Citrix ADC

シンプルな構成のためのnFactorビジュアライザー

Citrix ADCリリース13.0ビルド36.27以降、GUIを介したnFactor構成は、nFactorVisualizerを使用することで簡素化されています。nFactor ビジュアライザーは、管理者が各要因の追跡を失うことなく、複数の要因を追加するのに役立ちます。フローに構築された因子のグループが 1 か所に表示されます。管理者は、認証の成功パスと失敗パスを別々に追加できます。フローを作成した後、管理者は nFactor フローを認証仮想サーバーにバインドする必要があります。

  • 管理者がnFactorフローで作成したすべての要素は、将来の使用のために保持されます。
  • Citrix ADC機能リリース13.0ビルド64.35以降では、nFactorビジュアライザーを使用して、決定ブロックを使用してnFactorフローを開始できます。

以前は、nFactor の設定は煩雑で、管理者は多くのページにアクセスして設定する必要がありました。変更が必要な場合、管理者は毎回構成済みのセクションを再確認する必要がありました。また、完全な構成を 1 か所で表示するオプションもありませんでした。

ユースケース1:RADIUSに続いてLDAP認証、それ以外の場合はnFactorビジュアライザを介してキャプチャにフォールバック

第 1 レベルの認証として RADIUS 認証を実現し、続いて LDAP 認証を実行します。RADIUSが失敗した場合、認証はキャプチャにフォールバックする必要があります。

ユースケース1

このユースケースを実現するには、nFactor ビジュアライザーを使用します。ビジュアライザーには、このフローと関連項目を追加するために使用できるさまざまなコントロールが用意されています。

次の図は、ビジュアライザを使用して前述のユースケース用に作成された nFactor フローを示しています。

ビジュアライザーでcase1を使用する

  • RADIUS。RADIUS を最初の要素として設定します。ログインスキーマとポリシーを追加します。この例では、radius_auth と RADIUS_policy が追加されるログインスキーマおよびポリシーです。のために RADIUS_Policy, 成功事例には別の要素を追加できます。この例では、成功の場合にLDAPファクターブロックが追加されています。失敗した場合は、キャプチャ係数を追加できます。

  • LDAP。LDAP 認証は、2 番目の要素として設定します。ログインスキーマとポリシーを追加します。この例では、ldap_auth と LDAP_policy が追加されるログインスキーマとポリシーです。

  • Captcha。RADIUS ポリシー障害の場合は、キャプチャ係数を作成します。この例では、captcha と captcha_policy が追加されるログインスキーマとポリシーです。

ユースケース2:LDAPの後に、nFactorビジュアライザによるLDAPグループメンバーシップに基づくキャプチャによるRADIUS/証明書認証

第 1 レベルの認証として RADIUS 認証を実現し、続いて LDAP 認証を実行します。RADIUSが失敗した場合、認証はキャプチャにフォールバックする必要があります。

ユースケース2

次の図は、ビジュアライザを使用して前述のユースケース用に作成された nFactor フローを示しています。

ビジュアライザーでcase2を使用する

  • LDAP。最初の要素として LDAP を設定します。ログインスキーマとポリシーを追加します。この例では、SingleAuth と LDAP_Policy が追加されるログインスキーマとポリシーです。のために LDAP_Policy, 成功事例には別の要素を追加できます。この例では、成功ケースの決定ブロックが追加されています。失敗した場合は、キャプチャの後にAD係数を追加できます。

  • グループ抽出 LDAP。LDAP 成功ケースに追加される決定ブロックです。デシジョンブロックは、ポリシー規則に基づいてユーザーを分岐する分岐アウト係数として使用されます。ビジュアライザーでは、デシジョンブロックに対して NO_AUTHN ポリシーのみを構成できます。

    この例では、グループ_抽出_LDAP がデシジョンブロックです。この決定ブロックに2つのポリシー(AD_Group_Partner and AD_Group_Employee)を追加します。ユースケースで説明されているように、AD_Group_Partner ポリシーを介してルーティングされるすべての要求は RADIUS 認証を使用します。したがって、このポリシーの成功事例を、RADIUS ファクタである次のファクタに接続します。同様に、AD_Group_Employee ポリシーを介してルーティングされるすべての要求は、証明書認証を使用します。したがって、このポリシーの成功事例を、証明の認証係数である次の要素に接続します。

    • RADIUS。のために AD_Group_Partner ポリシーが成功した場合は、RADIUS認証要素を作成します。

    • 証明書。のために AD_Group_Employee ポリシーが成功した場合は、証明書認証要素を作成します。

  • Captcha。LDAP ポリシーの障害の場合は、次の 2 つの要素、キャプチャと AD ファクタを作成します。

  • 最初に分岐するユースケースがある場合は、2つのフローを作成して別々にバインドするか、最初のフローを分岐として1つのフローを作成して、仮想サーバーにバインドすることができます。
  • 複数のブロックがあり、nFactor Flow画面でフロー全体を表示するには、ビジュアライザーをクリックして、フローを左端にドラッグします。
  • nFactorFlowsページのみを使用してnFactorFlowsを変更することをお勧めします。

nFactor ビジュアライザーを使用して nFactor を構成するには

注:

次の nFactor 構成は、ユースケース 1 シナリオ構成の実現に役立つ簡単な例です。

  1. [セキュリティ] > [AAA] — [アプリケーショントラフィック] > [nFactor ビジュアライザー] > [nFactor フロー] に移動します。
  2. [追加] をクリックします。
  3. [nFactor フロー] ページで、[+] をクリックして、フローの最初のファクタを追加します。最初のファクターは、この nFactor フローの識別子としても機能します。

