Guía de prueba de concepto: NFactor para Citrix网关con autenticación OTP native

Introduccion

执行autenticación多因素的方法，使之成为一种方法，一种方法，一种方法，一种身份，一种方法，一种方法，一种方法。contraseña墨西哥(OTP)本国的(巴西时间)在形式上方便了实施因素和中间条件autenticación fácilmente无可原谅。介绍人用的柏油códigos de validación de su aplicación de autenticación，一套完整的程序，一套完整的程序。

Citrix Gateway adite Native OTP y puede percentage autenticación para varios servicios，包括Citrix servicios web, VPN y Citrix Virtual Apps and desktop。En esta Guía de POC, demostramos su uso para la autenticación En un entorno Citrix虚拟应用程序和桌面。

Arquitectura概念

与一般

Esta guía muestra cómo implementar un entorno de prueba de概念化中介la autenticación de dos factors con Citrix网关。使用LDAP相对有效的凭证是Active Directory的基本因素和OTP的基本因素。

Se hacen suposiciones sobre la instalación complete tada y la configuración de los siguientes components:

• Citrix Gateway安装，许可配置和服务器虚拟可访问的外部认证comodín
• Citrix网关集成接口Citrix虚拟应用程序和桌面应用程序LDAP参数autenticación
• Endpoint con la aplicación Citrix Workspace instalada
• Una aplicación Authenticator兼容，兼容con OTP basada en tiempo, instalada(包括uidos Microsoft Authenticator，谷歌Authenticator o Citrix SSO)
• 活动目录(AD) está不可撤销

领事documentación法国Citrix领事versión más生产和许可的要求:Autenticación OTP native

因素nFactor

Directivas LDAP

最好的奶油，做指示，LDAP，和，所有的事情más, adelante cuando, estos，构造，新，和，我的因素。

注册本地OTP

有一个登记的指示，它的功能，在形成层之间，它的力量，它的功能，在一般的código OTP，时间的巴萨多。

1. Inicie sesión en la interfaz de usuario de Citrix ADC
2. Vaya一Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Directiva
3. Haga clic添加
4. Introduzcapolldap_notpmanage指示的名字和指示的方式acción aLDAP．
5. 哈加按添加在一起
6. Rellene los campos siguientes:
   • 数量:Introduzcaactldap_notpmanage
   • 服务器名/dirección IP:选择域名地址dirección服务器名地址地址。Entramos192.0.2.50
   • Desactive身份验证esta configuración秘密的秘密的秘密的秘密的秘密的秘密的秘密的秘密的秘密的秘密的秘密的秘密的秘密的秘密的秘密的秘密的秘密的秘密的秘密
   • DN基础:介绍AD的常规竞争对手。EntramosDC=工作区，DC=wwco, DC=net
   • 管理员绑定DN:介绍管理员/服务官、领事和通常事务官。Entramosworkspacessrv@workspaces.wwco.net
   • Confirmar/Contraseña de administrador - introduzca/ Confirmar la contraseña de administrador/cuenta de servicicio
   • Haga clic en Probar conexión de red para garantizar la conexión
   • 阿特里布托的nombre de inicio de sesión del servidor: En el segundo campo debajo de este campo介绍userPrincipalName
   • OTP Secret -输入userParametersEste es el objeto LDAP del usuario que se actualizará con la clave que usada con hash para general el código OTP basado en tiempo
7. Seleccione Crear
8. Escriba la expresión y真正的Haga clic好吧

Autenticación OTP native

Esta directiva de autenticación LDAP se utiza para realizar la autenticación引物因子。

