Citrix ADC

OTP のプッシュ通知

Citrix Gateway は、OTPのプッシュ通知をサポートしています。ユーザーは、Citrix Gateway にログインするために、登録されたデバイスで受信したOTPを手動で入力する必要はありません。管理者は、プッシュ通知サービスを使用してユーザーの登録デバイスにログイン通知が送信されるようにCitrix Gateway を設定できます。ユーザーが通知を受け取ったら、通知の [許可] をタップするだけでCitrix Gateway にログインできます。Gateway は、ユーザーからの確認応答を受信すると、要求の送信元を識別し、そのブラウザ接続に応答を送信します。

タイムアウト時間(30秒)内に通知応答が受信されない場合、ユーザーはCitrix Gateway のログインページにリダイレクトされます。その後、ユーザは OTP を手動で入力するか、[再送信(Resend Notification)] をクリックして、登録されたデバイスで再度通知を受信できます。

管理者は、プッシュ通知用に作成されたログインスキーマを使用して、プッシュ通知認証をデフォルト認証として行うことができます。

重要: プッシュ通知機能は、Citrix ADC Premiumエディションライセンスで利用できます。

プッシュ通知の利点

  • プッシュ通知は、より安全な多要素認証メカニズムを提供します。ユーザーがログイン試行を承認するまで、Citrix Gateway への認証は成功しません。
  • プッシュ通知は、管理と使用が簡単です。ユーザーは、Citrix SSO モバイルアプリをダウンロードしてインストールする必要があります。管理者による支援は必要ありません。
  • ユーザーはコードをコピーしたり覚えておく必要はありません。認証を受けるには、デバイスをタップするだけで済みます。
  • ユーザーは複数のデバイスを登録できます。

プッシュ通知の動作

プッシュ通知ワークフローは、次の 2 つのカテゴリに分類できます。

  • デバイス登録
  • エンドユーザーログイン

ワークフロー

プッシュ通知を使用するための前提条件

  • Citrix Cloudのオンボーディングプロセスを完了します。

    1. Citrix Cloudの企業アカウントを作成するか、既存のアカウントに参加します。詳細なプロセスと手順については、「Citrix Cloudへのサインアップ」を参照してください。

    2. https://citrix.cloud.comにログインし、顧客を選択します。

    3. [メニュー] から [ID とアクセス管理] を選択し、[API アクセス] タブに移動して、アカウントのクライアントを作成します。

    4. ID、シークレット、カスタマー ID をコピーします。このIDとシークレットは、Citrix ADCでプッシュサービスを「ClientID」と「ClientSecret」として構成するために必要です。

重要:

  • 同じ API 認証情報を複数のデータセンターで使用できます。
  • オンプレミスのCitrix ADCアプライアンスは、サーバーアドレスのmfa.cloud.comとtrust.citrixWorkspacesapi.netを解決できる必要があり、アプライアンスからアクセスできる必要があります。これは、ポート 443 を介してこれらのサーバに対してファイアウォールまたは IP アドレスブロックがないことを保証するためです。
  • iOSデバイスとAndroidデバイス用のアプリストアとPlayストアからCitrix SSO モバイルアプリをダウンロードします。プッシュ通知は、2.3.5からAndroid上のビルド1.1.13からiOSでサポートされています。

  • Active Directory について次のことを確認します。

    • 属性の最小長は 256 文字以上にする必要があります。
    • 属性タイプは、ユーザーパラメータなどの ‘ディレクトリ文字列’ である必要があります。これらの属性は文字列値を保持できます。
    • デバイス名が英語以外の文字である場合、属性文字列タイプは Unicode である必要があります。
    • Citrix ADC LDAP管理者は、選択したAD属性への書き込みアクセス権を持っている必要があります。
    • Citrix ADCとクライアントマシンは、共通のネットワークタイムサーバーに同期する必要があります。