    ファクターの追加

  4. 因子名を入力し、「 作成」をクリックします。

    因子の名前を入力してください

    係数名が nFactor Flow ページの係数ブロックに表示されます。

    __root__<flow_name>などのポリシーラベル名をサフィックスに使用せず、_db_をプレフィックスに使用しないでください。これは、nFactorフローで作成されるファクター名として使用されます。

  5. RADIUS ファクタを作成したら、[スキーマの追加] と [ポリシーの追加] を作成する必要があります。

    スキーマとポリシーを作成する

    詳しくは、「nFactor の概念、エンティティ、および用語」を参照してください。

  6. [スキーマの追加]をクリックします。新しいログインスキーマを追加するか、[認証 ログインスキーマ] リストから既存のログインスキーマを選択します。

    スキーマを追加する

  7. ログイン・スキーマを作成するには、「 追加 」をクリックし、 「認証ログイン・スキーマの作成」ページでスキーマ の名前を入力します。「 編集」 (鉛筆アイコン)をクリックして、リストから「 ログインスキーマファイル 」を選択します。

    スキーマ名

  8. [ポリシーの追加]をクリックします。認証ポリシーを作成するか、既存の認証ポリシーを選択できます。

    ポリシーの追加

  9. 新しいポリシーを作成するには、[追加] をクリックし、[認証ポリシーの作成] ページでポリシーの 名前を入力し、[作成] をクリックします。

    ポリシーの作成

  10. ファクタにログインスキーマとポリシーを追加すると、次の図に示すように、ログインスキーマとポリシーがビジュアライザのファクタに表示されます。任意の要素について、複数のポリシーを追加し、各ポリシーの成功と失敗の次の要素を定義できます。要素の一部であるポリシーを削除することもできます。

    ビジュアライザーのログインスキーマとポリシー

  11. フローを作成したら、nFactor フローを認証仮想サーバにバインドできます。

次の要因の追加

次の要素を追加するには、要件に従って次のオプションのいずれかを選択できます。

  • [係数の作成]: 係数を作成します。フローで作成される各ファクターは、そのフローに対して排他的です。
  • 決定ブロックを作成します。分岐アウト係数として機能するデシジョンブロックを作成します。デシジョンブロックにログインスキーマを追加することはできません。ビジュアライザーでは、デシジョンブロックに対して NO_AUTHN ポリシーのみを構成できます。

    決定ブロックは、Citrix ADC GUIを介してのみ追加または編集できます。CLIコマンドから決定ブロックを構成するオプションはありません。

  • 既存の係数に接続します。次の因子として既存の因子を選択します。既存のリストに表示されるすべての要素は、そのフロー専用に作成されます。
  • なし。既存の接続を削除します。

    次の要因の追加

    決定ブロックの追加

nFactor フローを認証サーバにバインドするには

  1. [nFactor フロー] ページで、認証仮想サーバーにバインドする nFactor フローを選択します。

  2. ハンバーガーアイコンをクリックして [認証サーバーにバインド] オプションを選択するか、詳細ペインで [認証サーバーにバインド] をクリックします。

    認証サーバーへのバインド

  3. [認証サーバにバインド] ページでは、次の操作を実行できます。

    • 認証仮想サーバーを追加するには、[追加] をクリックします。
    • リストから既存の認証サーバーを選択するには、[認証サーバー] フィールドをクリックします。

    認証サーバーの選択

  4. ハンバーガーのアイコンから「 バインディングを表示 」をクリックして、バインディングを表示します。

  5. 特定の nFactor フローから認証サーバをバインド解除するには、次の手順を実行します。

    • nFactorが ページをフローに、ハンバーガーのアイコンから バインドの表示]をクリックします。
    • [認証サーバのバインド] ページで、バインドを解除する認証サーバを選択し、[バインド解除] をクリックします。[閉じる]をクリックします。

    認証サーバーからのバインド解除

nFactor 認証の詳細については、次のトピックを参照してください。

nFactor ビジュアライザーの機能強化

Citrix ADC リリース 13.0 ビルド 41.20 以降では、nFactor ビジュアライザーで次の機能が強化されています。

  • 管理者は、作成した要素をゴミ箱アイコンに移動できます。
  • 仮想サーバーの認証ページで nFactor フローを表示します。

ごみ箱アイコン。管理者は、接続のないノードのみを削除できます。ただし、要素をごみ箱に移動した場合、基になるポリシーまたは要素に対して作成されたスキーマは削除されません。

ごみ箱アイコンを表示するには、

  1. [セキュリティ] > [AAA] — [アプリケーショントラフィック] > [nFactor ビジュアライザー] > [nFactor フロー] に移動します。

    ビジュアライザー-ゴミ箱アイコン

  2. ファクタを削除するには、ファクタブロックをクリックしてゴミ箱にドラッグします。

認証仮想サーバからの nFactor フローを表示します。管理者は、作成されたnFactorフローをAuthentication VirtualServerページから表示することもできます。

仮想サーバーの認証ページから nFactor フローを表示するには、

  1. Security > AAA – Application Traffic > Virtual Serversに移動します。[仮想サーバーの認証] ページでは、次の手順を実行します。
    • 認証仮想サーバーを追加するには、[追加] をクリックします。
    • 既存の認証仮想サーバーを編集するには、詳細ウィンドウ領域で [編集] をクリックします。

    認証サーバーの追加または編集

  2. [認証仮想サーバー] ページでは、[高度な認証ポリシー]nFactor Flow オプションを表示できます。

    nFactorフローの表示

  3. 仮想サーバーに nFactor フローがバインドされていない場合は、[高度な認証ポリシー] セクションの [nFactor フローなし] をクリックして、新しい nFactor フローを追加するか、リストから既存の nFactor フローを選択します。

    nFactorフローがバインドされていない場合