Citrix ADC

セットアップ認証など、異なるログインサイト要件を持つアプリケーション用に nFactor を構成する

通常、Citrix Gateway では複数のアプリケーションにアクセスできます。セキュリティ要件に応じて、異なる認証メカニズムを持つことができます。アプリケーションによっては、共通のイントラネットのように 1 つの要素しか必要としない場合があります。SAPツールやHRツールなど、より重要なデータを扱うアプリケーションには、少なくとも多要素認証が必要です。しかし、ほとんどのユーザーはイントラネットのみにアクセスするため、すべてのアプリケーションで多要素を選択することは適切ではありません。

このトピックでは、アプリケーションにアクセスするユーザーのニーズに基づいて、ログインメカニズムを動的に変更する方法について説明します。また、認証を設定する手順についても説明します。

前提条件

Citrix Gateway を構成する前に、次の前提条件を確認してください。

  • Citrix ADC エンタープライズライセンスエディション。
  • NetScaler 機能のリリースバージョンは11.1以降です。
  • LDAP サーバ。
  • RADIUS サーバ。
  • パブリック IP アドレス。

設定例では、次の認証要件を持つ 2 つのアプリケーションを使用します。

  • ウェブアプリケーションの緑
    • 要件-ユーザー名+ LDAP パスワード
  • Web アプリケーション赤
    • 要件-ユーザー名+LDAPパスワード+RADIUSピン

LDAP と RADIUS の隣に、ユーザ証明書、TACACS、SAML などの他の認証方法を使用できます。

基本設定

  1. 両方の Web アプリケーションに対して、アドレス指定可能な負荷分散仮想サーバーとサービスを追加しません。

    • 仮想サーバの負荷分散

      負荷分散仮想サーバー

    • サービス

      負荷分散仮想サーバー

  2. 基本的な none アドレス指定可能な認証、承認、およびログオン用の監査仮想サーバーを追加します。現時点では、これ以上の設定は必要ありません。

    負荷分散仮想サーバー

  3. パブリックIPでSSLタイプのコンテンツスイッチング仮想サーバーを追加します。この IP アドレスには、アクセスする各アプリケーションの DNS レコードと、認証、承認、および仮想サーバーの監査も必要です。この例では、次の DNS 名を使用します。
    • グリーン.ラボ.ローカル-アプリケーショングリーン
    • red.lab.local->アプリケーションレッド
    • aaa.lab.local-> 仮想サーバの認証、承認、監査

    負荷分散仮想サーバー

    • すべての DNS レコードに対して、CN または SAN に一致する SSL 証明書をバインドします。
  4. コンテンツスイッチポリシーを仮想サーバーに追加します。アプリケーションごとに 1 つずつ。個々のホスト名と一致する必要があります。この方法でCitrix ADCは、ユーザーがアクセスするアプリケーションを決定します。さらに、認証、承認、監査のポリシーを「true」という式で追加します。

    負荷分散仮想サーバー

  5. 認証、認可、および監査ポリシーの優先順位が最も高いことを確認します。そうしないと、アプリケーションにアクセスできません。

  6. 一致する仮想サーバーを指す各ポリシーに対して、コンテンツスイッチアクションを追加します。この例では、各負荷分散仮想サーバーと 1 つの認証仮想サーバーを使用します。

    負荷分散仮想サーバー

認証レベルの構成

基本的な仮想サーバーとコンテンツスイッチングの設定が完了したら、認証を有効にし、アプリケーションの強力な定義または弱い定義を実行します。

  1. アプリケーションRedの 負荷分散仮想サーバー に移動し、「フォームベース認証」を有効にします。認証プロファイルを追加します。

    負荷分散仮想サーバー

    負荷分散仮想サーバー

  2. ユーザーがアプリケーションにアクセスするときに、既存のセッションがない場合に、リダイレクト用に定義された認証、承認、および監査仮想サーバーのホスト名を入力します。

  3. タイプとして認証仮想サーバーを選択し、認証、承認、監査仮想サーバーをバインドします。

  4. 認証レベルを定義して、アプリケーションが他のアプリケーションよりも強力か弱いかを構成します。指定したレベル 100 のセッションは、再認証を行わずに、下位レベルの仮想サーバにアクセスできます。一方、このセッションは、ユーザーがより高いレベルの仮想サーバーにアクセスしようとすると、再度認証を強制されます。

    認証プロファイルの設定

  5. アプリケーション緑で、手順1~4を繰り返します。

  6. [セキュリティ] > [AAA-アプリケーショントラフィック] > [認証プロファイル] に移動して、認証プロファイルを追加します。

    認証プロファイルの設定

    アプリケーションごとに 1 つのプロファイル。どちらも認証、承認、監査仮想サーバーのホスト名を指しています。この例では、アプリケーション Red はアプリケーション Green (レベル 90) よりも強い (レベル 100) です。Redの既存のセッションを持つユーザーが再認証なしでGreenにアクセスできることを意味。最初にグリーンにアクセスしたユーザーの周りには、アプリケーションRedを再認証する必要があります。

