概念実証:Citrix Secure Workspace Access によるSaaSアプリケーションへの安全なアクセス
概要
ユーザーがSaaSベースのアプリケーションを多く消費するにつれて、組織はすべての認可アプリケーションを統一し、認証標準を適用しながらユーザーのログイン操作を簡素化できる必要があります。組織は、データ・センターの範囲外に存在していても、これらのアプリケーションをセキュリティで保護できる必要があります。Citrix Workspaceでは、組織はSaaSアプリへの安全なアクセスを提供します。
このシナリオでは、ユーザーは、プライマリユーザーディレクトリとしてActive Directory、Azure Active Directory、Okta、Google、またはCitrix Gatewayを使用してCitrix Workspaceに対して認証を行います。Citrix Workspaceでは、定義された一連のSaaSアプリケーションに対してシングルサインオンサービスを提供します。
Citrix Secure Workspace Access サービスがCitrixサブスクリプションに割り当てられている場合、画面ベースのウォーターマークの適用、印刷/ダウンロードアクションの制限、画面の取得制限、キーボードの難読化、信頼できないリンクからのユーザーの保護など、強化されたセキュリティポリシーが適用されます。SaaS アプリケーションの上に表示されます。
次のアニメーションは、CitrixがSSOを提供し、Citrix Secure Workspace Access で保護されたSaaSアプリケーションにアクセスするユーザーを示しています。
このデモでは、ユーザーがCitrix Workspace内からアプリケーションを起動するIDP起動SSOフローを示します。この PoC ガイドでは、SPが開始する SSO フローもサポートしています。このフローでは、ユーザーは好みのブラウザから SaaS アプリに直接アクセスしようとします。
この概念実証ガイドでは、次の方法について説明します。
- Citrix Workspace のセットアップ
- プライマリ・ユーザー・ディレクトリの統合
- SaaS アプリケーションにシングルサインオンを組み込む
- ウェブサイトフィルタリングポリシーを定義する
- 構成を検証する
Citrix Workspace のセットアップ
環境を設定するための最初の手順は、Citrix Workspaceを組織用に準備することです。これには、
- ワークスペース URL の設定
- 適切なサービスの有効化
ワークスペースの URL を設定
- Citrix Cloudに接続して管理者アカウントでログインする
- Citrix Workspaceで、左上のメニューから[ ワークスペース構成 ]にアクセスします
- [ アクセス ] タブで、組織の一意の URL を入力し、[有効] を選択します。
サービスを有効にする
[サービスインテグレーション] タブで、次のサービスを有効にして SaaS アプリへの安全なアクセスをサポートします。
- ゲートウェイ
- Secure Browser
確認
Citrix Workspaceでは、サービスとURL設定の更新にしばらく時間がかかります。ブラウザから、カスタムワークスペース URL がアクティブであることを確認します。ただし、プライマリユーザーディレクトリが定義されて構成されるまで、ログオンを使用できません。
プライマリ・ユーザー・ディレクトリの統合
ユーザーが Workspace に対して認証できるようにするには、 プライマリ・ユーザー・ディレクトリ を構成する必要があります。Workspace 内のアプリに対するすべての要求はセカンダリ ID へのシングルサインオンを使用するため、プライマリユーザーディレクトリはユーザーが必要とする唯一のアイデンティティです。
組織は次のプライマリ・ユーザー・ディレクトリのいずれかを使用できます
- Active Directory: Active Directory 認証を有効にするには、 Cloud Connectorのインストール ガイドに従って、クラウドコネクタを Active Directory ドメインコントローラーと同じデータセンター内に展開する必要があります。
- 時間ベースのワンタイムパスワードを使用する Active Directory: Active Directory ベースの認証には、時間ベースのワンタイムパスワード (TOTP) を使用した多要素認証を含めることもできます。このガイドはこの認証オプションを有効にするために必要な手順について説明します。
- Azure Active Directory: ユーザーは、Azure Active Directory の ID を使用して Citrix Workspace に認証できます。このオプションの設定の詳細については、このガイドを参照してください。
- Citrix Gateway: 組織はオンプレミスの Citrix Gateway を使用して、Citrix Workspace の ID プロバイダーとして機能できます。このガイドにより、統合の詳細が提供されます。
- Okta: 組織では、Citrix Workspace のプライマリユーザーディレクトリとして Okta を使用できます。このガイドによりオプションの構成手順が提供されます。
シングルサインオンの構成
SaaSアプリをCitrix Workspaceに正常に統合するには、管理者が次の操作を実行する必要があります。
