nFactor观察仪简化配置
自Citrix ADC版本13.0构建36.27起,使用nFactor可视化工具简化了通过GUI进行的nFactor配置。nFactor可视化工具可帮助管理员添加多个因素,而不会丢失对每个因素的跟踪。在流中构建的因素组将显示在一个位置。管理员可以分别添加身份验证成功和失败路径。创建流后,管理员必须将nFactor流绑定到身份验证虚拟服务器。
注意
- 管理员在nFactor流中创建的所有因素都将保留以供将来使用。
- 自Citrix ADC功能版13.0本构建建64.35及更高版本起,使用nFactor可视化工具,您可以通过决策块启动nFactor流。
以前,nFactor配置很麻烦,管理员必须访问许多页面才能进行配置。如果需要更改,管理员每次都必须重新访问已配置的部分。此外,无法在一个位置查看完整的配置。
用例1:半径后跟LDAP身份验证,否则通过nFactor可视化工具回退到验证码
将半径身份验证作为第一级身份验证,然后是LDAP身份验证。如果半径失败,身份验证必须回退到验证码。
要实现此用例,您可以使用nFactor可视化工具。该可视化工具提供了各种控件,可用于添加此流以及相关项目。
下图显示了使用可视化工具为上述用例创建的nFactor流。
半径。您将半径配置为第一个因素。您可以添加登录架构和策略。在此示例中,adius_auth 和 RADIUS_policy 是添加的登录架构和策略。对于 RADIUS_Policy,您可以为成功案例添加另一个因素。在此示例中,为成功案例添加了 LDAP 因素块。对于失败情况,您可以添加 Captcha 因素。
LDAP。您将LDAP身份验证配置为第二个因素。您可以添加登录架构和策略。在此示例中,ldap_auth 和 LDAP_policy 是添加的登录架构和策略。
验证码。对于半径策略失败案例,您可以创建Captcha因素。在此示例中,captcha 和 captcha_policy 是添加的登录架构和策略。
用例2:LDAP后跟通过nFactor可视化工具使用基于LDAP组成员身份的验证码进行的半径/证书身份验证
将半径身份验证作为第一级身份验证,然后是LDAP身份验证。如果半径失败,身份验证必须回退到验证码。
下图显示了使用可视化工具为上述用例创建的nFactor流。
LDAP。将LDAP配置为第一个因素。您可以添加登录架构和策略。在此示例中,SingleAuth 和 LDAP_Policy 是添加的登录架构和策略。对于 LDAP_Policy,可以为成功案例添加另一个因素。在此示例中,为成功案例添加了决策块。对于失败案例,可以添加 Captcha 后跟 AD 因素。
组提取LDAP。是否为LDAP成功案例添加了决策块。决策块用作分支因素,根据策略规则将用户分支出去。可视化工具仅允许为决策块配置NO_AUTHN策略。
在此示例中,Group_Extraction_LDAP为决策块。您在此决策块中添加两个策略 (
AD_Group_Partner和AD_Group_Employee)。如用例中所述,通过AD_Group_Partner策略路由的所有请求都使用半径身份验证。因此,您将此策略的成功案例连接到下一个因素(即半径因素)。同样,通过AD_Group_Employee策略路由的所有请求都使用证书身份验证。因此,您将此策略的成功案例连接到下一个因素(即证书身份验证因素)。半径。对于AD_Group_Partner策略成功案例,您可以创建半径身份验证因素。
证书。对于AD_Group_Employee策略成功案例,您可以创建证书身份验证因素。
验证码。对于LDAP策略失败案例,您可以创建两个下一个因素:验证码和广告因素。
注意
- 如果首先要分支用例,您可以创建两个流并单独绑定,或者创建一个流,将第一个流作为分支创建一个流,然后将其绑定到虚拟服务器。
- 如果您有多个块,并且要在“nFactor流”(nFactor流)屏幕中查看整个流,请单击可视化工具并将流拖动到最左侧。
- Citrix建议仅使用“nFactor流”(nFactor流)页面修改nFactor流。
使用nFactor可视化工具配置nFactor
注意
以下nFactor配置是一个简单的示例,可帮助您完成用例1场景配置。
- 导航到安全(安全)> AAA-Application交通(AAA -应用程序流量)> nFactor可视化工具(nFactor可视化工具)> nFactor流(nFactor流程)。
- 单击添加。
在nFactor流(nFactor流)页面,单击+为流添加第一个因素。第一个因素还可以作为此nFactor流的标识符。
输入因素名称,然后单击创建(创建)。