多要素認証のための nFactor 構成

  1. セキュリティ」>「AAA-アプリケーショントラフィック」>「ログインスキーマ」>「プロファイル」の順に選択し 、3つのログインスキーマを追加し、必要なCitrix ADCログオンページを作成します。

    • 通常の LDAP 認証用のスキーマ
      • [単一認証 XML] を選択して、2 つのフィールドを表示します。1 つはユーザー名用、もう 1 つは LDAP パスワード用です。
      • インデックス1にユーザー名、インデックス2にパスワードを保存してください。これは、ユーザーがアプリケーション Green の後にアプリケーション Red にアクセスしている場合に、LDAP 再認証を行う場合に重要です。
    • LDAP 再認証用のスキーマ

      • ユーザーには LDAP 再認証のプロセスが表示されないため、「noschema」を選択します。
      • User および Password 式に、最初のスキーマで定義した属性フィールドを設定します。

        認証プロファイルの設定

    • RADIUS 認証のスキーマ
      • RADIUS ピンのフィールドを 1 つだけ表示する場合は、「パスワードのみ XML」を選択します。初回の LDAP ログインのため、ユーザー名は必要ありません。

        認証ログインスキーマの構成

  2. 次のステップは、ログインメカニズムの動作を制御するために必要なすべての認証ポリシーを追加することです。[セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] > [ポリシー]に移動します。

    • 必要な LDAP サーバでデフォルトの LDAP ポリシーを追加します。

      認証ポリシーの設定

    • 必要な RADIUS サーバでデフォルトの RADIUS ポリシーを追加します。

      認証ポリシーの設定

    • アクションタイプ「NO_AUTH」と式「true」で、3 番目の認証ポリシーを追加します。このポリシーは、次の要素へのブリッジングよりも効果がありません。

      認証ポリシーの設定

    • 4 番目のポリシーは、ユーザーがより強力なアプリケーション Red にアクセスしたいかどうかを評価します。これは、Red の多要素認証を行うために重要です。
      • アクションタイプとして「LDAP」を選択し、LDAPサーバーを選択します。
      • この式は、クッキー NSC_TMAP をチェックすることによって、アプリケーション Red かどうかを評価します。ユーザーは、Citrix ADCログオンサイトにアクセスしてこのCookieを発行し、アクセスされた負荷分散仮想サーバーにバインドされた認証プロファイルの名前が含まれます。

        LDAP 仮想サーバポリシー

        Citrix ログオンページ

    • 最後のポリシーは、ユーザーが最初の弱いログインからの資格情報を保存したかどうかをチェックします。これは、ユーザーが最初に弱いアプリケーションにアクセスした場合に、より強力なアプリケーションを開始したい場合に、LDAP の自動再ログインで重要です。

      Citrix ログオンページ

  3. 前述のすべての認証ポリシーとログインスキーマをバインドするためのポリシーラベルをいくつか追加します。[セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] > [PolicyLabel]に移動します。

    • まず、RADIUS 認証のラベルから始めます。

      • ラベルに適切な名前を付け、RADIUSの以前のスキーマを選択し、[Continue] をクリックします。

        ポリシーラベル

      • このラベルの最後の手順は、デフォルトの RADIUS 認証ポリシーをバインドすることです。

        ポリシーラベル

    • 2 番目のラベルは、LDAP 再ログインを行います。
      • ラベルを追加し、再ログインスキーマをバインドします。

        再ログインスキーマ

      • LDAP 認証ポリシーをバインドし、RADIUS ポリシーラベルを次の要素として設定します。

        LDAP 認証ポリシーのバインド

    • 最初の LDAP 認証の最後のラベルを追加します。
      • 適切なスキーマを選択し、[Continue] をクリックします。

        認証ポリシー・ラベルの選択

      • 強力な認証のための最初のポリシーをバインドし、Goto式を「終了」に設定します。RADIUS ポリシーラベルを次の要素として選択します。

      • 2 番目のポリシーは、RADIUS を使用しない弱いグリーン認証です。

      • バインドの優先度を確認します。

    • 認証、認証、監査を構成します。[セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバ] に移動します。

      • 以前に追加した仮想サーバーを開き、優先する ポータル・テーマを設定します。

        認証ポリシー・ラベルの選択

      • 残りの 2 つの認証ポリシーを仮想サーバーに直接バインドします。

        事前認証ポリシー

      • 次の要素として「NO_AUTH」と LDAP 再ログインポリシーラベルを使用して再ログインポリシーをバインドします。これは、既存のセッションで自動LDAP再認証を行うためのものです。
      • セッションが存在しない場合に、次の要素 LDAP に直接ブリッジするように 2 番目のポリシーを設定します。
      • いつものように、適切な優先順位を設定します。

