Citrix ADC

事前認証エンドポイント分析スキャンを nFactor 認証の要素として構成する

Citrix Gateway では、エンドポイント分析(EPA)を構成して、ユーザーデバイスが特定のセキュリティ要件を満たしているかどうかを確認し、それに応じてユーザーに内部リソースへのアクセスを許可できます。エンドポイント分析プラグインは、ユーザーがCitrix Gateway に初めてログオンするときに、ユーザーデバイスにダウンロードおよびインストールされます。ユーザーがユーザーデバイスにEndpoint Analysisプラグインをインストールしない場合、またはスキャンをスキップすることを選択した場合、ユーザーはCitrix Gateway プラグインでログオンできません。必要に応じて、内部ネットワークリソースへのアクセスが制限された隔離グループにユーザーを入れることができます。

nFactor または多要素認証での EPA スキャン

このトピックでは、EPA スキャンは nFactor 認証または多要素認証の初期チェックとして使用されます。

ユーザーはCitrix Gateway 仮想IPアドレスに接続します。EPA スキャンが開始されました。EPA スキャンが成功すると、RADIUS または OTP ベースの認証用のユーザー名とパスワードのフィールドを含むログインページが表示されます。それ以外の場合、ユーザにはログインページが表示されますが、今回は LDAP または AD(Active Directory)ベースの認証を使用してユーザが認証されます。ユーザーが指定した認証情報の成功または失敗に基づいて、ユーザーにアクセス権が付与されます。

EPA のポストでこのロジックを実装する:

  1. EPA スキャンが成功すると、ユーザーは既定のユーザーグループに配置されるか、タグ付けされます。

  2. EPA スキャンが失敗した場合、ユーザーは検疫グループに配置されるか、隔離グループにタグ付けされます。

  3. 次の認証方法(RADIUS または LDAP)は、最初の 2 つのステップで決定されたユーザグループメンバーシップに基づいて選択されます。

前提条件

次の設定が適切であることを確認します。

  • VPN 仮想サーバーまたはゲートウェイおよび認証仮想サーバーの構成
  • 認証、承認、および監査ユーザーグループ(デフォルトおよび検疫済みユーザーグループ用)および関連ポリシー
  • LDAP および RADIUS サーバの設定と関連付けられたポリシー

次の図に、ポリシーとポリシーラベルのマッピングを示します。これは設定に使用されるアプローチですが、右から左に順です。

この例のポリシーとポリシーラベルのマッピング

注: セットアップは、Citrix ADCバージョン13.0以降で利用可能なnFactorビジュアライザーを使用して作成することもできます。

ビジュアライザーでのこのセットアップの表現

CLI を使用して、次の操作を実行します

  1. quarantined_group メンバシップをチェックし、特定の LDAP サーバで認証するように設定された LDAP ポリシーに関連付けるように LDAP 認証ポリシーを設定します。次のサンプルコマンドでは、ldap-authは認証ポリシーの名前で、 ldap_server1は作成された LDAP アクションの名前です。

    add authentication Policy ldap-auth -rule "AAA.USER.IS_MEMBER_OF ("quarantined_group")" -action ldap_server1
    <!--NeedCopy-->
    
  2. default_group メンバシップをチェックし、特定の RADIUS サーバで認証するように設定された RADIUS ポリシーに関連付けるように Radius-auth ポリシーを設定します。次のコマンド例では、 radius-auth は認証ポリシーの名前で、 radius_server1 は作成された RADIUS アクションの名前です。

    add authentication Policy radius-auth -rule "AAA.USER.IS_MEMBER_OF("default_group")" -action radius_server1
    <!--NeedCopy-->
    
  3. ポリシーラベル postepa-usergroup-check をログインスキーマとともに設定し、単一ファクタのユーザ名とパスワードを取得します。

    add authentication policylabel post-epa-usergroup-check -loginSchema lschema_single_factor_deviceid
    <!--NeedCopy-->
    

    注: 組み込みスキーマ lschema_single_factor_deviceid を使用しない場合は、必要に応じてスキーマに置き換えることができます。

  4. ステップ 1 および 2 で設定したポリシーを、ステップ 3 で設定したポリシーラベルに関連付けます。

    bind authentication policylabel post-epa-usergroup-check -policyName radius-auth -priority 100 -gotoPriorityExpression END
    
    bind authentication policylabel post-epa-usergroup-check -policyName ldap-auth -priority 110 -gotoPriorityExpression END
    <!--NeedCopy-->
    

