PoCガイド:OktaとCitrixのSecure Private AccessによるSaaSアプリケーションへの安全なアクセス

概要

ユーザーがより多くのSaaSベースのアプリケーションを使用するにつれて、組織は認証基準を適用しつつ、認可されたすべてのアプリを統合し、ユーザーのログイン操作を簡素化できなければなりません。組織は、データ・センターの範囲外に存在していても、これらのアプリケーションをセキュリティで保護できる必要があります。Citrix Workspaceでは、組織はSaaSアプリへの安全なアクセスを提供します。

このシナリオでは、ユーザーはActive DirectoryまたはOkta をプライマリユーザーディレクトリとして使用してCitrix Workspaceに対して認証を行います。Okta は、定義された SaaS アプリケーションセットに対してシングルサインオンサービスも提供します。

Active Directory と Okta SSO

Active Directory と Okta SSO

Citrix Secure Private AccessサービスがCitrixサブスクリプションに割り当てられている場合、画面ベースのウォーターマークの適用、印刷/ダウンロード操作の制限、画面取得の制限、キーボードの難読化、信頼できないリンクからのユーザーの保護など、強化されたセキュリティポリシーが適用されます。OktaベースのSaaSアプリケーションのトップ。

次のアニメーションは、OktaがSSOを提供し、Citrix Secure Private Accessで保護されているSaaSアプリケーションにアクセスするユーザーを示しています。

Okta SSO デモ

このデモでは、ユーザーがCitrix Workspace内からアプリケーションを起動するIDP起動SSOフローを示します。この PoC ガイドでは、SPが開始する SSO フローもサポートしています。このフローでは、ユーザーは好みのブラウザから SaaS アプリに直接アクセスしようとします。

前提:

  • Okta は、Office 365 と他の SaaS アプリに SSO を提供するように既に構成されています
  • ユーザーは Okta ポータルに正常にサインインし、Office 365 と他の SaaS アプリを起動できます
  • Citrixワークスペースは、ユーザーのプライマリIDディレクトリとしてActive DirectoryまたはOkta を使用して構成されています。

この概念実証ガイドでは、次の方法について説明します。

  1. Citrix Workspace のセットアップ
  2. プライマリ・ユーザー・ディレクトリの統合
  3. SaaS アプリケーションにシングルサインオンを組み込む
  4. ウェブサイトフィルタリングポリシーを定義する
  5. 構成を検証する

Citrix Workspace のセットアップ

環境を設定するための最初の手順は、Citrix Workspaceを組織用に準備することです。これには、

  1. ワークスペース URL の設定
  2. 適切なサービスの有効化

ワークスペースの URL を設定

  1. Citrix Cloud に接続し、管理者アカウントでログインします
  2. Citrix Workspaceで、左上のメニューから[ ワークスペース構成 ]にアクセスします
  3. [ アクセス ] タブで、組織の一意の URL を入力し、[有効] を選択します。

ワークスペースURL

サービスを有効にする

サービス統合 」タブから、SaaS アプリへの安全なアクセスのユースケースをサポートするために、以下のサービスを有効にします

  1. Secure Private Access
  2. リモートブラウザ分離

ワークスペースサービス

確認

Citrix Workspaceでは、サービスとURL設定の更新にしばらく時間がかかります。ブラウザから、カスタムワークスペース URL がアクティブであることを確認します。ただし、プライマリユーザーディレクトリが定義および構成されるまで、ログオンはできません。

プライマリ・ユーザー・ディレクトリの統合

ユーザーが Workspace で認証される前に、 プライマリユーザーディレクトリを設定する必要があります 。Workspace内のアプリのリクエストはすべてセカンダリIDへのシングルサインオンを使用するため、ユーザーが必要とするIDはプライマリユーザーディレクトリだけです。

組織は次のプライマリ・ユーザー・ディレクトリのいずれかを使用できます

Okta をシングルサインオンプロバイダーとして追加

Okta アプリをCitrix Workspaceに正常に統合するには、管理者が次の操作を実行する必要があります。

  • SAML ログイン URL の識別
  • IdP 発行者の URI を特定する
  • SAML アイデンティティプロバイダのセットアップ
  • SaaS アプリを設定する
  • SaaS アプリを認証する
  • IdP ルーティングの設定

