Citrix ADC

アプリケーショントラフィックの認証、承認、監査

多くの企業は、Webサイトへのアクセスを有効なユーザーのみに制限し、各ユーザーに許可されるアクセスのレベルを制御しています。認証、承認、監査機能を使用すると、サイト管理者はCitrix ADCアプライアンスでアクセス制御を管理できます。これらの制御をアプリケーションごとに個別に管理する必要はありません。アプライアンスで認証を行うと、アプライアンスによって保護されている同じドメイン内のすべてのWebサイト間でこの情報を共有することもできます。

認証、認可、および監査を使用するには、認証プロセスを処理する認証仮想サーバと、認証を必要とする Web アプリケーションへのトラフィックを処理するトラフィック管理仮想サーバを設定する必要があります。また、各仮想サーバーに FQDN を割り当てるように DNS を構成します。仮想サーバーを構成したら、Citrix ADCアプライアンスを介して認証される各ユーザーのユーザーアカウントを構成します。オプションで、グループを作成し、ユーザーアカウントをグループに割り当てます。ユーザー・アカウントとグループを作成したら、アプライアンスにユーザーの認証方法、ユーザーがアクセスを許可するリソース、ユーザー・セッションのログ記録方法を指示するポリシーを設定します。ポリシーを有効にするには、各ポリシーをグローバルに、特定の仮想サーバ、または適切なユーザーアカウントまたはグループにバインドします。ポリシーを設定したら、セッション設定を構成し、セッションポリシーをトラフィック管理仮想サーバにバインドして、ユーザセッションをカスタマイズします。最後に、イントラネットでクライアント証明書を使用する場合は、クライアント証明書の構成を設定します。

分散環境で認証、承認、および監査がどのように機能するかを理解するために、従業員がオフィス、自宅、および出張時にアクセスするイントラネットを持つ組織を検討してください。イントラネット上のコンテンツは機密情報であり、安全なアクセスが必要です。イントラネットにアクセスするすべてのユーザーは、有効なユーザー名とパスワードを持っている必要があります。これらの要件を満たすために、ADCは次のことを行います。

  • ユーザーがログインせずにイントラネットにアクセスした場合、ユーザーをログインページにリダイレクトします。
  • ユーザーの資格情報を収集して認証サーバーに配信し、ライトウェイトディレクトリアクセスプロトコル(LDAP)を介してアクセスできるディレクトリにキャッシュします。詳しくは、「LDAPディレクトリ内の属性の決定」を参照してください。

  • ユーザーの要求をアプリケーションサーバーに配信する前に、ユーザーが特定のイントラネットコンテンツにアクセスする権限を持っていることを確認します。
  • セッションタイムアウトを維持します。このタイムアウトに達すると、ユーザーはイントラネットへのアクセスを回復するために再度認証する必要があります。(タイムアウトを設定できます)。
  • 無効なログイン試行を含め、ユーザーのアクセスを監査ログに記録します。

サポートされている認証タイプ

  • ローカル
  • LDAP
  • RADIUS
  • SAML
  • TACACS+
  • クライアント証明書認証(スマートカード認証を含む)
  • Web
  • 高度な認証
  • フォームベース認証
  • 401 ベースの認証
  • ネイティブOTP
  • プッシュ通知
  • EメールOTP
  • reCaptcha

Citrix Gatewayは、RSA SecurID、Gemalto Protiva、およびSafeWordもサポートしています。RADIUSサーバーを使用して、これらのタイプの認証を構成します。

認証、承認、および監査を構成する前に、Citrix ADCアプライアンスで負荷分散、コンテンツスイッチング、およびSSLを構成する方法に精通して理解している必要があります。

許可なしの認証

承認は、ユーザーがアプライアンスにログオンするときにアクセスできるネットワークリソースを指定します。承認のデフォルト設定は、すべてのネットワークリソースへのアクセスを拒否することです。デフォルトのグローバル設定を使用し、承認ポリシーを作成して、ユーザーがアクセスできるネットワークリソースを定義することをお勧めします。

許可ポリシーと式を使用して、アプライアンスで許可を構成します。許可ポリシーを作成したら、アプライアンスで構成したユーザーまたはグループにポリシーをバインドできます。

許可なしで認証のみを使用するようにアプライアンスを構成できます。許可なしで認証を設定すると、アプライアンスはグループ許可チェックを実行しません。ユーザーまたはグループに構成するポリシーは、ユーザーに割り当てられます。

認証、承認、監査の有効化

認証、承認、および監査機能を使用するには、それを有効にする必要があります。認証、承認、および監査機能を有効にする前に、認証、承認、および監査エンティティ(認証およびトラフィック管理仮想サーバーなど)を構成できますが、エンティティは機能が有効になるまで機能しません。

CLIを使用して認証、承認、および監査を有効にするには

コマンドプロンプトで次のコマンドを入力して、認証、承認、および監査を有効にし、構成を確認します。

enable ns feature AAA

GUIを使用して認証、承認、および監査を有効にするには

  1. System > Settingsに移動します。
  2. 詳細ウィンドウの [モードと機能] で、[基本機能の変更] をクリックします。
  3. [基本機能の構成] ダイアログボックスで、[認証、承認、監査] チェックボックスをオンにします。
  4. [OK] をクリックします。

認証の無効化

デプロイメントで認証が必要ない場合は、認証を無効にすることができます。認証を必要としない仮想サーバーごとに認証を無効にすることができます。

重要:

重要: Citrixでは、認証を慎重に無効にすることをお勧めします。外部認証サーバーを使用していない場合は、ローカルユーザーとグループを作成して、アプライアンスがユーザーを認証できるようにします。認証を無効にすると、アプライアンスへの接続を制御および監視する認証、許可、およびアカウンティング機能の使用が停止します。ユーザーがアプライアンスに接続するためにWebアドレスを入力すると、ログオンページは表示されません。

認証を無効にするには

  1. Configuration > Citrix Gateway > Virtual Serversに移動します。
  2. 詳細ペインで、仮想サーバーをクリックし、[開く]をクリックします。
  3. [基本設定] ページで、 [認証を有効にする]チェックボックスをオフにします。
アプリケーショントラフィックの認証、承認、監査