway.workspaces.wwco.net/manageotp
2. Nachdem Ihr Browser auf einen Anmeldebildschirm umgeleitet wurde, geben Sie den Benutzer UPN und das Kennwort ein
3. Wählen Sie auf dem nächsten Bildschirm Gerät hinzufügen und geben Sie einen Namen ein. Wir benutzeniPhone7
4. Wählen Sie Go und ein QR-Code wird angezeigt
5. Öffnen Sie auf Ihrem Mobilgerät Ihre Citrix SSO SSO-App, die in App-Stores zum Download zur Verfügung steht
6. Wählen Sie “Neues Token hinzufügen”
7. Wählen Sie QR-Code scannen
8. Wählen Sie Ihre Kamera auf den QR-Code ausrichten und nachdem sie aufgenommen wurde, wählen Sie Hinzufügen
9. Wählen Sie Speichern aus, um das Token zu speichern
10. Der Token ist jetzt aktiv und beginnt OTP-Codes in Intervallen von 30 Sekunden anzuzeigen
11. Wählen Sie Fertig aus und Sie sehen eine Bestätigung, dass das Gerät erfolgreich hinzugefügt wurde

Authentifizierung, Veröffentlichung und Einführung von Citrix Virtual Apps and Desktops

1. Öffnen Sie einen Browser und navigieren Sie zu dem Domänen-FQDN, der vom Citrix Gateway verwaltet wird. Wir benutzenhttps://gateway.workspaces.wwco.net
2. Nachdem der Browser auf einen Anmeldebildschirm umgeleitet wurde, geben Sie den UPN und das Kennwort des Benutzers ein. Auf diesem Bildschirm sehen Sie die Option zum Klicken, um OTP manuell einzugeben, wenn Ihre Kamera aus irgendeinem Grund nicht funktioniert
3. Wählen Sie auf Ihrem Mobilgerät in Ihrer Citrix SSO SSO-App OK aus, um die PUSH-Authentifizierung zu bestätigen
4. Stellen Sie sicher, dass die virtuellen Apps und Desktops der Benutzer aufgelistet sind, und starten Sie, sobald Sie angemeldet sind

Zusammenfassung

Mit Citrix Workspace und Citrix Gateway können Unternehmen ihre Sicherheitslage verbessern, indem sie eine mehrstufige Authentifizierung implementieren, ohne die Benutzererfahrung zu komplexieren. Benutzer können auf alle ihre Workspaces-Ressourcen zugreifen, indem sie ihren Standarddomänenbenutzer und ihr Kennwort eingeben und einfach ihre Identität mit einem Knopfdruck in der Citrix SSO SSO-App auf ihrem Mobilgerät bestätigen.

Informationsquellen

Weitere Informationen finden Sie unter:

Authentifizierungs-Push— Sehen Sie sich ein Tech Insight-Video zur Verwendung von TOTP zur Verbesserung der Authentifizierungssicherheit für Ihren Citrix Workspace an

Authentifizierung — Lokales Citrix Gateway— Sehen Sie sich ein Tech Insight-Video zur Integration mit lokalem Citrix Gateway an, um die Authentifizierungssicherheit für Ihren Citrix Workspace zu verbessern