Citrix ADC Kerberos SSO の概要

Citrix ADC Kerberos SSO機能を使用するには、まずKerberosまたはサポートされているサードパーティ認証サーバーを使用して認証します。認証されると、ユーザーは保護された Web アプリケーションへのアクセスを要求します。Web サーバーは、ユーザーがその Web アプリケーションへのアクセスを許可されていることを証明する要求で応答します。ユーザーのブラウザーは Kerberos サーバーに接続し、ユーザーがそのリソースにアクセスする権限があることを確認し、証明を提供するサービスチケットをユーザーのブラウザーに提供します。ブラウザは、サービスチケットが添付された状態でユーザーの要求を Web アプリケーションサーバーに再送信します。Web アプリケーションサーバーはサービスチケットを検証し、ユーザーがアプリケーションにアクセスできるようにします。

認証、認可、および監査トラフィック管理は、次の図に示すように、このプロセスを実装します。この図は、LDAP 認証と Kerberos 認証を使用するセキュアなネットワーク上で、Citrix ADC アプライアンスを介した情報のフローと、認証、承認、監査トラフィック管理を示しています。他のタイプの認証を使用する認証、認可、および監査トラフィック管理環境では、基本的に同じ情報フローがありますが、詳細が異なる場合があります。

図1:LDAPとKerberosを使用するセキュアなネットワーク

LDAPとKerberosを使用するセキュアなネットワーク

Kerberos 環境での認証と認可を使用した認証、認可、および監査トラフィック管理では、次のアクションを実行する必要があります。

  1. クライアントは、Citrix ADCアプライアンス上のトラフィック管理仮想サーバーにリソース要求を送信します。
  2. トラフィック管理仮想サーバは、要求を認証仮想サーバに渡します。この仮想サーバはクライアントを認証し、その要求をトラフィック管理仮想サーバに戻します。
  3. トラフィック管理仮想サーバは、クライアントの要求を Web アプリケーションサーバに送信します。
  4. Web アプリケーションサーバーは、Kerberos 認証を要求する 401 Unauthorized メッセージでトラフィック管理仮想サーバーに応答し、クライアントが Kerberos をサポートしていない場合は NTLM 認証にフォールバックします。
  5. トラフィック管理仮想サーバは Kerberos SSO デーモンに接続します。
  6. Kerberos SSO デーモンは Kerberos サーバーに接続し、チケット許可チケット (TGT) を取得します。これにより、保護されたアプリケーションへのアクセスを許可するサービスチケットを要求できます。
  7. Kerberos SSO デーモンは、ユーザのサービスチケットを取得し、そのチケットをトラフィック管理仮想サーバに送信します。
  8. トラフィック管理仮想サーバーは、チケットをユーザーの最初の要求にアタッチし、変更された要求をWebアプリケーション・サーバーに送信します。
  9. Web アプリケーションサーバーは 200 OK メッセージで応答します。

これらのステップはクライアントに対して透過的です。クライアントは要求を送信し、要求されたリソースを受信するだけです。

認証方法を使用したCitrix ADC Kerberos SSO の統合

すべての認証、承認、および監査トラフィック管理認証メカニズムは、Citrix ADC Kerberos SSOをサポートしています。認証、承認、監査のトラフィック管理では、Kerberos、CAC(スマートカード)、SAML認証メカニズムを使用したKerberos SSOメカニズムがサポートされ、Citrix ADCアプライアンスに対する任意の形式のクライアント認証がサポートされます。また、クライアントがHTTP基本認証またはフォームベースの認証を使用してCitrix ADCアプライアンスにログオンする場合、HTTPベーシック、HTTPダイジェスト、フォームベース、およびNTLM(バージョン1および2)のSSOメカニズムもサポートされます。

次の表に、サポートされている各クライアント側の認証方法と、そのクライアント側の認証方法でサポートされているサーバー側の認証方法を示します。

表1. サポートされている認証方法

  基本/ダイジェスト/NTLM Kerberos制約付き委任 ユーザーなりすまし
CAC(スマートカード):SSL/T LSレイヤ  
フォームベース(LDAP/RADIUS/ACACS)
HTTP 基本(LDAP/ラジオ/ACACS)
kerberos    
NT LM v1/v2  
SAML    
SAML 2要素
証明書の 2 ファクタ

Citrix ADC Kerberos SSO の概要