在一些項目中,Citrix的項目除了AD的常用身份認證之外,客戶還希望內建RSA等類似的雙因素身份驗證解決方案。實作Citrix與RSA結合的認證模式主要有三種:
1) 僅使用RSA認證登陸,就可以通路應用程式,類似智能卡認證模式;
2) 在認證登陸界面上,同時輸入User Name、Password、PassCode的認證模式;
3)實作分步登陸模式,首先由RSA的Web界面使用RSA的PassCode登陸,然後由Citrix的Web界面使用User Name、Password登陸。或者是先通過Citrix的Web界面使用User Name、Password登陸,然後再使用RSA的Web界面使用RSA的PassCode登陸。不管誰先誰後,都是需要分步二次輸入的。
在這種內建解決方案當中,其和Citrix的Web Interface元件以及StoreFront元件是緊密內建的。現目前的解決方案當中,在Web Interface時代,都支援這三種模式:
Web Interface本身如果不經過二次開發或者RSA等解決方案不對Web Interface開發Agent,Web Interface僅支援的後兩種模式:
1)僅RSA認證登入:在該模式下,經過測試無法實作,需要經過二次開發或者RSA等解決方案對Web Interface開發Agent,目前過來類似的解決方案有中科恒倫的廠家開發了基于Web Interface的Agent,可以做到這種認證方式。
測試這種方案:
首先在Citrix Web Interface伺服器上安裝RSA Agent,該RSA Agent使用預設的基于Windows的RSA Agent。但是有所注意的是,需要先安裝RSA Agent,再安裝CItrix Web Interface元件,然後再來配置Web Interface對RSA認證的支援。
如上圖所示,Web Interface預設支援基于RSA SecurID的認證模式,在雙因素認證的設定中選擇Use RSA SecurID,同時選擇Use Windows password integration即可。
設定完畢之後通過Web Interface登入發現還是需要輸入使用者名和密碼以及RSA的Code。我們猜測是RSA的Agent無法為Web Interface中的使用者名和密碼進行替代。因為RSA的Agent是正常的Windows的RSA Agent,并不是專門基于Web Interface的SDK所調取的Agent。
2)同時雙因素密碼輸入的方式:在該模式下,在Web Interface在雙因素認證的設定中選擇Use RSA SecurID,不選擇Use Windows password integration即可完成設定。
3)分步登入的方式需要在Web Interface上安裝RSA Agent for Web的元件,其需要在伺服器上建立一個RSA的登入Web站點。然後在IIS中增加RSA SecurID子產品,啟用RSA Web認證。在登入的時候,首先會進行RSA的認證,成功之後再跳轉到Citrix Web Interface的認證頁面。
上述後兩種方式Web Interface也可以和Citrix NetScaler Gateway內建,在NetScaler上做驗證後再跳轉到Citrix Web Interface。如果采用NetScaler,那麼第三種方式可以不用在Web interface上安裝RSA Agent For Web,隻需要在NetScaler上配置驗證身份的先後順序即可。
那麼在StoreFront時代呢?
