認証
-
Citrix Endpoint Managementの展開では、認証の構成方法を決定する際にいくつかの考慮事項が発生します。このセクションでは、認証に影響を与えるさまざまな要因について説明します。
- 認証に関連する主要なMDXポリシー、Citrix Endpoint Managementクライアントプロパティ、およびNetScaler Gateway設定。
- これらのポリシー、クライアントプロパティ、および設定が相互に作用する方法。
- 各選択肢のトレードオフ。
この記事には、セキュリティレベルを向上させるための推奨される3つの構成例も含まれています。
一般的に言えば、セキュリティが強化されると、ユーザーはより頻繁に認証する必要があるため、ユーザーエクスペリエンスは最適ではなくなります。これらの懸念事項のバランスをどのように取るかは、組織のニーズと優先順位によって異なります。さまざまな認証オプションの相互作用を理解するために、推奨される3つの構成を確認してください。
認証モード
オンライン認証: ユーザーがCitrix Endpoint Managementネットワークにアクセスできるようにします。インターネット接続が必要です。
オフライン認証: デバイス上で実行されます。ユーザーはセキュアボールトをロック解除し、ダウンロードされたメール、キャッシュされたWebサイト、メモなどのアイテムにオフラインでアクセスできます。
認証方法
LDAP: Citrix Endpoint Managementで、Lightweight Directory Access Protocol (LDAP) に準拠する1つ以上のディレクトリへの接続を構成できます。この方法は、企業環境でシングルサインオン (SSO) を提供するためによく使用されます。LDAPでのユーザーエクスペリエンスを向上させるために、Active Directoryパスワードキャッシュを使用したCitrix PINを選択することもできます。同時に、登録時の複雑なパスワード、パスワードの有効期限、およびアカウントロックアウトのセキュリティを提供できます。
詳細については、ドメインまたはドメインとセキュリティトークン認証を参照してください。
クライアント証明書: Citrix Endpoint Managementは、業界標準の証明機関と統合して、オンライン認証の唯一の方法として証明書を使用できます。Citrix Endpoint Managementは、ユーザー登録後にこの証明書を提供します。これには、ワンタイムパスワード、招待URL、またはLDAP資格情報のいずれかが必要です。クライアント証明書を主要な認証方法として使用する場合、クライアント証明書のみの環境では、デバイス上の証明書を保護するためにCitrix PINが必要です。
Citrix Endpoint Managementは、サードパーティの証明機関に対してのみ証明書失効リスト (CRL) をサポートします。Microsoft CAが構成されている場合、Citrix Endpoint ManagementはNetScaler Gatewayを使用して失効を管理します。クライアント証明書ベースの認証を構成する際は、NetScaler Gatewayの証明書失効リスト (CRL) 設定である [CRL自動更新を有効にする] を構成する必要があるかどうかを検討してください。この手順により、MAMのみに登録されたデバイスが、デバイス上の既存の証明書を使用して認証できないようにします。Citrix Endpoint Managementは、証明書が失効した場合にユーザーがユーザー証明書を生成することを制限しないため、新しい証明書を再発行します。この設定により、CRLが期限切れのPKIエンティティをチェックする際に、PKIエンティティのセキュリティが向上します。
証明書ベースの認証、またはデバイス証明書を発行するための企業証明機関 (CA) の使用に必要な展開を示す図については、アーキテクチャを参照してください。
LDAP + クライアント証明書: この構成は、Citrix Endpoint Managementにとってセキュリティとユーザーエクスペリエンスの最適な組み合わせです。LDAPとクライアント証明書認証の両方を使用すると、次の利点があります。
- NetScaler Gatewayでの2要素認証によって提供されるセキュリティと組み合わせた、最高のSSOの可能性を提供します
- ユーザーが知っているもの (Active Directoryパスワード) と、ユーザーが持っているもの (デバイス上のクライアント証明書) の両方でセキュリティを提供します
Citrix Secure Mailは、クライアント証明書認証を使用して、シームレスな初回ユーザーエクスペリエンスを自動的に構成および提供できます。この機能には、適切に構成されたExchangeクライアントアクセスサーバー環境が必要です。
- 最適な使いやすさのために、LDAPとクライアント証明書認証をCitrix PINおよびActive Directoryパスワードキャッシュと組み合わせることができます。
LDAP + トークン: この構成では、RADIUSプロトコルを使用して、LDAP資格情報の従来の構成とワンタイムパスワードを組み合わせることができます。最適な使いやすさのために、このオプションをCitrix PINおよびActive Directoryパスワードキャッシュと組み合わせることができます。
