nFactor身份验证
重要
- NetScaler 11.0 Build 62。x及更高版本支持nFactor身份验证。
- 要使nFactor身份验证与Citrix ADC配合使用,需要先进许可证或溢价许可证。
- 自版13.0建造67本。x起,只有网关/ VPN虚拟服务器的标准许可证支持nFactor身份验证。有关使用Citrix网关进行nFactor身份验证的更多信息,请参阅网关身份验证的nFactor
- Linux客户端不支持nFactor身份验证。
多重身份验证要求用户提供多个身份证明以获得访问权限,从而增强了应用程序的安全性。Citrix ADC设备为配置多重身份验证提供了一种可扩展的灵活方法。这种方法称为nFactor身份验证。
nFactor身份验证的工作原理
每个身份验证因素都执行以下任务:
收集用户提供的凭据。Citrix ADC 支持的身份验证机制包括 LDAP、RADIUS、SAML 断言、客户端证书、OAuth OpenID Connect、Kerberos 等。
评估提供的凭据以确定身份验证是成功、失败还是执行组提取、属性提取等操作。
授予访问权限、拒绝访问权限还是选择下一个因素,具体取决于评估结果。
重复执行这些步骤,直到没有其他需要评估的因素。
使用nFactor身份验证,您可以:
- 配置任意数量的身份验证因素。
- 根据执行前一个因素的结果来选择下一个因素。
- 自定义登录界面。例如,您可以自定义标签名称、错误消息和帮助文本。
- 提取用户组信息而不进行身份验证。
- 为身份验证因素配置直通。这意味着该因素不需要显式登录交互。
- 配置应用不同类型的身份验证的顺序。Citrix ADC设备支持的任何身份验证机制都可以配置为 nFactor 身份验证设置的任何因素。这些因素按配置顺序执行。
- 将Citrix ADC配置为继续进行身份验证失败时必须执行的身份验证因素。为此,您可以使用完全相同的条件配置另一个身份验证策略,但优先级为次高且操作设置为“NO_AUTH”。必须配置下一个因素,该因素必须指定要应用的替代身份验证机制。
用于nFactor身份验证的Citrix网关登录信息的加密
使用nFactor身份验证的Citrix网关可以加密身份验证过程中客户端(浏览器或SSO应用程序)提交的登录请求字段。加密的登录请求字段提供了额外的安全层,以保护用户的敏感数据免遭泄露。
兼容的浏览器
下表列出了浏览器以及支持登录加密的版本详细信息。
浏览器 | 版本 |
---|---|
铬 | 78 及更高版本 |
火狐 | 69 及更高版本 |
Internet Explorer | 11 |
边缘 | 42 及更高版本 |
Safari | 11.0及更高版本 |
歌剧 | 66 |
兼容的客户
以下部分列出了客户端以及支持Citrix网关登录信息加密的版本详细信息。
- Mac中的Citrix工作区应用程序仅在操作系统版本为10.14。x及更高版本时才支持加密。
- Mac中的Citrix SSO应用程序仅在操作系统版本为10.14。x及更高版本时才支持加密。
- Windows SSO应用程序对兼容性没有限制。
- 仅在Internet Explorer 11版本中支持适用于Windows的Citrix工作区应用程序客户端中的密码加密。
使用CLI启用登录加密
在命令提示符下,键入:
设置aaa参数[-loginEncryption (ENABLED | DISABLED)]
注意
默认情况下,loginEncryption参数设置为禁用。必须将其启用。
使用GUI启用登录加密
- 导航到安全(安全)> AAA -应用程序流量(AAA -应用程序流量),然后单击身份验证设置(身份验证设置)部分下的更改身份验证AAA设置(更改身份验证AAA设置)。
- 在AAA配置参数(配置AAA参数)页面上,向下滚动到登录加密(登录加密)选项,然后启用。
nFactor身份验证
已复制
失败了!