在StoreFront時代,其三種模式都受支援:
1)僅RSA認證登入:在該模式下,StoreFront實作由兩種方式:
a、使用RSA Agent方式實作,該方式需要StoreFront 3.0及以上版本。該模式是RSA通過StoreFront的SDK,開發的一個RSA Agent For StoreFront來實作。也就是說,在StoreFront上安裝了RSA的這個CitrixSF的Agent之後,使用者就可以采用基于RSA的認證方式來代替AD使用者名和密碼方式了。
b、該方式是使用Citrix FAS來實作的,同時也需要StoreFront 3.6及以上版本。因為Citrix FAS整體需要的版本較高,是以這種實作方式其實需要Citrix XAXD為7.9及以上版本。
針對第一種方式,感興趣的朋友可以通路以下網址去下載下傳RSA Agent For StoreFront:https://www.rsa.com/en-us/products-services/identity-access-management/securid/authentication-agents/authentication-agent-for-citrix-storefront
該網站已經将相關文檔以及Agent安裝包放置在網址上免費下載下傳。需要指出的是,支援該Agent的後端RSA AM需要8.1及以上版本。
該Agent如下圖:
與Web Interface不同的是,該Agent需要先安裝Citrix StoreFront,再安裝RSA Agent。
第二種使用Citrix FAS來實作,需要在StoreFront上啟用Citrix FAS,然後配置Citrix FAS的相關伺服器并且最好和Citrix NetScaler內建使用。Citrix FAS的工作機制很簡單:NetScaler在身份提供商處接受SAML令牌或者RSA SecurID令牌。内置Citrix SSO機制将身份傳遞給StoreFront,NetScaler将SAML名稱或者RSA Code轉換為相應的AD帳戶名稱。StoreFront使用Kerberos機制檢查AD帳戶是否有效,并執行資源枚舉。啟動應用程式時,StoreFront首先聯系聯合身份驗證服務(FAS),以確定使用者帳戶的憑據已準備就緒。 FAS配置有受信任的StoreFront伺服器的清單以執行此步驟。該憑證本身是由企業CA為Active Directory使用者頒發的,由FAS擁有的私鑰的智能卡證書。 FAS傳回StoreFront的憑據句柄,該句柄被傳遞到VDA,供使用者連接配接。當Receiver連接配接到VDA時,憑證句柄用于執行智能卡登入。
如前所述,FAS依靠AD證書服務為授權機構生成安全證書憑證,然後AD通過該憑證接受互動式會話登入。對于Windows上的VDA,它就好像使用者有一個正常的智能卡,但私鑰實際上是安全地儲存在FAS伺服器上,并且使用者不會擁有這個私鑰。而對于FAS這個元件, StoreFront和VDA插件現在已經預設內建在安裝包中,我們安裝了這些元件之後,在需要使用的時候隻需啟用即可,是以FAS伺服器本身是唯一需要新安裝的新元件。
這種方法的一個顯着優點是可以緩存這些憑證以供重用,進而提高性能和可用性;另一個是證書可以在Internet Explorer,Outlook,Chrome和其他應用程式的會話内使用,以驗證使用PKI的網絡資源。
其實實質上,Citrix的身份驗證體系或者說微軟的公有雲身份驗證體系,或多或少的都在借鑒AWS的IAM,Citrix FAS隻是個開始,其向IAM靠攏的腳步我覺得在以後的版本會越來越明顯。
雲計算的模式促使這些基于硬AD綁定的解決方案不得不尋求更加靈活的身份驗證機制來解決越來越多的SaaS、PaaS應用所帶來的IT方式的變革。而如今的認證解決方案中,基于IdP的認證模式,适用于所有場景和所有資源通路。是以基于IdP的認證模式是未來是以認證模式的方向。
感興趣的朋友可以通過以下網址去下載下傳資源進行測試使用:https://community.rsa.com/docs/DOC-24869
2)同時雙因素密碼輸入的方式:在該模式下,StoreFront需要NetScaler的支援才可以,StoreFront本身不支援RSA的二次身份驗證。
如圖所示,這就是通過NetScaler配置的基于RSA雙因素認證,在同一登入界面同時輸入AD賬戶和RSA密碼的情況。
這種情況隻需在NetScaler gateway上配置主身份驗證LDAP和次身份驗證RADIUS即可。
3)分步登入的方式也是需要StoreFront和NetScaler緊密內建來完成。具體的配置方案Google上可以收到或者上youtube檢視配置視訊。其情況上述已經說明,在此不再重複。
與以往隻提供一種硬體令牌雙因子認證方案相比,CKEY或RSA可以讓客戶選擇如下三種動态密碼形式的一種或者多種:
短信密碼:通過短信将随機密碼發至使用者手機,無需安裝軟體、無需攜帶額外硬體裝置;
手機令牌:動态密碼生成手機用戶端程式,支援iOS、Andriod、WP7,無使用成本;
硬體令牌:時間型、每隔60秒産生一個動态密碼,無按鍵式、36個壽命;
在為使用者提供安全認證的同時,提升使用便捷性,CKEY或RSA已成為國内Citrix使用者首選方案。