Citrix ADC

シンプルな構成のためのnFactorビジュアライザー

Citrix ADCリリース13.0ビルド36.27以降では、nFactorのビジュアライザーを使用することで、GUIによるnFactor構成が簡素化されます。nFactor ビジュアライザーは、管理者が各要因の追跡を失うことなく、複数の要因を追加するのに役立ちます。フローに構築された因子のグループが 1 か所に表示されます。管理者は、認証の成功パスと失敗パスを別々に追加できます。フローを作成した後、管理者は nFactor フローを認証仮想サーバーにバインドする必要があります。

nFactor フローで admin が作成したすべてのファクターは、将来の使用のために保持されます。

以前は、nFactor の設定は煩雑で、管理者は多くのページにアクセスして設定する必要がありました。変更が必要な場合、管理者は毎回構成済みのセクションを再確認する必要がありました。また、完全な構成を 1 か所で表示するオプションもありませんでした。

ユースケース1:RADIUSに続いてLDAP認証、それ以外の場合はnFactorビジュアライザを介してキャプチャにフォールバック

第 1 レベルの認証として RADIUS 認証を実現し、続いて LDAP 認証を実行します。RADIUSが失敗した場合、認証はキャプチャにフォールバックする必要があります。

ローカライズされた画像

このユースケースを実現するには、nFactor ビジュアライザーを使用します。ビジュアライザーには、このフローと関連項目を追加するために使用できるさまざまなコントロールが用意されています。

次の図は、ビジュアライザを使用して前述のユースケース用に作成された nFactor フローを示しています。

ローカライズされた画像

  • RADIUS。RADIUS を最初の要素として設定します。ログインスキーマとポリシーを追加します。この例では、radius_auth と RADIUS_policy が追加されるログインスキーマおよびポリシーです。RADIUS_Policy の場合は、成功事例に別の要因を追加できます。この例では、成功ケースのために LDAP ファクタブロックが追加されます。失敗の場合は、キャプチャ係数を追加することができます。

  • LDAP。LDAP 認証は、2 番目の要素として設定します。ログインスキーマとポリシーを追加します。この例では、ldap_auth と LDAP_policy が追加されるログインスキーマとポリシーです。

  • Captcha。RADIUS ポリシー障害の場合は、キャプチャ係数を作成します。この例では、captcha と captcha_policy が追加されるログインスキーマとポリシーです。

ユースケース2:LDAPの後に、nFactorビジュアライザによるLDAPグループメンバーシップに基づくキャプチャによるRADIUS/証明書認証

第 1 レベルの認証として RADIUS 認証を実現し、続いて LDAP 認証を実行します。RADIUSが失敗した場合、認証はキャプチャにフォールバックする必要があります。

ローカライズされた画像

次の図は、ビジュアライザを使用して前述のユースケース用に作成された nFactor フローを示しています。

ローカライズされた画像

  • LDAP。最初の要素として LDAP を設定します。ログインスキーマとポリシーを追加します。この例では、SingleAuth と LDAP_Policy が追加されるログインスキーマとポリシーです。LDAP_Policy の場合は、成功ケースに別の要因を追加できます。この例では、成功ケースに対してデシジョンブロックが追加されます。失敗の場合は、ADファクターに続くキャプチャを追加することができます。

  • グループ抽出 LDAP。LDAP 成功ケースに追加される決定ブロックです。デシジョンブロックは、ポリシー規則に基づいてユーザーを分岐する分岐アウト係数として使用されます。ビジュアライザーでは、デシジョンブロックに対して NO_AUTHN ポリシーのみを構成できます。

    この例では、グループ_抽出_LDAP がデシジョンブロックです。この決定ブロックには、2 つのポリシー (AD_Group_Partner と AD_Group_Employee) を追加します。ユースケースで説明されているように、AD_Group_Partner ポリシーを介してルーティングされるすべての要求は RADIUS 認証を使用します。したがって、このポリシーの成功事例を、RADIUS ファクタである次のファクタに接続します。同様に、AD_Group_Employee ポリシーを介してルーティングされるすべての要求は、証明書認証を使用します。したがって、このポリシーの成功事例を、証明の認証係数である次の要素に接続します。

    • RADIUS。AD_Group_Partner ポリシーが成功した場合は、RADIUS 認証ファクタを作成します。

    • 証明書。AD_Group_Employee ポリシーが成功した場合は、証明書認証ファクタを作成します。

  • Captcha。LDAP ポリシーの障害の場合は、次の 2 つの要素、キャプチャと AD ファクタを作成します。

  • 最初のものとして分岐するユースケースがある場合は、2つのフローを作成して別々にバインドするか、最初のフローを分岐アウトとして1つのフローを作成し、仮想サーバーにバインドします。
  • 複数のブロックがあり、nFactor Flow 画面でフロー全体を表示するには、ビジュアライザをクリックし、フローを左端にドラッグします。
  • nFactorフローを変更する場合は、nFactorフローページのみを使用することをお勧めします。

nFactor ビジュアライザーを使用して nFactor を構成するには

注:

次の nFactor 構成は、ユースケース 1 シナリオ構成の実現に役立つ簡単な例です。

  1. [セキュリティ] > [AAA] — [アプリケーショントラフィック] > [nFactor ビジュアライザー] > [nFactor フロー] に移動します。
  2. [追加] をクリックします。
  3. [nFactor フロー] ページで、[+] をクリックして、フローの最初のファクタを追加します。最初のファクターは、この nFactor フローの識別子としても機能します。

