Citrix ADC

アプリケーショントラフィックの認証、承認、および監査

多くの企業は、Webサイトへのアクセスを有効なユーザーのみに制限し、各ユーザーに許可されるアクセスのレベルを制御しています。認証、承認、および監査機能を使用すると、サイト管理者は、アプリケーションごとにこれらの制御を個別に管理するのではなく、Citrix ADCアプライアンスを使用してアクセス制御を管理できます。アプライアンスで認証を実行すると、アプライアンスによって保護されている同じドメイン内のすべての Web サイトでこの情報を共有することもできます。

認証、認可、および監査を使用するには、認証プロセスを処理するように認証仮想サーバを設定し、認証を必要とする Web アプリケーションへのトラフィックを処理するトラフィック管理仮想サーバを設定する必要があります。また、各仮想サーバーに FQDN を割り当てるように DNS を構成します。仮想サーバーを構成したら、Citrix ADCアプライアンスを介して認証する各ユーザーのユーザーアカウントを構成し、オプションでグループを作成し、ユーザーアカウントをグループに割り当てます。ユーザアカウントとグループを作成したら、ユーザを認証する方法、ユーザにアクセスを許可するリソース、およびユーザセッションのログ記録方法をアプライアンスに指示するポリシーを設定します。ポリシーを有効にするには、各ポリシーをグローバル、特定の仮想サーバー、または適切なユーザーアカウントまたはグループにバインドします。ポリシーを構成したら、セッション設定を構成し、セッションポリシーをトラフィック管理仮想サーバーにバインドして、ユーザーセッションをカスタマイズします。最後に、イントラネットでクライアント証明書を使用する場合は、クライアント証明書の設定をセットアップします。

認証、承認、および監査が分散環境でどのように機能するかを理解するために、従業員がオフィス、自宅、および旅行中にアクセスするイントラネットを持つ組織を考えてみましょう。イントラネット上のコンテンツは機密情報であり、安全なアクセスが必要です。イントラネットにアクセスするすべてのユーザーは、有効なユーザー名とパスワードを持っている必要があります。これらの要件を満たすために、ADC は次のことを行います。

  • ユーザーがログインせずにイントラネットにアクセスした場合、ユーザーをログインページにリダイレクトします。
  • ユーザーの資格情報を収集して認証サーバーに配信し、ライトウェイトディレクトリアクセスプロトコル(LDAP)を介してアクセスできるディレクトリにキャッシュします。詳細については、 LDAP ディレクトリ内の属性の決定を参照してください

  • ユーザーの要求をアプリケーションサーバーに配信する前に、ユーザーが特定のイントラネットコンテンツにアクセスする権限を持っていることを確認します。
  • セッションタイムアウトを維持します。このタイムアウトを過ぎた後、イントラネットへのアクセスを回復するには、ユーザーが再度認証を受ける必要があります。(タイムアウトは設定できます)。
  • 無効なログイン試行を含め、ユーザーのアクセスを監査ログに記録します。

サポートされている認証タイプ

  • ローカル
  • LDAP
  • RADIUS
  • SAML
  • TACACS+
  • クライアント証明書認証(スマートカード認証を含む)
  • Web
  • 高度な認証
  • フォームベース認証
  • 401 ベースの認証
  • ネイティブOTP
  • プッシュ通知
  • EメールOTP
  • reCAPTCHA

Citrix Gateway はRSA SecurID、Gemalto Protiva、SafeWordにも対応している。RADIUS サーバを使用して、これらのタイプの認証を設定します。

認証、承認、および監査を構成する前に、Citrix ADCアプライアンスで負荷分散、コンテンツスイッチング、およびSSLを構成する方法を理解し、理解しておく必要があります。

承認なしの認証

承認は、ユーザーがアプライアンスにログオンしたときにアクセスできるネットワークリソースを指定します。承認のデフォルト設定では、すべてのネットワークリソースへのアクセスを拒否します。デフォルトのグローバル設定を使用し、承認ポリシーを作成して、ユーザーがアクセスできるネットワークリソースを定義することをお勧めします。

アプライアンスで認可を設定するには、認可ポリシーと式を使用します。認可ポリシーを作成したら、アプライアンスで設定したユーザまたはグループにバインドできます。

アプライアンスは、許可なしで認証のみを使用するように設定できます。許可なしで認証を設定すると、アプライアンスはグループ認可チェックを実行しません。ユーザーまたはグループに設定したポリシーは、ユーザーに割り当てられます。

認証、承認、監査の有効化

認証、認可、および監査機能を使用するには、この機能を有効にする必要があります。認証、認可、および監査機能を有効にする前に、認証、認可、および監査エンティティ(認証およびトラフィック管理仮想サーバなど)を設定できますが、エンティティは機能が有効になるまで機能しません。

CLI を使用して認証、承認、および監査を有効にするには

コマンドプロンプトで次のコマンドを入力して、認証、承認、および監査を有効にし、構成を確認します。

enable ns feature AAA
<!--NeedCopy-->

GUI を使用して認証、承認、および監査を有効にするには

  1. [ システム] > [設定]に移動します。
  2. 詳細ウィンドウの [ モードと機能] で、[ 基本機能の変更] をクリックします。
  3. [ 基本機能の構成 ] ダイアログボックスで、[ 認証、承認、監査 ] チェックボックスをオンにします。
  4. OK」をクリックします。

認証の無効化

展開で認証が不要な場合は、認証を無効にできます。認証を必要としない仮想サーバーごとに、認証を無効にできます。

重要:

重要: 認証は慎重に無効にすることをお勧めします。外部認証サーバを使用していない場合は、アプライアンスがユーザを認証できるようにローカルユーザおよびグループを作成します。認証を無効にすると、アプライアンスへの接続を制御およびモニタする認証、認可、およびアカウンティング機能の使用が停止します。ユーザーが Web アドレスを入力してアプライアンスに接続すると、ログオンページは表示されません。

認証を無効にするには

  1. 構成 > Citrix Gateway > 仮想サーバーに移動します
  2. 詳細ウィンドウで、仮想サーバーをクリックし、[ 開く] をクリックします。
  3. [ 基本設定] ページで、[ 認証を有効にする ] チェックボックスをオフにします。
アプリケーショントラフィックの認証、承認、および監査