プッシュ通知の設定

プッシュ通知機能を使用するには、次の手順を完了する必要があります。

  • Citrix Gateway 管理者は、ユーザーを管理および検証するためのインターフェイスを構成する必要があります。

    1. プッシュ・サービスを構成します。

    2. OTP管理とエンドユーザーログイン用にCitrix Gateway を構成します。

      Citrix Gateway にログインするには、デバイスをGateway に登録する必要があります。

    3. デバイスをCitrix Gateway に登録します。

    4. Citrix Gateway にログインします

プッシュ・サービスの作成

  1. [セキュリティ] > [AAA アプリケーショントラフィック] > [ポリシー] > [認証] > [高度なポリシー] > [アクション] > [プッシュサービス] に移動し、[追加] をクリックします。

  2. 名前」に、プッシュ・サービスの名前を入力します。

  3. クライアントID」に、クラウド内のCitrix Pushサーバーと通信するための証明書利用者の一意のIDを入力します。

  4. [クライアントシークレット] に、クラウド内のCitrix Pushサーバーと通信するための証明書利用者の一意のシークレットを入力します。

  5. [顧客 ID] に、クライアント ID とクライアントシークレットのペアを作成するために使用するクラウド内のアカウントの顧客 ID または名前を入力します。

重要

プッシュサービスには、TLS 1.2 バージョンが必要です。詳しくは、「TLS 1.2 設定の詳細」を参照してください。

OTP管理とエンドユーザーログインのためのCitrix Gateway の構成

OTP 管理とエンドユーザログインを行うには、次の手順を実行します。

  • OTP 管理用のログインスキーマの作成
  • 認証、承認、監査仮想サーバーの構成
  • VPN または負荷分散仮想サーバーの構成
  • ポリシー・ラベルの構成
  • エンド・ユーザー・ログイン用のログイン・スキーマの作成

設定の詳細については、ネイティブOTPサポートを参照してください。

重要: プッシュ通知の場合、管理者は以下を明示的に設定する必要があります。

  • プッシュ・サービスを作成します。
  • OTP管理用のログインスキーマを作成するときは、必要に応じてSingleAuthManageOTP.xmlログインスキーマまたは同等のログインスキーマを選択します。
  • エンドユーザーログイン用のログインスキーマを作成するときは、必要に応じてDualAuthOrPush.xmlログインスキーマまたは同等のログインスキーマを選択します。

デバイスをCitrix Gateway に登録する

プッシュ通知機能を使用するには、デバイスをCitrix Gateway に登録する必要があります。

  1. Webブラウザで、Citrix Gateway のFQDNを参照し、FQDNに /manageotp という接尾辞を付けます。

    認証ページが読み込まれます。 例:https://gateway.company.com/manageotp

  2. 必要に応じて、LDAP クレデンシャルまたは適切な 2 要素認証メカニズムを使用してログインします。

    ログイン

  3. [デバイスを追加] をクリックします。

  4. デバイスの名前を入力し、[実行] をクリックします。

    Citrix Gateway のブラウザページにQRコードが表示されます。

    スキャン

  5. 登録するデバイスからCitrix SSO アプリを使用して、このQRコードをスキャンします。

    Citrix SSOはQRコードを検証し、プッシュ通知でゲートウェイに登録します。登録プロセスにエラーがない場合、トークンはパスワードトークンページに正常に追加されます。