認証に関する重要なポリシー、設定、およびクライアントプロパティ
次のポリシー、設定、およびクライアントプロパティは、次の3つの推奨構成に関連します。
MDXポリシー
アプリパスコード: オンの場合、アプリの起動時または非アクティブ期間後の再開時に、アプリのロックを解除するためにCitrix PINまたはパスコードが必要です。デフォルトはオンです。
すべてのアプリの非アクティブタイマーを構成するには、Citrix Endpoint Managementコンソールの設定タブにあるクライアントプロパティで、INACTIVITY_TIMERの値を分単位で設定します。デフォルトは15分です。非アクティブタイマーを無効にして、アプリの起動時にのみPINまたはパスコードのプロンプトが表示されるようにするには、値をゼロに設定します。
micro VPNセッションが必要: オンの場合、ユーザーはデバイス上のアプリにアクセスするために、企業ネットワークへの接続とアクティブなセッションが必要です。オフの場合、デバイス上のアプリにアクセスするためにアクティブなセッションは必要ありません。デフォルトはオフです。
最大オフライン期間 (時間): アプリのエンタイトルメントを再確認したり、Citrix Endpoint Managementからポリシーを更新したりすることなく、アプリが実行できる最大期間を定義します。iOSアプリは、次の条件を満たした後、ユーザーに中断を与えることなく、Citrix Endpoint ManagementからMDXアプリの新しいポリシーを取得します。
- 最大オフライン期間を設定していること、および
- Citrix Secure Hub for iOS に有効な NetScaler Gateway トークンがあること。
Citrix Secure Hub に有効な NetScaler Gateway トークンがない場合、アプリポリシーを更新する前に、ユーザーは Citrix Secure Hub を介して認証する必要があります。NetScaler Gateway トークンは、NetScaler Gateway セッションの非アクティブ状態、または強制セッションタイムアウトポリシーにより無効になることがあります。ユーザーが Citrix Secure Hub に再度サインオンすると、アプリの実行を継続できます。
ユーザーには、期間が期限切れになる 30 分前、15 分前、5 分前にサインオンするよう通知されます。期限切れ後、ユーザーがサインオンするまでアプリはロックされます。デフォルトは 72 時間 (3 日) です。最小期間は 1 時間です。
注:
ユーザーが頻繁に移動し、国際ローミングを使用するシナリオでは、デフォルトの 72 時間 (3 日) では短すぎる可能性があることに留意してください。
バックグラウンドサービスチケットの有効期限: バックグラウンドネットワークサービスチケットが有効な期間。Citrix Secure Mail が NetScaler Gateway を介して ActiveSync を実行している Exchange Server に接続すると、Citrix Endpoint Management はトークンを発行します。Citrix Secure Mail はそのトークンを使用して内部 Exchange Server に接続します。このプロパティ設定は、Citrix Secure Mail が認証と Exchange Server への接続のために新しいトークンを必要とせずにトークンを使用できる期間を決定します。時間制限が切れると、ユーザーは新しいトークンを生成するために再度ログオンする必要があります。デフォルトは 168 時間 (7 日) です。このタイムアウトが切れると、メール通知は停止します。
マイクロ VPN セッションの猶予期間: オンラインセッションが検証されるまで、ユーザーがオフラインでアプリを使用できる分数。デフォルトは 0 (猶予期間なし) です。
認証ポリシーについては、以下を参照してください。
- MAM SDK を使用する場合:MAM SDK の概要
- MDX Toolkit を使用する場合:Citrix Endpoint Management MDX for iOS ポリシー および Citrix Endpoint Management MDX for Android ポリシー
Citrix Endpoint Management クライアントプロパティ
注:
クライアントプロパティは、Citrix Endpoint Management に接続するすべてのデバイスに適用されるグローバル設定です。
Citrix PIN: シンプルなサインオンエクスペリエンスのために、Citrix PIN を有効にすることを選択できます。PIN を使用すると、ユーザーは Active Directory のユーザー名やパスワードなどの他の資格情報を繰り返し入力する必要がありません。Citrix PIN は、スタンドアロンのオフライン認証のみとして構成することも、PIN と Active Directory パスワードキャッシュを組み合わせて、最適な使いやすさのために認証を効率化することもできます。Citrix Endpoint Management コンソールの [設定]>[クライアント]>[クライアントプロパティ] で Citrix PIN を構成します。
