nFactor認証
重要
- nFactor認証は、NetScaler 11.0 Build62.x以降でサポートされています。
- nFactor認証をCitrix ADCで機能させるには、アドバンストライセンスまたはプレミアムライセンスが必要です。
- リリース13.0ビルド67.x以降、nFactor認証は標準ライセンスでのみサポートされます。 Gateway/VPN 仮想サーバー。Citrix Gatewayを使用したnFactor認証の詳細については、 Gateway認証の nFactorを参照してください。
多要素認証は、アクセス権を付与するために複数のIDをユーザーに要求することで、アプリケーションのセキュリティを強化します。Citrix ADCアプライアンスは、多要素認証を構成するための拡張性と柔軟なアプローチを提供します。このアプローチは nFactor認証と呼ばれます。
nFactor 認証のしくみ
各認証係数は、次のタスクを実行します。
-
ユーザーから資格情報を収集します。Citrix ADCでサポートされている認証メカニズムには、LDAP、RADIUS、SAMLアサーション、クライアント証明書、OAuth OpenID Connect、Kerberosなどがあります。
-
指定された資格情報を評価し、認証が成功するか、失敗したか、グループ抽出、属性の抽出などのアクションが実行されるかどうかを判断します。
-
評価結果に基づいて、アクセスが許可されるか、拒否されるか、次の要素が選択されます。
-
評価する次の要因がなくなるまで、これらの手順を繰り返します。
nFactor 認証を使用すると、次のことができます。
- 任意の数の認証要素を設定します。
- 前のファクタを実行した結果に基づいて、次のファクタの選択を基にします。
- ログインインターフェイスをカスタマイズします。たとえば、ラベル名、エラーメッセージ、ヘルプテキストをカスタマイズできます。
- 認証を行わずにユーザグループ情報を抽出します。
- 認証ファクタのパススルーを設定します。つまり、その要因に対して明示的なログイン操作は必要ありません。
- 異なるタイプの認証を適用する順序を設定します。Citrix ADCアプライアンスでサポートされている認証メカニズムはすべて、nFactor認証セットアップの任意の要素として構成できます。これらの要因は、設定された順序で実行されます。
- 認証が失敗したときに実行する必要のある認証要素に進むようにCitrix ADCを構成します。これを行うには、まったく同じ条件で、次に高い優先順位で、アクションを「NO_AUTH」に設定して、別の認証ポリシーを設定します。次の要素を設定する必要があります。次の要素では、適用する代替認証メカニズムを指定する必要があります。
NFactor認証のためのCitrix Gatewayのログイン情報の暗号化
NFactor認証を使用するCitrix Gatewayでは、認証プロセス中にクライアント(ブラウザまたはSSOアプリ)から送信されたログイン要求フィールドを暗号化できます。暗号化されたログイン要求フィールドは、ユーザーの機密データが開示されないように保護するための追加のセキュリティ層を提供します。
互換性のあるブラウザー
次の表は、ログイン暗号化をサポートするバージョンの詳細とともに、ブラウザの一覧です。
| Webブラウザー | バージョン |
|---|---|
| Chrome | 78以降 |
| Firefox | 69以降 |
| Internet Explorer | 11 |
| Edge | 42以降 |
| Safari | 11.0以降 |
| Opera | 66 |
互換性のあるクライアント
以下のセクションでは、クライアントと、Citrix Gatewayログイン情報の暗号化をサポートするバージョンの詳細の一覧を示します。
- MacのCitrix Workspaceアプリでは、OSバージョンが10.14.x以降の場合にのみ暗号化がサポートされます。
- MacのCitrix SSOアプリでは、OSバージョンが10.14.x以降の場合にのみ暗号化がサポートされます。
- Windows SSOアプリには、互換性に関する制限はありません。
- Windowsクライアント用のCitrix Workspaceアプリでのパスワード暗号化は、Internet Explorer11バージョンでのみサポートされています。
CLIを使用してログインの暗号化を有効にするには
コマンドプロンプトで、次のように入力します。
set aaa parameter [-loginEncryption (ENABLED | DISABLED)]
注
LoginEncryptionパラメータは、デフォルトではDISABLEDになっています。ENABLEにする必要があります。
GUIを使用してログインの暗号化を有効にするには
- [セキュリティ]>[AAA — アプリケーショントラフィック] に移動し、[認証設定] セクションの [認証AAA OTP パラメータの変更] をクリックします。
- [AAAパラメータの設定] ページで、[ログイン暗号化] オプションまで下にスクロールし、有効にします。