因素名称将显示在“nFactor流”(nFactor流)页面的因素块上。
注意
Citrix建议您不得使用策略标签名称,例如使用
__root和__ < flow_name >作为后缀,使用_db_作为前缀。它用作在nFactor流中创建的因素名称。创建半径因素后,必须创建“添加模式”(添加架构)和“添加政策”(添加策略)。
注意
有关更多信息,请参阅nFactor概念,实体和术语
单击添加架构。可以添加新的登录架构,也可以从身份验证登录模式(身份验证登录架构)列表中选择一个现有的登录架构。
要创建登录架构,请单击添加(添加),然后在创建身份验证登录模式(创建身份验证登录架构)页面中,输入架构的名称。单击编辑(编辑)(铅笔图标)以从列表中选择登录模式文件(登录架构文件)。
单击添加政策(添加策略)。可以创建身份验证策略或选择现有的身份验证策略。
要创建新策略,请单击添加(添加),在创建身份验证策略(创建身份验证策略)页面中,输入策略的名称,然后单击创建(创建)。
向因素中添加登录架构和策略后,登录架构和策略将显示在可视化工具中的因素上,如下图所示。对于任何给定的因素,您都可以添加多个策略并定义每个策略成功和失败的下一个因素。还可以删除作为因素的一部分的策略。
- 创建流后,可以将nFactor流绑定到身份验证虚拟服务器。
添加下一个因素
要添加下一个因素,可以根据自己的要求选择以下选项之一:
- 创建因素。创建一个因素。在流中创建的每个因素都是该流所独有的。
创建决策块。创建一个决策块作为分支因素。您无法向决策块中添加登录架构。可视化工具仅允许为决策块配置NO_AUTHN策略。
注意
只能通过Citrix ADC GUI添加或编辑决策块。无法从CLI命令配置决策块。
- 连接到现有因素。选择现有因素作为下一个因素。现有列表中显示的所有因素都是专门为该流创建的。
无。删除现有连接。
将nFactor流绑定到身份验证服务器
在nFactor流(nFactor流)页面中,选择您希望绑定到身份验证虚拟服务器的nFactor流。
单击汉堡图标以选择绑定到认证服务器(绑定到身份验证服务器)选项,或者在详细信息窗格中,单击绑定到认证服务器(绑定到身份验证服务器)。
在绑定到认证服务器(绑定到认证服务器)页面上,可以执行以下操作:
- 要添加身份验证虚拟服务器(身份验证虚拟服务器),请单击添加(添加)。
- 要从列表中选择现有身份验证服务器,请单击身份验证服务器(身份验证服务器)字段。
从汉堡图标中单击显示绑定(显示绑定)以查看绑定。
要取消身份验证服务器与特定nFactor流的绑定,请执行以下步骤:
- 在“nF因素流”页面上,单击汉堡包图标中的显示绑定。
- 在“身份验证服务器绑定”页上,选择要取消绑定的身份验证服务器,然后单击”取消绑定”。单击关闭。
有关nFactor身份验证的详细信息,请参阅以下主题:
概念:多因素(nFactor)身份验证。
工作流:nFactor身份验证的工作原理
配置:配置nFactor身份验证。
nFactor可视化工具的增强功能
自Citrix ADC版本13.0构建41.20起,在nFactor可视化工具中添加了以下增强功能。
- 管理员可以将创建的因素移动到垃圾桶图标中。
- 在“验证虚拟服务器”(身份验证虚拟服务器)页面中查看nFactor流。
垃圾桶图标。管理员只能删除没有连接的节点。但是,如果将因素移至垃圾桶,则不会删除为因素创建的基础策略或架构。
查看垃圾桶图标
导航到安全(安全)> AAA-Application交通(AAA -应用程序流量)> nFactor可视化工具(nFactor可视化工具)> nFactor流(nFactor流程)。
要删除因素,请单击因素块并将其拖动到垃圾桶中。
从身份验证虚拟服务器查看nFactor流。管理员还可以从“身份验证虚拟服务器”(身份验证虚拟服务器)页面查看创建的nFactor流。
要从“身份验证虚拟服务器”(身份验证虚拟服务器)页面查看nFactor流,请
- 导航到安全(安全)> AAA -应用程序流量(AAA -应用程序流量)>虚拟服务器(虚拟服务器)。在身份验证虚拟服务器(身份验证虚拟服务器)页面上,可以执行以下步骤:
- 要添加身份验证虚拟服务器,请单击添加(添加)。
- 要编辑现有身份验证虚拟服务器,请单击详细信息窗格中的编辑(编辑)选项。
在身份验证虚拟服务器(身份验证虚拟服务器)页面上,可以查看高级认证政策(高级身份验证策略)下的nFactor流(nFactor流)选项。
如果没有绑定到虚拟服务器的nFactor流,则可以单击高级认证政策(高级身份验证策略)部分下的没有nFactor流(无nFactor流)选项,以添加新nFactor流或从列表中选择现有的nFactor流。
