In this session I have presented information about Azure MFA service and how to use it to secure Citrix NetScaler Gateway access for end users.

1. Citrix NetScaler Gateway i
Azure MFA
Paweł Serwan
CitrixTechnology Advocate
Polska Grupa Użytkowników Citrix
Kraków, 26.10.2017

2. Paweł Serwan
• Architekt IT z kilkuletnim doświadczeniem w projektowaniu, administracji i
zarządzaniu środowisk opartych o rozwiązania Microsoft, Citrix iVMware
• CitrixTechnology Advocate (od 2017 roku)
• Założyciel i lider Polskiej Grupy Użytkowników Citrix (PLCUG)
• Bloger, autor artykułów i prelegent na konferencjach IT
Kontakt:
• Blog: http://pawelserwan.wordpress.com
• Twitter: @PawelSerwan
• LinkedIn: https://pl.linkedin.com/in/pawelserwan
• http://www.plcug.pl
6 spotkanie PLCUG, Kraków, 26.10.2017

3. Agenda
• „Zewnętrzne” systemy dostępne dla użytkowników
• Sposoby zabezpieczania dostępu do systemów
• Two-Factor Authentication (2FA)
• Azure MultiFactor Authentication
• Wersje Azure MFA
• Sposoby wdrażania Azure MFA
• Jak działa Azure MFA?
• Licencjonowanie Azure MFA
• Wady Azure MFA
• DEMO
6 spotkanie PLCUG, Kraków, 26.10.2017

4. „Zewnętrzne” systemy dostępne
dla użytkowników
• OWA (Outlook Web Access)
• VPN
• RDS Gateway/Citrix NetScaler Gateway
• Aplikacje chmurowe typu SaaS
6 spotkanie PLCUG, Kraków, 26.10.2017

5. Sposoby zabezpieczania dostępu
do systemów
• Poświadczenia użytkownika: login + hasło
• Certyfikaty
• Two-Factor Authentication
6 spotkanie PLCUG, Kraków, 26.10.2017

6. Two-Factor Authentication (2FA)
• Uwierzytelnianie wielopoziomowe (multi-factor authentication) – sposób
zabezpieczenia oraz autoryzacji podczas logowania przed skorzystaniem z
konta użytkownika przez niepowołane osoby poprzez zdobycie przez nią
identyfikatora użytkownika i hasła uwierzytelniającego.
• Weryfikacja dwuetapowa
• Poświadczenia użytkownika: login +hasło
• Podanie kodu/frazy lub dane biometryczne
• Dostępne rozwiązania:
• Tokeny – np. RSA SecurID
• Dane biometryczne – odcisk palca, skan siatkówki albo zdjęcie twarzy (Windows Hello)
https://support.microsoft.com/pl-pl/help/17215/windows-10-what-is-hello
• SMS/aplikacja mobilna
6 spotkanie PLCUG, Kraków, 26.10.2017

7. Azure MultiFactor Authentication
• Usługa w Microsoft Azure
• Możliwość wykorzystania do zabezpieczenia aplikacji SaaS oraz
on-premise
• Umożliwia dwuetapowe uwierzytelnienie użytkownika w oparciu
o:
• Wiadomość SMS
• Telefon (w tym również na telefon stacjonarny)
• Aplikację mobilną ( w tym również „soft token”)
• SLA na poziomie 99,9 %
6 spotkanie PLCUG, Kraków, 26.10.2017

8. Wersje Azure MFA
6 spotkanie PLCUG, Kraków, 26.10.2017
https://docs.microsoft.com/en-us/azure/multi-factor-authentication/multi-factor-authentication-versions-plans

9. Sposoby wdrażania Azure MFA
• Dla Office 365 – prosta konfiguracja w portalu Office
• Dla aplikacji typu SaaS – konfiguracja w portalu Azure Resource
Manager + konfiguracja po stronie aplikacja SaaS (konieczność
skonfigurowania Identity Provider i Service Provider)
• Dla aplikacji on-premise e.g. Citrix NetScaler Gateway:
• Azure MFA Server
• Azure MFA NPS extension
• https://docs.microsoft.com/en-us/azure/multi-factor-
authentication/multi-factor-authentication-get-started
6 spotkanie PLCUG, Kraków, 26.10.2017

10. Jak działa Azure MFA?
6 spotkanie PLCUG, Kraków, 26.10.2017
https://azure.microsoft.com/en-us/resources/videos/multi-factor-authentication-overview/

11. Licencjonowanie Azure MFA
• Azure MFA per 10 uwierzytelnień
• Azure MFA per przypisany użytkownik
• Azure MFA jako część Azure Active Directory Premium, per
przypisany użytkownik
• Azure MFA jako część Enterprise Mobility Suite (EMS) license, per
przypisany użytkownik
• Informacje odnośnie licencjonowania i cen:
• https://azure.microsoft.com/pl-pl/pricing/details/multi-factor-
authentication/
6 spotkanie PLCUG, Kraków, 26.10.2017

12. Wady Azure MFA
• Konfiguracja w różnych portalach (Azure Classic portal, Azure
Resource Manager portal, Office portal, Azure MFA portal)
• Wydłuża czas logowania – należy pamiętać o wydłużeniu czasu
oczekiwania na odpowiedź od usługi Azure MFA (logon time window)
• „Niełatwy” troubleshooting
6 spotkanie PLCUG, Kraków, 26.10.2017

13. DEMO
• W 1 części Demo pokażę w jaki sposób skonfigurować Azure MFA
dla aplikacji typu SaaS
• W 2 części Demo pokażę w jaki sposób wykorzystać Azure MFA
do zabezpieczenia aplikacji on-premise Citrix NetScaler
Gateway
6 spotkanie PLCUG, Kraków, 26.10.2017

14. NPS Extension for Azure MFA
1. Instalacja roli NPS na wybranym serwerze.
2. Pobranie NPS Extension dla Azure MFA i instalacja komponentu
3. Uruchomić skrypt AzureMfaNpsExtnConfigSetup.ps1 z folderu
C:Program FilesMicrosoftAzureMfaConfig.
6 spotkanie PLCUG, Kraków, 26.10.2017

15. NPS Extension for Azure MFA
4. Należy podać Directory ID naszego Azure AD.
5. Konieczne zalogowanie do Azure AD jako global administrator.
6. Następuje stworzenie self-signed certificate
6 spotkanie PLCUG, Kraków, 26.10.2017

16. NPS Extension for Azure MFA
7. Konfiguracja serwera NPS
• Dodanie NetScaler Gateway jako klienta Radiusa
• Stworzenie 2 nowych Connection Request Policies
• Stworzenie nowej Network Policy
8. Skonfigurowanie uwierzytelnienia typu Radius na NetScaler
Gateway
6 spotkanie PLCUG, Kraków, 26.10.2017

17. Q & A
6 spotkanie PLCUG, Kraków, 26.10.2017