База знаний FAM/MFA+ : Настройка 2FA/MFA для Citrix Virtual Apps and Desktops, Citrix XenApp, Citrix XenDesktop без Citrix FAS

Общие сведения

Avanpost FAM позволяет обеспечить 2FA для пользователей, выполняющих подключение к Citrix Virtual Apps and Desktops, Citrix XenApp, Citrix XenDesktop. В инструкции описывается настройка 2FA для Citrix Virtual Apps and Desktops, Citrix XenApp, Citrix XenDesktop с использованием SAML-механизма системы Avanpost FAM в режиме совместимости интеграции с ADFS без необходимости использования Citrix Federated Authentication Services. Функциональность доступна для веб-интерфейса и десктопного интерфейса Citrix Virtual Apps and Desktops.

Для Citrix Virtual Apps and Desktops с целью 2FA/MFA/SSO могут использоваться следующие факторы аутентификации:

Citrix Virtual Apps and Desktops поддерживает функциональность SSO (Signle Sign-On), обеспечиваемую протоколом SAML: если пользователь прошёл аутентификацию в веб-приложение в соответствии с настроенным сценарием, то система не будет запрашивать повторного подтверждения аутентификации при аутентификации в другое веб-приложение. Также обеспечивается реализация функциональности SLO (Single Logout) в рамках протокола SAML.

Системные требования для интеграции Citrix Virtual Apps and Desktops, Citrix XenApp, Citrix XenDesktop с Avanpost FAM:

  • Сервер Avanpost FAM 1.3.0 или выше;
  • Сервер Citrix Virtual Apps and Desktops, Citrix XenApp, Citrix XenDesktop версии 7.9 или новее.

Для выполнения настройки 2FA/MFA/SSO в соответствии с инструкцией необходимо выполнить следующие предварительные условия:

  1. Установить в сети сервер Citrix Virtual Apps and Desktops или Citrix XenApp, Citrix XenDesktop.
  2. Установить в сети компонент Avanpost FAM Server .

Дополнительно может потребоваться при необходимости аутентификации:

  • Через мобильное приложение Avanpost Authenticator – установить компонент Avanpost FAM Mobile Authenticator Service ;
  • Через мобильное приложение SafeTech PayControl – установить сервер SafeTech PayControl;
  • Через SMS – настроить подключение к внешнему SMS-шлюзу, который предоставляет услугу доставки SMS-сообщений;
  • Через E-mail – настроить подключение к SMTP-шлюзу, который обеспечивает доставку почтовых сообщений;
  • Через Telegram – настроить подключение к Telegram Bot API;
  • Посредством электронной подписи – настроить криптопровайдер и установить плагин в браузер;
  • Посредством FIDO WebAuthn/U2F – настроить сертификат;
  • Посредством Kerberos – настроить keytab-файл;
  • Посредством ЕСИА – настроить подключение к ЕСИА;
  • Посредством OpenID Connect-провайдера – настроить подключение к OpenID Connect-провайдеру;
  • Посредством SAML-провайдера – настроить подключение к SAML-провайдеру.

Настройка

На стороне Avanpost FAM в административной консоли:

  1. Создать новое приложение с типом SAML.
  2. В карточке приложения на вкладке «Настройки» для параметра:
    1. Issuer – указать значение параметра Name , полученное на этапе подготовки сведений.
    2. ACS – указать значение параметра Name , полученное на этапе подготовки сведений.
    3. Подпись « Подписывать Assertion ».
    4. NameID Format – « Полное имя в домене » (по умолчанию) либо « Адрес электронной почты » (в зависимости от настроек идентификации пользователя на стороне Citrix).
    5. Значение NameID « Имя пользователя » (по умолчанию), « Адрес электронной почты » либо другой атрибут, который будет использован для идентификации пользователя в Citrix (зависит от настроек идентификации пользователя на стороне Citrix).
    6. Signing Algorithm – « SHA256 ».
    7. Post Logout Redirect URL – значение параметра адреса завершения сессии.
  3. В кароточке приложения на вкладке «Attributes» создать следующий набор атрибутов:
    1. Наименование « uid » – тип значения «Значение из атрибута» – « user.id ».
    2. Наименование « emailaddress » – тип значения «Значение из атрибута» – « user.email ».
    3. Наименование « givenname » – тип значения «Значение из атрибута» – « user.given_name ».
    4. Наименование « surname » – тип значения «Значение из атрибута» – « user.family_name ».
    5. Наименование « name » – тип значения «Значение из атрибута» – « user.username ».
  4. Сохранить изменения. Настройка на стороне Avanpost FAM завершена.

