デバイスのポスチャに基づくコンテキストアクセス-Tech Preview

Citrix Secure Workspaceアクセスサービスは、オンプレミスのCitrix Gateway またはお客様がホストするCitrix Gateway(適応型認証)をCitrix Workspace へのIdPとして使用することにより、デバイスのポスチャに基づいてコンテキストに応じたアクセスを提供します。エンタープライズ Web アプリまたは SaaS アプリは、EPA チェック結果と構成されたスマートアクセスポリシーに基づいて、エンドユーザーに対して列挙または非表示にすることができます。

適応認証は、Citrix Workspaceにログインするユーザーに対して高度な認証を可能にするCitrix Cloudサービスです。適応型認証により、クラウドで実行されるゲートウェイインスタンスが提供され、必要に応じてこのインスタンスの認証メカニズムを設定できます。

注:

現在、適応型認証は技術プレビュー中です。ドキュメントには、ShareFile の場所からアクセスできます。 https://citrix.sharefile.com/d-s4f9e541296f248f2b6a65740cfce166c

前提条件

イベントの流れを理解する

  • ユーザーは、ワークスペースURLをブラウザーに入力するか、ネイティブのCitrix Workspaceアプリを使用してワークスペースストアに接続します。
  • ユーザーは、IdPとして構成されたCitrix Gateway にリダイレクトされます。
  • ユーザーは、デバイスで EPA チェックの実行を許可するように求められます。
  • Citrix Gateway は、デバイスのスキャンに対するユーザーの同意が与えられた後にEPAチェックを実行し、デバイスIDに対してスマートアクセスタグをCASに書き込みます。
  • ユーザーは、Citrix Gateway IdPと構成された認証メカニズムを使用して、Citrix Workspaceにログインします。
  • Citrix Gateway は、スマートアクセスポリシー情報をCitrix Workspace およびSecure Workspace Access に提供します。
  • ユーザーはCitrix Workspace のホームページにリダイレクトされます。
  • Citrix Workspace は、IdPとして構成されたCitrix Gateway によって提供されるスマートアクセスタグを処理し、エンドユーザーに列挙して表示する必要があるアプリを決定します。

構成シナリオ:デバイスポスチャスキャンに基づくエンタープライズ Web または SaaS アプリケーションの列挙

ステップ 1: コンテキストアクセス機能を有効にする

[ ワークスペースの構成] > [アクセス ] に移動し、[ コンテキストアクセス ] 機能の切り替えを有効にします。 コンテキストアクセス機能を有効にすると 、デバイス ID がトークンに追加されます。

コンテキストアクセス機能を有効にする

手順2:Citrix Gateway GUIを使用してスマートアクセスポリシーを構成する

  1. セキュリティ > AAA アプリケーショントラフィック > ポリシー > 認証 > 詳細ポリシー > スマートアクセス > プロファイルに移動します
  2. [プロファイル] タブで、[ 追加 ] をクリックしてプロファイルを作成します。

デバイスポスチャチェック用のプロファイルを作成する

  1. [ タグ] に、スマートアクセスタグ名を入力します。これは、コンテキストアクセスポリシーを作成するときに手動で入力する必要があるタグです。
  2. セキュリティ > AAA アプリケーショントラフィック > ポリシー > 認証 > 高度ポリシー > スマートアクセス > ポリシーにナビゲートして下さい
  3. [ Add ] をクリックしてポリシーを作成します。

デバイスポスチャチェックのポリシーを作成する

  1. アクション」で、以前に作成したプロファイルを選択し、「 追加」をクリックします。
  2. 」で、ポリシー式を作成し、 「OK」をクリックします。

ステップ 3: コンテキストアクセスポリシーを作成する

コンテキストアクセスポリシーの作成で説明されている手順を実行します。

コンテキストアクセス一致条件

  • [ 次の条件が満たされる場合] で、[ デバイスポスチャチェック] を選択します。
  • 複数のスマートアクセスタグを設定している場合は、要件に応じて次のいずれかを選択します。
    • すべて一致 -デバイスIDは、Citrix Workspace にログインするときに、デバイスIDに対して書き込まれたすべてのスマートアクセスタグと一致する必要があります。
    • もしあれば一致 -デバイスIDは、Citrix Workspace にログインするときに、デバイスIDに対して書き込まれたスマートアクセスタグの1つと一致する必要があります。
  • [カスタムタグの入力] に、スマートアクセスタグを手動で入力します。これらのタグは、Citrix Gateway で構成されたタグと同一である必要があります(認証スマートアクセスプロファイルの作成 > タグ)。

注意すべきポイント

  • ポスチャ評価は、Citrix Workspace にログオンしたときにのみ実行されます(認証中のみ)。
  • 現在のリリースでは、継続的なデバイスポスチャ評価は行われていません。ユーザーがCitrix Workspace にログオンした後にデバイスコンテキストが変更された場合、ポリシー条件はデバイスのポスチャ評価に影響を与えません。
  • デバイス ID は、エンドユーザーデバイスごとに生成される GUID です。Citrix Workspace へのアクセスに使用するブラウザーが変更された場合、Cookieが削除されたり、シークレット/プライベートモードが使用されたりすると、デバイスIDが変更されることがあります。ただし、この変更はポリシーの評価には影響しません。
デバイスのポスチャに基づくコンテキストアクセス-Tech Preview