Citrix Endpoint Management

証明書と認証

Endpoint Managementの動作では、複数のコンポーネントが認証に関与します:

  • Endpoint Management: Endpoint Managementサーバーでは、登録に関するセキュリティと登録の動作を定義します。導入するユーザーの選択肢には次が含まれます:
    • 登録を全員にオープンにするか、または招待のみにするか。
    • 2要素認証または3要素認証を必須にするかどうか。Endpoint Managementのクライアントプロパティを介して、Citrix PIN認証を有効化して、PINの複雑度や有効期限を構成できます。
  • Citrix Gateway: Citrix Gatewayは、マイクロVPN SSLセッションを終了させます。Citrix Gatewayはネットワーク転送中セキュリティも提供し、ユーザーがアプリにアクセスするたびに使用される認証エクスペリエンスを定義できるようにします。
  • Secure Hub: Secure HubとEndpoint Managementは、登録操作で連携します。Secure HubはCitrix Gatewayと通信するデバイス上のエンティティです。セッションが期限切れになると、Secure HubはCitrix Gatewayから認証チケットを取得して、MDXアプリにチケットを渡します。Citrixでは中間者攻撃を防げる証明書ピン留めの使用をお勧めします。詳しくは、「Secure Hub」にある次のセクションを参照してください:「証明書ピンニング

    Secure HubではMDXセキュリティコンテナも容易になります。Secure Hubは、ポリシーをプッシュし、アプリがタイムアウトするとCitrix Gatewayでセッションを作成し、MDXタイムアウトおよび認証エクスペリエンスを定義します。Secure Hubは、ジェイルブレイク検出、地理位置情報チェック、および適用するすべてのポリシーを担当します。

  • MDXポリシー: MDXポリシーは、デバイス上にデータ格納場所を作成します。MDXポリシーは、マイクロVPN接続にCitrix Gatewayを参照させ、オフラインモード制限を強制し、タイムアウトなどのクライアントポリシーを強制します。

Citrix Endpoint Managementは、次の認証方法を使用して、リソースに対してユーザーを認証します:

  • モバイルデバイス管理(MDM)
    • クラウドでホストされるIDプロバイダー(IdP)
    • ライトウェイトディレクトリアクセスプロトコル(LDAP)
      • 招待URLおよびPIN
      • 2要素認証
  • モバイルアプリケーション管理(MAM)
    • LDAP
    • 証明書
    • セキュリティトークン MAM認証にはCitrix Gatewayが必要です。

そのほかの構成について詳しくは、以下の記事を参照してください。

証明書

Endpoint Managementでは、サーバーへの通信フローを保護するため、インストール中に自己署名SSL(Secure Sockets Layer)証明書が生成されます。このSSL証明書を、既知のCA(Certificate Authority:証明機関)からの信頼されるSSL証明書に置き換えます。

Endpoint Managementはまた、独自のPKI(Public Key Infrastructure:公開キー基盤)サービスを使用するか、CAからクライアント証明書を取得します。すべてのCitrix製品でワイルドカード証明書とSAN(Subject Alternative Name:サブジェクトの別名)証明書がサポートされます。ほとんどの展開では、2つのワイルドカード認証またはSAN認証のみが必要です。

クライアント証明書認証を使用するとモバイルアプリのセキュリティが強化され、ユーザーはシームレスにHDXアプリにアクセスできます。クライアント証明書認証が構成されている場合、ユーザーはEndpoint Management準拠アプリへのシングルサインオン(SSO)アクセスにはCitrix PINを入力します。またCitrix PINにより、ユーザー認証工程が簡素化されます。Citrix PINは、クライアント証明書をセキュリティで保護するため、またはActive Directory資格情報をデバイス上にローカルに保存するために使用されます。

Endpoint ManagementでiOSデバイスを登録して管理するには、AppleのAppleプッシュ通知サービス(APNs)証明書を設定および作成します。手順については、「APNs証明書」を参照してください。

次の表は、各Endpoint Managementコンポーネントの証明書の形式と種類を示しています:

Endpoint Managementコンポーネント 証明書の形式 必要な証明書の種類
Citrix Gateway PEM(BASE64)、PFX(PKCS#12) SSL、ルート(Citrix Gatewayによって自動的にPFXがPEMに変換されます)
Endpoint Management .p12(Windowsベースのコンピューターの.pfx) SSL、SAML、APN(Endpoint Managementはインストール処理中に完全なPKIも生成します)重要: Endpoint Managementでは、拡張子「.pem」の証明書はサポートされません。.pem証明書を使用するには、.pemファイルを証明書とキーに分割し、それぞれをEndpoint Managementにインポートします。
StoreFront PFX(PKCS#12) SSL、ルート

Endpoint Managementはクライアント証明書をサポートします。ビット長は4096および2048です。

Citrix GatewayおよびEndpoint Managementの場合は、Verisign、DigiCert、Thawteなどの商用CAからサーバー証明書を取得することをお勧めします。Citrix GatewayまたはEndpoint Management構成ユーティリティから証明書署名要求(Certificate Signing Request:CSR)を作成できます。CSRの作成後、CAへ署名のために送信します。CAから署名入り証明書を受け取ったら、Citrix GatewayまたはEndpoint Managementに証明書をインストールできます。

重要:

iOS、iPadOS、およびmacOSでの信頼された証明書の要件

Appleは、TLSサーバー証明書の新しい要件を設定しています。すべての証明書がAppleの要件に準拠していることを確認します。アップルの出版物である「https://support.apple.com/en-us/HT210176」を参照してください。

AppleはTLSサーバー証明書の最大許容有効期間を短縮しています。この変更は、2020年9月以降に発行されたサーバー証明書にのみ影響します。アップルの出版物である「https://support.apple.com/en-us/HT211025」を参照してください。

LDAP認証

Endpoint Managementは、LDAP(Lightweight Directory Access Protocol)に準拠している1つまたは複数のディレクトリに対するドメインベースの認証をサポートしています。LDAPは、グループ、ユーザーアカウント、および関連するプロパティに関する情報へのアクセスを提供するソフトウェアプロトコルです。詳しくは、「ドメインまたはドメイン+セキュリティトークン認証」を参照してください。

IDプロバイダー認証

Citrix Cloudを介してIDプロバイダー(IdP)を構成し、ユーザーデバイスを登録および管理できます。

IdPでサポートされるユースケース:

  • Citrix Cloudを介したAzure Active Directory
    • Workspace統合はオプションです
    • 証明書ベースの認証で構成されたCitrix Gateway
    • Android Enterprise(プレビュー。BYOD(Bring Your Own Device)、完全管理対象デバイス、拡張された登録プロファイルをサポートします)
    • MDM+MAM登録およびMDM登録用のiOS
    • 従来のAndroid(DA)
    • Apple Deployment Programなどの自動登録機能は、現在サポートされていません
  • Citrix Cloudを介したOkta
    • Workspace統合はオプションです
    • 証明書ベースの認証で構成されたCitrix Gateway
    • Android Enterprise(プレビュー。BYOD(Bring Your Own Device)、完全管理対象デバイス、拡張された登録プロファイルをサポートします)
    • MDM+MAM登録およびMDM登録用のiOS
    • 従来のAndroid(DA)
    • Apple Deployment Programなどの自動登録機能は、現在サポートされていません
  • Citrix Cloudを介したオンプレミスのCitrix Gateway
    • 証明書ベースの認証で構成されたCitrix Gateway
    • Android Enterprise(プレビュー。BYOD(Bring Your Own Device)、完全管理対象デバイス、拡張された登録プロファイルをサポートします)
    • MDM+MAM登録およびMDM登録用のiOS
    • 従来のAndroid(DA)
    • Apple Deployment Programなどの自動登録機能は、現在サポートされていません

Cloud Connectorを使用しないIDプロバイダー認証(プレビュー)

この機能は公開プレビューとして提供されています。この機能を有効にするには、シトリックスの担当者にお問い合わせください。

Endpoint Managementは、認証方法としてAzure ADやOktaなどのIDプロバイダー(IdP)の構成をサポートしています。この機能は現在プレビュー中ですが、Cloud Connectorを使用せずにIDプロバイダーを構成できます。これらのIDプロバイダーを介して、ユーザーのリソースへのアクセスを管理することもできます。IDプロバイダーを使用してアクセスを管理することにより、Office 365などのクラウドサービスとの統合を強化し、オンプレミスリソースの必要性を減らすことができます。

ただし、Endpoint Managementは以下のものに対してCloud Connectorを必要とします:

  • LDAP
  • PKIサーバー
  • 内部DNSクエリ
  • Citrix Virtual Apps

Cloud Connectorがない状態で、Endpoint ManagementとクラウドでホストされているIDプロバイダーとの間の通信を確立するには、Endpoint ManagementのIDプロバイダータイプとしてCitrix IDを構成する必要があります。ただし、前述のように、Cloud Connectorを必要とするサービスは利用できません。

以前にLDAPを構成したことがある場合、この機能を使用すると、LDAPがグループメンバーシップとユーザーおよびグループ検索のフォールバックとして機能するハイブリッド環境になります。LDAPを設定しないと、IDプロバイダーに完全に依存することになります。

この構成が完了すると、Endpoint ManagementでLDAP設定を追加できなくなります。LDAPを設定し、IDプロバイダーを追加すると、Endpoint ManagementはIdP固有の情報をActive DirectoryグループからEndpoint Managementデータベースに同期します。ポリシー、アプリ、メディアをユーザーに展開すると、IDプロバイダーグループのみがリソースを受け取ります。

前提条件

現在のEndpoint Managementの構成に応じて、考慮する必要がある前提条件が2つあります:

LDAPあり

  • Active Directoryのユーザーグループは、Azure Active DirectoryまたはOktaのユーザーグループと一致する必要があります。
  • Active Directoryのユーザー名とメールアドレスは、Azure Active DirectoryまたはOktaの情報と一致する必要があります。
  • ディレクトリサービスの同期のためにCitrix Cloud ConnectorがインストールされたCitrix Cloudアカウント
  • Citrix Gateway。完全なシングルサインオンエクスペリエンスを実現するには、証明書ベースの認証を有効にすることをCitrixではお勧めします。モバイルアプリケーション管理(MAM:Mobile Application Management)登録のために、Citrix GatewayでLDAP認証を使用する場合、登録中にエンドユーザーには二重認証プロンプトが表示されます。詳しくは、「クライアント証明書、または証明書とドメイン認証の組み合わせ」を参照してください。
  • Active Directory SIDをそれぞれのIDプロバイダーに同期します。デリバリーグループが正しく機能するには、Azure ADとActive Directory SIDまたはOktaとActive DirectorySIDが一致している必要があります。
  • Azure ADまたはOktaで、IDプロバイダーに接続するCitrix ID用に、Administratorsという名前のグループを作成します。
  • 複数のLDAPをIDプロバイダーに同期している場合は、グローバルコンテキストサーバーのプロパティldap.set.gc.rootcontextTrueに設定します。このプロパティにより、Cloud Connectorはすべての親ドメインと子ドメインを検索します。
  • LDAPドメインとIDプロバイダードメインが一致しない場合は、適切なIDプロバイダードメインのエイリアスをLDAP構成に追加します。

LDAPなし

  • Azure ADまたはOktaで、IDプロバイダーに接続するCitrix ID用に、Administratorsという名前のグループを作成します。

構成

Citrix CloudでAzureADまたはOktaをIDプロバイダーとして構成し、Endpoint Management用にセットアップするには、次のいずれか、または両方の記事の手順に従ってください:

Active Directoryの同期

Active Directoryグループを設定してある場合、IDプロバイダー構成後に、Endpoint ManagementはIDプロバイダー固有の情報をそのグループからEndpoint Managementデータベースに同期します。同期プロセスのステータスを表示するには、[設定]>[IDプロバイダー] に移動します。次のいずれかのステータスが [ディレクトリの同期] に表示されます。

  • 空: Endpoint Managementは、このIDプロバイダーを管理するように構成されていません。IDプロバイダーの構成を確認してください。
  • 完了: 同期プロセスが正常に完了しました。Endpoint Managementは、このIDプロバイダーからのリソースを管理できるようになりました。
  • 進行中: 同期プロセスが進行中です。データベースに多数のユーザーグループが含まれている場合、Endpoint ManagementがActive DirectoryグループのIDプロバイダー情報を同期するのに時間がかかることがあります。
  • エラー: 同期時にエラーが発生しました。この問題は、IDプロバイダーが切断されているか、Cloud Connectorが現在正しく機能していない場合に、発生することがあります。デバッグログを使用して問題のトラブルシューティングを行うか、IDプロバイダー設定を再度追加してみてください。