以下は、いくつかの重要なプロパティの概要です。詳細については、「クライアントプロパティ」を参照してください。
ENABLE_PASSCODE_AUTH
表示名: Citrix PIN 認証を有効にする
このキーを使用すると、Citrix PIN機能を有効にできます。Citrix PINまたはパスコードを使用すると、ユーザーはActive Directoryパスワードの代わりにPINを定義するように求められます。ENABLE_PASSWORD_CACHINGが有効になっている場合、またはCitrix Endpoint Managementが証明書認証を使用している場合は、この設定を有効にしてください。
設定可能な値: true または false
デフォルト値: false
ENABLE_PASSWORD_CACHING
表示名: ユーザーパスワードのキャッシュを有効にする
このキーを使用すると、ユーザーのActive Directoryパスワードをモバイルデバイスにローカルでキャッシュできます。このキーをtrueに設定すると、ユーザーはCitrix PINまたはパスコードを設定するように求められます。このキーをtrueに設定する場合、ENABLE_PASSCODE_AUTHキーもtrueに設定する必要があります。
設定可能な値: true または false
デフォルト値: false
PASSCODE_STRENGTH
表示名: PINの強度要件
このキーは、Citrix PINまたはパスコードの強度を定義します。この設定を変更すると、次回認証を求められたときに、ユーザーは新しいCitrix PINまたはパスコードを設定するように求められます。
設定可能な値: 低、中、または 高
デフォルト値: 中
INACTIVITY_TIMER
表示名: 非アクティビティタイマー
このキーは、ユーザーがデバイスを非アクティブな状態にしてから、Citrix PINまたはパスコードの入力を求められることなくアプリにアクセスできる時間を分単位で定義します。MDXアプリでこの設定を有効にするには、[アプリのパスコード] 設定を [オン] にする必要があります。[アプリのパスコード] 設定が [オフ] に設定されている場合、ユーザーは完全な認証を行うためにCitrix Secure Hubにリダイレクトされます。この設定を変更すると、ユーザーが次回認証を求められたときに値が有効になります。デフォルトは15分です。
ENABLE_TOUCH_ID_AUTH
表示名: Touch ID認証を有効にする
オフライン認証に指紋リーダー(iOSのみ)の使用を許可します。オンライン認証には、引き続き主要な認証方法が必要です。
ENCRYPT_SECRETS_USING_PASSCODE
表示名: パスコードを使用してシークレットを暗号化する
このキーを使用すると、機密データをiOSキーチェーンなどのプラットフォームベースのネイティブストアではなく、シークレットボールトにモバイルデバイス上に保存できます。この構成キーは、キーアーティファクトの強力な暗号化を可能にするだけでなく、ユーザーエントロピー(ユーザーのみが知っているユーザー生成のランダムなPINコード)も追加します。
設定可能な値: true または false
デフォルト値: false
NetScaler Gateway設定
セッションタイムアウト: この設定を有効にすると、NetScaler Gatewayは指定された間隔でネットワークアクティビティを検出しない場合、セッションを切断します。この設定は、NetScaler Gateway Plug-in、Citrix Secure Hub、またはWebブラウザを介して接続するユーザーに適用されます。デフォルトは 1440分 です。この値をゼロに設定すると、この設定は無効になります。
強制タイムアウト: この設定を有効にすると、NetScaler Gatewayは、ユーザーが何をしていても、タイムアウト間隔が経過した後にセッションを切断します。タイムアウト間隔が経過すると、ユーザーは切断を防ぐためのアクションを実行できません。この設定は、NetScaler Gateway Plug-in、Citrix Secure Hub、またはWebブラウザを介して接続するユーザーに適用されます。Citrix Secure Mailが特別なNetScaler GatewayモードであるSTAを使用している場合、この設定はCitrix Secure Mailセッションには適用されません。デフォルトは値なしで、これは任意のアクティビティに対してセッションが延長されることを意味します。
NetScaler Gatewayのタイムアウト設定の詳細については、NetScaler Gatewayのドキュメントを参照してください。
Citrix Endpoint Management でデバイスに資格情報を入力して認証するようユーザーに促すシナリオの詳細については、「認証プロンプトのシナリオ」を参照してください。
デフォルト構成設定
これらの設定は、以下によって提供されるデフォルトです。
