MDXアプリのSSOとプロキシの考慮事項
Endpoint ManagementとCitrix Gatewayの統合により、ユーザーにバックエンドのすべてのHTTP/HTTPSリソースへのシングルサインオン(SSO)を提供することができます。SSO認証の要件に応じて、MDXアプリへのユーザー接続を、次のいずれかのオプションを使用するように構成できます。
- クライアントレスVPNの一種であるセキュアブラウズ(トンネル - Web SSO)
- 完全VPNトンネル
重要:
MDX Toolkitバージョン18.12.0リリースには、以前のポリシーを組み合わせたり置き換えたりした新しいポリシーが含まれています。 [ネットワークアクセス]ポリシーは[ネットワークアクセス]、[優先VPNモード]、[VPNモードの切り替えを許可]を組み合わせたものです。[除外の一覧]ポリシーは、[分割トンネルの除外対象一覧]に置き換えられます。[オンラインセッションを必須とする]ポリシーは、[Micro VPNセッションを必須とする]ポリシーに置き換えられます。詳しくは、「MDX Toolkit 18.12.0の新機能」を参照してください。
[トンネル-Web SSO]は、この設定において[セキュアブラウズ]に相当する名前です。動作は同じです。
お客様の環境においてSSOを提供する最善の方法がCitrix Gatewayでない場合は、ポリシーベースのローカルパスワードキャッシュを使用してMDXアプリをセットアップできます。この記事では、Secure Webに焦点を当てて、さまざまなSSOとプロキシのオプションについて説明します。この概念は他のMDXアプリにも適用されます。
次のフローチャートは、SSOとユーザー接続の決定フローをまとめたものです。
Citrix Gatewayの認証方法
ここでは、Citrix Gatewayでサポートされる認証方法について一般的な情報を説明します。
SAML認証
SAML(Security Assertion Markup Language)を使用するようにCitrix Gatewayを構成すると、ユーザーはシングルサインオンのSAMLプロトコルをサポートするWebアプリに接続できます。Citrix Gatewayでは、SAML Webアプリに対してIDプロバイダー(IdP)を使用したシングルサインオンがサポートされます。
必要な構成:
- Citrix GatewayのトラフィックプロファイルでSAML SSOを構成します。
- 要求されたサービスのSAML Idpを構成します。
NTLM認証
セッションプロファイルでWebアプリへのSSOが有効になっている場合、Citrix GatewayはNTLM認証を自動的に実行します。
必要な構成:
- Citrix GatewayのセッションプロファイルまたはトラフィックプロファイルでSSOを有効にします。
Kerberos偽装
Endpoint Managementでは、Secure WebについてのみKerberosをサポートします。Kerberos SSOを使用するようにCitrix Gatewayを構成すると、Citrix Gatewayではユーザーパスワードを使用できる場合に偽装が使用されます。偽装とは、Citrix Gatewayがユーザーの資格情報を使用して、Secure Webなどのサービスにアクセスするために必要なチケットを取得することです。
必要な構成:
- Citrix Gatewayの「Worx」セッションポリシーを構成して、接続からKerberosレルムを識別できるようにします。
- Citrix GatewayでKerberos制約付き委任(KCD)アカウントを構成します。このアカウントをパスワードなしで構成し、Endpoint Managementゲートウェイのトラフィックポリシーにバインドします。
- 上記およびその他の構成の詳細については、Citrixブログ:WorxWeb and Kerberos Impersonation SSO を参照してください。
Kerberos制約付き委任
Endpoint Managementでは、Secure WebについてのみKerberosをサポートします。Kerberos SSOを使用するようにCitrix Gatewayを構成すると、Citrix Gatewayではユーザーパスワードを使用できない場合に制約付き委任が使用されます。
制約付き委任では、Citrix Gatewayは指定された管理者アカウントを使用して、ユーザーとサービスに代わってチケットを取得します。
必要な構成:
- 必要な権限とCitrix GatewayのKCDアカウントを使用して、Active DirectoryにKCDアカウントを構成します。
- Citrix GatewayのトラフィックプロファイルでSSOを有効にします。
- Kerberos認証用のバックエンドWebサイトを構成します。
- 上記およびその他の構成の詳細については、Citrixブログ「Configuring Kerberos Single Sign-on for WorxWeb」 を参照してください。
フォーム入力認証
フォームベースのシングルサインオンを使用するようにCitrix Gatewayを構成すると、ユーザーは一度ログオンするだけで、ネットワーク内の保護されたすべてのアプリにアクセスできます。この認証方法は、トンネル - Web SSOモードまたは完全VPNモードを使用するアプリに適用されます。
必要な構成:
- Citrix GatewayのトラフィックプロファイルでフォームベースのSSOを構成します。
ダイジェストHTTP認証
セッションプロファイルでWebアプリへのSSOが有効になっている場合、Citrix GatewayはダイジェストHTTP認証を自動的に実行します。この認証方法は、トンネル - Web SSOモードまたは完全VPNモードを使用するアプリに適用されます。
必要な構成:
- Citrix GatewayのセッションプロファイルまたはトラフィックプロファイルでSSOを有効にします。
HTTP基本認証
セッションプロファイルでWebアプリへのSSOが有効になっている場合、Citrix GatewayはHTTP基本認証を自動的に実行します。この認証方法は、トンネル - Web SSOモードまたは完全VPNモードを使用するアプリに適用されます。
必要な構成:
- Citrix GatewayのセッションプロファイルまたはトラフィックプロファイルでSSOを有効にします。
セキュアトンネル - Web SSO、完全VPNトンネル、またはPACがある完全VPNトンネル
以下のセクションでは、Secure Webのユーザー接続の種類について説明します。
完全VPNトンネル
内部ネットワークへトンネルする接続では完全VPNトンネルを使用できます。完全VPNトンネルを構成するには、Secure Webの[優先VPNモード]ポリシーを使用します。内部ネットワークのリソースにクライアント証明書またはエンドツーエンドのSSLを使用する接続に対しては、[完全VPNトンネル]を推奨します。完全VPNトンネルは、TCP上のあらゆるプロトコルを処理します。Windows、Mac、iOS、およびAndroidデバイスで完全VPNトンネルを使用できます。
完全VPNトンネルモードにすると、Citrix GatewayではHTTPSセッション内の状態が表示されなくなります。
トンネル - Web SSO
内部ネットワークをトンネルする接続は、さまざまなクライアントレスVPNを使用できます。これはトンネル - Web SSOと呼ばれています。トンネル - Web SSOは、Secure Webの [優先VPNモード] ポリシーに指定されるデフォルトの構成です。シングルサインオン(SSO)を必要とする接続に対しては、[トンネル-Web SSO] が推奨されます。
トンネル - Web SSOモードの場合、Citrix GatewayはHTTPSセッションを次の2つの部分に分割します:
- クライアントからCitrix Gatewayまで
- Citrix Gatewayからバックエンドリソースサーバーまで
このようにして、クライアントとサーバー間のすべてのトランザクションを把握することにより、Citrix GatewayでSSOが提供できるようになります。
また、トンネル - Web SSOモードで使用される場合にSecure Webに対してプロキシサーバーを構成できます。詳しくは、ブログ「Endpoint Management WorxWeb Traffic Through Proxy Server in Secure Browse Mode」を参照してください。
PACがある完全VPNトンネル
iOSおよびAndroidデバイスのSecure Webに対して、Proxy Automatic Configuration(PAC)ファイルを完全VPNトンネル展開で使用できます。Endpoint ManagementはCitrix Gatewayが指定するプロキシ認証をサポートします。PACファイルには、指定のURLにアクセスするためにWebブラウザーがどのようにプロキシを選択するかを定義する規則が含まれます。PACファイル規則は、内部および外部の両サイトの処理を指定できます。Secure WebはPACファイル規則を解析し、プロキシサーバー情報をCitrix Gatewayに送信します。Citrix GatewayはPACファイルまたはプロキシサーバーを認識しません。
HTTPS Webサイトへの認証の場合:Secure WebのMDXポリシーである [Webパスワードのキャッシュを有効化] により、MDXを介するプロキシサーバーへのSSOをSecure Webが認証して提供するようにできます。
Citrix Gateway分割トンネリング
SSOとプロキシの構成を計画するときは、Citrix Gateway分割トンネリングを使用するかどうかも決める必要があります。Citrix Gateway分割トンネリングは、必要な場合にのみ使用することをお勧めします。ここでは、分割トンネリングのしくみの概要を説明します:Citrix Gatewayでは、ルーティングテーブルに基づいてトラフィックパスが決定されます。Citrix Gateway分割トンネリングがオンの場合、Secure Hubは内部(保護された)ネットワークのトラフィックとインターネットのトラフィックを区別します。Secure Hubは、DNSサフィックスとイントラネットアプリケーションに基づいてこの決定を行います。次にSecure Hubは、VPNトンネルを使用して内部ネットワークのトラフィックのみをトンネル処理します。Citrix Gateway分割トンネリングがオフの場合、すべてのトラフィックがVPNトンネルを経由します。
- セキュリティ上の理由からすべてのトラフィックを監視する必要がある場合は、Citrix Gateway分割トンネリングをオフにします。これにより、すべてのトラフィックがVPNトンネルを経由します。
- PACがある完全VPNトンネルを使用する場合は、Citrix Gateway分割トンネリングをオフにする必要があります。分割トンネリングをオンにしてPACファイルを構成すると、PACファイル規則によりCitrix Gateway分割トンネリング規則はオフになります。トラフィックポリシーで構成したプロキシサーバーは、Citrix Gateway分割トンネリング規則を上書きしません。
Secure Webでは、[ネットワークアクセス] ポリシーはデフォルトで [内部ネットワークへトンネル] に設定されています。この構成では、MDXアプリはCitrix Gateway分割トンネル設定を使用します。[ネットワークアクセス] ポリシーのデフォルト設定は、Citrix業務用モバイルアプリによって異なる場合があります。
またCitrix Gatewayには、Micro VPNを使用したリバース分割トンネルモードもあります。この構成では、Citrix Gatewayにトンネル処理されない、除外対象のIPアドレス一覧がサポートされます。これらのアドレスは、代わりにデバイスのインターネット接続を使用して送信されます。リバース分割トンネリングについて詳しくは、Citrix Gatewayのドキュメントを参照してください。
Endpoint Managementには、リバース分割トンネルの除外対象一覧が含まれています。特定のWebサイトをNCitrix Gateway経由でトンネリングしない場合:代わりにローカルエリアネットワーク(LAN)を使用して接続する完全修飾ドメイン名(FQDN)またはDNSサフィックスのコンマ区切りの一覧を追加します。この一覧は、Citrix Gatewayがリバース分割トンネリング用に構成された、トンネル - Web SSOモードにのみ適用されます。