На стороне Citrix Virtual Apps and Desktops через консоль StoreFront или CitrixStudio:

  1. Перейти в настройки требуемого Store.
  2. В окне « Manage Authentification Methods » включить флаг « SAML Authentification» и открыть окно настройки SAML:
  3. В окне «Identity Provider» для настройки подключения к Avanpost FAM указать:
    • Для параметра SAML Binding выбрать значение Redirect.
    • Для параметра Address указать адрес интерфейса аутентификации Avanpost FAM с указанием пути /saml2 , например, https:// fam /saml2 , где fam – адрес сервера Avanpost FAM.
    • Для секции Signing Certificates добавить вручную либо импортировать сертификат, используемый Avanpost FAM для подписи сообщений.
      Сертификат должен быть взят из файла cert.pem , настроенного на Сервере Avanpost FAM при развёртывании Avanpost FAM.
  4. Перейти в раздел в « Service Provider », где в качестве значения параметра « Service Provider Identifier» указать Store URL с добавлением в конце постфикса Auth .
    Например, для Store с адресом
    https://avanpost.local/Citrix/AVANPOST_STORE в качестве значнеия параметра « Service Provider Identifier» необходимо указать https://avanpost.local/Citrix/AVANPOST_STOREAuth.
  5. Сохранить все изменения. Настройка на стороне сервера Citrix VAD завершена.

Проверка настройки

  1. Перейти в браузере на Citrix Virtual Apps and Desktops и инициировать аутентификацию через доверенный провайдер Avanpost FAM. Дождаться перенаправления на интерфейс аутентификации Avanpost FAM.
  2. Выполнить аутентификацию в соответствии с настроенным для Citrix Virtual Apps and Desktops на стороне Avanpost FAM сценарием.

В результате пользователь должен успешно пройти аутентификацию в Citrix Virtual Apps and Desktops.

Сценарии использования

Загрузка пользователей Citrix Virtual Apps and Desktops из домена (LDAP)

Чтобы пользователи из домена смогли проходить 2FA/MFA или пользоваться SSO при аутентификации в Citrix Virtual Apps and Desktops, необходимо использовать встроенную в Avanpost FAM функциональность интеграции с LDAP-каталогами ( Microsoft Active Directory , FreeIPA , openldap и т.д.). В рамках этой функции можно настроить LDAP-фильтры, которые позволят обеспечить загрузку в Avanpost FAM только тех пользователей, которые будут использовать 2FA/MFA/SSO в Citrix Virtual Apps and Desktops. Таким образом можно подключить несколько доменов.

Контроль попыток аутентификации пользователей к Citrix Virtual Apps and Desktops через Avanpost FAM

Для контроля попыток аутентификации необходимо использовать журнал событий безопасности, доступный в административном интерфейсе системы и посредством syslog.

Управление доступом пользователей к Citrix Virtual Apps and Desktops через Avanpost FAM

Для предоставления доступа пользователю, его необходимо включить в группу, которая имеет доступ к созданному приложению. Для отзыва доступа у пользователя необходимо исключить его из группы, которая имеет доступ к созданному приложению.

В рамках синхронизации с LDAP-каталогом доступна возможность автоматического включения и исключения пользователя из групп AD.

Управление доступом пользователей к Citrix через домен (LDAP)

Avanpost FAM в рамках интеграции с LDAP-каталогом ( Microsoft Active Directory , FreeIPA , openldap и т. д.) обеспечивает автоматизацию управления членством пользователей в группах Avanpost FAM, предоставляющих доступ к Citrix Virtual Apps and Desktops, путём синхронизации членства пользователей в группах Avanpost FAM на основе членства пользователей домена в доменных группах.

Управление вторым фактором (2FA) для Citrix через Avanpost FAM

Для настройки второго фактора, который будет использоваться для приложения  Citrix, необходимо перейти в административной консоли в карточку приложения и открыть вкладку MFA. В качестве первого шага – указать метод аутентификации Password. В качестве второго шага можно выбрать один из следующих факторов:

  • Мобильное приложение Avanpost Authenticator;
  • Мобильное приложение SafeTech PayControl;
  • SMS;
  • TOTP;
  • E-mail;
  • Мессенджер Telegram;
  • Электронная подпись;
  • FIDO WebAuthn/U2F;
  • Kerberos;
  • Провайдер ЕСИА;
  • OpenID Connect-провайдер;
  • SAML-провайдер.

Управление сценарием аутентификации (2FA/MFA) для отдельных групп сотрудников, подключающихся к Citrix, через Avanpost FAM

Для управления сценарием аутентификации (2FA/MFA) для отдельных групп сотрудников необходимо  в административной консоли Avanpost FAM перейти в карточке группы на вкладке «MFA» и настроить дополнительный сценарий аутентификации. В этом случае пользователи, входящие в указанную группу, будут проходить аутентификацию с использованием второго фактора, заданного на вкладке. Таким образом можно определить специфический сценарий 2FA для администраторов и других привилегированных пользователей, подключающихся к Citrix.