概念実証ガイド:プッシュトークンを使用したCitrix Gateway認証用のnFactor

はじめに

Time Based One Time Password(TOTP; 時間ベース One Time Password)は、他の要因とともにセキュリティポスチャを強化できる認証を提供する手段として、ますます一般的になっています。TOTP with PUSH は、ユーザーが認証検証要求を指先で受信および受け入れることができるため、モバイルデバイスを活用します。交換は、セットアップ中に配布される共有キーにハッシュを適用することによって保護されます。

Citrix Gatewayは、OTPのプッシュ通知をサポートしており、Webサービス、VPN、Citrix Virtual Apps and Desktops などのさまざまなサービスの認証を提供します。このPOCガイドでは、Citrix Virtual Apps and Desktops 環境での認証のためにそれを使用することをデモンストレーションします.

プッシュ認証

概要

このガイドでは、Citrix Gatewayで2要素認証を使用して概念実証環境を実装する方法について説明します。最初の要素としてLDAPを使用してActive Directory 資格情報を検証し、2番目の要素としてCitrix Cloud プッシュ認証を使用します。Citrix Virtual Apps and Desktops公開仮想デスクトップを使用して、接続性を検証します。

次のコンポーネントのインストールと構成が完了したことを前提としています。

  • Citrix Gatewayをインストールし、ライセンス取得し、ワイルドカード証明書にバインドされた外部から到達可能な仮想サーバーを使用して構成します。
  • 認証にLDAPを使用するCitrix GatewayとCitrix Virtual Apps and Desktops環境を統合する
  • Citrix Cloudアカウントが確立されました
  • Citrix Workspaceアプリがインストールされたエンドポイント
  • Citrix SSOアプリがインストールされたモバイルデバイス
  • Active Directory (AD) が環境で使用可能

最新の製品バージョンとライセンス要件については、Citrixドキュメントを参照してください。 プッシュ認証

Citrix Gateway

nFactor

  1. Citrix ADC UIにログインする
  2. [ トラフィック管理] > [SSL] > [証明書] > [すべての証明書 ] の順に選択し、ドメイン証明書がインストールされていることを確認します。この POC の例では、Active Directory ドメインに対応するワイルドカード証明書を使用しました。詳しくは、「Citrix ADC SSL証明書」を参照してください。

プッシュサービスアクション

  1. 次に移動します。Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > Push service
  2. [追加] を選択します
  3. 次のフィールドに入力し、「OK」をクリックします。 プッシュ認証
    • 名前-一意の値です。 私たちは、Citrix Cloudと統合するために、次のフィールドに値を入力します-プッシュサービス

-Citrix Cloudにログインし、アイデンティティとアクセス管理に移動します > APIアクセス** * プッシュサービスの一意の名前を作成し、クライアントの作成を選択しますCitrix Cloudと統合するために、当社のCitrix ADCポリシーにこれらの値をコピーして貼り付けます-プッシュサービス** プッシュ認証 * クライアントID-コピー&Citrix Cloud IDと秘密のポップアップからクライアントIDを貼り付けます * クライアントシークレット-コピー&Citrix Cloud IDと秘密からクライアントIDを貼り付けます ポップアップ* [閉じる] を選択します。 プッシュ認証 * [ 顧客 ID]-Citrix Cloud の [IDとアクセス管理] の [APIアクセス] ページからクライアントIDをコピーして貼り付けます

  1. [ 作成] をクリックします。

LDAP-認証アクション

  1. 次に移動します。Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > LDAP
  2. [追加] を選択します
  3. 次のフィールドに入力します。
    • 名前-一意の値
    • サーバー名/ IPアドレス-ADサーバーのFQDNまたはIPアドレスを選択します。192.0.2.50_LDAPを入力します
    • ベース DN-AD ユーザーコンテナへのパスを入力します。OU=Team Accounts, DC=workspaces, DC=wwco, DC=netを入力します
    • 管理者バインド DN-管理者/サービスアカウントを入力して、ユーザーを認証するために AD を照会します。workspacesserviceaccount@workspaces.wwco.netを入力します
    • 確認/管理者パスワード-管理者/サービスアカウントのパスワードを入力/確認する
    • サーバーログオン名属性-このフィールドの下の 2 番目のフィールドにuserPrincipalNameを入力
  4. [作成] を選択します。 プッシュ認証 詳細については、LDAP 認証ポリシーを参照してください。

