Citrix ADC

認証、承認、監査の仕組み

認証、承認、および監査は、適切な資格情報を持つすべてのクライアントが、インターネット上のどこからでも保護されたアプリケーションサーバーに安全に接続できるようにすることで、分散インターネット環境のセキュリティを提供します。この機能には、認証、認可、監査の 3 つのセキュリティ機能が組み込まれています。認証により、Citrix ADCは、ローカルまたはサードパーティの認証サーバーを使用してクライアントの資格情報を検証し、承認されたユーザーのみが保護されたサーバーにアクセスできるようにします。認証により、ADCは、各ユーザーがアクセスできる保護されたサーバー上のコンテンツを確認することができます。監査により、ADCは保護されたサーバーでの各ユーザーのアクティビティを記録できます。

分散環境で認証、承認、および監査がどのように機能するかを理解するために、従業員がオフィス、自宅、および出張時にアクセスするイントラネットを持つ組織を検討してください。イントラネット上のコンテンツは機密情報であり、安全なアクセスが必要です。イントラネットにアクセスするすべてのユーザーは、有効なユーザー名とパスワードを持っている必要があります。これらの要件を満たすために、ADCは次のことを行います。

  • ユーザーがログインせずにイントラネットにアクセスした場合、ユーザーをログインページにリダイレクトします。
  • ユーザーの資格情報を収集し、認証サーバーに配信し、LDAP 経由でアクセス可能なディレクトリにキャッシュします。詳細については、 LDAP ディレクトリ内の属性の決定を参照してください

  • ユーザーの要求をアプリケーションサーバーに配信する前に、ユーザーが特定のイントラネットコンテンツにアクセスする権限を持っていることを確認します。
  • セッションタイムアウトを維持します。このタイムアウトに達すると、ユーザーはイントラネットへのアクセスを回復するために再度認証する必要があります。(タイムアウトを設定できます)。
  • 無効なログイン試行を含め、ユーザーのアクセスを監査ログに記録します。

認証承認と監査ポリシーを構成します

ユーザーとグループを設定したら、次に認証ポリシー、承認ポリシー、および監査ポリシーを構成して、イントラネットへのアクセスを許可するユーザー、各ユーザーまたはグループがアクセスできるリソース、認証、承認、および監査の詳細レベルを定義します。は監査ログに保持されます。認証ポリシーは、ユーザーがログオンしようとしたときに適用される認証の種類を定義します。外部認証を使用する場合、ポリシーによって外部認証サーバも指定されます。承認ポリシーは、ユーザーとグループがログオンした後にアクセスできるネットワークリソースを指定します。監査ポリシーは、監査ログの種類と場所を定義します。

ポリシーを有効にするには、各ポリシーをバインドする必要があります。認証ポリシーは、認証仮想サーバー、承認ポリシーを 1 つ以上のユーザーアカウントまたはグループにバインドし、監査ポリシーをグローバルに、1 つ以上のユーザーアカウントまたはグループの両方にバインドします。

ポリシーをバインドするときは、そのポリシーに優先度を割り当てます。優先順位によって、定義したポリシーが評価される順序が決まります。プライオリティは任意の正の整数に設定できます。Citrix ADCオペレーティングシステムでは、ポリシーの優先順位は逆の順序で機能します。値が大きいほど、優先順位は低くなります。たとえば、プライオリティ 10、100、1000 の 3 つのポリシーがある場合、プライオリティ 10 が割り当てられたポリシーが最初に実行され、次にポリシーにプライオリティ 100 が割り当てられ、最後に 1000 というプライオリティが割り当てられます。認証、認可、および監査機能では、リクエストが一致する各タイプのポリシーのうち最初のもののみが実装され、リクエストが一致する可能性のあるタイプの追加のポリシーは実装されません。したがって、ポリシーの優先順位は、意図した結果を得るために重要です。

ポリシーをバインドするときに、各ポリシー間に 50 または 100 の間隔で優先度を設定することで、任意の順序で他のポリシーを追加できる十分な余地を残すことができます。その後、既存のポリシーの優先順位を再割り当てすることなく、いつでもポリシーを追加できます。

Citrix ADCアプライアンスでのバインドポリシーの詳細については、 Citrix ADC製品のドキュメントを参照してください

を構成します No_Auth 特定のトラフィックをバイパスするポリシー

トラフィック管理仮想サーバで 401 ベースの認証が有効になっている場合に、認証からの特定のトラフィックをバイパスするように No_Auth ポリシーを設定できるようになりました。このようなトラフィックの場合、バインドする必要があります “No_Auth” ポリシー。

CLI を使用して特定のトラフィックをバイパスするように No_Auth ポリシーを設定するには

コマンドプロンプトで入力します。

add authentication policy <name> -rule <expression> -action <string>
<!--NeedCopy-->

例:

add authentication policy ldap -rule ldapAct1 -action No_Auth
<!--NeedCopy-->
認証、承認、監査の仕組み