SAML ログイン URL の識別

  • Okta に管理者としてログインする
  • アプリケーションの選択
  • Citrix Workspaceに追加するアプリケーションを選択します。この例では、Microsoft Office 365 を使用しています。
  • [ 全般] で、 正しいアプリ埋め込みリンクが見つかるまで下にスクロールします 。これは、Citrix Workspaceの SAML ログインURLとして使用されます。

SAML ログイン URL

IdP 発行者の URI を特定する

  • 管理者としてCitrix Cloudにログインする
  • [ ID とアクセス管理 ] セクションで、[ API アクセス] を選択します。
  • 顧客 ID パラメータを取得します。これは、次の形式で IdP 発行者 URI を作成するために使用されます。 https://citrix.com/<customerID>

IdP 発行者 URI

SAML アイデンティティプロバイダのセットアップ

Okta は、SAMLアイデンティティプロバイダとしてCitrix Workspaceを使用する必要があり、その結果、Okta はSAML構成でService Provider になります。

  • Okta に管理者としてログインする
  • [ セキュリティ ] → [ ID プロバイダー]
  • [ ID プロバイダーの追加 ]-> [ SAML 2.0 IdP を追加] を選択します

SAML IdP 01をセットアップする

  • 名前を入力してください
  • IdP ユーザー名には、idpuser.UserName (大文字と小文字が区別されます) という式を使用します
  • 一致は Okta ユーザー名または電子メールである必要があります
  • 一致するものが見つからない場合は、[ Okta サインインページにリダイレクト] を選択します
  • IdP 発行者 URI の場合は、URLhttps://citrix.com/<customerID>を使用します。CustomerId は IdP 発行者の URI セクションから取得されています

SAML IdP 02をセットアップする

  • Citrix CloudからシングルサインオンURLとSSL証明書を取得できるようになるまで、プロセスのこの部分は開いたままにします。

SaaS アプリを設定する

  • Citrix Cloud 内で、[Secure Private Access]タイルから[ 管理 ]を選択します。

SaaS アプリ SPA タイルをセットアップ

  • 「Secure Private Access」メニューで、「 アプリケーション」を選択します
  • 「アプリケーション」セクションで、「 アプリを追加」を選択します
  • テンプレートの選択ウィザードで、[ スキップ]
  • これは SaaS アプリなので、[ 社内ネットワークの外]を選択します
  • アプリの詳細ウィンドウで、 アプリ名を入力します
  • URL については、「アイデンティティ SAML ログイン URL」 セクションからアプリ埋め込みリンクを使用します
  • 拡張セキュリティポリシーでは、関連ドメインフィールドを使用して保護する URL を決定します。前の手順で追加した URL に基づいて、関連するドメインが 1 つ自動的に追加されます。その特定の関連ドメインは、Okta アプリケーションリンクに関連付けられています。強化されたセキュリティポリシーでは、実際のアプリケーションに関連するドメインが必要です。多くの場合、 *.<companyID>.SaaSApp.com (*.citrix.slack.com の例として)

SaaS アプリのセットアップ 02

  • 次を選択
  • シングルサインオンウィンドウで 、「 ダウンロード 」を選択して PEM ベースの証明書を取得します。
  • [ コピー ] ボタンを選択して、ログイン URL をキャプチャします

SaaS アプリのセットアップ 03

  • Okta 設定に戻ります。[ ID プロバイダの追加 ] ダイアログは引き続き表示されるはずです
  • IdPシングルサインオンURLの場合は、前の手順からコピーしたCitrixログインURLを使用します。次のようになります。https://app.netscalergateway.net/ngs/<customerid>/saml/login?APPID=<appid>
  • IdP 署名証明書で、ダウンロードした PEM 証明書を参照します。

SaaS アプリのセットアップ 04

  • ウィザードが完了したら、 アサーションコンシューマーサービスの URLと対象ユーザー URIをコピーします。

SaaS アプリのセットアップ 05

  • Citrix構成に切り替えます。
  • シングルサインオンウィンドウのアサーションURLには、SAML IDプロバイダセクションから取得したアサーションコンシューマサービス URL 項目を使用します。
  • 対象ユーザーには、SAML ID プロバイダーのセクションから取得した対象ユーザー URI 項目を使用します。
  • 名前 ID の形式と名前 ID は、電子メールのままにすることができます。Okta は、電子メールアドレスを使用して Okta ユーザーに関連付けます。

