MDXアプリのSSOとプロキシの考慮事項
Endpoint ManagementとNetScalerの統合により、ユーザーにバックエンドのすべてのHTTP/HTTPSリソースへのシングルサインオン(SSO)を提供することができます。SSO認証の要件に応じて、MDXアプリへのユーザー接続を、次のいずれかのオプションを使用するように構成できます。
- クライアントレスVPNの一種であるセキュアブラウズ
- 完全VPNトンネル
お客様の環境においてSSOを提供する最善の方法がNetScalerでない場合は、ポリシーベースのローカルパスワードキャッシュを使用してMDXアプリをセットアップできます。この記事では、Secure Webに焦点を当てて、さまざまなSSOとプロキシのオプションについて説明します。この概念は他のMDXアプリにも適用されます。
次のフローチャートは、SSOとユーザー接続の決定フローをまとめたものです。
NetScaler認証方法
ここでは、NetScalerでサポートされる認証方法について一般的な情報を説明します。
SAML認証
SAML(Security Assertion Markup Language)を使用するようにNetScalerを構成すると、ユーザーはシングルサインオンのSAMLプロトコルをサポートするWebアプリに接続できます。NetScaler Gatewayでは、SAML Webアプリに対してIDプロバイダー(IdP)を使用したシングルサインオンがサポートされます。
必要な構成:
- NetScalerのトラフィックプロファイルでSAML SSOを構成します。
- 要求されたサービスのSAML Idpを構成します。
NTLM認証
セッションプロファイルでWebアプリへのSSOが有効になっている場合、NetScalerはNTLM認証を自動的に実行します。
必要な構成:
- NetScalerのセッションプロファイルまたはトラフィックプロファイルでSSOを有効にします。
Kerberos偽装
Endpoint Managementでは、Secure WebについてのみKerberosをサポートします。Kerberos SSOを使用するようにNetScalerを構成すると、NetScalerではユーザーパスワードを使用できる場合に偽装が使用されます。偽装とは、NetScalerがユーザーの資格情報を使用して、Secure Webなどのサービスにアクセスするために必要なチケットを取得することです。
必要な構成:
- NetScalerの「Worx」セッションポリシーを構成して、接続からKerberosレルムを識別できるようにします。
- NetScalerでKerberos制約付き委任(KCD)アカウントを構成します。このアカウントをパスワードなしで構成し、Endpoint Managementゲートウェイのトラフィックポリシーにバインドします。
- 上記およびその他の構成の詳細については、Citrixブログ:WorxWeb and Kerberos Impersonation SSO を参照してください。
Kerberos制約付き委任
Endpoint Managementでは、Secure WebについてのみKerberosをサポートします。Kerberos SSOを使用するようにNetScalerを構成すると、NetScalerではユーザーパスワードを使用できない場合に制約付き委任が使用されます。
制約付き委任では、NetScalerは指定された管理者アカウントを使用して、ユーザーとサービスに代わってチケットを取得します。
必要な構成:
- 必要な権限とNetScalerのKDCアカウントを使用して、Active DirectoryにKCDアカウントを構成します。
- NetScalerのトラフィックプロファイルでSSOを有効にします。
- Kerberos認証用のバックエンドWebサイトを構成します。
- 上記およびその他の構成の詳細については、Citrixブログ「Configuring Kerberos Single Sign-on for WorxWeb」 を参照してください。
フォーム入力認証
フォームベースのシングルサインオンを使用するようにNetScalerを構成すると、ユーザーは一度ログオンするだけで、ネットワーク内の保護されたすべてのアプリにアクセスできます。この認証方法は、セキュアブラウズモードまたは完全VPNモードを使用するアプリに適用されます。
必要な構成:
- NetScalerのトラフィックプロファイルでフォームベースのSSOを構成します。
ダイジェストHTTP認証
セッションプロファイルでWebアプリへのSSOが有効になっている場合、NetScalerはダイジェストHTTP認証を自動的に実行します。この認証方法は、セキュアブラウズモードまたは完全VPNモードを使用するアプリに適用されます。
必要な構成:
- NetScalerのセッションプロファイルまたはトラフィックプロファイルでSSOを有効にします。
HTTP基本認証
セッションプロファイルでWebアプリへのSSOが有効になっている場合、NetScalerはHTTP基本認証を自動的に実行します。この認証方法は、セキュアブラウズモードまたは完全VPNモードを使用するアプリに適用されます。
必要な構成:
- NetScalerのセッションプロファイルまたはトラフィックプロファイルでSSOを有効にします。
セキュアブラウズ、完全VPNトンネル、またはPACがある完全VPNトンネル
以下のセクションでは、Secure Webのユーザー接続の種類について説明します。
完全VPNトンネル
