Citrix ADC

SameSite cookie属性の構成サポート

SameSite属性は、cookie をクロスサイトコンテキストに使用するか、同じサイトコンテキストにのみ使用するかを、ブラウザを示します。また、アプリケーションがクロスサイトコンテキストでアクセスされる場合、HTTPS接続を介してのみアクセスすることができます。詳細については、RFC6265を参照してください。

2020年2月までは、Citrix ADCでSameSite属性が明示的に設定されていませんでした。ブラウザはデフォルト値(なし)を取りました。SameSite属性の設定を行わないと、Citrix GatewayおよびCitrix ADC AAA展開に影響を与えませんでした。

Google Chrome 80など、一部のブラウザをアップグレードすると、Cookieのデフォルトのクロスドメイン動作が変更されます。SameSite属性には、次の値のいずれかを指定できます:Google Chromeのデフォルト値はLaxに設定されています。他のブラウザの特定のバージョンでは、SameSite属性のデフォルト値がNoneに設定されている場合があります。

  • None: セキュアな接続でのみクロスサイトコンテキストでCookieを使用するブラウザを示します。
  • Lax: 同じサイトコンテキストの要求にクッキーを使用するブラウザ を示します。クロスサイトコンテキストでは、GETリクエストのような安全なHTTPメソッドのみがクッキーを使用することができます。
  • Strict: 同じサイトコンテキストでのみcookieを使用します。

cookieに SameSite 属性がない場合、Google ChromeはSameSite = Laxの機能を引き継ぎます。 その結果、ブラウザでCookieを挿入する必要があるクロスサイトコンテキストを持つ iframe 内のデプロイメントでは、Google Chrome はクロスサイトの Cookie を共有しません。その結果、Webサイト内のiframeが読み込まれないことがあります。

SameSite cookie属性の構成

VPNおよびCitrix ADC AAA仮想サーバーに、SameSiteという名前の新しいcookie属性が追加されます。この属性は、グローバルレベルと仮想サーバーレベルで設定できます。

SameSite属性を設定するには、以下を実行する必要があります:

  1. 仮想サーバーのSameSite属性の設定
  2. cookieをパッチセットにバインドする(ブラウザがクロスサイトクッキーをドロップした場合)

CLIを使用したSameSite属性の設定

仮想サーバレベルでSameSite属性を設定するには、次のコマンドを使用します。

set vpn vserver VP1 -SameSite  [ STRICT | LAX | None ]
set aaa vserver VP1 -SameSite  [ STRICT | LAX | None ]

グローバルレベルでSameSite属性を設定するには、次のコマンドを使用します。

set vpn param VP1 -SameSite  [ STRICT | LAX | None ]
set aaa param VP1 -SameSite  [ STRICT | LAX | None ]

:仮想サーバーレベル設定は、グローバルレベル設定よりも優先されます。仮想サーバーレベルでSameSite cookie属性を設定することをお勧めします。

CLIを使用したパッチセットへのcookieのバインド

ブラウザがクロスサイトcookieを削除した場合、そのcookie文字列を既存のns_cookies_SameSiteパッチセットにバインドして、SameSite属性がcookieに追加されます。

例:

bind patset ns_cookies_SameSite "NSC_TASS"
bind patset ns_cookies_SameSite "NSC_TMAS"

GUIを使用したSameSite属性の設定

仮想サーバレベルでSameSite属性を設定するには:

  1. [セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバ] に移動します。
  2. 仮想サーバを選択し、[Edit] をクリックします。
  3. [基本設定] セクションの編集アイコンをクリックし、[その他] をクリックします。
  4. SameSiteで、必要に応じてオプションを選択します。

Select SameSiteチェックボックス

グローバルレベルでSameSite属性を設定するには:

  1. [セキュリティ] > [AAA-アプリケーショントラフィック] > [認証設定の変更] に移動します。

    認証設定の変更

  2. [AAA パラメータの設定] ページで、[SameSite] リストをクリックし、必要に応じてオプションを選択します。

    SameSiteオプションを選択

SameSite cookie属性の構成サポート