同期が完了したら、[構成]>[デリバリーグループ]>[割り当て] で、割り当てとしてIDプロバイダーグループをデリバリーグループに追加できます。デリバリーグループの割り当て用にドメインを選択するときは、検索する前に構成したIDプロバイダーを選択してください。詳しくは、「デリバリーグループの追加」を参照してください。

RBAC権限をIDプロバイダーグループに適用することもできます。詳しくは、「RBAC機能の使用」を参照してください。

既存の構成への期待

この機能を有効にして構成すると、既存のセットアップで次のことが期待できます:

  • 既存のデリバリーグループとRBACの割り当ておよび権限は影響を受けません。ユーザーは、この機能を構成する前と同じアクセス権と、同じリソースを受け取ります。
  • Endpoint Managementと同期されたActive DirectoryグループのオブジェクトIDは、IDプロバイダーから自動的に入力されます。
  • ユーザー情報がIDプロバイダーに同期されている限り、既存の登録済みデバイスは影響を受けません。ユーザー情報がIDプロバイダーに同期されていない場合:
    • LDAPを設定している場合、IDプロバイダーに同期されていないユーザーの登録済みデバイスでも、LDAPを介して認証できます。
    • LDAPを設定していない場合、IDプロバイダーと同期されていないユーザーの登録済みデバイスは、更新または再接続に失敗します。
  • IDプロバイダーで見つかるユーザーの場合、Endpoint ManagementはIDプロバイダー情報に基づいてグループメンバーシップを決定します。

LDAP準拠のディレクトリの削除

不要になったLDAPプロファイルを削除できます。たとえば、Endpoint Managementで使用されているユーザーまたはグループがないLDAPプロファイルなどです。

  1. LDAPプロファイルの一覧で、削除するディレクトリを選択します。

    各プロパティの横のチェックボックスをオンにして、複数のプロパティを削除できます。

  2. [削除] をクリックします。確認ダイアログボックスで、次のいずれかのオプションを選択します:

    削除確認ダイアログボックス

    • 選択したLDAPディレクトリからすべてのユーザーおよびグループ情報を削除するには、[削除] をクリックします。Citrix Cloudを介してAzure ADまたはOktaをIDプロバイダーとして構成する場合、この操作により、デフォルトのLDAPドメインを削除できます。

    • [同期を維持] をクリックして、IDプロバイダーと同期されていないすべてのユーザーおよびグループ情報を削除します。Endpoint Managementは、ユーザーとグループのIDプロバイダーへの同期を維持するだけです。このLDAPにリンクされているすべてのユーザーデバイス、デリバリーグループ、およびRBAC権限は、IDプロバイダーにリンクされます。データベースに多数のユーザーグループが含まれている場合、Endpoint ManagementがActive DirectoryオブジェクトをIDプロバイダーにマップするのに時間がかかることがあります。この操作はバックグラウンドで行われます。

IDプロバイダーの削除

IDプロバイダーの使用を停止したり、IDプロバイダーのタイプを変更したりするには、そのIDプロバイダーを削除する必要があります。

  1. Endpoint Managementコンソールで、[設定]>[IDプロバイダー] に移動します。
  2. IDプロバイダーの表で、IDプロバイダーを選択します。
  3. [削除] をクリックします。確認ダイアログボックスで、もう一度 [削除] をクリックします。

Endpoint Managementは、IDプロバイダーに接続されているデータベースから、ユーザーまたはグループの情報をすべて削除します。Endpoint Managementは、このIDプロバイダーのデリバリーグループやRBAC割り当てもすべて削除します。このIDプロバイダーから登録されたすべてのユーザーデバイスは、再登録する必要があります。IDプロバイダーを削除した後、別のタイプのIDプロバイダーを構成する、またはLDAPを再設定することができます。

制限事項

  • この機能は、Citrix Workspaceアプリを介して登録したデバイスをサポートしません。
  • IDプロバイダーを構成する場合、Endpoint ManagementでLDAP設定を追加することはできません。
  • 認証ドメインを変更するには、IDプロバイダーを削除する必要があります。
  • Self-Help Portalは、IDプロバイダーによる認証をサポートしていません。
  • 親ドメインと子ドメインをIDプロバイダーに同期し、それらのドメインに同一のグループ名が含まれている場合、それらのグループをEndpoint Managementに追加することはできません。グループ名がドメイン間で一意であることを確認してください。
証明書と認証