Citrix ADC

アプリケーショントラフィックの認証、承認、監査

多くの企業は、Webサイトへのアクセスを有効なユーザーのみに制限し、各ユーザーに許可されるアクセスのレベルを制御しています。認証、承認、および監査機能により、サイト管理者は、アプリケーションごとに個別にアクセス制御を管理する代わりに、Citrix ADCアプライアンスを使用してアクセス制御を管理できます。アプライアンスで認証を行うと、アプライアンスによって保護されている同じドメイン内のすべてのWebサイト間で、この情報を共有することもできます。

認証、承認、および監査を使用するには、認証プロセスを処理するように認証仮想サーバーを構成し、認証を必要とするWebアプリケーションへのトラフィックを処理するようにトラフィック管理仮想サーバーを構成する必要があります。また、各仮想サーバーにFQDNを割り当てるようにDNSを構成します。仮想サーバーを構成した後、Citrix ADCアプライアンスを介して認証するユーザーごとにユーザーアカウントを構成し、オプションでグループを作成してユーザーアカウントをグループに割り当てます。ユーザーアカウントとグループを作成した後、ユーザーを認証する方法、ユーザーにアクセスを許可するリソース、およびユーザーセッションをログに記録する方法をアプライアンスに指示するポリシーを構成します。ポリシーを有効にするには、各ポリシーを特定の仮想サーバー、または適切なユーザーアカウントやグループに対してグローバルにバインドします。ポリシーを構成した後、セッション設定を構成し、セッションポリシーをトラフィック管理仮想サーバーにバインドすることにより、ユーザーセッションをカスタマイズします。最後に、イントラネットでクライアント証明書を使用する場合は、クライアント証明書の構成を設定します。

分散環境で認証、承認、および監査がどのように機能するかを理解するために、従業員がオフィス、自宅、および出張中にアクセスするイントラネットを備えた組織について想定してみます。イントラネットのコンテンツは機密情報であり、安全なアクセスが必要です。イントラネットにアクセスするユーザーは、有効なユーザー名とパスワードを持っている必要があります。これらの要件を満たすために、ADCは次のことを実行します:

  • ユーザーがログインせずにイントラネットにアクセスした場合、ユーザーをログインページにリダイレクトします。
  • ユーザーの資格情報を収集して認証サーバーに配信し、ライトウェイトディレクトリアクセスプロトコル(LDAP)を介してアクセスできるディレクトリにキャッシュします。詳しくは、「LDAPディレクトリの属性の決定」を参照してください。

  • ユーザーの要求をアプリケーションサーバーに配信する前に、ユーザーが特定のイントラネットコンテンツへのアクセスを許可されていることを確認します。
  • ユーザーが、イントラネットへのアクセスを回復するために再度の認証が必要になる、セッションタイムアウトを管理します。(タイムアウトを設定できます。)
  • 無効なログイン試行を含むユーザーアクセスを、監査ログに記録します。

サポートされる認証の種類

  • ローカル
  • LDAP
  • RADIUS
  • SAML
  • TACACS+
  • クライアント証明書認証(スマートカード認証を含む)
  • Web
  • 高度な認証
  • フォームベースの認証
  • 401ベースの認証
  • ネイティブOTP
  • プッシュ通知
  • メールOTP
  • reCaptcha

Citrix Gatewayは、RSA SecurID、Gemalto Protiva、およびSafeWordもサポートしています。これらの認証の種類を構成するには、RADIUSサーバーを使用します。

認証、承認、および監査を構成する前に、Citrix ADCアプライアンスで負荷分散、コンテンツスイッチ、およびSSLを構成する方法に精通して理解している必要があります。

承認なしの認証

承認は、ユーザーがアプライアンスにログオンするときにアクセスできるネットワークリソースを指定します。承認のデフォルト設定では、すべてのネットワークリソースへのアクセスを拒否します。デフォルトのグローバル設定を使用してから、承認ポリシーを作成して、ユーザーがアクセスできるネットワークリソースを定義することをお勧めします。

承認ポリシーと式を使用して、アプライアンスで承認を構成します。承認ポリシーを作成したら、アプライアンスで構成したユーザーまたはグループに承認ポリシーをバインドできます。

承認なしで認証のみを使用するように、アプライアンスを構成できます。承認なしで認証を構成すると、アプライアンスはグループ承認チェックを実行しません。ユーザーまたはグループに設定するポリシーが、ユーザーに割り当てられます。

認証、承認、および監査の有効化

認証、承認、および監査機能を使用するには、有効にする必要があります。認証、承認、および監査機能を有効にする前に、認証、承認、および監査エンティティ(認証およびトラフィック管理仮想サーバーなど)を構成できますが、これらのエンティティは、機能が有効になるまで動作しません。

CLIを使用して認証、承認、および監査を有効にするには

コマンドプロンプトで次のコマンドを入力して、認証、承認、および監査を有効にし、構成を確認します:

enable ns feature AAA
<!--NeedCopy-->

GUIを使用して認証、承認、および監査を有効にするには

  1. [System]>[Settings] に移動します。
  2. 詳細ペインの [Modes and Features] で、[Change Basic Features] をクリックします。
  3. [Configure Basic Features] ダイアログボックスで、[Authentication, Authorization and Auditing] チェックボックスをオンにします。
  4. [OK] をクリックします。

認証の無効化

展開で認証が必要ない場合は、認証を無効にすることができます。認証を必要としない仮想サーバーごとに、認証を無効にすることができます。

重要:

重要: Citrixでは、慎重に認証を無効にすることをお勧めします。外部認証サーバーを使用していない場合は、ローカルユーザーとグループを作成して、アプライアンスがユーザーを認証できるようにします。認証を無効にすると、アプライアンスへの接続を制御および監視する認証、承認、およびアカウンティング機能の使用が停止します。ユーザーがアプライアンスに接続するためにWebアドレスを入力すると、ログオンページは表示されません。

認証を無効にするには

  1. [Configuration]>[Citrix Gateway]>[Virtual Servers] ページに移動します。
  2. 詳細ペインで仮想サーバーを選択して、[Open] をクリックします。
  3. [Basic Settings] ページで、[Enable Authentication] チェックボックスをオフにします。
アプリケーショントラフィックの認証、承認、監査