Общие сведения
Avanpost FAM позволяет обеспечить 2FA для пользователей, выполняющих подключение к Citrix Virtual Apps and Desktops, Citrix XenApp, Citrix XenDesktop. В инструкции описывается настройка 2FA для Citrix Virtual Apps and Desktops, Citrix XenApp, Citrix XenDesktop с использованием SAML-механизма системы Avanpost FAM в режиме совместимости интеграции с ADFS без необходимости использования Citrix Federated Authentication Services. Функциональность доступна для веб-интерфейса и десктопного интерфейса Citrix Virtual Apps and Desktops.
Для Citrix Virtual Apps and Desktops с целью 2FA/MFA/SSO могут использоваться следующие факторы аутентификации:
- Мобильное приложение Avanpost Authenticator (push + TOTP);
- SMS;
- TOTP;
- E-mail;
- Мессенджер Telegram;
- Электронная подпись;
- FIDO WebAuthn/U2F;
- Доменная Kerberos-аутентификация;
- ЕСИА (Единая система идентификации и аутентификации) в режиме Federation;
- OpenID Connect-провайдер в режиме Federation;
- SAML-провайдер в режиме Federation.
Citrix Virtual Apps and Desktops поддерживает функциональность SSO (Signle Sign-On), обеспечиваемую протоколом SAML: если пользователь прошёл аутентификацию в веб-приложение в соответствии с настроенным сценарием, то система не будет запрашивать повторного подтверждения аутентификации при аутентификации в другое веб-приложение. Также обеспечивается реализация функциональности SLO (Single Logout) в рамках протокола SAML.
Системные требования для интеграции Citrix Virtual Apps and Desktops, Citrix XenApp, Citrix XenDesktop с Avanpost FAM:
- Сервер Avanpost FAM 1.3.0 или выше;
- Сервер Citrix Virtual Apps and Desktops, Citrix XenApp, Citrix XenDesktop версии 7.9 или новее.
Для выполнения настройки 2FA/MFA/SSO в соответствии с инструкцией необходимо выполнить следующие предварительные условия:
- Установить в сети сервер Citrix Virtual Apps and Desktops или Citrix XenApp, Citrix XenDesktop.
- Установить в сети компонент Avanpost FAM Server.
Дополнительно может потребоваться при необходимости аутентификации:
- Через мобильное приложение Avanpost Authenticator – установить компонент Avanpost FAM Mobile Authenticator Service;
- Через мобильное приложение SafeTech PayControl – установить сервер SafeTech PayControl;
- Через SMS – настроить подключение к внешнему SMS-шлюзу, который предоставляет услугу доставки SMS-сообщений;
- Через E-mail – настроить подключение к SMTP-шлюзу, который обеспечивает доставку почтовых сообщений;
- Через Telegram – настроить подключение к Telegram Bot API;
- Посредством электронной подписи – настроить криптопровайдер и установить плагин в браузер;
- Посредством FIDO WebAuthn/U2F – настроить сертификат;
- Посредством Kerberos – настроить keytab-файл;
- Посредством ЕСИА – настроить подключение к ЕСИА;
- Посредством OpenID Connect-провайдера – настроить подключение к OpenID Connect-провайдеру;
- Посредством SAML-провайдера – настроить подключение к SAML-провайдеру.
Настройка
На стороне Avanpost FAM в административной консоли:
- Создать новое приложение с типом SAML.
- В карточке приложения на вкладке «Настройки» для параметра:
Issuer
– указать значение параметраName
, полученное на этапе подготовки сведений.ACS
– указать значение параметраName
, полученное на этапе подготовки сведений.Подпись
– «Подписывать Assertion
».NameID Format
– «Полное имя в домене
» (по умолчанию) либо «Адрес электронной почты
» (в зависимости от настроек идентификации пользователя на стороне Citrix).Значение NameID
– «Имя пользователя
» (по умолчанию), «Адрес электронной почты
» либо другой атрибут, который будет использован для идентификации пользователя в Citrix (зависит от настроек идентификации пользователя на стороне Citrix).Signing Algorithm
– «SHA256
».Post Logout Redirect URL
– значение параметра адреса завершения сессии.
- В кароточке приложения на вкладке «Attributes» создать следующий набор атрибутов:
- Наименование «
uid
» – тип значения «Значение из атрибута» – «user.id
». - Наименование «
emailaddress
» – тип значения «Значение из атрибута» – «user.email
». - Наименование «
givenname
» – тип значения «Значение из атрибута» – «user.given_name
». - Наименование «
surname
» – тип значения «Значение из атрибута» – «user.family_name
». - Наименование «
name
» – тип значения «Значение из атрибута» – «user.username
».
- Наименование «
- Сохранить изменения. Настройка на стороне Avanpost FAM завершена.
На стороне Citrix Virtual Apps and Desktops через консоль StoreFront или CitrixStudio:
- Перейти в настройки требуемого Store.
