Netscaler – Innebygget 2-faktor autentisering


Netscaler – Innebygget 2-faktor autentisering


2-faktor autentisering (2FA) er etter hvert blitt et krav i mange løsninger, og samtidig en naturlig del av brukernes hverdag når de logger på løsninger fra internett. Likevel har dette vært separate systemer som har stått ved siden av AD- og applikasjonsservere. Nå har Citrix implementert 2FA som en del av Netscaler. Fra versjon 12.0 51.24 er det tilgjengelig tidsbasert 2FA for bruk på mobil eller PC.

Løsningen som er valgt baserer seg på token av typen TOTP (Time-based One Time Password), en kode som endres hvert 30. sekund. Det er kun denne typen token som støttes. SMS eller event-basert token er ikke støttet.

Lagringen av informasjon om hvert token gjøres i AD på en attributt en selv kan velge. Vedlikehold av attributten, det vil si oppretting og sletting, gjøres av brukeren selv på Netscaler sin logon-portal. Her presenteres både QR-kode som kan leses med mobilkamera, samt den hemmelige nøkkelen dersom en ønsker å kopiere denne til en skrivebordsapplikasjon for 2FA.

 

 

Våre forbedringer

I Sicra har vi brukt den siste tiden på å analysere og forbedre funksjonaliteten slik at den egner seg bedre i Enterprise-miljøer. De vesentlige endringene vi har gjort er:

Metode for SMS autentisering av bruker ved Self-service.

En av manglene i den innebygde løsningen er at det mangler 2FA for brukere ved administrasjon av token. Dette har vi løst ved å lage en egen SMS-løsning uten 3-parts applikasjoner. Denne kan gjøres obligatorisk slik at brukeren må taste inn en kode fra SMS for å komme inn på vedlikeholdet av sine token.

 

Skjuler 2FA nøkkel i AD

I Citrix sin løsning er det ikke tatt hensyn til det faktum at AD er lesbart for alle autentiserte brukere. Selve koden lagres ukryptert i AD. Det er dermed mulig for en medarbeider å kopiere andre brukeres token-kode og benytte denne i egen telefon eller desktop-app. Det reduserer verdien av løsningen. Vi har laget en metode som gjør at denne informasjonen kan skjules i AD for andre brukere enn de man eksplisitt gir tilgang, herunder Netscaler som skal lese og skrive denne informasjonen til AD.

 

Lisensiering

I Netscaler er 2FA en del av AAA/Unified gateway. Dette krever Enterprise- eller Platinum-nivå på Netscaler-lisensen.

 

SMS-token

Løsningen med SMS-autentisering nevnt over kan også benyttes stand-alone. Det innebærer at SMS-basert 2FA kan implementeres også i tidligere versjoner av Netscaler enn 12.0.

 

Ta kontakt dersom du ønsker å se løsningen i praksis.