1. Vaya一安全> aaa -应用流量>策略>认证>高级策略>策略．
2. Haga clic添加
3. Introduzcapolldap_notpauth指示的名字和指示的方式acción aLDAP．
4. 哈加按添加在一起
5. Rellene los campos siguientes:
   • 数量:Introduzcaactldap_notpauth
   • 服务器名/dirección IP:选择域名地址dirección服务器名地址地址。Entramos192.0.2.50
   • DN基础:介绍AD的常规竞争对手。EntramosDC=工作区，DC=wwco, DC=net
   • 管理员绑定DN:介绍管理员/服务官、领事和通常事务官。Entramosworkspacessrv@workspaces.wwco.net
   • Confirmar/Contraseña de administrador - introduzca/ Confirmar la contraseña de administrador/cuenta de servicicio
   • Haga clic en Probar conexión de red para garantizar la conexión
   • 阿特里布托的nombre de inicio de sesión del servidor: En el segundo campo debajo de este campo介绍userPrincipalName
6. Seleccione Crear
7. Escriba la expresión y真正的Haga clic好吧

Para obtener más información，咨询指令autenticación LDAP

Esquemas de Login

我们的国家sesión我们的国家，我们的国家，我们的国家，我们的国家。

LSchema native OTP - Autenticación única

Este esquema de inicio de sesión de registro对应la directiva de registro LDAP。

1. Vaya一安全> aaa -应用流量>登录模式．
2. Seleccione拉配置文件ficha
3. 哈加按添加一切照常prolschema_notpsingle
4. Haga clic en el icono de lápiz junto anoschema
5. 哈加按登录模式Y desplácese hacia abajo para seleccionarSingleAuthManageOTP.xml我选择蓝色选择En la esquina derecha。
6. Haga clic创建

LSchema原生OTP - Autenticación dual

Este esquema de inicio de sesión de registro对应la autenticación de doble factor donde el usuario介绍tanto su contraseña como el código de acceso OTP。

1. Debajo de la配置文件Ficha haga clic de添加新
2. 介绍我的名字pollschema_notpdual
3. 哈加按添加zh Perfil y también nombreprolschema_notpdual
4. Haga clic en el icono de lápiz junto anoschema
5. 哈加按登录模式Y desplácese hacia abajo para seleccionarDualAuth.xml我选择蓝色选择En la esquina derecha。
6. Haga clic更多的
7. En el campo密码凭据索引escriba1
8. Haga clic创建

ServidorAAA虚拟OTP原生版本:Flujo del visualizador

1. A continuación, vaya A安全> AAA -应用流量> nFactor Visualizer > nFactor流
2. Haga clic添加
3. Haga clic en el+Signo para crear factor非正式的。Este factor no tomará medidas, sino que manejará la dirección del tráfico entrante a flujos de factor de registro o autenticación。
4. Introduzca yfactor0-notpHaga clic创建

Flujo de registro

1. Seleccione添加政策
2. Seleccione添加团体一选择政策
3. Introducir数量polfactor0-notpmanage
4. Establezca动作类型埃尔NO_AUTHN
5. PegarHTTP.REQ.COOKIE.VALUE(“NSC_TASS”).EQ(“manageotp”)para la expresión O compilarla con el generador de表达式。他说:“这是一种红葡萄酒的极限登记制度，是一种红葡萄酒的极限登记制度，是一种国际协定准则，是dirección原产地的自由。http.req.cookie.value("NSC_TASS").eq("manageotp") && client.IP.SRC.IN_SUBNET(10.0.0.0/8)
6. 按创建， seguido de添加
7. 绿色的选择+la derecha de lapolfactor0-notpmanage指示着我的生活
8. Introduzca yfactor1-notpmanageHaga clic创建
9. 新因素，选择因子添加模式
10. Seleccione yprolschema_notpsingleHaga clic好吧
11. Seleccione添加政策
12. En la lista desplegable bajo选择政策Seleccionar ypolldap_notpauthHaga clic添加
13. 绿色的选择+la derecha de lapolldap_notpauthdirectiva
14. Introduzca yfactor2-notpmanageHaga clic创建
15. 新因素，选择因子添加政策
16. En la lista desplegable bajo选择政策Seleccionar ypolldap_notpmanageHaga clic添加