- NetScaler® for XenMobile ウィザード
- MAM SDK または MDX Toolkit
- Citrix Endpoint Management コンソール
| 設定 | 設定の場所 | デフォルト設定 |
|---|---|---|
| セッションタイムアウト | NetScaler Gateway | 1440 分 |
| 強制タイムアウト | NetScaler Gateway | 値なし (オフ) |
| 最大オフライン期間 | MDX ポリシー | 72 時間 |
| バックグラウンドサービスチケットの有効期限 | MDX ポリシー | 168 時間 (7 日間) |
| マイクロ VPN セッション必須 | MDX ポリシー | オフ |
| マイクロ VPN セッション必須猶予期間 | MDX ポリシー | 0 |
| アプリパスコード | MDX ポリシー | オン |
| パスコードを使用したシークレットの暗号化 | Citrix Endpoint Management クライアントプロパティ | false |
| Citrix PIN 認証を有効にする | Citrix Endpoint Management クライアントプロパティ | false |
| PIN 強度要件 | Citrix Endpoint Management クライアントプロパティ | 中 |
| PIN タイプ | Citrix Endpoint Management クライアントプロパティ | 数字 |
| ユーザーパスワードキャッシュを有効にする | Citrix Endpoint Management クライアントプロパティ | false |
| 非アクティブタイマー | Citrix Endpoint Management クライアントプロパティ | 15 |
| Touch ID 認証を有効にする | Citrix Endpoint Management クライアントプロパティ | false |
推奨構成
このセクションでは、最低限のセキュリティと最適なユーザーエクスペリエンスから、最高のセキュリティとより侵入的なユーザーエクスペリエンスまで、3つのCitrix Endpoint Management構成の例を示します。これらの例は、独自の構成をどのレベルに設定するかを決定するための役立つ参照点を提供します。これらの設定を変更すると、他の設定も変更する必要がある場合があります。たとえば、最大オフライン期間はセッションタイムアウトを超えてはなりません。
最高セキュリティ
この構成は最高レベルのセキュリティを提供しますが、使いやすさとの間で大きなトレードオフがあります。
| 設定 | 設定の場所 | 推奨設定 | 動作への影響 |
| セッションタイムアウト | NetScaler Gateway | 1440 | ユーザーは、オンライン認証が必要な場合(24時間ごと)にのみCitrix Secure Hubの資格情報を入力します。 |
| 強制タイムアウト | NetScaler Gateway | 値なし | アクティビティがある場合、セッションは延長されます。 |
| 最大オフライン期間 | MDX ポリシー | 23 | 毎日ポリシーの更新が必要です。 |
| バックグラウンドサービスチケットの有効期限 | MDX ポリシー | 72 時間 | NetScaler Gatewayセッショントークンなしで長期間のセッションを可能にするSTAのタイムアウト。Citrix Secure Mailの場合、STAタイムアウトをセッションタイムアウトよりも長く設定することで、メール通知が停止するのを防ぎます。この場合、セッションの有効期限が切れる前にアプリを開かない限り、Citrix Secure Mailはユーザーにプロンプトを表示しません。 |
| マイクロ VPN セッション必須 | MDX ポリシー | オフ | アプリを使用するための有効なネットワーク接続とNetScaler Gatewayセッションを提供します。 |
| マイクロ VPN セッション必須猶予期間 | MDX ポリシー | 0 | 猶予期間なし(マイクロ VPN セッション必須を有効にした場合)。 |
| アプリパスコード | MDX ポリシー | オン | アプリケーションにパスコードを要求します。 |
| パスコードを使用したシークレットの暗号化 | Citrix Endpoint Management クライアントプロパティ | true | ユーザーエントロピーから派生したキーがボールトを保護します。 |
| Citrix PIN 認証を有効にする | Citrix Endpoint Management クライアントプロパティ | true | 簡素化された認証エクスペリエンスのためにCitrix PINを有効にします。 |
| PIN 強度要件 | Citrix Endpoint Management クライアントプロパティ | 強 | 高いパスワード複雑性要件。 |
| PIN タイプ | Citrix Endpoint Management クライアントプロパティ | 英数字 | PIN は英数字のシーケンスです。 |
