証明書と認証
Endpoint Managementの動作では、複数のコンポーネントが認証に関与します:
-
Endpoint Management: Endpoint Managementサーバーでは、登録に関するセキュリティと登録の動作を定義します。導入するユーザーの選択肢には次が含まれます:
- 登録を全員にオープンにするか、または招待のみにするか。
- 2要素認証または3要素認証を必須にするかどうか。Endpoint Managementのクライアントプロパティを介して、Citrix PIN認証を有効化して、PINの複雑度や有効期限を構成できます。
- Citrix Gateway: Citrix Gatewayは、マイクロVPN SSLセッションを終了させます。Citrix Gatewayはネットワーク転送中セキュリティも提供し、ユーザーがアプリにアクセスするたびに使用される認証エクスペリエンスを定義できるようにします。
-
Secure Hub: Secure HubとEndpoint Managementは、登録操作で連携します。Secure HubはCitrix Gatewayと通信するデバイス上のエンティティです。セッションが期限切れになると、Secure HubはCitrix Gatewayから認証チケットを取得して、MDXアプリにチケットを渡します。Citrixでは中間者攻撃を防げる証明書ピン留めの使用をお勧めします。詳しくは、「Secure Hub」にある次のセクションを参照してください:「証明書ピンニング」
Secure HubではMDXセキュリティコンテナも容易になります。Secure Hubは、ポリシーをプッシュし、アプリがタイムアウトするとCitrix Gatewayでセッションを作成し、MDXタイムアウトおよび認証エクスペリエンスを定義します。Secure Hubは、ジェイルブレイク検出、地理位置情報チェック、および適用するすべてのポリシーを担当します。
- MDXポリシー: MDXポリシーは、デバイス上にデータ格納場所を作成します。MDXポリシーは、マイクロVPN接続にCitrix Gatewayを参照させ、オフラインモード制限を強制し、タイムアウトなどのクライアントポリシーを強制します。
Citrix Endpoint Managementは、次の認証方法を使用して、リソースに対してユーザーを認証します:
- モバイルデバイス管理(MDM)
- クラウドでホストされるIDプロバイダー(IdP)
- ライトウェイトディレクトリアクセスプロトコル(LDAP)
- 招待URLおよびPIN
- 2要素認証
- モバイルアプリケーション管理(MAM)
- LDAP
- 証明書
- セキュリティトークン MAM認証にはCitrix Gatewayが必要です。
そのほかの構成について詳しくは、以下の記事を参照してください。
- 証明書のアップロード、更新、書き換え
- Citrix GatewayとEndpoint Management
- ドメインまたはドメイン+セキュリティトークン認証
- クライアント証明書、または証明書とドメイン認証の組み合わせ
- PKIエンティティ
- 資格情報プロバイダー
- APNs証明書
- サイトでワークスペースが有効になっていない場合: Citrix Filesを使用したシングルサインオン用のSAML
- Citrix Cloudを介したAzure Active Directoryでの認証
- Citrix Cloudを介したOktaでの認証
- Citrix Cloudを介したオンプレミスのCitrix Gatewayでの認証
- Wi-Fiサーバーを認証するには、証明書をデバイスに送信します:ネットワークデバイスポリシー
- 内部ルート証明機関(CA)証明書などのような認証や、特定のポリシーに使用されない一意の証明書をプッシュする場合: 資格情報デバイスポリシー
証明書
Endpoint Managementでは、サーバーへの通信フローを保護するため、インストール中に自己署名SSL(Secure Sockets Layer)証明書が生成されます。このSSL証明書を、既知のCA(Certificate Authority:証明機関)からの信頼されるSSL証明書に置き換えます。
Endpoint Managementはまた、独自のPKI(Public Key Infrastructure:公開キー基盤)サービスを使用するか、CAからクライアント証明書を取得します。すべてのCitrix製品でワイルドカード証明書とSAN(Subject Alternative Name:サブジェクトの別名)証明書がサポートされます。ほとんどの展開では、2つのワイルドカード認証またはSAN認証のみが必要です。
クライアント証明書認証を使用するとモバイルアプリのセキュリティが強化され、ユーザーはシームレスにHDXアプリにアクセスできます。クライアント証明書認証が構成されている場合、ユーザーはEndpoint Management準拠アプリへのシングルサインオン(SSO)アクセスにはCitrix PINを入力します。またCitrix PINにより、ユーザー認証工程が簡素化されます。Citrix PINは、クライアント証明書をセキュリティで保護するため、またはActive Directory資格情報をデバイス上にローカルに保存するために使用されます。