SaaS アプリのセットアップ 06

  • 次を選択
  • [ アプリ接続 ] ウィンドウで、[ 次へ] を選択します
  • [ 完了] を選択

SaaS アプリを認証する

  • 「Secure Private Access」メニューで、「 アクセス・ポリシー」を選択します
  • 「アクセスポリシー」セクションで、「 ポリシーの作成」を選択します

SaaS アプリのオーソライズ 01

  • **ポリシー名と簡単なポリシーの説明を入力します**。
  • アプリケーション 」ドロップダウンフィールドで、SaaS アプリを見つけて選択します。

1 つのポリシー内で、複数のアクセスルールを作成し、さまざまなユーザーまたはユーザーグループにさまざまなアクセス条件を設定できます。これらのルールは、HTTP/HTTPS アプリケーションと TCP/UDP アプリケーションの両方に、すべて 1 つのポリシー内で個別に適用できます。複数のアクセス規則の詳細については、「 複数の規則を含むアクセスポリシーの設定」を参照してください。

  • Create Rule 」をクリックして、ポリシーのルールを作成します。

SaaS アプリのオーソライズ 02

  • ルール名とルールの簡単な説明を入力し、[ 次へ] をクリックします。

SaaS アプリのオーソライズ 03

  • アプリを起動する権限を持つ適切なユーザー/グループを追加し、「次へ」をクリックします。

コンテキストに基づいて複数の条件を追加するには、「+」をクリックします。

SaaS アプリのオーソライズ 04

  • HTTP/HTTPS アプリに制限付きまたは制限なしでアクセスできるかどうかを指定します。
    前のスクリーンショットには制限が設定されていません。 セキュリティを強化する必要がある場合は、「アクセスを許可」を「制限付きアクセスを許可」に変更してください。
  • TCP/UDP アプリケーションアクションを指定します。
    上のスクリーンショットは、TCP/UDP アプリへのアクセスを拒否しています。
  • [次へ] をクリックします。

SaaS アプリのオーソライズ 05

  • 概要ページには、ポリシールールの詳細が表示されます。
    詳細を確認し、[ 完了] をクリックします。

SaaS アプリのオーソライズ 06

  • ポリシーの作成 」ダイアログで、「 保存時にポリシーを有効にする」がオンになっていることを確認し 、「 保存」をクリックします。

IdP ルーティングの設定

これまでのところ、構成はIDP起動起動プロセスをサポートしており、ユーザーはCitrix Workspace内からアプリを起動します。ユーザーが直接 URL でアプリを起動する SP 起動プロセスを有効にするには、Okta に IdP ルーティングルールを定義する必要があります。

  • Okta 管理コンソールで、[ セキュリティ ] → [ ID プロバイダー] を選択します。
  • ルーティングルールの選択
  • [ ルーティングルールの追加] を選択します。
  • ルール名を入力してください
  • このIDプロバイダーを使用する]オプションで、以前に作成したCitrix IDプロバイダーを選択します。

Okta ID プロバイダのルーティングルール

  • アクティブ化を選択します

*注:インバウンド SAML 設定が不完全であるため、設定中、Okta 管理者が Okta 管理コンソールにログインできない場合があります。この場合、管理者は以下のアドレスで Okta 環境にアクセスすることで IdP ルーティングルールをバイパスできます。 https://companyname.okta.com/login/default*

検証

IDP が開始する検証

  • ユーザーとしてCitrix Workspace にログインします
  • 設定された SaaS アプリケーションを選択します。
  • Okta サインオンプロセスが簡単に表示されることを観察する
  • SaaS アプリが正常に起動する

SPが開始する検証

  • ブラウザを起動する
  • SaaS アプリケーションの会社定義の URL に移動します
  • ブラウザは認証のためにOktaにリダイレクトし、次にCitrix Workspaceにリダイレクトします
  • ユーザーがプライマリユーザーディレクトリで認証されると、SaaS アプリが起動し、Okta はシングルサインオンを提供します

