Citrix Secure Private Access

アダプティブ認証を使用したスマートアクセス

Citrix Cloud のお客様は、Citrix WorkspaceのIdPとしてアダプティブ認証を使用して、Citrix DaaSへのスマートアクセス(アダプティブアクセス)を提供できます。

スマートアクセス機能により、アダプティブ認証サービスは、ユーザーに関するすべてのポリシー情報をCitrix WorkspaceまたはCitrix DaaSに表示できます。Adaptive Authentication Service は、デバイスポスチャ(EPA)、ネットワークロケーション(企業ネットワークの内部または外部、ジオロケーション)、ユーザーグループなどのユーザー属性、時刻、またはこれらのパラメーターの組み合わせをポリシー情報の一部として提供できます。Citrix DaaS管理者は、このポリシー情報を使用して、Citrix DaaSへのコンテキストアクセスを構成できます。Citrix DaaSは、以前のパラメータ(アクセスポリシー)に基づいて列挙することも、列挙しないこともできます。クリップボードアクセス、プリンタリダイレクト、クライアントドライブ、USBマッピングなど、一部のユーザーアクションも制御できます。

ユースケースの例:

  1. 管理者は、企業ネットワークなどの特定のネットワークロケーションからのみ表示またはアクセスされるアプリケーションのグループを構成できます。
  2. 管理者は、企業の管理対象デバイスからのみ表示またはアクセスされるアプリのグループを構成できます。たとえば、EPA スキャンでは、デバイスが企業管理か BYOD かを確認できます。EPA のスキャン結果に基づいて、ユーザーに関連するアプリを列挙できます。

前提条件

  • IdPとしてのアダプティブ認証は、Citrix Workspace 用に構成する必要があります。詳細については、「 アダプティブ認証サービス」を参照してください。

    IdP としてのゲートウェイ

  • Citrix DaaS を使用したアダプティブ認証サービスが稼働しています。

スマートアクセスのイベントの流れを理解する

  1. ユーザーはCitrix Workspace にログインします。
  2. ユーザーは、IdP として設定されたアダプティブ認証サービスにリダイレクトされます。
  3. アダプティブ認証サービスは、他のチェックとともに EPA チェックを実行します。
  4. IdP として設定されたアダプティブ認証サービスが認証を行います。
  5. アダプティブ認証サービスは、タグをCitrix Graphサービスにプッシュします。 ユーザーはCitrix Workspace のランディングページにリダイレクトされます。
  6. Citrix Workspace は、このユーザーセッションのポリシー情報を取得し、フィルターを照合して、列挙する必要があるアプリまたはデスクトップを評価します。
  7. Citrix DaaS Sのアクセスポリシーを構成して、ユーザーのICAアクセスを制限します。

構成シナリオ-デバイスのポスチャスキャンに基づくアプリの列挙

手順1-Citrix アダプティブ認証インスタンスでスマートアクセスポリシーを構成します。

次のサンプル構成では、 domain-joined またはnon-domain joinedログオンに基づいて異なるアプリケーションセットが列挙されます。

  1. セキュリティ > AAA アプリケーショントラフィック > ポリシー > 認証 > 高度なポリシー > スマートアクセス > プロファイルに移動します。

  2. [プロファイル] タブで [追加] をクリックし、DomainJoinedというタグが付いたプロファイルDomainjoined-SmartAccessProfileを作成します。同様に、NonDomainJoinedというタグを付けて、NonDomainJoined-SmartAccessProfileという名前の別のポリシーを作成します。

    スマートアクセスプロファイル

  3. セキュリティ > AAA アプリケーショントラフィック > ポリシー > 認証 > 高度なポリシー > スマートアクセス > ポリシーに移動します。

  4. [認証スマートアクセスポリシーの構成] ページで、[ 追加 ] をクリックして、Domainjoined-SmartAccessPolという名前のポリシーを作成します。

  5. [認証スマートアクセスポリシーの構成] ページの [ 操作] で、以前に作成した DomainJoined-SmartAccessProfile を選択し、[ 追加] をクリックします。