- В окне «
Manage Authentification Methods
» включить флаг «SAML Authentification»
и открыть окно настройки SAML: - В окне «Identity Provider» для настройки подключения к Avanpost FAM указать:
- Для параметра
SAML Binding
выбрать значениеRedirect.
- Для параметра
Address
указать адрес интерфейса аутентификации Avanpost FAM с указанием пути/saml2
, например,https://fam/saml2
, гдеfam
– адрес сервера Avanpost FAM. - Для секции
Signing Certificates
добавить вручную либо импортировать сертификат, используемый Avanpost FAM для подписи сообщений.
Сертификат должен быть взят из файлаcert.pem
, настроенного на Сервере Avanpost FAM при развёртывании Avanpost FAM.
- Для параметра
- Перейти в раздел в «
Service Provider
», где в качестве значения параметра «Service Provider Identifier»
указать Store URL с добавлением в конце постфиксаAuth
.
Например, для Store с адресомhttps://avanpost.local/Citrix/AVANPOST_STORE
в качестве значнеия параметра «Service Provider Identifier»
необходимо указатьhttps://avanpost.local/Citrix/AVANPOST_STOREAuth.
- Сохранить все изменения. Настройка на стороне сервера Citrix VAD завершена.
Проверка настройки
- Перейти в браузере на Citrix Virtual Apps and Desktops и инициировать аутентификацию через доверенный провайдер Avanpost FAM. Дождаться перенаправления на интерфейс аутентификации Avanpost FAM.
- Выполнить аутентификацию в соответствии с настроенным для Citrix Virtual Apps and Desktops на стороне Avanpost FAM сценарием.
В результате пользователь должен успешно пройти аутентификацию в Citrix Virtual Apps and Desktops.
Сценарии использования
Загрузка пользователей Citrix Virtual Apps and Desktops из домена (LDAP)
Чтобы пользователи из домена смогли проходить 2FA/MFA или пользоваться SSO при аутентификации в Citrix Virtual Apps and Desktops, необходимо использовать встроенную в Avanpost FAM функциональность интеграции с LDAP-каталогами (Microsoft Active Directory, FreeIPA, openldap и т.д.). В рамках этой функции можно настроить LDAP-фильтры, которые позволят обеспечить загрузку в Avanpost FAM только тех пользователей, которые будут использовать 2FA/MFA/SSO в Citrix Virtual Apps and Desktops. Таким образом можно подключить несколько доменов.
Контроль попыток аутентификации пользователей к Citrix Virtual Apps and Desktops через Avanpost FAM
Для контроля попыток аутентификации необходимо использовать журнал событий безопасности, доступный в административном интерфейсе системы и посредством syslog.
Управление доступом пользователей к Citrix Virtual Apps and Desktops через Avanpost FAM
Для предоставления доступа пользователю, его необходимо включить в группу, которая имеет доступ к созданному приложению. Для отзыва доступа у пользователя необходимо исключить его из группы, которая имеет доступ к созданному приложению.
В рамках синхронизации с LDAP-каталогом доступна возможность автоматического включения и исключения пользователя из групп AD.
Управление доступом пользователей к Citrix через домен (LDAP)
Avanpost FAM в рамках интеграции с LDAP-каталогом (Microsoft Active Directory, FreeIPA, openldap и т. д.) обеспечивает автоматизацию управления членством пользователей в группах Avanpost FAM, предоставляющих доступ к Citrix Virtual Apps and Desktops, путём синхронизации членства пользователей в группах Avanpost FAM на основе членства пользователей домена в доменных группах.
Управление вторым фактором (2FA) для Citrix через Avanpost FAM
Для настройки второго фактора, который будет использоваться для приложения Citrix, необходимо перейти в административной консоли в карточку приложения и открыть вкладку MFA. В качестве первого шага – указать метод аутентификации Password. В качестве второго шага можно выбрать один из следующих факторов:
- Мобильное приложение Avanpost Authenticator;
- Мобильное приложение SafeTech PayControl;
- SMS;
- TOTP;
- E-mail;
- Мессенджер Telegram;
- Электронная подпись;
- FIDO WebAuthn/U2F;
- Kerberos;
- Провайдер ЕСИА;
- OpenID Connect-провайдер;
- SAML-провайдер.
Управление сценарием аутентификации (2FA/MFA) для отдельных групп сотрудников, подключающихся к Citrix, через Avanpost FAM
Для управления сценарием аутентификации (2FA/MFA) для отдельных групп сотрудников необходимо в административной консоли Avanpost FAM перейти в карточке группы на вкладке «MFA» и настроить дополнительный сценарий аутентификации. В этом случае пользователи, входящие в указанную группу, будут проходить аутентификацию с использованием второго фактора, заданного на вкладке. Таким образом можно определить специфический сценарий 2FA для администраторов и других привилегированных пользователей, подключающихся к Citrix.