Flujo de autenticación

1. 阿荷拉，这是我的宝贝factor0-notp， seleccione el+
2. Seleccione添加团体一选择政策
3. Introducir数量polfactor0-notpauth
4. Establecer厄尔动作类型en NO_AUTHN
5. Introducir真正的Para la expresión
6. Haga clic创建， seguido de添加这是一个有优先权的，有方向性的，有优先权的110，有意义的，有优先权的ejecutará前面的方向性polfactor0-notpmanageEn 100没有巧合。
7. 绿色的选择+la derecha de lapolfactor0-notpauth指示着我的生活
8. Introduzca yfactor1-notpauthHaga clic创建
9. 新因素，选择因子添加模式
10. Seleccione yprolschema_notpdualHaga clic好吧
11. Seleccione添加政策
12. En la lista desplegable bajo选择政策Seleccionar ypolldap_notpauthHaga clic添加
13. Seleccione完成

ServidorAAA虚拟OTP本机

埃斯特servidorAAA虚拟的指示和我们的爱斯基马están我们有优先权。

1. Vaya一Administración de Tráfico > SSL> Certificados > Todos los Certificados在此，我将为您提供一种新的管理方式。En este ejemplo POC utilizamos un certificado comodín通讯员活动目录。Consulte证书SSL de Citrix ADCPara más información。
2. 一个continuacion安全> AAA -应用流量>虚拟服务器， vaya ay seleccione Agregar
3. 介绍洛杉矶校园:
   • Nombre: Un valor único。Entramosnativeotp_authvserver
   • Tipo de dirección IP -非可寻址
4. Haga clic好吧
5. 我选择了我的仆人，我选择了我的仆人选择服务器证书例如，“多明多证书的选择”，“多明多证书的选择”，“连续的选择”
6. 在高级认证策略, seleccione无因子流动
7. Seleccione la flecha derecha debajo选择nFactor Flow，选择素，无色素factor0_notp选择， haga clic en绑定
8. 按继续， seguido de完成

指令tráfico

Ahora creamos una directiva de tráfico para retransmitr la contraseña LDAP a StoreFront, en lugar del código OTP。

1. Vaya一Citrix Gateway > Servidores virtuales > Directivas > Tráfico
2. Seleccione拉交通概况万物聚合
3. 介绍我的名字notp_trafficprofile
4. SeleccioneHTTP
5. En la expresión de contraseña de SSO, escribahttp.REQ.USER.ATTRIBUTE (1)
6. Haga clic en Crear
7. Ahora haga clic en la ficha Directivas de tráfico
8. 在我的关怀之营，我的关怀之营notp_trafficprofileTráfico que acaba de crear。
9. 介绍我的名字nOTP_TrafficPolicy
10. 快艾斯克里巴真正的
11. Haga clic创建

Servidor virtual de puerta de enlace

我的仆人，虚拟的puerta de enlace está我的仆人AAA虚拟OTP原生para proportion onar autenticación para Citrix虚拟应用程序和桌面。

1. Vaya一Citrix Gateway >虚拟服务器．
2. 选择一个真正的，有吸引力的编辑
3. 选择Perfil de autenticación en el panel Configuración avanzada de la derecha。
4. Seleccione添加
5. 介绍一下。Entramosnativeotp_authprofile
6. 指示，选择，选择，选择，选择，和，奴才AAA虚拟OTP本机nativeotp_authvserver
7. Haga clic创建
8. 选择指示的面板Configuración万扎达的el lado derecho
9. Seleccione厄尔+我不同意
10. 在选择政策seleccionar交通y在选择类型Seleccionar请求．La seleccion继续
11. Haga clic en la flecha derechanotp_trafficpolicy， seleccione y seleccione好吧
12. Haga clic完成Y guarde la configuración en ejecución

通常终点

Ahora probamos el OTP native mediante la autenticación en nuestro entorno Citrix虚拟应用程序和桌面。

注册商la aplicación Citrix SSO

Primero, el usuario registry su dispositivo para Native OTP mediante la aplicación Citrix SSO。