LDAP-トークン・ストレージ・アクション

  1. 次に移動します。Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > LDAP
  2. 上で作成した LDAP アクションを選択し、[作成]
  3. 名前に OTP または任意の識別子を付加し、認証の選択を解除する。 プッシュ認証
  4. [接続設定] で、[ベース DN]、[管理者バインド DN]、[パスワード] を確認します。管理者ユーザーまたはサービスアカウントがドメイン管理者のメンバーであることを確認します。このポリシーは、ユーザーのオーセンティケータアプリによって登録されたトークンを、ユーザーオブジェクトの userParameters 属性に書き込むために使用されます。 プッシュ認証
  5. [その他の設定] まで下にスクロールします
    • OTPシークレット-userParametersを入力します
    • プッシュサービス-上記で作成したプッシュサービスポリシーを選択します プッシュ認証
  6. [作成] を選択します プッシュ認証

nFactor

  1. 次に移動します。Security > AAA - Application Traffic > nFactor Visualizer > nFactor Flows
  2. [追加] を選択し、[係数] ボックスでプラス記号を選択します
  3. nFactor_OTP と入力し、[作成] を選択します。 プッシュ認証

nFactor-登録フロー

  1. [ポリシーの追加] を選択し、[ポリシーの選択] の横にある [追加] をもう一度選択します
  2. 入力 authPol_OTPReg
  3. [アクションタイプ] で NO_AUTHNを選択します
  4. エクスプレッションエディタ (Expression Editor) を選択し、表示されるドロップダウンメニューで以下を選択してエクスプレッションを作成します。
    • HTTP
    • REQ
    • COOKIE.VALUE(String) = NSC_TASS
    • EQ(String) = manageotp
  5. [完了]、[作成]、[追加] の順に選択します。 プッシュ認証
  6. AuthPol_OtPreg ポリシーの横にある緑のプラス記号を選択して、ファクタを作成します
  7. OTPRegAD と入力して [作成] を選択します。
  8. 作成したボックスで、[スキーマの追加] を選択します。
  9. [追加] を選択し、lschema_SingleRegOTPを入力します
  10. [スキーマファイル] で LoginSchema に移動し、SingleAuthManageOTP.xmlを選択します
  11. 青い選択ボタンを選択し、[作成]、[OK] の順に選択します。
  12. 同じボックスで [ポリシーの追加] を選択し、[ポリシーの選択] の横にある [追加] をもう一度選択します。
  13. 名前として authPol_LDAP と入力します。
  14. [アクションタイプ] で [LDAP] を選択します
  15. [アクション] で、最初の LDAP 認証アクションを選択します。192.0.2.50_LDAPを使用します。
  16. [式] で true と入力します。 プッシュ認証
  17. [作成]、[追加] の順に選択します。
  18. authPol_LDAP policyの横にある緑色のプラス記号を選択して、因子を作成します。
  19. OTPRegDevice と入力して [作成] を選択します。
  20. 同じボックスで [ポリシーの追加] を選択し、[ポリシーの選択] の横にある [追加] をもう一度選択します。
  21. 名前にauthPol_OTPAuthDeviceを入力します
  22. [アクションタイプ] で [LDAP] を選択します
  23. [アクション] で、新しく作成した (2 番目の) LDAP 認証アクションを選択します。192.0.2.50_LDAP_OTPを使用します。
  24. [式] で true と入力します。 プッシュ認証
  25. [作成]、[追加] の順に選択します。

nFactor-認証フロー

  1. authPol_OTPRegポリシーの下の青いプラス記号を選択します
  2. 入力 authPol_OTPAuth
  3. [アクションタイプ] で NO_AUTHNを選択します
  4. [式] で true と入力します。
  5. [作成] を選択します
  6. authPol_OTPAuth ポリシーの横にある緑のプラス記号を選択して、ファクタを作成します
  7. 入力 OTPAuthAD
  8. [作成] を選択します
  9. 作成したボックスで、[スキーマの追加] を選択します。
  10. [追加] を選択し、lschema_DualAuthOTPを入力します
  11. [スキーマファイル] で LoginSchema に移動し、DualAuthPushOrOTP.xmlを選択します
  12. 青い選択ボタンを選択し、[作成]、[OK] の順に選択します。
  13. 同じボックスで、[ポリシーの追加] を選択します。
  14. 最初の LDAP 認証アクションにマップする、登録フローのセットアップ中に作成したポリシーを選択します。authPol_LDAPを使用します。
  15. [追加] を選択します
  16. authPol_Ldap ポリシーの横にある緑のプラス記号を選択して、ファクタを作成します
  17. OTPAuthDevice この係数は、OTPトークンを使用して第2要素認証を実行します
  18. [作成] を選択します
  19. 同じボックスで、[ポリシーの追加] を選択します。
  20. 登録フローの設定時に作成したポリシーauthPol_OTPAuthDeviceを選択します。
  21. [追加] を選択します
  22. これで nFactor フローの設定が完了し、[完了] をクリックできます。 プッシュ認証

