Настройка 2FA/MFA для Citrix Virtual Apps and Desktops, Citrix XenApp, Citrix XenDesktop без Citrix FAS

Общие сведения

Avanpost FAM позволяет обеспечить 2FA для пользователей, выполняющих подключение к Citrix Virtual Apps and Desktops, Citrix XenApp, Citrix XenDesktop. В инструкции описывается настройка 2FA для Citrix Virtual Apps and Desktops, Citrix XenApp, Citrix XenDesktop с использованием SAML-механизма системы Avanpost FAM в режиме совместимости интеграции с ADFS без необходимости использования Citrix Federated Authentication Services. Функциональность доступна для веб-интерфейса и десктопного интерфейса Citrix Virtual Apps and Desktops.

Для Citrix Virtual Apps and Desktops с целью 2FA/MFA/SSO могут использоваться следующие факторы аутентификации: 

• Мобильное приложение Avanpost Authenticator (push + TOTP);
• SMS;
• TOTP;
• E-mail;
• Мессенджер Telegram;
• Электронная подпись;
• FIDO WebAuthn/U2F;
• Доменная Kerberos-аутентификация;
• ЕСИА (Единая система идентификации и аутентификации) в режиме Federation;
• OpenID Connect-провайдер в режиме Federation;
• SAML-провайдер в режиме Federation.

Citrix Virtual Apps and Desktops поддерживает функциональность SSO (Signle Sign-On), обеспечиваемую протоколом SAML: если пользователь прошёл аутентификацию в веб-приложение в соответствии с настроенным сценарием, то система не будет запрашивать повторного подтверждения аутентификации при аутентификации в другое веб-приложение. Также обеспечивается реализация функциональности SLO (Single Logout) в рамках протокола SAML.

Системные требования для интеграции Citrix Virtual Apps and Desktops, Citrix XenApp, Citrix XenDesktop с Avanpost FAM:

• Сервер Avanpost FAM 1.3.0 или выше;
• Сервер Citrix Virtual Apps and Desktops, Citrix XenApp, Citrix XenDesktop версии 7.9 или новее.

Для выполнения настройки 2FA/MFA/SSO в соответствии с инструкцией необходимо выполнить следующие предварительные условия:

1. Установить в сети сервер Citrix Virtual Apps and Desktops или Citrix XenApp, Citrix XenDesktop.
2. Установить в сети компонент Avanpost FAM Server.

Дополнительно может потребоваться при необходимости аутентификации:

• Через мобильное приложение Avanpost Authenticator – установить компонент Avanpost FAM Mobile Authenticator Service;
• Через мобильное приложение SafeTech PayControl – установить сервер SafeTech PayControl;
• Через SMS – настроить подключение к внешнему SMS-шлюзу, который предоставляет услугу доставки SMS-сообщений;
• Через E-mail – настроить подключение к SMTP-шлюзу, который обеспечивает доставку почтовых сообщений;
• Через Telegram – настроить подключение к Telegram Bot API;
• Посредством электронной подписи – настроить криптопровайдер и установить плагин в браузер;
• Посредством FIDO WebAuthn/U2F – настроить сертификат;
• Посредством Kerberos – настроить keytab-файл;
• Посредством ЕСИА – настроить подключение к ЕСИА;
• Посредством OpenID Connect-провайдера – настроить подключение к OpenID Connect-провайдеру;
• Посредством SAML-провайдера – настроить подключение к SAML-провайдеру.

Настройка

На стороне Avanpost FAM в административной консоли:

1. Создать новое приложение с типом SAML.
2. В карточке приложения на вкладке «Настройки» для параметра: 
   1. Issuer – указать значение параметра Name, полученное на этапе подготовки сведений.
   2. ACS – указать значение параметра Name, полученное на этапе подготовки сведений.
   3. Подпись – «Подписывать Assertion».
   4. NameID Format – «Полное имя в домене» (по умолчанию) либо «Адрес электронной почты» (в зависимости от настроек идентификации пользователя на стороне Citrix).
   5. Значение NameID – «Имя пользователя» (по умолчанию), «Адрес электронной почты» либо другой атрибут, который будет использован для идентификации пользователя в Citrix (зависит от настроек идентификации пользователя на стороне Citrix).
   6. Signing Algorithm – «SHA256».
   7. Post Logout Redirect URL – значение параметра адреса завершения сессии.
3. В кароточке приложения на вкладке «Attributes» создать следующий набор атрибутов:
   
   1. Наименование «uid» – тип значения «Значение из атрибута» – «user.id».
   2. Наименование «emailaddress» – тип значения «Значение из атрибута» – «user.email».
   3. Наименование «givenname» – тип значения «Значение из атрибута» – «user.given_name».
   4. Наименование «surname» – тип значения «Значение из атрибута» – «user.family_name».
   5. Наименование «name» – тип значения «Значение из атрибута» – «user.username».
4. Сохранить изменения. Настройка на стороне Avanpost FAM завершена.