- SaaS アプリの設定
- SaaS アプリを認証する
SaaS アプリの設定
- Citrix Cloudで、[ゲートウェイ]タイルから[ 管理 ]を選択します。
![![SaaSアプリケーション01(/en-us/tech-zone/learn/media/poc-guides_access-control-citrix-sso_add-saas-app-01.png)をセットアップする]](/en-us/tech-zone/learn/media/poc-guides_access-control-citrix-sso_add-saas-app-01.png){kind=link}
- [ Web/SaaS アプリを追加] を選択します
- [テンプレートの選択] ウィザードで、テンプレートを検索して修正します。この場合、[ ヒューマニティー]
- [アプリの詳細] ウィンドウで、SaaS アプリケーションの組織の一意のドメイン名を入力します。URL と関連ドメインが自動的に入力されます。
*注: 強化されたセキュリティポリシーでは、関連するドメインフィールドを使用して、セキュリティで保護する URL を決定します。前の手順の URL に基づいて、関連するドメインが 1 つ自動的に追加されます。強化されたセキュリティポリシーでは、アプリケーションに関連するドメインが必要です。アプリケーションが複数のドメイン名を使用する場合は、関連ドメインフィールドに追加する必要があります。多くの場合、 *.<companyID>.SaaSApp.com (例として *.citrix.slack.com)*
![![SaaS アプリ 02(/en-us/tech-zone/learn/media/poc-guides_access-control-citrix-sso_add-saas-app-02.png)をセットアップする]](/en-us/tech-zone/learn/media/poc-guides_access-control-citrix-sso_add-saas-app-02.png){kind=link}
- [ セキュリティの強化 ] ウィンドウで、環境に適切なセキュリティポリシーを選択します。
- [ シングルサインオン ] ウィンドウで、 ログイン URLをコピーします。
- SAML メタデータのリンクを選択して 、SaaS アプリケーションに必要な SAML 設定を識別します。
![![SaaS アプリ 03(/en-us/tech-zone/learn/media/poc-guides_access-control-citrix-sso_add-saas-app-03.png)をセットアップする]](/en-us/tech-zone/learn/media/poc-guides_access-control-citrix-sso_add-saas-app-03.png){kind=link}
- SAML メタデータファイル内で、英数字文字列で表される X509 証明書をコピーします。
![![SaaSアプリケーション04(/en-us/tech-zone/learn/media/poc-guides_access-control-citrix-sso_add-saas-app-04.png)をセットアップする]](/en-us/tech-zone/learn/media/poc-guides_access-control-citrix-sso_add-saas-app-04.png){kind=link}
- Humanity SaaS アプリ内で、右上隅にある歯車アイコンを使用して設定を表示します。シングルサインオンの選択
![![SaaSアプリケーション05(/en-us/tech-zone/learn/media/poc-guides_access-control-citrix-sso_add-saas-app-05.png)をセットアップする]](/en-us/tech-zone/learn/media/poc-guides_access-control-citrix-sso_add-saas-app-05.png){kind=link}
- SAML発行者のURLの場合は、Citrix Workspace構成から取得したログインURLを使用します 。
- CitrixメタデータファイルからヒューマニティリティSaaSアプリに x.509 証明書文字列を通過します。
![![SaaSアプリ 06(/en-us/tech-zone/learn/media/poc-guides_access-control-citrix-sso_add-saas-app-06.png)をセットアップする]](/en-us/tech-zone/learn/media/poc-guides_access-control-citrix-sso_add-saas-app-06.png){kind=link}
- ヒューマニティの設定を保存します。
- Citrix Workspaceで、[ 保存]を選択します
- [ 完了] を選択
SaaS アプリを認証する
- Citrix Cloudで、メニューから[ ライブラリ ]を選択します
![![SaaS アプリ 01(/en-us/tech-zone/learn/media/poc-guides_access-control-citrix-sso_authorize-saas-app-01.png)を認証する]](/en-us/tech-zone/learn/media/poc-guides_access-control-citrix-sso_authorize-saas-app-01.png){kind=link}