        プライオリティ認証ポリシー

セットアップは、Citrix ADCバージョン13.0以降で利用可能なnFactorビジュアライザを使用して作成することもできます。

nFactor ビジュアライザーによる認証の設定

nFactor ビジュアライザによる多要素認証の設定

  1. [セキュリティ] > [AAA アプリケーショントラフィック] > [nFactor ビジュアライザー] > [nFactor フロー] に移動し、[追加] をクリックします。
  2. + 記号をクリックして nFactor フローを追加します。

    nFactor フローを追加

  3. 最初の因子名を入力し、「作成」( Create) をクリックします。

    第 1 ファクタを作成

  4. 最初の要素にはスキーマは必要ありません。多要素認証構成の手順 2 に示すように、[Add Policy] をクリックして NO_AUTH ポリシーを追加します。

    ポリシーの追加を選択

  5. 青い [+] をクリックして、2 番目の認証を追加します。

    2 番目の認証

  6. 作成した認証ポリシーを選択し、[追加] をクリックします。

    ポリシーの追加選択

  7. 緑の [+] をクリックして、次の係数を追加します。

    ポリシーの追加

  8. 次の認証ファクタを追加するには、「ファクタ の作成」を選択します。ファクタ名を入力し、「作成 」をクリックします。

    ファクタの再ログインの作成

  9. スキーマを追加するには、[スキー マの追加] をクリックします。

    ステップ認証の追加

  10. で作成したスキーマを(多要素認証構成)で選択し、「 OK」をクリックします。

    認証ログインスキーマ

  11. [Add Policy] をクリックし、認証ポリシーを選択します。

    LDAPが認証を追加する

  12. RADIUS 認証に別の要素を追加するには、緑の [+] をクリックします。

    認証ログインスキーマ

  13. 手順 8 に従って、別の因子を作成します。

  14. 「スキー マの追加 」をクリックし、リストからパスワードのスキーマのみを選択します。

    パスワードスキーマリスト

  15. [ポリシーの追加] をクリックして RADIUS 認証を選択し、[追加] をクリックします。

    RADIUS ポリシー認証

  16. step_up-pol の横にある最初の要素で緑の [+] をクリックします。

    RADIUS ポリシー認証

  17. 手順 8 に従って、別の因子を作成します。

    ステップアップ LDAP

  18. [スキーマの追加] をクリックし、スキーマを選択します。

    単一認証スキーマ

  19. [Add Policy] をクリックして、認証ポリシーを選択します。

    LDAPのステップアップ

  20. LDAP 認証に別の認証ポリシーを追加するには、青の [+] をクリックします。

    LDAP 別のポリシー

  21. [LDAP 認証ポリシー] を選択し、[追加] をクリックします。

    LDAP adv policy

  22. [LDAP_Step_up] の横にある緑の [+] をクリックして、RADIUS 認証を追加します。

    RADIUS 認証の追加

  23. RADIUS認証がすでに存在するため、[既存のファクタに接続] を選択し、リストから step_up-radius を選択します。

    RADIUS 認証の追加

  24. [完了] をクリックして、設定を保存します。

  25. 作成した nFactor フローを認証、承認、および監査の仮想サーバーにバインドするには、[認証サーバーにバインド] をクリックし、[作成] をクリックします。

    バインドされた認証サーバー

    [バインドのみを表示] の [nFactor フロー] で指定されたオプションを使用して、nFactor フローをバインドおよびバインド解除します。

nFactor フローのバインドを解除する

  1. nFactor フローを選択し、[バインドを表示] をクリックします。

  2. 認証仮想サーバーを選択し、[バインド解除] をクリックします。

    認証サーバのバインド解除

結果

次の手順は、最初にアプリケーションRedにアクセスするのに役立ちます。

  1. 「red.lab.local」にアクセスした後、LDAPとして最初の要素を使用して、認証、承認、および監査仮想サーバーのログインページにリダイレクトします。

    認証ログインページ

  2. nFactor は、ユーザーがアプリケーション Red にアクセスすることを評価し、2 番目のファクタ RADIUS を表示します。

    RADIUSの第 2 係数

  3. Citrix ADCは、アプリケーションRedへのアクセスを許可します。

    赤色のアプリケーションディスプレイ

  4. 次のように、アプリケーショングリーンにアクセスします。Citrix ADCは、強力なアプリケーションの赤のセッションので、即時アクセスを許可します.

    グリーンアプリケーションディスプレイ

次の手順は、最初にアプリケーションGreenにアクセスするのに役立ちます。

  1. 「green.lab.local」にアクセスした後、認証、承認、監査仮想サーバーのログインページにリダイレクトします。

    認証ログインページ

  2. nFactor は、アプリケーション Green を評価し、2 番目の要素なしでアクセスを許可します。

    グリーンアプリケーションディスプレイ

  3. 次のように、アプリケーションRedにアクセスします。より高い認証レベルでは再ログインが必要で、nFactor はアプリケーション Green の最初のログインから保存された資格情報で LDAP 再ログインを自動的に行います。RADIUS クレデンシャルだけを入力します。

    RADIUSの第 2 係数

  4. Citrix ADCは、アプリケーションRedへのアクセスを許可します。

    赤色のアプリケーションディスプレイ

セットアップ認証など、異なるログインサイト要件を持つアプリケーション用に nFactor を構成する