На стороне Citrix Virtual Apps and Desktops через консоль StoreFront или CitrixStudio:

1. Перейти в настройки требуемого Store.
2. В окне «Manage Authentification Methods» включить флаг «SAML Authentification» и открыть окно настройки SAML:
   
3. В окне «Identity Provider» для настройки подключения к Avanpost FAM указать:
   
   • Для параметра SAML Binding выбрать значение Redirect.
   • Для параметра Address указать адрес интерфейса аутентификации Avanpost FAM с указанием пути /saml2, например, https://fam/saml2, где fam – адрес сервера Avanpost FAM.
   • Для секции Signing Certificates добавить вручную либо импортировать сертификат, используемый Avanpost FAM для подписи сообщений.
     Сертификат должен быть взят из файла cert.pem, настроенного на Сервере Avanpost FAM при развёртывании Avanpost FAM.
4. Перейти в раздел в «Service Provider», где в качестве значения параметра «Service Provider Identifier» указать Store URL с добавлением в конце постфикса Auth.
   Например, для Store с адресом https://avanpost.local/Citrix/AVANPOST_STORE в качестве значнеия параметра «Service Provider Identifier» необходимо указать https://avanpost.local/Citrix/AVANPOST_STOREAuth.
5. Сохранить все изменения. Настройка на стороне сервера Citrix VAD завершена.

Проверка настройки

1. Перейти в браузере на Citrix Virtual Apps and Desktops и инициировать аутентификацию через доверенный провайдер Avanpost FAM. Дождаться перенаправления на интерфейс аутентификации Avanpost FAM.
2. Выполнить аутентификацию в соответствии с настроенным для Citrix Virtual Apps and Desktops на стороне Avanpost FAM сценарием.

В результате пользователь должен успешно пройти аутентификацию в Citrix Virtual Apps and Desktops.

Сценарии использования

Загрузка пользователей Citrix Virtual Apps and Desktops из домена (LDAP)

Чтобы пользователи из домена смогли проходить 2FA/MFA или пользоваться SSO при аутентификации в Citrix Virtual Apps and Desktops, необходимо использовать встроенную в Avanpost FAM функциональность интеграции с LDAP-каталогами (Microsoft Active Directory, FreeIPA, openldap и т.д.). В рамках этой функции можно настроить LDAP-фильтры, которые позволят обеспечить загрузку в Avanpost FAM только тех пользователей, которые будут использовать 2FA/MFA/SSO в Citrix Virtual Apps and Desktops. Таким образом можно подключить несколько доменов.

Контроль попыток аутентификации пользователей к Citrix Virtual Apps and Desktops через Avanpost FAM

Для контроля попыток аутентификации необходимо использовать журнал событий безопасности, доступный в административном интерфейсе системы и посредством syslog.

Управление доступом пользователей к Citrix Virtual Apps and Desktops через Avanpost FAM

Для предоставления доступа пользователю, его необходимо включить в группу, которая имеет доступ к созданному приложению. Для отзыва доступа у пользователя необходимо исключить его из группы, которая имеет доступ к созданному приложению.

В рамках синхронизации с LDAP-каталогом доступна возможность автоматического включения и исключения пользователя из групп AD.

Управление доступом пользователей к Citrix через домен (LDAP)

Avanpost FAM в рамках интеграции с LDAP-каталогом (Microsoft Active Directory, FreeIPA, openldap и т. д.) обеспечивает автоматизацию управления членством пользователей в группах Avanpost FAM, предоставляющих доступ к Citrix Virtual Apps and Desktops, путём синхронизации членства пользователей в группах Avanpost FAM на основе членства пользователей домена в доменных группах.

Управление вторым фактором (2FA) для Citrix через Avanpost FAM

Для настройки второго фактора, который будет использоваться для приложения  Citrix, необходимо перейти в административной консоли в карточку приложения и открыть вкладку MFA. В качестве первого шага – указать метод аутентификации Password. В качестве второго шага можно выбрать один из следующих факторов:

• Мобильное приложение Avanpost Authenticator;
• Мобильное приложение SafeTech PayControl;
• SMS;
• TOTP;
• E-mail;
• Мессенджер Telegram;
• Электронная подпись;
• FIDO WebAuthn/U2F;
• Kerberos;
• Провайдер ЕСИА;
• OpenID Connect-провайдер;
• SAML-провайдер.

Управление сценарием аутентификации (2FA/MFA) для отдельных групп сотрудников, подключающихся к Citrix, через Avanpost FAM

Для управления сценарием аутентификации (2FA/MFA) для отдельных групп сотрудников необходимо  в административной консоли Avanpost FAM перейти в карточке группы на вкладке «MFA» и настроить дополнительный сценарий аутентификации. В этом случае пользователи, входящие в указанную группу, будут проходить аутентификацию с использованием второго фактора, заданного на вкладке. Таким образом можно определить специфический сценарий 2FA для администраторов и других привилегированных пользователей, подключающихся к Citrix.