Citrix ADC

認証、承認、監査の仕組み

認証、承認、および監査は、適切な資格情報を持つすべてのクライアントが、インターネット上のどこからでも保護されたアプリケーションサーバーに安全に接続できるようにすることで、分散インターネット環境のセキュリティを提供します。この機能には、認証、承認、および監査の 3 つのセキュリティ機能が組み込まれています。認証により、Citrix ADCはクライアントの資格情報をローカルまたはサードパーティの認証サーバーで検証し、承認されたユーザーのみが保護されたサーバーにアクセスできるようにします。承認により、ADC は、保護されたサーバー上のどのコンテンツが各ユーザーにアクセスできるかを検証できます。監査により、ADC は、保護されたサーバー上の各ユーザーのアクティビティの記録を保持できます。

認証、承認、および監査が分散環境でどのように機能するかを理解するために、従業員がオフィス、自宅、および旅行中にアクセスするイントラネットを持つ組織を考えてみましょう。イントラネット上のコンテンツは機密情報であり、安全なアクセスが必要です。イントラネットにアクセスするすべてのユーザーは、有効なユーザー名とパスワードを持っている必要があります。これらの要件を満たすために、ADC は次のことを行います。

  • ユーザーがログインせずにイントラネットにアクセスした場合、ユーザーをログインページにリダイレクトします。
  • ユーザーの資格情報を収集し、認証サーバーに配信し、LDAP 経由でアクセス可能なディレクトリにキャッシュします。詳細については、 LDAP ディレクトリ内の属性の決定を参照してください

  • ユーザーの要求をアプリケーションサーバーに配信する前に、ユーザーが特定のイントラネットコンテンツにアクセスする権限を持っていることを確認します。
  • セッションタイムアウトを維持します。このタイムアウトを過ぎた後、イントラネットへのアクセスを回復するには、ユーザーが再度認証を受ける必要があります。(タイムアウトは設定できます)。
  • 無効なログイン試行を含め、ユーザーのアクセスを監査ログに記録します。

認証、承認、監査ポリシーを構成する

ユーザーとグループを設定したら、次に認証ポリシー、承認ポリシー、および監査ポリシーを構成して、イントラネットへのアクセスを許可するユーザー、各ユーザーまたはグループがアクセスできるリソース、認証、承認、および監査の詳細レベルを定義します。は監査ログに保持されます。認証ポリシーは、ユーザーがログオンを試みたときに適用する認証の種類を定義します。外部認証を使用する場合、ポリシーは外部認証サーバも指定します。承認ポリシーは、ユーザーとグループがログオンした後にアクセスできるネットワークリソースを指定します。監査ポリシーは、監査ログのタイプと場所を定義します。

各ポリシーを有効にするには、各ポリシーをバインドする必要があります。認証ポリシーを認証仮想サーバーに、認可ポリシーを 1 つ以上のユーザーアカウントまたはグループにバインドし、監査ポリシーをグローバルに、および 1 つ以上のユーザーアカウントまたはグループにバインドします。

ポリシーをバインドするときは、そのポリシーにプライオリティを割り当てます。プライオリティによって、定義したポリシーが評価される順序が決まります。優先度は、任意の正の整数に設定できます。Citrix ADCオペレーティングシステムでは、ポリシーの優先度は逆の順序で動作します。数値が大きいほど、優先度は低くなります。たとえば、プライオリティが 10、100、1000 の 3 つのポリシーがある場合、プライオリティ 10 が割り当てられたポリシーが最初に実行され、次にポリシーにプライオリティ 100 が割り当てられ、最後にポリシーにオーダー 1000 が割り当てられます。認証、認可、および監査機能は、要求が一致する各タイプのポリシーのうち最初のもののみを実装し、要求が一致する可能性のあるそのタイプの追加のポリシーは実装しません。したがって、ポリシーの優先順位は、意図した結果を得るために重要です。

他のポリシーを任意の順序で追加するための十分な余裕を残し、ポリシーをバインドするときに各ポリシー間に 50 または 100 の間隔で優先順位を設定することで、希望の順序で評価されるように設定できます。その後、既存のポリシーの優先順位を再割り当てすることなく、いつでもポリシーを追加できます。

Citrix ADCアプライアンスでのバインドポリシーの詳細については、 Citrix ADC製品のドキュメントを参照してください

を構成します No_Auth 特定のトラフィックをバイパスするポリシー

トラフィック管理仮想サーバーで 401 ベース認証が有効になっている場合、認証から特定のトラフィックをバイパスするように No_Auth ポリシーを構成できるようになりました。このようなトラフィックの場合は、「No_Auth」ポリシーをバインドする必要があります。

CLI を使用して特定のトラフィックをバイパスするように No_Auth ポリシーを設定するには

コマンドプロンプトで入力します。

add authentication policy <name> -rule <expression> -action <string>
<!--NeedCopy-->

例:

add authentication policy ldap -rule ldapAct1 -action No_Auth
<!--NeedCopy-->
認証、承認、監査の仕組み