nFactor 認証の要素として定期的なエンドポイント分析スキャンを設定する
Citrix Gateway では、エンドポイント分析(EPA)を設定して、ユーザーデバイスが特定のセキュリティ要件を満たしているかどうかを確認し、それに応じてユーザーに内部リソースへのアクセスを許可することができます。エンドポイント分析プラグインは、ユーザーがCitrix Gateway に初めてログオンするときに、ユーザーデバイスにダウンロードおよびインストールされます。ユーザーがエンドポイント分析プラグインをユーザーデバイスにインストールしない場合、ユーザーはCitrix Gateway プラグインを使用してログオンできません。
nFactorのEPAの概念については、 NetScaler によるnFactor認証におけるEPAに使用される概念およびエンティティを参照してください。
クラシックポリシーでは、定期的な EPA がvpn session actionのセッションポリシーの一部として設定されました。高度なポリシーインフラストラクチャでは、nFactor にリンクできます。
このトピックでは、EPA スキャンは nFactor 認証または多要素認証の連続チェックとして使用されます。
ユーザーがCitrix Gateway の仮想IPアドレスに接続しようとしました。ユーザー名とパスワードフィールドを持つ単純なログインページは、ログイン資格情報を提供するために、ユーザーにレンダリングされます。これらのクレデンシャルを使用すると、LDAP または AD ベースの認証がバックエンドで実行されます。成功すると、EPAスキャンを承認するためのポップアップが表示されます。ユーザーが認証されると、EPAスキャンが実行され、ユーザーのクライアント設定の成功または失敗に基づいて、ユーザーがアクセスできるようになります。
スキャンが成功すると、EPA スキャンが定期的に実行され、構成されたセキュリティ要件が依然として満たされていることが確認されます。このようなチェック中にEPAスキャンが失敗すると、セッションは終了します。
前提条件
次の設定が行われていることを前提としています。
- VPN 仮想サーバー/ゲートウェイおよび認証仮想サーバーの構成
- LDAP サーバの設定と関連ポリシー
このトピックでは、必要なポリシーとポリシーラベルの設定を示し、認証プロファイルに関連付けます。
次の図は、ポリシーとポリシーラベルのマッピングを示しています。これは設定に使用されるアプローチですが、右から左にアプローチします。
CLI を使用して、次の操作を実行します
-
EPA スキャンを実行するアクションを作成し、EPA スキャンポリシーに関連付けます。
add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("proc_2_firefox")" <!--NeedCopy-->上記の式は、プロセス ‘Firefox’が実行されているかどうかをスキャンします。EPA プラグインは、2 分ごとにプロセスの存在をチェックします。スキャン式の「2」という数字で表されます。
add authentication Policy EPA-check -rule true -action EPA-client-scan <!--NeedCopy--> -
EPA スキャンのポリシーをホストするポリシーラベル post-ldap-epa-scan を設定します。
add authentication policylabel post-ldap-epa-scan -loginSchema LSCHEMA_INT <!--NeedCopy-->注: LSCHEMA_INTはスキーマを持たないビルドされたスキーマにあります。つまり、このステップでは追加のWebページがユーザーに表示されません。
-
ステップ 1 で設定したポリシーを、ステップ 2 で設定したポリシーラベルに関連付けます。
bind authentication policylabel post-ldap-epa-scan -policyName EPA-check -priority 100 -gotoPriorityExpression END <!--NeedCopy-->このコマンドでは、END は認証メカニズムの終了を示します。
-
ldap-auth ポリシーを設定し、特定の LDAP サーバで認証するように設定された LDAP ポリシーに関連付けます。
add authentication Policy ldap-auth -rule true -action ldap_server1 <!--NeedCopy-->ここで、ldap_server1 は LDAP ポリシー、ldap-auth はポリシー名です。
-
次の手順に従って、LDAP 認証ポリシーを認証、認可、および監査仮想サーバに関連付けます。次に、EPA スキャンを実行するポリシーラベル post-ldap-epa-scan を指します。
bind authentication vserver MFA_AAA_vserver -policy ldap-auth -priority 100 -nextFactor post-ldap-epa-scan -gotoPriorityExpression NEXT <!--NeedCopy-->
GUI で nFactor ビジュアライザーを使用した構成
上記の構成は、ファームウェア13.0以降で利用可能な機能であるnFactor Visualizerを使用しても実行できます。
-
セキュリティ > AAA アプリケーショントラフィック > nFactor ビジュアライザー > nFactor フローに移動し 、 追加をクリックします。
-
+ をクリックして nFactor フローを追加します。
-
係数を追加します。入力する名前は nFactor フローの名前です。
-
[スキーマの追加] をクリックして、最初のファクタのスキーマを追加し、[追加] をクリックします。
-
[ポリシーの追加] をクリックして、LDAP ポリシーを追加します。LDAP ポリシーがすでに作成されている場合は、同じポリシーを選択できます。
注: LDAP ポリシーを作成できます。[追加] をクリックし、[アクション] フィールドで [LDAP] を選択します。LDAP サーバーの追加の詳細については、「https://support.citrix.com/article/CTX123782)」を参照してください
-
[+] をクリックして、EPA 係数を追加します。
-
「スキーマの追加」セクションを空白のままにして、このファクタにデフォルトのスキーマを適用しません。[Add policy] をクリックして、認証後の EPA ポリシーとアクションを追加します。
EPAアクション:
EPAポリシー:
[作成] をクリックします。
-
nFactor フローが完了したら、このフローを認証、承認、および監査仮想サーバーにバインドします。
注意:定期EPAが複数のファクタとして構成されている場合は、定期EPA構成の最新のファクタが考慮されます。
例:
この例では、EPA がスキャンでプロセス ‘Firefox’ を検索する最初の要素です。EPA スキャンが成功すると、LDAP 認証に続いて次の EPA スキャンが実行され、プロセス ‘Chrome’ が検索されます。異なる要因として複数の定期スキャンが設定されている場合は、最新のスキャンが優先されます。この場合、EPA プラグインは、ログインが成功してから 3 分ごとにプロセス ‘Chrome’ をスキャンします。