    スマートアクセスポリシー設定

  6. 「式」に「 AAA.USER.GROUPS.CONTAINS」(「ドメイン参加グループ」) と入力し 、「 OK」をクリックします。

  7. 同様に、NonDomainJoined-SmartAccessPol という名前の別のポリシーを作成します ([アクション] で、[以前に作成したもの] NonDomainJoined-SmartAccessProfile)を選択します。

    スマートアクセスプロファイル

  8. スマートアクセスポリシーを認証および承認仮想サーバーにバインドします。

ステップ2-Citrix DaaS 構成:

  1. [Citrix DaaS]タイルで[ 管理 ]をクリックします。

  2. デリバリーグループに移動し、[ デリバリーグループの編集]をクリックします。

  3. デリバリーグループを右クリックし、[ 編集 ]を選択して、そのデリバリーグループのアプリを列挙して起動を許可するタイミングを構成します。
  4. [ アクセスポリシー ] をクリックし、必要なタグを追加します。ファームは常に Workspace に設定されている必要があり、フィルターには、以前の構成に基づいて作成したタグのいずれかが含まれている必要があります。
  5. 前の手順を繰り返して、さらにタグを追加します。複数のタグが使用されている場合、少なくとも1つのタグが存在する場合、顧客はデリバリーグループを使用できます。

    ![Smart-access-edit-delivery-group] (/en-us/citrix-secure-private-access/media/smart-access-policies.png)

注:

  • タグが大文字であることを確認します。
  • 管理者がアダプティブ認証サービスの特定のタグの構成を削除した場合、そのタグはWeb Studioおよびデリバリーグループからも削除する必要があります。管理者は削除されたタグ名を再利用してはなりません。管理者は常に新しいタグ名を使用する必要があります。

正常に構成されると、Domain-Joinedログオンは次のアプリを列挙します。

スマートアクセスドメイン参加グループ

正常に構成されると、非ドメイン参加ログオンは次のアプリを列挙します。

![Smart-access-non-domain-joined-group] (/en-us/citrix-secure-private-access/media/smart-access-non-domain-joined.png)

ステップ 3-スマートアクセスタグのアクセスポリシーを追加します。

  1. [管理] で [ ポリシー] に移動し、ポリシーを作成します。
  2. 適切なICAポリシーコントロールを選択します。
  3. [ポリシーの割り当て先] で、[アクセス制御] を選択します。

スマートアクセス割り当てポリシー

  1. アクセス条件にスマートアクセスタグ(大文字)を割り当てます。

![Smart-access-assign-to-access-control] (/en-us/citrix-secure-private-access/media/smart-access-assign-policy-access-control.png)

トラブルシューティング

- タグがプッシュされていない場合はどうなりますか:

  • 少なくとも 1 つのポリシーが true と評価されているかどうかを確認します。詳しくは、https://support.citrix.com/article/CTX138840を参照してください。
  • cas.citrix.comとのCitrix ADCの接続を確認します。

高可用性セットアップの追加変更:

高可用性セットアップでファイル同期が遅れることがあります。その結果、Citrix ADM の登録時に作成されたキーは、時間どおりに読み込まれません。

セカンダリで以下の 3 つのファイルを探しています。

/var/mastools/conf/agent.conf /var/mastools/trust/.ssh/private.pem /var/mastools/trust/.ssh/public.pem

ファイル同期の問題に対処するには、次の手順を実行して、セカンダリで「set cloud」コマンドを再実行します。

> shell cat /var/mastools/conf/agent.conf
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<mps_agent>
<uuid>temp_str</uuid>
<url>fuji.agent.adm.cloud.com</url>
<customerid>customer_id</customerid>
<instanceid>instance_id</instanceid>
<servicename>MAS</servicename>
<download_service_url>download.citrixnetworkapistaging.net</download_service_url>
<abdp_url>fuji.agent.adm.cloud.com</abdp_url>
<msg_router_url>fuji.agent.adm.cloud.com</msg_router_url>
</mps_agent> Done
> set cloud param -CustomerID customer_id -InstanceID instance_id -Deployment Production
<!--NeedCopy-->
アダプティブ認証を使用したスマートアクセス