- SaaS アプリを見つけて、[ 登録者を管理]
- アプリを起動する権限のある適切なユーザー/グループを追加します。
![![SaaS アプリ 02(/en-us/tech-zone/learn/media/poc-guides_access-control-citrix-sso_authorize-saas-app-02.png)を認証する]](/en-us/tech-zone/learn/media/poc-guides_access-control-citrix-sso_authorize-saas-app-02.png){kind=link}
検証
IDP が開始する検証
- Citrix Workspaceにユーザーとしてログインする
- 設定された SaaS アプリケーションを選択します。
- SaaS アプリが正常に起動する
SPが開始する検証
- ブラウザを起動する
- SaaS アプリケーションの会社定義の URL に移動します
- ブラウザがCitrix Workspaceにリダイレクトされ、認証が行われます
- ユーザーがプライマリユーザーディレクトリで認証されると、SaaSアプリが起動し、Citrixによってシングルサインオンが提供されます
ウェブサイトフィルタリングポリシーを定義する
Citrix Secure Workspace Access サービスは、SaaSおよびWebアプリ内でWebサイトフィルタリングを提供し、フィッシング攻撃からユーザーを保護するのに役立ちます。以下に、Web サイトフィルターポリシーを設定する方法を示します。
- Citrix Cloudから、Secure Workspace Access タイル内で管理する
- このガイドに従っていれば、「 エンドユーザー認証の設定 」ステップと「 SaaS、Web および仮想アプリケーションへのエンドユーザアクセスの構成 」の手順は完了です。[コンテンツアクセスの設定]を選択します。
- [編集] を選択します。
- **ウェブサイトカテゴリを絞り込むオプションを有効にします**
- [ ブロックされたカテゴリ ] ボックスで、[ 追加]
- ユーザーのアクセスをブロックするカテゴリを選択してください
- 適用可能なカテゴリをすべて選択したら、[ 追加]
- 許可されたカテゴリについても同じ操作を行います
- リダイレクトされたカテゴリについても同じ操作を行います。これらのカテゴリは、セキュアブラウザインスタンスにリダイレクトされます。
- 必要に応じて、管理者は、カテゴリの定義に使用したのと同じプロセスに従って、特定の URL について、拒否、許可、およびリダイレクトされたアクションをフィルタリングできます。ウェブサイトの URL はカテゴリよりも優先されます。
構成を検証する
IDP が開始する検証
- Citrix Workspaceにユーザーとしてログインする
- 設定された SaaS アプリケーションを選択します。セキュリティ強化が無効になっている場合、アプリはローカルブラウザー内で起動します。それ以外の場合は、埋め込みブラウザーが使用されます。
- ユーザーがアプリに自動的にサインオン
- 適切な拡張セキュリティポリシーが適用される
- 構成されている場合は、SaaS アプリ内で、ブロック、許可、およびリダイレクトされたカテゴリにある URL を選択します
- 構成されている場合は、ブロック、許可、リダイレクトされた URL にある SaaS アプリ内の URL を選択します。
- SaaS アプリが正常に起動する
SPが開始する検証
- ブラウザを起動する
- SaaS アプリケーションの会社定義の URL に移動します
- ブラウザは、認証のためにブラウザをCitrix Workspaceにリダイレクトします
- ユーザーがプライマリユーザーディレクトリで認証されると、強化されたセキュリティが無効になっている場合は、ローカルブラウザーで SaaS アプリが起動します。強化されたセキュリティが有効な場合、セキュアブラウザインスタンスは SaaS アプリを起動します
トラブルシューティング
強化されたセキュリティポリシーが失敗する
ユーザーは、強化されたセキュリティポリシー (透かし、印刷、またはクリップボードアクセス) が失敗することがあります。通常、これは SaaS アプリケーションが複数のドメイン名を使用しているために発生します。SaaS アプリケーションのアプリケーション構成設定に、 関連ドメインのエントリがありました。
強化されたセキュリティポリシーは、関連するドメインに適用されます。不足しているドメイン名を識別するために、管理者はローカルブラウザーで SaaS アプリにアクセスし、次の操作を実行できます。
- ポリシーが失敗するアプリのセクションに移動します
- Google ChromeとMicrosoft Edge(Chromium版)では、ブラウザの右上にある 3 つのドットを選択してメニュー画面を表示します。
- [ その他のツール] を選択します。
- 開発者ツールの選択
- 開発者ツールで、[ ソース] を選択します。これは、アプリケーションのそのセクションのアクセスドメイン名のリストを提供します。アプリのこの部分で強化されたセキュリティポリシーを有効にするには、 それらのドメイン名をアプリ構成内の関連ドメインフィールドに入力する必要があります 。関連ドメインは以下のように追加されます。
*.domain.com