| パスワードキャッシュの有効化 | Citrix Endpoint Managementクライアントプロパティ | false | Active Directoryのパスワードはキャッシュされず、オフライン認証にはCitrix PINが使用されます。 |
| 非アクティブタイマー | Citrix Endpoint Managementクライアントプロパティ | 15 | ユーザーがこの期間MDXアプリまたはCitrix Secure Hubを使用しない場合、オフライン認証を要求します。 |
| Touch ID認証の有効化 | Citrix Endpoint Managementクライアントプロパティ | false | iOSでのオフライン認証ユースケースに対してTouch IDを無効にします。 |
より高いセキュリティ
より中道的なアプローチであるこの構成では、ユーザーは7日ごとではなく、最大3日ごとに認証を行う必要があり、より強力なセキュリティが提供されます。認証回数が増えることで、コンテナがより頻繁にロックされ、デバイスが使用されていないときのデータセキュリティが確保されます。
| 設定 | 設定場所 | 推奨設定 | 動作への影響 |
| セッションタイムアウト | NetScaler Gateway | 4320 | ユーザーはオンライン認証が必要な場合(3日ごと)にのみCitrix Secure Hubの資格情報を入力します。 |
| 強制タイムアウト | NetScaler Gateway | 値なし | アクティビティがある場合、セッションは延長されます。 |
| 最大オフライン期間 | MDXポリシー | 71 | 3日ごとのポリシー更新が必要です。1時間の差は、セッションタイムアウト前に更新を許可するためです。 |
| バックグラウンドサービスチケットの有効期限 | MDXポリシー | 168時間 | NetScaler Gatewayセッショントークンなしで長期間のセッションを可能にするSTAのタイムアウト。Citrix Secure Mailの場合、STAタイムアウトをセッションタイムアウトよりも長くすることで、ユーザーにプロンプトを表示せずにメール通知が停止するのを防ぎます。 |
| micro VPNセッションの必須化 | MDXポリシー | オフ | アプリを使用するための有効なネットワーク接続とNetScaler Gatewayセッションを提供します。 |
| micro VPNセッション必須猶予期間 | MDXポリシー | 0 | 猶予期間なし(micro VPNセッション必須を有効にした場合)。 |
| アプリパスコード | MDXポリシー | オン | アプリケーションにパスコードを要求します。 |
| パスコードを使用したシークレットの暗号化 | Citrix Endpoint Managementクライアントプロパティ | false | ボールトを暗号化するためにユーザーエントロピーを要求しません。 |
| Citrix PIN認証の有効化 | Citrix Endpoint Managementクライアントプロパティ | true | 簡素化された認証エクスペリエンスのためにCitrix PINを有効にします。 |
| PINの強度要件 | Citrix Endpoint Managementクライアントプロパティ | 中 | 中程度のパスワード複雑性ルールを適用します。 |
| PINタイプ | Citrix Endpoint Managementクライアントプロパティ | 数値 | PINは数値シーケンスです。 |
| パスワードキャッシュの有効化 | Citrix Endpoint Managementクライアントプロパティ | true | ユーザーPINがActive Directoryパスワードをキャッシュし、保護します。 |
| 非アクティブタイマー | Citrix Endpoint Managementクライアントプロパティ | 30 | ユーザーがこの期間MDXアプリまたはCitrix Secure Hubを使用しない場合、オフライン認証を要求します。 |
| Touch ID認証を有効にする | Citrix Endpoint Managementクライアントプロパティ | true | iOSでのオフライン認証ユースケースにTouch IDを有効にします。 |
高セキュリティ
ユーザーにとって最も便利なこの構成は、ベースレベルのセキュリティを提供します。
| 設定 | 設定場所 | 推奨設定 | 動作への影響 | |
| Setting | Where to Find the Setting | Recommended Setting | Behavior Impact | |
| Session time-out | NetScaler Gateway | 10080 | ユーザーは、オンライン認証が必要な場合(7日ごと)にのみCitrix Secure Hubの資格情報を入力します。 | |
| Forced time-out | NetScaler Gateway | 値なし | アクティビティがある場合、セッションは延長されます。 | |
| Maximum offline period | MDX Policies | 167 | 毎週(7日ごと)ポリシーの更新が必要です。時間の差は、セッションタイムアウトより前に更新を許可するためです。 | |
