Citrix ADC

多要素 (nFactor) 認証

重要

  • nFactor認証機能を機能させるには、Citrix ADC Advanced EditionまたはCitrix ADC Premium Editionが必要です。

  • NetScaler 11.0ビルド62.x以降でサポートされています。

  • NetScaler 12.0ビルド 51.x以降、多要素(nFactor)認証を使用するSAMLサービスプロバイダー(SP)として使用されるCitrix ADCアプライアンスは、ログインページのユーザー名フィールドに事前入力されるようになりました。アプライアンスは、SAML認証要求の一部として名前ID属性を送信し、Citrix ADC SAMLアイデンティティプロバイダー(IdP)から名前ID属性値を取得し、ユーザー名フィールドに事前入力します。

多要素認証は、アクセス権を付与するために複数のIDをユーザーに要求することで、アプリケーションのセキュリティを強化します。Citrix ADCアプライアンスは、多要素認証を構成するための拡張性と柔軟なアプローチを提供します。このアプローチを nFactor 認証と呼びます。

nFactor 認証のしくみ

各認証係数は、次のタスクを実行します。

  • ユーザーから資格情報を収集します。Citrix ADCでサポートされている認証メカニズムには、LDAP、RADIUS、SAMLアサーション、クライアント証明書、OAuth OpenID Connect、Kerberosなどがあります。

  • 指定された資格情報を評価し、認証が成功するか、失敗したか、グループ抽出、属性の抽出などのアクションが実行されるかどうかを判断します。

  • 評価結果に基づいて、アクセスが許可されるか、拒否されるか、次の要素が選択されます。

  • 評価する次の要因がなくなるまで、これらの手順を繰り返します。

nFactor 認証を使用すると、次のことができます。

  • 任意の数の認証要素を設定します。
  • 前のファクタを実行した結果に基づいて、次のファクタの選択を基にします。
  • ログインインターフェイスをカスタマイズします。たとえば、ラベル名、エラーメッセージ、ヘルプテキストをカスタマイズできます。
  • 認証を行わずにユーザグループ情報を抽出します。
  • 認証ファクタのパススルーを設定します。つまり、その要因に対して明示的なログイン操作は必要ありません。
  • 異なるタイプの認証を適用する順序を設定します。Citrix ADCアプライアンスでサポートされている認証メカニズムはすべて、nFactor認証セットアップの任意の要素として構成できます。これらの要因は、設定された順序で実行されます。
  • 認証が失敗したときに実行する必要のある認証要素に進むようにCitrix ADCを構成します。これを行うには、まったく同じ条件で、次に高い優先順位で、アクションを「NO_AUTH」に設定して、別の認証ポリシーを設定します。次の要素を設定する必要があります。次の要素では、適用する代替認証メカニズムを指定する必要があります。

NFactor認証のためのCitrix Gatewayのログイン情報の暗号化

NFactor認証を使用するCitrix Gatewayでは、認証プロセス中にクライアント(ブラウザまたはSSOアプリ)から送信されたログイン要求フィールドを暗号化できます。暗号化されたログイン要求フィールドは、ユーザーの機密データが開示されないように保護するための追加のセキュリティ層を提供します。

互換性のあるブラウザー

次の表は、ログイン暗号化をサポートするバージョンの詳細とともに、ブラウザの一覧です。

Webブラウザー バージョン
Chrome 78以上
Firefox 69以上
Internet Explorer 11
Edge 42以上
Safari 11.0以上
Opera 66

互換性のあるクライアント

以下のセクションでは、クライアントと、Citrix Gatewayログイン情報の暗号化をサポートするバージョンの詳細の一覧を示します。

  • MacのCitrix Workspaceアプリでは、OSバージョンが10.14.x以上の場合にのみ暗号化がサポートされます。
  • MacのCitrix SSOアプリでは、OSバージョンが10.14.x以上の場合にのみ暗号化がサポートされます。
  • Windows SSOアプリには、互換性に関する制限はありません。
  • Windowsクライアント用のCitrix Workspaceアプリでのパスワード暗号化は、Internet Explorer11バージョンでのみサポートされています。

CLIを使用してログインの暗号化を有効にするには

コマンドプロンプトで、次のように入力します。

set aaa parameter [-loginEncryption (ENABLED | DISABLED)]

LoginEncryptionパラメータは、デフォルトではDISABLEDになっています。ENABLEにする必要があります。

GUIを使用してログインの暗号化を有効にするには

  1. [セキュリティ]>[AAA — アプリケーショントラフィック] に移動し、[認証設定] セクションの [認証AAA OTP パラメータの変更] をクリックします。
  2. [AAAパラメータの設定] ページで、[ログイン暗号化] オプションまで下にスクロールし、有効にします。

多要素 (nFactor) 認証