Endpoint ManagementでiOSデバイスを登録して管理するには、AppleのAppleプッシュ通知サービス(APNs)証明書を設定および作成します。手順については、「APNs証明書」を参照してください。
次の表は、各Endpoint Managementコンポーネントの証明書の形式と種類を示しています:
| Endpoint Managementコンポーネント | 証明書の形式 | 必要な証明書の種類 |
|---|---|---|
| Citrix Gateway | PEM(BASE64)、PFX(PKCS#12) | SSL、ルート(Citrix Gatewayによって自動的にPFXがPEMに変換されます) |
| Endpoint Management | .p12(Windowsベースのコンピューターの.pfx) | SSL、SAML、APN(Endpoint Managementはインストール処理中に完全なPKIも生成します)重要: Endpoint Managementでは、拡張子「.pem」の証明書はサポートされません。.pem証明書を使用するには、.pemファイルを証明書とキーに分割し、それぞれをEndpoint Managementにインポートします。 |
| StoreFront | PFX(PKCS#12) | SSL、ルート |
Endpoint Managementはクライアント証明書をサポートします。ビット長は4096および2048です。
Citrix GatewayおよびEndpoint Managementの場合は、Verisign、DigiCert、Thawteなどの商用CAからサーバー証明書を取得することをお勧めします。Citrix GatewayまたはEndpoint Management構成ユーティリティから証明書署名要求(Certificate Signing Request:CSR)を作成できます。CSRの作成後、CAへ署名のために送信します。CAから署名入り証明書を受け取ったら、Citrix GatewayまたはEndpoint Managementに証明書をインストールできます。
重要:
iOS、iPadOS、およびmacOSでの信頼された証明書の要件
Appleは、TLSサーバー証明書の新しい要件を設定しています。すべての証明書がAppleの要件に準拠していることを確認します。アップルの出版物である「https://support.apple.com/en-us/HT210176」を参照してください。
AppleはTLSサーバー証明書の最大許容有効期間を短縮しています。この変更は、2020年9月以降に発行されたサーバー証明書にのみ影響します。アップルの出版物である「https://support.apple.com/en-us/HT211025」を参照してください。
LDAP認証
Endpoint Managementは、LDAP(Lightweight Directory Access Protocol)に準拠している1つまたは複数のディレクトリに対するドメインベースの認証をサポートしています。LDAPは、グループ、ユーザーアカウント、および関連するプロパティに関する情報へのアクセスを提供するソフトウェアプロトコルです。詳しくは、「ドメインまたはドメイン+セキュリティトークン認証」を参照してください。
IDプロバイダー認証
Citrix Cloudを介してIDプロバイダー(IdP)を構成し、ユーザーデバイスを登録および管理できます。
IdPでサポートされるユースケース:
- Citrix Cloudを介したAzure Active Directory
- Workspace統合はオプションです
- 証明書ベースの認証で構成されたCitrix Gateway
- Android Enterprise(プレビュー。BYOD(Bring Your Own Device)、完全管理対象デバイス、拡張された登録プロファイルをサポートします)
- MDM+MAM登録およびMDM登録用のiOS
- Apple Business Manager登録用のiOSおよびmacOS
- 従来のAndroid(DA)
Apple School Managerなどの自動登録機能は、現在サポートされていません。
- Citrix Cloudを介したOkta
- Workspace統合はオプションです
- 証明書ベースの認証で構成されたCitrix Gateway
- Android Enterprise(プレビュー。BYOD(Bring Your Own Device)、完全管理対象デバイス、拡張された登録プロファイルをサポートします)
- MDM+MAM登録およびMDM登録用のiOS
- Apple Business Manager登録用のiOSおよびmacOS
- 従来のAndroid(DA)
Apple School Managerなどの自動登録機能は、現在サポートされていません。
- Citrix Cloudを介したオンプレミスのCitrix Gateway
- 証明書ベースの認証で構成されたCitrix Gateway
- Android Enterprise(プレビュー。BYOD(Bring Your Own Device)、完全管理対象デバイス、拡張された登録プロファイルをサポートします)
- MDM+MAM登録およびMDM登録用のiOS
- 従来のAndroid(DA) Apple Deployment Programなどの自動登録機能は、現在サポートされていません。