認可されていない Web サイトの定義

認証されていないWebサイトとは、Secure Private Access構成では構成されていないが、Citrix Enterprise Browserからアクセスできるアプリです。これらの認可されていない Web サイトのルールを設定できます。たとえば、SaaS アプリ内のリンクが悪意のあるWebサイトを指している可能性があります。これらのルールにより、管理者は特定の Web サイト URL または Web サイトカテゴリを使用して、アクセスを許可したり、アクセスをブロックしたり、ホストされた安全なブラウザインスタンスにリクエストをリダイレクトしたりできるため、ブラウザベースの攻撃を防ぐのに役立ちます。

  • Citrix Cloud から、[Secure Private Access] タイル内で管理する

Citrix Secure Private Access 1

  • このガイドに従えば、 エンドユーザー認証の設定手順とSaaS、Web、および仮想アプリケーションへのエンドユーザーアクセスの設定の手順は完了です
  • 「Secure Private Access」メニューで、「 設定」を選択します
  • 「設定」セクションで、「 認可されていない Web サイト」を選択します
  • [編集] を選択します。
  • Web サイトリストを絞り込むオプションを有効にする

Citrix Secure Private Access 2

  • Webサイトをブロックしたり、Webサイトを許可したり、ユーザーを安全なブラウザにリダイレクトしたりするには、各セクションの「 追加 」をクリックします(リモートブラウザアイソレーション)
  • たとえば、「ブロックするカテゴリ」セクションの Web サイトをブロックするには、「 追加」をクリックします
  • ユーザーがアクセスできない Web サイトを入力し、[ 追加] をクリックします
  • [ 保存 ] をクリックして変更を有効にします

構成を検証する

IDP が開始する検証

  • ユーザーとしてCitrix Workspace にログインします
  • 設定された SaaS アプリケーションを選択します。セキュリティ強化が無効になっている場合、アプリケーションはローカルブラウザ内で起動します。それ以外の場合は、エンタープライズブラウザが使用されます
  • ユーザーがアプリに自動的にサインオン
  • 適切な拡張セキュリティポリシーが適用される
  • 構成されている場合は、ブロック、許可、およびリダイレクトされたカテゴリにある SaaS アプリケーション内の URL を選択します
  • 構成されている場合は、ブロック、許可、およびリダイレクトされた URL にある SaaS アプリ内の URL を選択します。
  • SaaS アプリが正常に起動する

SPが開始する検証

  • ブラウザを起動する
  • SaaS アプリケーションの会社定義の URL に移動します
  • ブラウザは、認証のためにブラウザをCitrix Workspaceにリダイレクトします
  • ユーザーがプライマリユーザーディレクトリで認証されると、強化されたセキュリティが無効になっている場合は、ローカルブラウザーで SaaS アプリが起動します。強化されたセキュリティが有効な場合、セキュアブラウザインスタンスは SaaS アプリを起動します

トラブルシューティング

強化されたセキュリティポリシーが失敗する

セキュリティポリシー (ウォーターマーク、印刷、クリップボードへのアクセス) の強化により、ユーザーに障害が発生する可能性があります。通常、これは SaaS アプリケーションが複数のドメイン名を使用しているために発生します。SaaS アプリケーションのアプリケーション構成設定に、 関連ドメインのエントリがありました

SaaS アプリのセットアップ 02

強化されたセキュリティポリシーは、これらの関連ドメインに適用されます。不足しているドメイン名を識別するために、管理者はローカルブラウザーで SaaS アプリにアクセスし、次の操作を実行できます。

  • ポリシーが失敗するアプリのセクションに移動します
  • Google ChromeとMicrosoft Edge(Chromium版)では、ブラウザの右上にある 3 つのドットを選択してメニュー画面を表示します。
  • [ その他のツール] を選択します。
  • 開発者ツールの選択
  • 開発者ツールで、[ ソース] を選択します。これは、アプリケーションのそのセクションのアクセスドメイン名のリストを提供します。アプリのこの部分で強化されたセキュリティポリシーを有効にするには、それらのドメイン名をアプリ構成の [ 関連ドメイン ] フィールドに入力する必要があります。関連するドメインは、次のように追加する必要があります。*.domain.com

セキュリティ強化トラブルシューティング 01

PoCガイド:OktaとCitrixのSecure Private AccessによるSaaSアプリケーションへの安全なアクセス