    注: END は、そのレッグの認証メカニズムの終了を示します。

  5. EPA スキャンを実行するアクションを作成し、EPA スキャンポリシーに関連付けます。

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr("app_0_MAC- BROWSER_1001_VERSION_<=_10.0.3")||sys.client_expr("os_0_win7_sp_1")"  -defaultEPAGroup default_group -quarantineGroup quarantined_group
    <!--NeedCopy-->
    

    default_group と quarantined_group は、事前設定されたユーザグループです。ステップ 5 の式は、macOS ユーザのブラウザのバージョンが 10.0.3 未満であるかどうか、または Windows 7 ユーザに Service Pack 1 がインストールされているかどうかをスキャンします。

    add authentication Policy EPA-check -rule true -action EPA-client-scan
    <!--NeedCopy-->
    
  6. EPA スキャンポリシーを認証、承認、および監査仮想サーバーに関連付けて、次のステップでポリシーラベル post-epa-usergroup-check をポイントします。これは、認証の次のステップを実行するためです。

    bind authentication vserver MFA_AAA_vserver -policy EPA-check -priority 100 -nextFactor post-epa-usergroup-check -gotoPriorityExpression NEXT
    <!--NeedCopy-->
    

nFactor ビジュアライザーを使用した構成

  1. セキュリティ > AAA アプリケーショントラフィック > nFactor ビジュアライザー > nFactor フローに移動し追加をクリックします。

  2. [ + ] をクリックして nFactor フローを追加します。

    クリックして係数を追加する

  3. 係数を追加します。入力する名前は nFactor フローの名前です。

    ファクタの名前を追加する

    注: 最初の要素にはスキーマは必要ありません。

    第 1 要素にスキーマは不要です

  4. [ ポリシーの追加 ]、[ 追加 ] の順にクリックして、EPA チェック用の認証ポリシーを作成します。

    クリックしてポリシーを追加します

  5. [ Action ] フィールドで、[ Add ] をクリックして EPA アクションを追加します。

    クリックしてアクションを追加

    EPA の詳細については、「 高度なエンドポイント分析スキャンの構成」を参照してください。

  6. EPA_nFactor ブロックの緑色の + 記号をクリックして、EPA ユーザーグループチェック後の次の要素を追加します。

    クリックして、EPA 後のユーザーグループチェックの次の要素を追加します

  7. [ スキーマの追加 ] をクリックして、2 番目の要素のスキーマを追加します。スキーマ lschema_single_factor_deviceid を選択します。

    クリックして 2 番目の要素のスキーマを追加

    第 2 ファクタのスキーマを選択

  8. [ ポリシーの追加 ] をクリックして、LDAP 認証のポリシーを選択します。

    クリックして LDAP 認証のポリシーを追加します

    LDAP のポリシーでは、ユーザが隔離されたグループに属しているかどうかがチェックされます。LDAP 認証の作成の詳細については、「LDAP 認証の設定」を参照してください。

    LDAP 認証のポリシーの選択

  9. epa_nFactor ブロックの青い + 記号をクリックして、2 番目の認証を追加します。

    クリックして 2 番目の認証を追加します

  10. [Add] をクリックして、RADIUS 認証のポリシーを選択します。RADIUS 認証の作成の詳細については、「RADIUS 認証の設定」を参照してください。

    RADIUS 認証のポリシーを選択するには、[追加] をクリックします。

    LDAP のポリシーは、ユーザーがデフォルトグループに属しているかどうかをチェックします。

    LDAP のポリシーを選択します。

  11. [完了] をクリックします。

  12. nFactor フローが完了したら、このフローを認証、承認、および監査仮想サーバーにバインドします。[ 認証サーバにバインド ] をクリックし、[ 作成] をクリックします。

    クリックすると、フローが認証仮想サーバーにバインドされます。

nFactor フローのバインドを解除する

  1. nFactor フローを選択し、[ バインディングを表示] をクリックします。

  2. 認証仮想サーバを選択し、[ Unbind] をクリックします。

    nFactor フローのバインドを解除する

事前認証エンドポイント分析スキャンを nFactor 認証の要素として構成する