Citrix ADC

Citrix ADC nFactor認証の要素として認証後のエンドポイント分析スキャンを構成する

Citrix Gateway では、エンドポイント分析(EPA)を設定して、ユーザーデバイスが特定のセキュリティ要件を満たしているかどうかを確認し、それに応じて内部リソースからユーザーにアクセスできるようにすることができます。エンドポイント分析プラグインは、ユーザーがCitrix Gateway に初めてログオンするときに、ユーザーデバイスにダウンロードおよびインストールされます。ユーザーがユーザーデバイスにEndpoint Analysisプラグインをインストールしない場合、またはスキャンをスキップした場合、ユーザーはCitrix Gateway プラグインを使用してログオンできません。必要に応じて、ユーザは隔離グループに配置され、ユーザは内部ネットワークリソースへのアクセスが制限されます。

以前は、Post-EPAはセッションポリシーの一部として設定されていました。nFactor にリンクできるようになり、いつ実行できるかについて柔軟性が高まります。

このトピックでは、EPA スキャンは nFactor 認証または多要素認証の最終チェックとして使用されます。

最終チェックインnFactorまたは多要素認証としてのEPAスキャン

ユーザーがCitrix Gateway の仮想IPアドレスに接続しようとしました。ユーザー名とパスワードフィールドを持つ単純なログインページは、ログイン資格情報を提供するために、ユーザーにレンダリングされます。これらのクレデンシャルを使用すると、LDAP または AD ベースの認証がバックエンドで実行されます。成功すると、EPAスキャンを承認するためのポップアップ・メッセージがユーザーに表示されます。ユーザーが認証されると、EPAスキャンが実行され、ユーザーのクライアント設定の成功または失敗に基づいて、ユーザーがアクセスできるようになります。

前提条件

以下の設定が行われていることを前提としています。

  • VPN 仮想サーバー/ゲートウェイおよび認証仮想サーバーの構成
  • LDAP サーバの設定と関連ポリシー

注: セットアップは、Citrix ADCバージョン13.0以降で利用可能なnFactorビジュアライザを使用して作成することもできます。

次の図は、ポリシーとポリシーラベルのマッピングを示しています。これは設定に使用されるアプローチですが、右から左にアプローチします。

この例で使用されているポリシーとポリシーラベルのマッピング

CLI を使用して、次の操作を実行します

  1. EPA スキャンを実行するアクションを作成し、EPA スキャンポリシーに関連付けます。

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("app_0_MAC-BROWSER_1001_VERSION_<=_10.0.3")||sys.client_expr("os_0_win7_sp_1")"
    

    上記の式は、macOS ユーザーのブラウザのバージョンが 10.0.3 未満であるか、Windows 7 ユーザーに Service Pack 1 がインストールされているかどうかをスキャンします。

    add authentication Policy EPA-check -rule true -action EPA-client-scan
    
  2. EPA スキャンのポリシーをホストするポリシーラベル post-ldap-epa-scan を設定します。

    add authentication policylabel post-ldap-epa-scan -loginSchema LSCHEMA_INT
    

    注: LSCHEMA_INTは、スキーマ(noschema)のない組み込みスキーマです。つまり、このステップでは追加のWebページがユーザーに表示されません。

  3. ステップ 1 で設定したポリシーを、ステップ 2 で設定したポリシーラベルに関連付けます。

    bind authentication policylabel post-ldap-epa-scan -policyName EPA-check - priority 100     -gotoPriorityExpression END
    
  4. ldap-auth ポリシーを設定し、特定の LDAP サーバで認証するように設定された LDAP ポリシーに関連付けます。

    add authentication Policy ldap-auth -rule true -action ldap_server1
    

    ここで、ldap_server1 は LDAP ポリシー、ldap-auth はポリシー名です。

  5. LDAP-auth ポリシーを認証、承認、および監査仮想サーバーに関連付けます。次の手順では、EPA スキャンを実行するポリシーラベル post-ldap-epa-scan を指します。

    bind authentication vserver MFA_AAA_vserver -policy ldap-auth -priority 100 -nextFactor post-ldap-epa-scan -gotoPriorityExpression NEXT
    

    注: 事前認証 EPA スキャンは、nFactor 認証の最初のステップとして常に実行されます。認証後の EPA スキャンは、nFactor 認証の最後のステップとして常に実行されます。EPA スキャンは、nFactor 認証の間で実行できません。

nFactor ビジュアライザーを使用した設定

上記の構成は、ファームウェア13.0以降で利用可能な機能であるnFactor Visualizerを使用しても実行できます。

ビジュアライザでの数値フロー表現

  1. [セキュリティ] > [AAA アプリケーショントラフィック] > [nFactor ビジュアライザ] > [nFactor フロー] の順に 選択し、[追加] をクリックします。

  2. + をクリックして nFactor フローを追加します。

    クリックしてフローを追加

  3. 係数を追加します。入力する名前は nFactor フローの名前です。

    フローの名前を追加する

  4. [スキーマの追加] をクリックして、最初のファクタのスキーマを追加し、[追加] をクリックします。

    クリックしてスキーマを追加

  5. [ポリシーの追加] をクリックして、LDAP ポリシーを追加します。LDAP ポリシーがすでに作成されている場合は、同じポリシーを選択できます。

    注: LDAP ポリシーを作成できます。[追加] をクリックし、[アクション] フィールドで [LDAP] を選択します。LDAP サーバーの追加の詳細については、「https://support.citrix.com/article/CTX123782)」を参照してください

    追加するポリシーの選択

    認証ポリシーの作成

  6. [+] をクリックして、EPA 係数を追加します。

    クリックして EPA 係数を追加します。

  7. 「≪スキーマの追加| Add Schema |emdw≫」セクションを空白のままにして、このファクタにデフォルトのスキーマを適用しません。[Add policy] をクリックして、認証後の EPA ポリシーとアクションを追加します。

    EPA アクション:

    EPA アクションの追加

    EPAポリシー:

    EPA ポリシーの追加

    [作成] をクリックします。

  8. nFactor フローが完了したら、このフローを認証、承認、および監査仮想サーバーにバインドします。

    認証仮想サーバーへのバインドnFactor フロー

Citrix ADC nFactor認証の要素として認証後のエンドポイント分析スキャンを構成する