概念验证指南:使用推送令牌的Citrix网关身份验证的nFactor

简介

基于时间的一次性密码(你觉得)是一种越来越常见的提供身份验证的方法,这种方法可以随其他因素提高安全状况。你觉得与推动通过允许用户在指尖接收和接受身份验证请求,充分利用移动设备。交换通过对共享密钥应用哈希来保护，该哈希值将在安装过程中分发。

Citrix网关支持OTP的推送通知,并且可以为Web服务,VPN和Citrix虚拟应用程序和桌面等各种服务提供身份验证。在本POC指南中,我们演示了在Citrix虚拟应用程序和桌面环境中使用它进行身份验证。

概述

本指南演示了如何使用Citrix网关的双重身份验证来实现概念验证环境。它使用LDAP验证Active Directory凭据作为第一个因素,并使用Citrix云推动身份验证作为第二个因素。它使用Citrix虚拟应用程序和桌面发布的虚拟桌面来验证连接性。

它对以下组件的完成安装和配置进行了假设：

• Citrix网关使用绑定到通配符证书的外部可访问虚拟服务器进行安装,许可和配置。
• Citrix网关与使用LDAP进行身份验证的Citrix虚拟应用程序和桌面环境集成
• Citrix云帐户已建立
• 安装了Citrix工作区应用程序
• 安装了Citrix SSO应用程序的移动设备
• Active Directory(广告)在环境中可用

有关最新产品版本和许可证要求,请参阅Citrix文档。推动认证

Citrix网关

nFactor

1. 登录Citrix ADC UI
2. 导航到流量管理> SSL >证书>所有证书以验证您是否安装了域证书。在此 POC 示例中，我们使用了与 Active Directory 域对应的通配符证书。有关详细信息，请参阅Citrix ADC SSL证书。

推送服务操作

1. 下一步导航到安全> AAA -应用流量>策略>认证>高级策略>动作>推送服务
2. 选择添加
3. 填充以下字段，然后单击确定：* 名称-唯一值。我们将在以下字段中输入值以与Citrix云集成推动服务*登录Citrix云并导航到身份和访问管理> API访问* 为推送服务 创建唯一名称并选择创建客户端现在我们将将这些值复制并粘贴到我们的Citrix ADC策略中以与Citrix Cloud-PUSH服务*客户端ID -从Citrix云ID和密钥弹出窗口复制并粘贴客户端ID *客户端密钥——从Citrix云ID和密钥中复制并粘贴客户端ID弹出窗口*选择关闭*客户ID——从Citrix云身份和访问管理API访问页面复制并粘贴客户端ID
4. 单击创建

LDAP -身份验证操作

1. 下一步导航到安全> AAA -应用流量>策略>认证>高级策略>动作> LDAP
2. 选择添加
3. 填充以下字段
   • 名称-一个唯一的值
   • 服务器名称/ IP地址——为广告服务器选择FQDN或IP地址。我们输入192.0.2.50_LDAP
   • 基本DN -输入广告用户容器的路径。我们输入OU=团队帐户，DC=工作区，DC=wwco, DC=net
   • 管理员绑定DN -输入管理员/服务帐户以查询广告以验证用户身份。我们输入workspacesserviceaccount@workspaces.wwco.net
   • 确认/管理员密码-输入/确认管理员/服务帐号密码
   • 服务器登录名称属性-在此字段下方的第二个字段中输入userPrincipalName
4. 选择“创建”有关详细信息，请参阅LDAP身份验证策略

LDAP -令牌存储操作

1. 下一步导航到安全> AAA -应用流量>策略>认证>高级策略>动作> LDAP
2. 选择上面创建的LDAP操作,然后选择创建
3. 将OTP或任何标识符附加到名称后取消选择身份验证
4. 在连接设置下,验证基本DN、管理员绑定DN和密码。请确保管理员用户或服务帐户是域管理员的成员。此策略将用于在用户对象的userParameters属性中写入由用户身份验证器应用程序注册的令牌。
5. 向下滚动到其他设置
   • OTP秘密——输入userParameters
   • 推送服务,选择上面创建的推动服务策略
6. 选择创建

nFactor

1. 下一步导航到安全> AAA -应用流量> nFactor Visualizer > nFactor flow
2. 选择添加，然后在因子框中选择加号
3. 输入nFactor_OTP,然后选择创建

nFactor——注册流程

1. 选择添加策略，然后再次选择选择策略旁边的添加
2. 输入authPol_OTPReg
3. 在操作类型下选择NO_AUTHN
4. 选择表达式编辑器，然后在提供的下拉菜单中选择以下选项来构建表达式：
   • HTTP
   • 要求的事情
   • COOKIE.VALUE(字符串)= NSC_TASS
   • EQ(字符串)= manageotp
5. 选择完成，然后选择创建，然后选择添加
6. 选择authpol_otPreg策略旁边的绿色加号以创建因子
7. 输入OTPRegAD并选择创建
8. 在创建的框中选择添加架构
9. 选择添加然后输入lschema_SingleRegOTP
10. 在架构文件下,导航到LoginSchema,然后选择SingleAuthManageOTP.xml
11. 选择蓝色的选择按钮，然后选择创建，然后选择确定
12. 在同一框中选择添加策略，然后再次选择选择策略旁边的添加
13. 输入authpol_LDAP作为名称
14. 在“操作类型”下选择LDAP
15. 在操作下,选择您的第一个LDAP身份验证操作。我们使用192.0.2.50_LDAP
16. 在表达式下输入真实的
17. 选择创建，然后选择添加
18. 选择旁边的绿色加号authPol_LDAP政策以创建因子
19. 输入OTPRegDevice并选择创建
20. 在同一框中选择添加策略，然后再次选择选择策略旁边的添加
21. 输入authPol_OTPAuthDevice作为名称
22. 在“操作类型”下选择LDAP
23. 在“操”作下,选择新创建的第(二个)LDAP身份验证操作。我们使用192.0.2.50_LDAP_OTP
24. 在表达式下输入真实的
25. 选择创建，然后选择添加