内部ネットワークへトンネルする接続では完全VPNトンネルを使用できます。完全VPNトンネルを構成するには、Secure Webの[優先VPNモード]ポリシーを使用します。内部ネットワークのリソースにクライアント証明書またはエンドツーエンドのSSLを使用する接続に対しては、[完全VPNトンネル]を推奨します。完全VPNトンネルは、TCP上のあらゆるプロトコルを処理します。Windows、Mac、iOS、およびAndroidデバイスで完全VPNトンネルを使用できます。
完全VPNトンネルモードにすると、NetScalerではHTTPSセッション内の状態が表示されなくなります。
セキュアブラウズ
内部ネットワークをトンネルする接続は、さまざまなクライアントレスVPNを使用できます。これはセキュアブラウズと呼ばれています。セキュアブラウズは、Secure Webの[優先VPNモード] ポリシーに指定されるデフォルトの構成です。シングルサインオン(SSO)を必要とする接続に対しては、セキュアブラウズが推薦されます。
セキュアブラウズモードの場合、NetScalerはHTTPSセッションを次の2つの部分に分割します:
- クライアントからNetScalerまで
- NetScalerからバックエンドリソースサーバーまで。
このようにして、クライアントとサーバー間のすべてのトランザクションを把握することにより、NetScalerでSSOが提供できるようになります。
また、セキュアブラウズモードで使用される場合にSecure Webに対してプロキシサーバーを構成できます。詳しくは、ブログ「Endpoint Management WorxWeb Traffic Through Proxy Server in Secure Browse Mode」を参照してください。
PACがある完全VPNトンネル
iOSおよびAndroidデバイスのSecure Webに対して、Proxy Automatic Configuration(PAC)ファイルを完全VPNトンネル展開で使用できます。Endpoint ManagementはNetScalerが指定するプロキシ認証をサポートします。PACファイルには、指定のURLにアクセスするためにWebブラウザーがどのようにプロキシを選択するかを定義する規則が含まれます。PACファイル規則は、内部および外部の両サイトの処理を指定できます。Secure WebはPACファイル規則を解析し、プロキシサーバー情報をNetScaler Gatewayに送信します。NetScaler GatewayはPACファイルまたはプロキシサーバーを認識しません。
HTTPS Webサイトへの認証の場合:Secure WebのMDXポリシーである [Webパスワードのキャッシュを有効化] により、MDXを介するプロキシサーバーへのSSOをSecure Webが認証して提供するようにできます。
NetScaler分割トンネリング
SSOとプロキシの構成を計画するときは、NetScaler分割トンネリングを使用するかどうかも決める必要があります。NetScaler分割トンネリングは、必要な場合にのみ使用することをお勧めします。ここでは、分割トンネリングのしくみの概要を説明します:NetScalerでは、ルーティングテーブルに基づいてトラフィックパスが決定されます。NetScaler分割トンネリングがオンの場合、Secure Hubは内部(保護された)ネットワークのトラフィックとインターネットのトラフィックを区別します。Secure Hubは、DNSサフィックスとイントラネットアプリケーションに基づいてこの決定を行います。次にSecure Hubは、VPNトンネルを使用して内部ネットワークのトラフィックのみをトンネル処理します。NetScaler分割トンネリングがオフの場合、すべてのトラフィックがVPNトンネルを経由します。
- セキュリティ上の理由からすべてのトラフィックを監視する必要がある場合は、NetScaler分割トンネリングをオフにします。これにより、すべてのトラフィックがVPNトンネルを経由します。
- PACがある完全VPNトンネルを使用する場合は、NetScaler Gatewayの分割トンネリングを無効にする必要があります。分割トンネリングが有効でPACファイルが構成されていると、PACファイル規則によりNetScaler分割トンネリング規則は無効になります。トラフィックポリシーで構成されたプロキシサーバーは、NetScaler分割トンネリング規則を上書きしません。
Secure Webでは、[ネットワークアクセス] ポリシーはデフォルトで [内部ネットワークへトンネル] に設定されています。この構成では、MDXアプリはNetScaler分割トンネル設定を使用します。[ネットワークアクセス] ポリシーのデフォルト設定は、Citrix業務用モバイルアプリによって異なる場合があります。
またNetScaler Gatewayには、マイクロVPNを使用したリバース分割トンネルモードもあります。この構成では、NetScalerにトンネル処理されない、除外対象のIPアドレス一覧がサポートされます。これらのアドレスは、代わりにデバイスのインターネット接続を使用して送信されます。リバース分割トンネリングについて詳しくは、NetScaler Gatewayのドキュメントを参照してください。
Endpoint Managementには、リバース分割トンネルの除外対象一覧が含まれています。特定のWebサイトをNetScaler Gateway経由でトンネリングしない場合:代わりにローカルエリアネットワーク(LAN)を使用して接続する完全修飾ドメイン名(FQDN)またはDNSサフィックスのコンマ区切りの一覧を追加します。この一覧は、NetScaler Gatewayがリバース分割トンネリング用に構成された、セキュアブラウズモードにのみ適用されます。