    トークン

  6. 追加/管理するデバイスがない場合は、ページの右上隅にあるリストを使用してログアウトします。

ワンタイムパスワード認証のテスト

  1. OTP をテストするには、リストからデバイスをクリックし、[Test] をクリックします。

  2. デバイスで受信した OTP を入力し、[Go] をクリックします。

    「OTP 検証に成功しました」というメッセージが表示されます。

  3. ページの右上隅のリストを使用してログアウトします。

:OTP 管理ポータルを使用して、認証のテスト、登録済みデバイスの削除、または追加のデバイスの登録をいつでも行うことができます。

Citrix Gateway にログインします

Citrix Gateway にデバイスを登録すると、ユーザーはプッシュ通知機能を使用して認証を行うことができます。

  1. Citrix Gateway 認証ページに移動します(例:https://gateway.company.com)。

    ログインスキーマの構成に応じて、LDAP 認証情報のみを入力するように求められます。

    トークン

  2. LDAP ユーザー名とパスワードを入力し、[Submit] を選択します。

    登録済みのデバイスに通知が送信されます。

    注意: OTPを手動で入力する場合は、 「クリックして OTPを手動で入力する」を選択し、「 TOTP 」フィールドにOTPを入力する必要があります。

  3. 登録したデバイスでCitrix SSO アプリを開き、 [許可]をタップします。

    許可

    注:

    • 認証サーバは、設定されたタイムアウト時間が経過するまで、プッシュサーバ通知応答を待機します。タイムアウト後、Citrix Gateway はログインページを表示します。その後、ユーザは OTP を手動で入力するか、[再送信(Resend Notification)] をクリックして、登録されたデバイスで再度通知を受信できます。選択したオプションに基づいて、Gateway は入力した OTP を検証するか、登録済みのデバイスに通知を再送信します。

    フォールバック

    • ログイン失敗に関する通知は、登録されたデバイスに送信されません。

障害状態

  • 次の場合、デバイスの登録が失敗することがあります。
    • サーバー証明書がエンドユーザーのデバイスによって信頼されていない可能性があります。
    • OTPの登録に使用されたCitrix Gateway は、クライアントからアクセスできません。
  • 通知は、次の場合に失敗することがあります。
    • ユーザーデバイスがインターネットに接続されていません
    • ユーザーデバイス上の通知がブロックされる
    • ユーザーがデバイス上の通知を承認しない

このような場合、認証サーバは、設定されたタイムアウト時間が経過するまで待機します。タイムアウト後、Citrix Gateway にはログインページが表示され、手動でOTPを入力するか、登録済みのデバイスに通知を再送信するかを選択できます。選択したオプションに基づいて、さらに検証が行われます。

iOSでのCitrix SSO アプリケーションの動作 — 注意すべきポイント

通知のショートカット

Citrix SSO iOSアプリには、ユーザーエクスペリエンスを向上させるためのアクション可能な通知のサポートが含まれています。iOSデバイスで通知を受信した後、デバイスがロックされているか、Citrix SSO アプリケーションがフォアグラウンドになっていない場合、ユーザーは通知に組み込まれたショートカットを使用してログイン要求を承認または拒否できます。

通知のショートカットにアクセスするには、デバイスのハードウェアに応じて、強制的にタッチ(3Dタッチ)または長押しする必要があります。[ショートカットの許可]アクションを選択すると、Citrix ADCにログイン要求が送信されます。認証、承認、および監査仮想サーバーでの認証ポリシーの構成方法に応じて、

  • ログイン要求は、アプリをフォアグラウンドで起動したり、デバイスのロックを解除したりすることなく、バックグラウンドで送信されることがあります。
  • アプリは、アプリがフォアグラウンドで起動される余分な要素として、Touch-ID/Face-ID/パスコードを要求することがあります。

ショートカット

Citrix SSO からのパスワードトークンの削除

  1. Citrix SSO アプリでプッシュ用に登録されたパスワードトークンを削除するには、以下の手順を実行する必要があります。

  2. Gateway 上のiOS/Androidデバイスを登録解除(削除)します。デバイスから登録を削除するためのQRコードが表示されます。
  3. Citrix SSO アプリを開き、削除するパスワードトークンの情報ボタンをタップします。
  4. トークンの削除」 をタップし、QRコードをスキャンします。

  • QRコードが有効な場合、トークンはCitrix SSO アプリから正常に削除されます。
  • 端末がすでにGateway から削除されている場合は、QRコードをスキャンすることなく、「強制削除」をタップしてパスワードトークンを削除できます。強制削除を行うと、Citrix Gateway からデバイスが削除されていない場合でも、デバイスが通知を受信し続けることがあります。

トークンの削除