nFactor——身份验证流程

1. 在authPol_OTPReg策略下选择蓝色加号
2. 输入authPol_OTPAuth
3. 在操作类型下选择NO_AUTHN
4. 在表达式下输入真实的
5. 选择创建
6. 选择authPol_OTPAuth策略旁边的绿色加号以创建因子
7. 输入OTPAuthAD
8. 选择创建
9. 在创建的框中选择添加架构
10. 选择添加然后输入lschema_DualAuthOTP
11. 在架构文件下,导航到LoginSchema,然后选择DualAuthPushOrOTP.xml
12. 选择蓝色的选择按钮，然后选择创建，然后选择确定
13. 在同一框中选择添加策略
14. 选择我们在设置注册流程期间创建的策略,该策略映射到您的第一个LDAP身份验证操作。我们使用authPol_LDAP
15. 选择添加
16. 选择authPol_Ldap策略旁边的绿色加号以创建因子
17. 输入OTPAuthDevice此因素将使用OTP令牌执行第二因素身份验证
18. 选择创建
19. 在同一框中选择添加策略
20. 选择我们在设置注册流程期间创建的策略authPol_OTPAuthDevice
21. 选择添加
22. 现在我们已经完成了nFactor流程设置,然后单击”完成”

Citrix ADC身份验证,授权和审核(Citrix ADC AAA)虚拟服务器

1. 接下来导航到安全> AAA -应用流量>虚拟服务器并选择添加
2. 输入以下字段,然后单击”确定”:
   • 名称-一个唯一的值
   • IP地址类型-非可寻址
3. 选择无服务器证书，选择域证书，单击选择、绑定和继续
4. 选择没有nFactor流
5. 在选择nFactor流动下,单击向右箭头,选择之前创建的nFactor_OTP流程
6. 单击选择，然后单击绑定

Citrix网关——虚拟服务器

1. 下一步导航到Citrix网关>虚拟服务器
2. 选择提供对Citrix虚拟应用程序和桌面环境的代理访问权限的现有虚拟服务器
3. 选择编辑
4. 在基本身份验证——主身份验证下,选择LDAP策略
5. 检查策略，选择取消绑定，选择是进行确认，然后选择关闭
6. 在右侧的高级设置菜单下，选择身份验证配置文件
7. 选择添加
8. 请输入名称。我们输入PUSH_auth_profile
9. 在身份验证虚拟服务器下,单击向右箭头,然后选择我们创建的Citrix ADC AAA虚拟服务器PUSH_Auth_Vserver
10. 点击选择，然后创建
11. 单击确定并验证在删除基本身份验证策略时虚拟服务器现在已选择身份验证配置文件
12. 单击”完成”

用户端点

现在我们通过注册移动设备并在Citrix虚拟应用程序和桌面环境中进行身份验证来测试

使用Citrix SSO应用程序注册

1. 打开浏览器,然后导航至Citrix网关管理的域FQDN),并在FQDN末尾附加/ manageotp。我们使用https://gateway.workspaces.wwco.net/manageotp
2. 将浏览器重定向到登录屏幕后,请输入用户隐喻和密码
3. 在下一个屏幕上选择添加设备，输入名称。我们使用iPhone7
4. 选择去,将出现二维码
5. 在移动设备上打开Citrix SSO应用程序,该应用程序可从应用商店下载
6. 选择添加新令牌
7. 选择扫描二维码
8. 选择将相机瞄准二维码，然后在拍摄相机后选择添加
9. 选择保存以存储令牌
10. 令牌现在处于活动状态,并开始每隔30秒显示OTP代码
11. 选择”完成”,您将看到设备已成功添加的确认

Citrix虚拟应用程序和桌面身份验证,发布和启动

1. 打开浏览器,然后导航到Citrix网关管理的域FQDN。我们使用https://gateway.workspaces.wwco.net
2. 将浏览器重定向到登录屏幕后,请输入用户隐喻和密码。在此屏幕上，如果由于某种原因您的相机无法正常工作，您可以看到单击以手动输入 OTP 的选项
3. 在Citrix SSO应用程序的移动设备上,选择确定以确认推动身份验证
4. 验证用户虚拟应用程序和桌面是否已枚举，并在登录后启动

摘要

借助Citrix工作区和Citrix网关,企业可以通过实施多因素身份验证来改善安全状况,而不会使用户体验复杂用户可以通过输入标准域用户和密码,然后只需在移动设备上的Citrix SSO应用程序中按下按钮即可确认其身份,即可访问其所有工作区资源。

引用

有关更多信息，请参阅：

认证推送——观看有关使用你觉得来提高Citrix工作区身份验证安全性的技术洞察视频

身份验证——本地Citrix网关——观看有关与本地Citrix网关集成以提高Citrix工作区身份验证安全性的技术洞察视频