Adaptiver Authentifizierungsdienst von Citrix
Die adaptive Authentifizierung ist ein Citrix Cloud-Dienst, der Kunden und Benutzern, die sich bei Citrix Workspace anmelden, eine verbesserte Authentifizierung ermöglicht. Der Adaptive Authentifizierungsdienst überprüft die Benutzeridentität und die Autorisierungsebenen auf der Grundlage von Faktoren wie Standort, Gerätestatus und Endbenutzerkontext. Anhand dieser Faktoren wählt der Adaptive Authentication-Dienst intelligent die geeigneten Authentifizierungsmethoden aus und ermöglicht den Zugriff auf autorisierte Ressourcen.
Darüber hinaus kann ein Administrator diesen Benutzern den kontextbezogenen Zugriff auf ihre Anwendungen und Desktops ermöglichen. Der Adaptive Authentication Service kann von Citrix Secure Private Access- und Citrix DaaS-Kunden verwendet werden.
Erweiterte Authentifizierungsfunktionen
Der Adaptive Authentication Service ist ein von Citrix verwalteter und von Citrix Cloud gehosteter ADC, der alle erweiterten Authentifizierungsfunktionen wie die folgenden bietet:
Multifaktor-Authentifizierung: Die Multifaktor-Authentifizierung erhöht die Sicherheit einer Anwendung, da Benutzer mehrere Identitätsnachweise vorlegen müssen, um Zugriff zu erhalten. Kunden können verschiedene Kombinationen von Faktoren im Multifaktor-Authentifizierungsmechanismus basierend auf den Geschäftsanforderungen konfigurieren. Einzelheiten finden Sie unter Beispielauthentifizierungskonfigurationen.
Gerätestatusscans: Benutzer können basierend auf dem Gerätestatus authentifiziert werden. Der Device Stature Scan, auch Endpoint Analysis Scan genannt, prüft, ob das Gerät konform ist. Wenn auf dem Gerät beispielsweise die neueste Betriebssystemversion ausgeführt wird, werden Service Packs und Registrierungsschlüssel festgelegt. Die Einhaltung der Sicherheitsrichtlinien umfasst Scans, um zu überprüfen, ob ein Antivirenprogramm installiert oder die Firewall aktiviert ist usw. Der Gerätestatus kann auch überprüfen, ob das Gerät verwaltet oder nicht verwaltet wird, ob es sich um ein unternehmenseigenes Gerät oder BYOL handelt.
Device Posture Service: Der Device Posture Service setzt Zero-Trust-Prinzipien in Ihrem Netzwerk durch, indem er die Endgeräte auf Konformität überprüft, bevor sich ein Endbenutzer anmelden kann. Um den Adaptive Authentication Service und den Device Posture Service zusammen zu verwenden, können Sie den Device Posture Service konfigurieren und die Authentifizierungsmethode weiterhin als Adaptive Authentication verwenden (Citrix Cloud > Identitäts- und Zugriffsmanagement). Einzelheiten zum Device Posture Service finden Sie unter Device Posture.
Hinweis:
Wenn Sie den Gerätestatus mit adaptiver Authentifizierung konfigurieren, konfigurieren Sie keine EPA-Richtlinien für die adaptiven Authentifizierungsinstanzen.
Bedingte Authentifizierung: Basierend auf den Benutzerparametern wie Netzwerkstandort, Gerätestatus, Benutzergruppe, Tageszeit kann die bedingte Authentifizierung aktiviert werden. Sie können einen dieser Parameter oder eine Kombination dieser Parameter für die bedingte Authentifizierung verwenden.
Beispiel für eine auf dem Gerätestatus basierende Geräteauthentifizierung: Sie können einen Gerätescan durchführen, um zu überprüfen, ob es sich bei dem Gerät um ein vom Unternehmen verwaltetes Gerät oder BYOD handelt.
- Wenn es sich bei dem Gerät um ein vom Unternehmen verwaltetes Gerät handelt, können Sie den Benutzer mit dem einfachen AD (Benutzername und Kennwort) herausfordern.
- Wenn es sich bei dem Gerät um ein BYOD handelt, können Sie den Benutzer mit der AD plus RADIUS-Authentifizierung herausfordern.
Wenn Sie virtuelle Apps und Desktops basierend auf dem Netzwerkstandort selektiv auflisten möchten, muss die Benutzerverwaltung für diese Bereitstellungsgruppen mithilfe von Citrix Studio-Richtlinien anstelle von Workspace durchgeführt werden. Wählen Sie beim Erstellen einer Bereitstellungsgruppe in der Einstellung Benutzer entweder die Option Verwendung dieser Bereitstellungsgruppe auf die folgenden Benutzer beschränken oder Authentifizierten Benutzern die Verwendung dieser Bereitstellungsgruppe erlauben aus. Dadurch wird unter “Bereitstellungsgruppe” die Registerkarte Zugriffsrichtlinie zum Konfigurieren des adaptiven Zugriffs aktiviert.
