来自 CC防护 2021-02-16 03:40 的文章

防御cdn_海外_cdn服务器被攻击

防御cdn_海外_cdn服务器被攻击

利用智能卡进行身份验证的组织多年来一直在努力减少安全登录已发布的应用程序和桌面所需的PIN提示的数量。在去年的Synergy大会上,ddos防御f5,Citrix发布了联合身份验证服务(FAS),该解决方案允许外部IdP向NetScaler声明用户的身份。StoreFront将使用该身份通过FAS请求用户证书,该证书将验证用户对已发布的桌面和应用程序的身份。利用此解决方案的内部,可以允许使用智能卡进行身份验证的组织实现对已发布应用程序和桌面的单点登录(SSON)。这个解决方案的好处是NetScaler和StoreFront之间的通信并不是什么新鲜事。NetScaler只是断言用户的身份。这意味着解决方案的内部(StoreFront、FAS和MS-CA)可以在没有外部IdP组件的情况下正常工作。如果用户可以通过已经可用的方法(如智能卡(CAC/PIV))向NetScaler或StoreFront进行身份验证,则可以利用FAS创建短期用户证书。用户可以利用FAS提供的用户证书登录到已发布的应用程序或桌面,而无需额外输入PIN。一旦进入会话,物理智能卡仍然可用于所有典型用途,即对其他服务和S/MIME的身份验证。它看起来像什么?要实现这个解决方案,只需遵循StoreFront、FAS和CA组件的所有说明,ddos云防御产生的时间,但忽略NetScaler端的IdP配置。现在继续使用贵组织利用的VIP上的身份验证方法。这很可能是一个带有广告帐户查找的客户端证书验证。下图显示了如何不涉及IdP组件。为了简单起见,省略了传递控制器(代理)还要注意,它声明了receiverforweb(RfW)和native Receiver。由于不需要重定向到IdP,所以可以使用支持智能卡身份验证的本机接收器。另外,由于FAS的"魔力"都在后端,防御ddos攻击命令,所以本机接收器不需要特殊的支持。用户为什么关心?虽然与密码相比,pin通常很短,但用户不喜欢反复输入。为了全面了解智能卡登录可能涉及多少个PIN提示,淘宝是怎么防御cc的,让我快速回顾一下。PIN#1–用户向NetScaler VIP进行身份验证,该VIP利用客户端证书身份验证。NetScaler在本地验证此证书,然后组织通常会在Active Directory中进行查找,以确认该帐户存在并已启用。PIN#2–用户连接到应用程序或桌面。这将触发到VIP的新初始连接,因此将再次验证客户端证书。PIN#3–用户登录到实际发布的应用程序或桌面。这是进入应用程序或桌面的三个PIN条目!通过在NetScaler for ICA代理上创建第二个VIP(不利用客户端证书身份验证),可以删除PIN#2。FAS不能移除引脚2,个人电脑怎么防御ddos,因为通信(TLS握手)发生在事物的外部,而FAS只适用于内部。这通常会给用户留下两个PIN条目,直到现在才能进入系统。FAS可以去掉PIN#3,最棒的是它不依赖于接收器类型和版本,也不依赖于复杂的Kerberos配置。唯一潜在的问题往往来自组织政策。确保组织的策略允许创建用户证书。一些大型企业可能只允许某些组执行此功能,或者可能会对用户证书中可以显示或不可以显示的内容设置指导原则。如果您对这个用例有任何其他问题,请联系您的Citrix工程师或留下评论。如果我遗漏了任何内容,我将更新文章。有关FAS的更多信息,请查看产品文档。