nFactor 認証
重要
- nFactor認証は、NetScaler 11.0ビルド62.x以降でサポートされています。
- nFactor認証をCitrix ADCで機能させるには、アドバンスライセンスまたはプレミアムライセンスが必要です。
- リリース13.0ビルド67.x以降、nFactor認証は標準ライセンスでのみサポートされます。 Gateway/VPN 仮想サーバー。Citrix Gateway でのnFactor認証の詳細については、「 ゲートウェイ認証のnFactor」を参照してください。
- nFactor 認証は Linux クライアントではサポートされていません。
多要素認証では、ユーザーがアクセスするために複数の ID 証明を提供する必要があるため、アプリケーションのセキュリティが強化されます。Citrix ADCアプライアンスは、多要素認証を構成するための拡張性と柔軟なアプローチを提供します。このアプローチは nFactor 認証と呼ばれます。
nFactor 認証のしくみ
各認証ファクタは、次のタスクを実行します。
-
ユーザーから認証情報を収集します。Citrix ADCでサポートされている認証メカニズムには、LDAP、RADIUS、SAMLアサーション、クライアント証明書、OAuth OpenID Connect、Kerberosなどがあります。
-
指定されたクレデンシャルを評価して、認証が成功したか、失敗したか、またはグループ抽出、属性抽出などのアクションを実行するかを決定します。
-
評価結果に基づいて、アクセスが許可されるか、拒否されるか、次の要素が選択されます。
-
評価する次の要因がなくなるまで、これらの手順を繰り返します。
nFactor 認証を使用すると、次のことができます。
- 任意の数の認証要素を設定します。
- 前のファクタの実行結果に基づいて、次のファクタの選択を行います。
- ログインインターフェイスをカスタマイズします。たとえば、ラベル名、エラーメッセージ、およびヘルプテキストをカスタマイズできます。
- 認証を行わずにユーザーグループ情報を抽出します。
- 認証ファクタのパススルーを設定します。つまり、その要素には明示的なログイン操作は必要ありません。
- 異なるタイプの認証が適用される順序を設定します。Citrix ADCアプライアンスでサポートされている認証メカニズムは、nFactor認証設定の任意の要素として構成できます。これらの要因は、設定されている順序で実行されます。
- Citrix ADCを構成して、認証が失敗したときに実行する必要のある認証係数に進みます。そのためには、まったく同じ条件で、次に高い優先順位で、アクションを「NO_AUTH」に設定して、別の認証ポリシーを設定します。次の要素を設定する必要があります。次の要素では、適用する代替認証メカニズムを指定する必要があります。
nFactor 認証用のCitrix Gateway ログイン情報の暗号化
nFactor認証を使用したCitrix Gateway では、認証プロセス中にクライアント(ブラウザまたはSSOアプリ)から送信されたログイン要求フィールドを暗号化できます。暗号化されたログイン要求フィールドは、ユーザーの機密データが開示されないように保護するための追加のセキュリティレイヤーを提供します。
互換性のあるブラウザー
次の表に、ログイン暗号化をサポートするバージョンの詳細とブラウザの一覧を示します。
| Webブラウザー | バージョン |
|---|---|
| Chrome | 78以降 |
| Firefox | 69以降 |
| Internet Explorer | 11 |
| Edge | 42以降 |
| Safari | 11.0以降 |
| オペラ | 66 |
互換性のあるクライアント
次のセクションでは、Citrix Gateway ログイン情報の暗号化をサポートするバージョンの詳細とともに、クライアントの一覧を示します。
- MacのCitrix Workspaceアプリは、OSバージョンが10.14.x以降の場合にのみ暗号化をサポートします。
- MacのCitrix SSOアプリは、OSバージョンが10.14.x以降の場合にのみ暗号化をサポートします。
- Windows SSO アプリには、互換性に関する制限はありません。
- Windowsクライアント用Citrix Workspaceアプリでのパスワード暗号化は、Internet Explorer 11のバージョンでのみサポートされています。
CLI を使用してログイン暗号化を有効にするには
コマンドプロンプトで入力します。
set aaa parameter [-loginEncryption (ENABLED | DISABLED)]
注
LoginEncryption パラメータは、デフォルトで無効になっています。有効にする必要があります。
GUI を使用してログイン暗号化を有効にするには
- [ セキュリティ] > [AAA — アプリケーショントラフィック] に移動し、[ 認証設定] セクションで [ **認証 AAA 設定の変更** ] をクリックします。
- [AAA パラメータの設定] ページで、[ ログイン暗号化 ] オプションまでスクロールダウンし、有効にします。