Kontextueller Zugriff auf Citrix DaaS: Adaptive Authentication ermöglicht kontextbezogenen Zugriff auf Citrix DaaS. Adaptive Authentication zeigt alle Richtlinieninformationen über den Benutzer an Citrix DaaS an. Administratoren können diese Informationen in ihren Richtlinienkonfigurationen verwenden, um die Benutzeraktionen zu steuern, die auf Citrix DaaS ausgeführt werden können. Eine Benutzeraktion kann beispielsweise das Aktivieren oder Deaktivieren des Zugriffs auf die Zwischenablage und die Druckerumleitung der Clientlaufwerke sein.
Der kontextuelle Zugriff auf Secure Private Access und andere Citrix Cloud-Dienste über Adaptive Authentication ist in den kommenden Versionen geplant.
Anpassung der Anmeldeseite: Adaptive Authentication hilft dem Benutzer, die Citrix Cloud-Anmeldeseite in hohem Maße anzupassen.
Zusätzliche Funktionen zur adaptiven Authentifizierung
Im Folgenden sind die Funktionen aufgeführt, die in Citrix Workspace mit adaptiver Authentifizierung unterstützt werden.
- LDAP-Unterstützung (Active Directory)
- LDAPS (Active Directory) -Unterstützung
- Verzeichnisunterstützung für AD, Azure AD, Okta
- RADIUS-Unterstützung (Duo, Symantec)
- In AD + Token integrierte MFA
- SAML 2.0
- OAuth, OIDC-Unterstützung
- Authentifizierung mit Client-Zertifikat
- Bewertung des Gerätestatus (Endpunktanalyse)
- Gerätestatusdienst
- Integration mit Drittanbieter-Authentifizierungsanbietern
- Push-Benachrichtigung über die App
- reCAPTCHA-Unterstützung
- Bedingte/richtliniengesteuerte Authentifizierung
- Authentifizierungsrichtlinien für Smart Access (kontextbezogener Zugriff)
- Anpassung der Anmeldeseite
- Self-Service-Kennwort zurücksetzen
Upgrade und Wartung von Adaptive Authentication-Instanzen
Alle Upgrades und Wartungsarbeiten der Adaptive Authentication-Instanzen werden vom Citrix Cloud-Team verwaltet. Es wird empfohlen, die Adaptive Authentication-Instanzen nicht auf zufällige RTM-Builds zu aktualisieren oder herunterzustufen. Sie können Upgrades entsprechend Ihrem Kundenverkehr planen. Planen Sie ein Upgrade Ihrer Adaptive Authentication-Instanzen. Das Citrix Cloud-Team aktualisiert Ihre Instanzen dann entsprechend.
Wichtig:
- Das Citrix Cloud-Team überprüft regelmäßig die Kommunikation mit den Instanzen. Wenn es zu einer Unterbrechung kommt, wird sich das Adaptive Authentic-Supportteam möglicherweise an Sie wenden, um die Verwaltung der Instanzen wiederherzustellen. Wenn das Problem mit der Instanzverwaltung nicht behoben ist, kann das Adaptive Authentication-Team die Upgrades nicht verwalten. Dies kann dazu führen, dass Sie eine anfällige Version ausführen.
- Es wird empfohlen, E-Mail-Benachrichtigungen zu aktivieren, um E-Mails über den Ablauf des Anspruchs und Informationen zur Speicherplatznutzung zu erhalten. Details finden Sie unter Benachrichtigungen.
- Da die Upgrades der Adaptive Authentication-Instanz von Citrix verwaltet werden, müssen Kunden sicherstellen, dass im VAR-Verzeichnis genügend Speicherplatz (mindestens 7 GB) für das Upgrade vorhanden ist. Einzelheiten zum Freigeben von Speicherplatz im VAR-Verzeichnis finden Sie unter So geben Sie Speicherplatz im VAR-Verzeichnis frei.
- Ändern Sie den Status für hohe Verfügbarkeit nicht von ENABLED auf STAY PRIMARY oder STAY SECONDARY. Der Hochverfügbarkeitsstatus muss für die adaptive Authentifizierung AKTIVIERT sein.
- Ändern Sie nicht das Kennwort für den Benutzer (authadmin) auf den Instanzen der adaptiven Authentifizierung. Das Adaptive Authentication-Team kann die Upgrades nicht verwalten, wenn das Kennwort geändert wird.
Geteilte Sicherheitsverantwortung
Von Kunden benötigte Maßnahmen
Im Folgenden sind einige Maßnahmen der Kunden im Rahmen von Best Practices für die Sicherheit aufgeführt.
