MDXアプリのSSOとプロキシの考慮事項
Endpoint ManagementとCitrix Gatewayの統合により、ユーザーにバックエンドのすべてのHTTP/HTTPSリソースへのシングルサインオン(SSO)を提供することができます。SSO認証の要件に応じて、MDXアプリへのユーザー接続を、クライアントレスVPNの一種であるSecure Browse(トンネル - Web SSO)を使用するように構成できます。
重要:
iOSおよびAndroidデバイスの完全VPNトンネル展開で、Proxy Automatic Configuration(PAC)ファイルのサポートが廃止されました。詳しくは、「廃止」を参照してください。
お客様の環境においてSSOを提供する最善の方法がCitrix Gatewayでない場合は、ポリシーベースのローカルパスワードキャッシュを使用してMDXアプリをセットアップできます。この記事では、Secure Webに焦点を当てて、さまざまなSSOとプロキシのオプションについて説明します。この概念は他のMDXアプリにも適用されます。
次のフローチャートは、SSOとユーザー接続の決定フローをまとめたものです。
Citrix Gatewayの認証方法
ここでは、Citrix Gatewayでサポートされる認証方法について一般的な情報を説明します。
SAML認証
SAML(Security Assertion Markup Language)を使用するようにCitrix Gatewayを構成すると、ユーザーはシングルサインオンのSAMLプロトコルをサポートするWebアプリに接続できます。Citrix Gatewayでは、SAML Webアプリに対してIDプロバイダー(IdP)を使用したシングルサインオンがサポートされます。
必要な構成:
- Citrix GatewayのトラフィックプロファイルでSAML SSOを構成します。
- 要求されたサービスのSAML Idpを構成します。
NTLM認証
セッションプロファイルでWebアプリへのSSOが有効になっている場合、Citrix GatewayはNTLM認証を自動的に実行します。
必要な構成:
- Citrix GatewayのセッションプロファイルまたはトラフィックプロファイルでSSOを有効にします。
Kerberos偽装
Endpoint Managementでは、Secure WebについてのみKerberosをサポートします。Kerberos SSOを使用するようにCitrix Gatewayを構成すると、Citrix Gatewayではユーザーパスワードを使用できる場合に偽装が使用されます。偽装とは、Citrix Gatewayがユーザーの資格情報を使用して、Secure Webなどのサービスにアクセスするために必要なチケットを取得することです。
必要な構成:
- Citrix Gatewayの
Worxセッションポリシーを構成して、接続からKerberosレルムを識別できるようにします。 - Citrix GatewayでKerberos制約付き委任(KCD)アカウントを構成します。このアカウントをパスワードなしで構成し、Endpoint Managementゲートウェイのトラフィックポリシーにバインドします。
- 上記およびその他の構成の詳細については、Citrixブログ:WorxWeb and Kerberos Impersonation SSO を参照してください。
Kerberos制約付き委任
Endpoint Managementでは、Secure WebについてのみKerberosをサポートします。Kerberos SSOを使用するようにCitrix Gatewayを構成すると、Citrix Gatewayではユーザーパスワードを使用できない場合に制約付き委任が使用されます。
制約付き委任では、Citrix Gatewayは指定された管理者アカウントを使用して、ユーザーとサービスに代わってチケットを取得します。
必要な構成:
- 必要な権限とCitrix GatewayのKCDアカウントを使用して、Active DirectoryにKCDアカウントを構成します。
- Citrix GatewayのトラフィックプロファイルでSSOを有効にします。
- Kerberos認証用のバックエンドWebサイトを構成します。
フォーム入力認証
フォームベースのシングルサインオンを使用するようにCitrix Gatewayを構成すると、ユーザーは一度ログオンするだけで、ネットワーク内の保護されたすべてのアプリにアクセスできます。この認証方法は、トンネル - Web SSOモードを使用するアプリに適用されます。
必要な構成:
- Citrix GatewayのトラフィックプロファイルでフォームベースのSSOを構成します。
ダイジェストHTTP認証
セッションプロファイルでWebアプリへのSSOが有効になっている場合、Citrix GatewayはダイジェストHTTP認証を自動的に実行します。この認証方法は、トンネル - Web SSOモードを使用するアプリに適用されます。
必要な構成:
- Citrix GatewayのセッションプロファイルまたはトラフィックプロファイルでSSOを有効にします。
HTTP基本認証
セッションプロファイルでWebアプリへのSSOが有効になっている場合、Citrix GatewayはHTTP基本認証を自動的に実行します。この認証方法は、トンネル - Web SSOモードを使用するアプリに適用されます。
必要な構成:
- Citrix GatewayのセッションプロファイルまたはトラフィックプロファイルでSSOを有効にします。
セキュアトンネル - Web SSO
以下のセクションでは、Secure Webのユーザー接続の種類がトンネル - Web SSOについて説明します。
内部ネットワークをトンネルする接続は、さまざまなクライアントレスVPNを使用できます。これはトンネル - Web SSOと呼ばれています。トンネル - Web SSOは、Secure Webの [優先VPNモード] ポリシーに指定されるデフォルトの構成です。シングルサインオン(SSO)を必要とする接続に対しては、[トンネル-Web SSO] が推奨されます。
トンネル-Web SSOモードの場合、Citrix GatewayはHTTPSセッションを次の2つの部分に分割します:
- クライアントからCitrix Gatewayまで
- Citrix Gatewayからバックエンドリソースサーバーまで
このようにして、クライアントとサーバー間のすべてのトランザクションを把握することにより、Citrix GatewayでSSOが提供できるようになります。
また、トンネル-Web SSOモードで使用される場合にSecure Webに対してプロキシサーバーを構成できます。詳しくは、ブログ「Endpoint Management WorxWeb Traffic Through Proxy Server in Secure Browse Mode」を参照してください。
注:
Citrixは、PACを使用した完全VPNトンネルの廃止を発表しました。「廃止」を参照してください。
Endpoint ManagementはCitrix Gatewayが指定するプロキシ認証をサポートします。PACファイルには、指定のURLにアクセスするためにWebブラウザーがどのようにプロキシを選択するかを定義する規則が含まれます。PACファイル規則は、内部および外部の両サイトの処理を指定できます。Secure WebはPACファイル規則を解析し、プロキシサーバー情報をCitrix Gatewayに送信します。Citrix GatewayはPACファイルまたはプロキシサーバーを認識しません。
HTTPS Webサイトへの認証の場合:Secure WebのMDXポリシーである [Webパスワードのキャッシュを有効化] により、MDXを介するプロキシサーバーへのSSOをSecure Webが認証して提供するようにできます。
Citrix Gateway分割トンネリング
SSOとプロキシの構成を計画するときは、Citrix Gateway分割トンネリングを使用するかどうかも決める必要があります。Citrix Gateway分割トンネリングは、必要な場合にのみ使用することをお勧めします。ここでは、分割トンネリングのしくみの概要を説明します:Citrix Gatewayでは、ルーティングテーブルに基づいてトラフィックパスが決定されます。Citrix Gateway分割トンネリングがオンの場合、Secure Hubは内部(保護された)ネットワークのトラフィックとインターネットのトラフィックを区別します。Secure Hubは、DNSサフィックスとイントラネットアプリケーションに基づいてこの決定を行います。次にSecure Hubは、VPNトンネルを使用して内部ネットワークのトラフィックのみをトンネル処理します。Citrix Gateway分割トンネリングがオフの場合、すべてのトラフィックがVPNトンネルを経由します。
セキュリティ上の理由からすべてのトラフィックを監視する必要がある場合は、Citrix Gateway分割トンネリングをオフにします。これにより、すべてのトラフィックがVPNトンネルを経由します。
またCitrix Gatewayには、マイクロVPNを使用したリバース分割トンネルモードもあります。この構成では、Citrix Gatewayにトンネル処理されない、除外対象のIPアドレス一覧がサポートされます。これらのアドレスは、代わりにデバイスのインターネット接続を使用して送信されます。リバース分割トンネリングについて詳しくは、Citrix Gatewayのドキュメントを参照してください。
Endpoint Managementには、リバース分割トンネルの除外対象一覧が含まれています。特定のWebサイトをCitrix Gateway経由でトンネリングしない場合:代わりにLANを使用して接続する完全修飾ドメイン名(FQDN)またはDNSサフィックスのコンマ区切りの一覧を追加します。この一覧は、Citrix Gatewayがリバース分割トンネリング用に構成された、トンネル-Web SSOモードにのみ適用されます。