NFactor身份验证的reCAPTCHA配置

Citrix网关支持一个新的一级操作' captchaAction '，它简化了reCaptcha配置。由于reCaptcha是一级诉讼，它可能是自身的一个因素。你可以在nFactor流的任何地方注入reCaptcha。

以前，您必须编写自定义的WebAuth策略，并对RfWeb UI进行更改。随着captchaAction的引入，您不需要修改JavaScript。

重要的

如果在模式中与用户名或密码字段一起使用reCaptcha，则提交按钮将被禁用，直到满足reCaptcha。

reCaptcha配置

reCaptcha配置包括两部分。

1. 谷歌上注册reCaptcha的配置。
2. 在Citrix ADC设备上进行配置，以将reCaptcha作为登录流程的一部分。

谷歌上的reCaptcha配置

为reCaptcha注册一个域https://www.google.com/recaptcha/admin.．

1. 当您导航到此页面时，将出现以下屏幕。

   请注意

   仅使用reCAPTCHA v2。看不见的reCAPTCHA仍在测试中。

2. 在注册域后，将显示“SiteKey”和“SecretKey”。

   请注意

   出于安全原因，“SiteKey”和“SecretKey”是灰色的。“SecretKey”必须妥善保管。

Citrix ADC设备上的reCaptcha配置

Citrix ADC设备上的reCAPTCHA配置可分为三个部分：

• 显示屏幕上看到
• 将reCaptcha响应发布到谷歌服务器
• LDAP配置是用户登录的第二个因素(可选)

显示屏幕上看到

登录表单定制是通过SingleAuthCaptcha.xml loginschema完成的。此定制在身份验证虚拟服务器上指定，并发送给UI以呈现登录表单。内置的loginschema SingleAuthCaptcha.xml位于Citrix ADC设备的/nsconfig/ loginschema / loginschema目录。

重要的

• 根据您的用例和不同的模式，您可以修改现有架构。例如，如果您只需要reCAPTCHA因子（没有用户名或密码）或使用reCAPTCHA的双重身份验证。
• 如果执行了任何自定义修改或文件被重命名，Citrix建议将所有loginSchemas从/nsconfig/loginschema/ loginschema目录复制到父目录/nsconfig/loginschema。

使用CLI配置reCaptcha的显示

• 添加认证loginSchema singleauthcaptcha -authenticationSchema /nsconfig/ loginSchema / singleauthcaptcha .xml
• 添加认证loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptcha
• add authentication vserver auth SSL <端口>
• 添加SSL certkey vserver-cert -cert -key
• 绑定SSL vserver auth -certkey vserver-cert
• bind authentication vserver auth -policy singleauthcaptcha -priority 5 - gotopriityexpression结束

将reCaptcha响应发布到谷歌服务器

在配置了必须显示给用户的reCaptcha之后，管理员将配置添加到谷歌服务器，以验证来自浏览器的reCaptcha响应。

验证来自浏览器的reCaptcha响应

• 添加认证captchaAction myrecaptcha
• 添加认证策略myrecaptcha -rule true -action myrecaptcha
• 绑定认证vserver auth -policy myrecaptcha -priority 1

如果需要AD认证，则需要以下命令。否则，您可以忽略此步骤。

• add authentication ldapAction ldap-new -serverIP x.x.x.x -serverPort 636 -ldapBase "cn=users,dc=aaatm,dc=com" -ldapBindDn adminuser@aaatm.com -ldapBindDnPassword -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup ldapGroup
• 添加authenticationpolicy ldap-new -rule true -action ldap-new

LDAP配置是用户登录的第二个因素(可选)

LDAP身份验证发生在reCAPTCHA之后，将其添加到第二个因素。

• 添加身份验证策略标签第二个因素
• 绑定认证policylabel second-factor -policy ldap-new -priority 10
• 绑定认证vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor

管理员需要根据负载均衡虚拟服务器或Citrix Gateway设备是否用于访问，添加适当的虚拟服务器。如果需要负载均衡虚拟服务器，则管理员必须配置以下命令：

• add lb vserver lbtest HTTP -authentication ON -authenticationHost nssp.aaatm.com

  nssp.aaatm.com.- 解决身份验证虚拟服务器。

用户验证reCaptcha

配置完前几节中提到的所有步骤后，您必须看到下面所示的UI截图。

1. 身份验证虚拟服务器加载登录页面后，将显示登录屏幕。登录，直到reCaptcha完成。

2. 选择“我不是机器人”选项。此时将显示reCaptcha小部件。

3. 在显示完成页面之前，您将浏览一系列的reCaptcha图像。

4. 输入AD凭据，选择我不是机器人复选框，然后单击登录．如果身份验证成功，您将被重定向到所需的资源。

   笔记

   • 如果与AD身份验证一起使用reCaptcha，则在完成reCaptcha之前，将禁用提交凭证按钮。
   • recaptcha发生在自己的一个因素中。因此，广告等任何后续验证必须发生在reCAPTCHA的“NextFactor”中。