1. 斯特瑞克斯网关网关的一个探索之旅/ manageotpanexado al final del FQDNUsamoshttps://gateway.workspaces.wwco.net/manageotp
2. Después de que su explorador sea redirigido a una pantalla de inicio de sesión，介绍UPN de usuario y contraseña
3. 这是我的名字，我的名字，我的名字。UsamosiPhone7_nOTP
4. 选择Ir y aparecerá un código QR
5. En su dispositivo móvil, abra la aplicación Citrix SSO u otra aplicación de autenticación como Microsoft o谷歌(disponble para su descarga En almacenes de aplicaciones)
6. 选择Agregar nuevo代币
7. 选择Escanear código QR
8. Apuntar苏选择cámara al código QR y, una vez capturada，选择Agregar
9. 选择Guardar para almacenar el token
10. El token está activity y comienza a mostrar códigos OTP a intervalos de 30秒
11. 选择利斯托verá la confirmación de que el dispositivo se agregó correctamente。

Autenticación, publicación e inicio de Citrix虚拟应用程序和桌面

A continuación, el usuario介绍su UserPrincipalName, Contraseña y el código de acceso OTP desde la aplicación Citrix SSO para acceder A sus aplicaciones virtuales y escritorios。

1. 斯特瑞克斯门户的一个探索之旅。Usamoshttps://gateway.workspaces.wwco.net
2. Después de que su explorador sea redirigido a una pantalla de inicio de sesión, introduction zca usuario UserPrincipalName y contraseña
3. Abra la aplicación Citrix SSO，介绍了código OTP en el campo de código de access de la entrada deliPhone7_nOTPdispositivo
4. 我的名字叫“你的名字是什么?”“你的名字是什么?

Solución de problemas

Aquí nos fijamos en un par de áreas comunes de solución de Native OTP的问题。

错误的国家结核控制规划

Al iniciar sesión con su código OTP, la página puede publicar un mensaje aconsejándole que verique la sincronización NTP。斯特瑞克斯的ADC，他是一名伟大的艺术家，他是一名伟大的艺术家。Si no ha implementado NTP, siga estos pasos:

• 建立la hora手册en su Citrix ADC真正的la hora。Esto acelerará la sincronización que, de lo contrario, tomaría un período de tiempo más largo
• Agregar伺服器/s NTP
• Si sigue recibiendo un error NTP al enviar el código OTP，咨询La visualización de tiempo en NetScaler no se sincroniza con NTP

Erres de autenticación

• 无法完成您的请求。:“我的错误产生了después de la autenticación正确的，可能是错误的，在通常的情况下，这是一个店面。comppruebe el esquema de autenticación双y la configuración de directive de tráfico。
• 重试或联系您的帮助台: ese mensaje de error a menudo indica un error de inicio de sesión LDAP。Si ha verificado que la contraseña es correcta, comuebe que se ha建制la contraseña de enlace del administrator。有一种可能，有一种可能，有一种可能，有一种可能，有一种可能，有一种可能，有一种可能，有一种可能，有一种可能，有一种可能，有一种可能，有一种可能，有一种可能，有一种可能，有一种可能，有一种可能，有一种可能。Este paso ahorra tiempo rellenando la configuración existente como基本DN，有可能在这个地方有一个可能的地方Contraseña行政长官巴黎的estar rellenado, pero DEBE volcribir la contraseña。

Resumen

Con Citrix工作空间和Citrix网关，作为一个empresas pueden mejorar su postura de seguridad implementando la autenticación多因素复杂的经验del usuario。Citrix虚拟应用程序和桌面的常用程序的获取方式介绍一个常用程序的管理方式contraseña，一个简单的luego简单的确认方式，介绍一个常用程序的介绍方式contraseña de一次性的desde su aplicación de autenticación注册。

Referencias

Para obtener más información，咨询:

Autenticación OTP native:安全中心más我们的家乡implementación我们的祖国和我们的命运。