| Background services ticket expiration | MDX Policies | 240 | NetScaler Gatewayセッショントークンなしで長期間のセッションを可能にするSTAのタイムアウト。Citrix Secure Mailの場合、STAタイムアウトをセッションタイムアウトよりも長くすることで、メール通知が停止するのを防ぎます。この場合、セッションの有効期限が切れる前にユーザーがアプリを開かない限り、Citrix Secure Mailはユーザーにプロンプトを表示しません。 | |
| micro VPN session required | MDX Policies | オフ | アプリを使用するための有効なネットワーク接続とNetScaler Gatewayセッションを提供します。 | |
| micro VPN session required grace period | MDX Policies | 0 | 猶予期間なし(micro VPNセッション必須を有効にした場合)。 | |
| App passcode | MDX Policies | オン | アプリケーションにパスコードを要求します。 | |
| Encrypt secrets using passcode | Citrix Endpoint Management client properties | false | ボールトを暗号化するためにユーザーエントロピーを要求しません。 | |
| Enable Citrix PIN Authentication | Citrix Endpoint Management client properties | true | 簡素化された認証エクスペリエンスのためにCitrix PINを有効にします。 | |
| PIN Strength Requirement | Citrix Endpoint Management client properties | 低 | パスワードの複雑さの要件なし | |
| PIN Type | Citrix Endpoint Management client properties | 数値 | PINは数値シーケンスです。 | |
| Enable Password Caching | Citrix Endpoint Management client properties | true | ユーザーPINはActive Directoryパスワードをキャッシュして保護します。 | |
| Inactivity Timer | Citrix Endpoint Management client properties | 90 | ユーザーがこの期間MDXアプリまたはCitrix Secure Hubを使用しない場合、オフライン認証を要求します。 | |
| Enable Touch ID Authentication | Citrix Endpoint Management client properties | true | iOSでのオフライン認証ユースケースのためにTouch IDを有効にします。 |
ステップアップ認証の使用
一部のアプリでは、強化された認証が必要になる場合があります。たとえば、トークンや積極的なセッションタイムアウトなどの二次認証要素です。この認証方法はMDXポリシーを通じて制御します。この方法では、認証方法を制御するための個別の仮想サーバーも必要です(同じNetScaler Gatewayアプライアンス上、または別個のNetScaler Gatewayアプライアンス上)。
| 設定 | 設定場所 | 推奨設定 | 動作への影響 |
|---|---|---|---|
| 代替NetScaler Gateway | MDX Policies | セカンダリNetScaler GatewayアプライアンスのFQDNとポートが必要です。 | セカンダリNetScaler Gatewayアプライアンスの認証およびセッションポリシーによって制御される強化された認証を可能にします。 |
ユーザーが代替のNetScaler Gatewayを使用するアプリを開くと、他のすべてのアプリはそのNetScaler Gatewayインスタンスを使用して内部ネットワークと通信します。セッションは、セキュリティが強化されたNetScaler Gatewayインスタンスからタイムアウトした場合にのみ、セキュリティレベルの低いNetScaler Gatewayインスタンスに切り替わります。
マイクロVPNセッションの必須化
Citrix Secure Webなどの特定のアプリケーションでは、ユーザーが認証済みセッションを持っている場合にのみアプリを実行するように設定できます。このポリシーはそのオプションを強制し、ユーザーが作業を完了できるように猶予期間を設けます。
| 設定 | 設定場所 | 推奨設定 | 動作への影響 |
|---|---|---|---|
| マイクロVPNセッションの必須化 | MDXポリシー | オン | デバイスがオンラインであり、有効な認証トークンを持っていることを確認します。 |
| マイクロVPNセッション必須化の猶予期間 | MDXポリシー | 15 | ユーザーがアプリを使用できなくなる前に、15分間の猶予期間を許可します。 |