nFactor身份验证
重要的
- NetScaler 11.0 Build 62.x及以后版本支持nFactor身份验证。
- 要使用Citrix ADC进行nFactor身份验证,需要高级许可证或高级许可证。
- 从发布版13.0构建67开始。网关/VPN虚拟服务器仅支持标准license的nFactor认证。有关使用Citrix Gateway进行nFactor身份验证的更多信息,请参见网关身份验证的nFactor.
- Linux客户端不支持nFactor身份验证。
多因素身份验证要求用户提供多种身份证明以获得访问权限,从而增强了应用程序的安全性。Citrix ADC设备提供了一种可扩展且灵活的方法来配置多因素身份验证。这种方法被称为nFactor身份验证.
nFactor身份验证的工作原理
每个身份验证因素执行以下任务:
从用户收集凭据。Citrix ADC支持的身份验证机制包括LDAP、RADIUS、SAML断言、客户端证书、OAuth OpenID Connect、Kerberos等。
评估提供的凭据,以确定身份验证是成功还是失败,或者执行组提取、属性提取等操作。
根据评估结果,要么授予访问权限,要么拒绝访问权限,或者选择下一个因素。
重复这些步骤,直到没有更多的因素需要评估。
使用nFactor身份验证,你可以:
- 配置任意数量的身份验证因素。
- 根据执行前一个因子的结果选择下一个因子。
- 自定义登录界面。例如,您可以自定义标签名称、错误消息和帮助文本。
- 提取用户组信息而不进行身份验证。
- 为认证因素配置直通。这意味着该因素不需要显式的登录交互。
- 配置应用不同类型身份验证的顺序。Citrix ADC设备上支持的任何身份验证机制都可以配置为nFactor身份验证设置中的任何因素。这些因子按照它们的配置顺序执行。
- 将Citrix ADC配置为在身份验证失败时必须执行的身份验证因子。为此,您需要配置另一个具有完全相同条件的身份验证策略,但具有下一个最高优先级,并将操作设置为“NO_AUTH”。您必须配置下一个因素,该因素必须指定要应用的替代身份验证机制。
加密Citrix网关登录信息以进行nFactor身份验证
采用nFactor身份验证的Citrix Gateway可以对客户端(浏览器或SSO应用程序)在身份验证过程中提交的登录请求字段进行加密。加密的登录请求字段提供了额外的安全层,以保护用户的敏感数据不被泄露。
兼容的浏览器
下表列出了支持登录加密的浏览器以及版本详细信息。
浏览器 | 版本 |
---|---|
铬 | 78及以上 |
火狐 | 69及以上 |
Internet Explorer | 11 |
边缘 | 42岁及以上 |
Safari | 11.0及以上 |
歌剧 | 66 |
兼容客户端
下面的部分列出了支持Citrix Gateway登录信息加密的客户端以及版本详细信息。
- Mac中的Citrix Workspace应用程序仅在操作系统版本为10.14.x及以上时支持加密。
- Mac中的Citrix SSO应用程序仅在操作系统版本为10.14.x及以上时支持加密。
- Windows SSO应用程序对兼容性没有限制。
- 仅Internet Explorer 11版本支持Windows客户端Citrix Workspace应用程序中的密码加密。
通过CLI开启登录加密功能
在命令提示符处,输入:
设置aaa参数[-loginEncryption (ENABLED | DISABLED)]
请注意
loginEncryption参数默认为“DISABLED”。您必须启用它。
使用GUI启用登录加密
- 导航到安全性>AAA–应用程序流量点击更改身份验证AAA设置下身份验证设置部分
- 在配置AAA参数页,向下滚动到登录加密选项,并启用它。
nFactor身份验证
复制!
失败!