    ローカライズされた画像

  4. 因子名を入力し、「 作成」をクリックします。

    ローカライズされた画像

    係数名が nFactor Flow ページの係数ブロックに表示されます。

    __root__<flow_name>などのポリシーラベル名をサフィックスに使用せず、_db_をプレフィックスに使用しないでください。nFactor フローで作成される因子名として使用されます。

  5. RADIUS ファクタを作成したら、[スキーマの追加] と [ポリシーの追加] を作成する必要があります。

    ローカライズされた画像

    詳しくは、「nFactor の概念、エンティティ、および用語」を参照してください。

  6. [スキーマの追加]をクリックします。新しいログインスキーマを追加するか、[認証 ログインスキーマ] リストから既存のログインスキーマを選択します。

    ローカライズされた画像

  7. ログイン・スキーマを作成するには、「 追加 」をクリックし、 「認証ログイン・スキーマの作成」ページでスキーマ の名前を入力します。「 編集」 (鉛筆アイコン)をクリックして、リストから「 ログインスキーマファイル 」を選択します。

    ローカライズされた画像

  8. [ポリシーの追加]をクリックします。認証ポリシーを作成するか、既存の認証ポリシーを選択できます。

    ローカライズされた画像

  9. 新しいポリシーを作成するには、[追加] をクリックし、[認証ポリシーの作成] ページでポリシーの 名前を入力し、[作成] をクリックします。

    ローカライズされた画像

  10. ファクタにログインスキーマとポリシーを追加すると、次の図に示すように、ログインスキーマとポリシーがビジュアライザのファクタに表示されます。任意の要素に対して、複数のポリシーを追加し、各ポリシーの成功と失敗の次の要素を定義できます。要素の一部であるポリシーを削除することもできます。

    ローカライズされた画像

  11. フローを作成したら、nFactor フローを認証仮想サーバにバインドできます。

次の要因の追加

次の要素を追加するには、要件に従って次のオプションのいずれかを選択できます。

  • [係数の作成]: 係数を作成します。フローで作成される各ファクターは、そのフローに対して排他的です。
  • 決定ブロックを作成します。分岐アウト係数として機能するデシジョンブロックを作成します。デシジョンブロックにログインスキーマを追加することはできません。ビジュアライザーでは、デシジョンブロックに対して NO_AUTHN ポリシーのみを構成できます。

    決定ブロックを追加または編集できるのは、Citrix ADC GUIのみです。CLI コマンドから決定ブロックを設定するオプションはありません。

  • 既存の係数に接続します。次の因子として既存の因子を選択します。既存のリストに表示されるすべての因子は、そのフロー専用に作成されます。
  • なし。既存の接続を削除します。

    ローカライズされた画像

    ローカライズされた画像

nFactor フローを認証サーバにバインドするには

  1. [nFactor フロー] ページで、認証仮想サーバーにバインドする nFactor フローを選択します。

  2. ハンバーガーアイコンをクリックして [認証サーバーにバインド] オプションを選択するか、詳細ペインで [認証サーバーにバインド] をクリックします。

    ローカライズされた画像

  3. [認証サーバにバインド] ページでは、次の操作を実行できます。

    • 認証仮想サーバーを追加するには、[追加] をクリックします。
    • リストから既存の認証サーバーを選択するには、[認証サーバー] フィールドをクリックします。

    ローカライズされた画像

  4. ハンバーガーのアイコンから「 バインディングを表示 」をクリックして、バインディングを表示します。

  5. 特定の nFactor フローから認証サーバをバインド解除するには、次の手順を実行します。

    • [nFactor フロー] ページで、ハンバーガーアイコンから [バインドを表示] をクリックします。
    • [認証サーバのバインド] ページで、バインドを解除する認証サーバを選択し、[バインド解除] をクリックします。[閉じる] をクリックします。

    ローカライズされた画像

nFactor 認証の詳細については、次のトピックを参照してください。

nFactor ビジュアライザーの機能強化

Citrix ADC リリース 13.0 ビルド 41.20 以降では、nFactor ビジュアライザーで次の機能が強化されています。

  • 管理者は、作成した要素をゴミ箱アイコンに移動できます。
  • 仮想サーバーの認証ページで nFactor フローを表示します。

ごみ箱アイコン。管理者は、接続のないノードのみを削除できます。ただし、要素をごみ箱に移動した場合、基になるポリシーまたは要素に対して作成されたスキーマは削除されません。

ごみ箱アイコンを表示するには、

  1. [セキュリティ] > [AAA] — [アプリケーショントラフィック] > [nFactor ビジュアライザー] > [nFactor フロー] に移動します。

    ローカライズされた画像

  2. ファクタを削除するには、ファクタブロックをクリックしてゴミ箱にドラッグします。

認証仮想サーバからの nFactor フローを表示します。管理者は、[仮想サーバーの認証] ページから作成された nFactor フローを表示することもできます。

仮想サーバーの認証ページから nFactor フローを表示するには、

  1. [セキュリティ] > [AAA] — [アプリケーショントラフィック] > [仮想サーバ] に移動します。[仮想サーバーの認証] ページでは、次の手順を実行します。
    • 認証仮想サーバーを追加するには、[追加] をクリックします。
    • 既存の認証仮想サーバーを編集するには、詳細ウィンドウ領域で [編集] をクリックします。

    ローカライズされた画像

  2. [認証仮想サーバー] ページでは、[高度な認証ポリシー] の nFactor Flow オプションを表示できます。

    ローカライズされた画像

  3. 仮想サーバーに nFactor フローがバインドされていない場合は、[高度な認証ポリシー] セクションの [nFactor フローなし] をクリックして、新しい nFactor フローを追加するか、リストから既存の nFactor フローを選択します。

    ローカライズされた画像