-
Anmeldeinformationen für den Zugriff auf die Benutzeroberfläche der adaptiven Authentifizierung: Der Kunde ist dafür verantwortlich, die Anmeldeinformationen für den Zugriff auf die Benutzeroberfläche der adaptiven Authentifizierung zu erstellen und zu verwalten. Wenn der Kunde mit dem Citrix Support zusammenarbeitet, um ein Problem zu lösen, muss der Kunde diese Anmeldeinformationen möglicherweise an das Support-Personal weitergeben.
-
Multifaktor-Authentifizierung: Als bewährte Methode müssen Kunden Richtlinien für die mehrstufige Authentifizierung konfigurieren, um den unbefugten Zugriff auf die Ressourcen zu verhindern.
-
Anmeldedaten: Kunden müssen ihre Anmeldeinformationen gemäß den allgemeinen Sicherheits- und Kennwortstandards konfigurieren.
-
Sicherheit des Remote-CLI-Zugriffs: Citrix bietet Kunden Remote-CLI-Zugriff. Die Kunden sind jedoch dafür verantwortlich, die Sicherheit der Instanz während der Laufzeit zu gewährleisten.
-
Private SSL-Schlüssel: Da der NetScaler unter Kundenkontrolle steht, hat Citrix keinen Zugriff auf das Dateisystem. Kunden müssen sicherstellen, dass sie die Zertifikate und Schlüssel schützen, die sie auf der NetScaler-Instanz hosten.
-
Datenbackup: Erstellen Sie ein Backup von Konfiguration, Zertifikaten, Schlüsseln, Portalanpassungen und alle anderen Dateisystemänderungen.
-
Datenträgerimages der NetScaler-Instanzen: Pflegen und verwalten Sie den NetScaler-Speicherplatz und die Datenträgerbereinigung. Einzelheiten finden Sie unter Speicherplatzverwaltung für Instanzen.
-
Ein Beispiel für eine LDAPS-Konfiguration mit Lastausgleich finden Sie unter Beispiel für eine LDAPS-Konfiguration mit Lastausgleich.
Erforderliche Maßnahmen sowohl vom Kunden als auch von Citrix
-
Disaster Recovery: In unterstützten Azure-Regionen werden die NetScaler-Hochverfügbarkeitsinstanzen zum Schutz vor Datenverlust in separaten Verfügbarkeitszonen bereitgestellt. Im Falle eines Azure-Datenverlusts stellt Citrix so viele Ressourcen im von Citrix verwalteten Azure-Abonnement wie möglich wieder her.
Im Falle des Verlusts einer gesamten Azure-Region ist der Kunde dafür verantwortlich, sein vom Kunden verwaltetes virtuelles Netzwerk in einer neuen Region wieder aufzubauen und ein neues VNet-Peering zu erstellen.
-
Sicherer Zugriff über die IP-Adresse der öffentlichen Verwaltung:
Sichern Sie den Zugriff auf die Verwaltungsschnittstellen durch zugewiesene öffentliche IP-Adressen und ermöglichen Sie ausgehende Verbindungen zum Internet.
Einschränkungen
- Das Zertifikatspaket wird nur für Zertifikate des Typs PEM unterstützt. Für andere Pakettypen wird empfohlen, die Stamm- und Zwischenzertifikate zu installieren und sie mit dem Serverzertifikat zu verknüpfen.
- Der Lastausgleich mit einem RADIUS-Server wird nicht unterstützt.
- Die RADIUS-Authentifizierung ist für einige Minuten beeinträchtigt, wenn der Connector, der die RADIUS-Anforderung bedient, ausfällt. Der Benutzer muss sich in diesem Fall erneut authentifizieren.
-
DNS-Tunneling wird nicht unterstützt. Statische Datensätze müssen auf NetScaler für die FQDNs hinzugefügt werden, die in Authentifizierungsrichtlinien/-profilen (LDAP/RADIUS) für Authentifizierungsserver im on-premises Rechenzentrum des Kunden verwendet werden.
Einzelheiten zum Hinzufügen statischer DNS-Einträge finden Sie unter Erstellen von Adressdatensätzen für einen Domainnamen.
- Das Testen der Netzwerkkonnektivität im LDAP-Profil zeigt möglicherweise ein falsches Ergebnis wie “Server ist erreichbar”, auch wenn die Verbindung zum LDAP-Server nicht hergestellt wurde. Fehlermeldungen wie “Port ist nicht geöffnet” oder “Server ist kein LDAP” werden möglicherweise angezeigt, um auf den Fehler hinzuweisen. In diesem Szenario wird empfohlen, die Traces zu sammeln und weitere Problembehebungen durchzuführen.
- Damit EPA-Scans unter macOS funktionieren, müssen Sie die Standard-ECC-Kurven an den virtuellen Authentifizierungs- und Autorisierungsserver binden, indem Sie die Option ECC-Kurve als ALLauswählen.
Qualität der Dienstleistungen
Adaptive Authentication ist ein Dienst mit hoher Verfügbarkeit (Aktiv-Standby).