Citrix ADC 認証、承認、監査(Citrix ADC AAA)仮想サーバー

  1. 次にSecurity > AAA - Application Traffic > Virtual Serversに移動し、[追加] を選択します。
  2. 次のフィールドを入力し、「OK」をクリックします。
    • 名前-一意の値
    • IP アドレスの種類- Non Addressable プッシュ認証
  3. [サーバー証明書なし] を選択し、ドメイン証明書を選択し、[選択]、[バインド]、[続行] の順にクリックします。
  4. nファクターフローなしを選択します
  5. [nFactor フローを選択] で右矢印をクリックし、前に作成したnFactor_OTPフローを選択します。
  6. [選択]、[バインド] をクリックします。 プッシュ認証

Citrix Gateway-仮想サーバー

  1. 次に移動します。Citrix Gateway > Virtual Servers
  2. Citrix Virtual Apps and Desktops環境へのプロキシアクセスを提供する既存の仮想サーバーを選択します
  3. [編集] を選択します。
  4. [基本認証-プライマリ認証] で [LDAP ポリシー] を選択します。
  5. ポリシーをチェックし、[Unbind] を選択し、[はい] を選択して確定し、[Close]
  6. 右側の [詳細設定] メニューで、[認証プロファイル] を選択します
  7. [追加] を選択します
  8. 名前を入力してください。を入力しますPUSH_auth_profile
  9. [認証仮想サーバー] で右矢印をクリックし、作成したCitrix ADC AAA仮想サーバーを選択します PUSH_Auth_Vserver
  10. [選択]、[作成] の順にクリックします。
  11. [OK]をクリックし、基本認証ポリシーが削除されている間、仮想サーバの認証プロファイルが選択されていることを確認します。 プッシュ認証
  12. [ 完了] をクリックします

ユーザーエンドポイント

今、私たちは、モバイルデバイスを登録し、私たちのCitrix Virtual Apps and Desktops 環境に認証することにより、プッシュをテストします.

Citrix SSOアプリでの登録

  1. ブラウザを開き、FQDNの末尾に/manageotpが付加されたCitrix Gatewayによって管理されるドメインFQDNに移動します。https://gateway.workspaces.wwco.net/manageotpを使用します。
  2. ブラウザがログイン画面にリダイレクトされたら、ユーザの UPN とパスワードを入力します。 プッシュ認証
  3. 次の画面で [デバイスの追加] を選択し、名前を入力します。iPhone7 プッシュ認証を使用します。
  4. [Go] を選択すると、QRコードが表示されます。 プッシュ認証
  5. モバイルデバイスで、アプリストアからダウンロードできるCitrix SSOアプリを開きます
  6. [新しいトークンの追加] を選択します
  7. QRコードをスキャンを選択します プッシュ認証
  8. カメラをQRコードに向ける] を選択し、キャプチャしたら [追加] を選択します。 プッシュ認証
  9. トークンを保存するには、[保存] を選択します プッシュ認証
  10. トークンはアクティブになり、30 秒間隔でOTPコードの表示を開始します。 プッシュ認証
  11. [完了] を選択すると、デバイスが正常に追加されたことが確認されます。 プッシュ認証

Citrix Virtual Apps and Desktops の認証、公開、起動

  1. ブラウザを開き、Citrix Gatewayで管理されるドメインFQDNに移動します。https://gateway.workspaces.wwco.netを使用します。
  2. ブラウザがログイン画面にリダイレクトされたら、ユーザー UPN とパスワードを入力します。この画面には、何らかの理由でカメラが動作していない場合は、クリックしてOTPを手動で入力するオプションが表示されます。 プッシュ認証
  3. Citrix SSOアプリ内のモバイルデバイスで[OK]を選択してプッシュ認証を確認します。 プッシュ認証
  4. ユーザーの仮想アプリとデスクトップが列挙されていることを確認し、ログインしたら起動する。 プッシュ認証

結果

Citrix WorkspaceとCitrix Gateway Enterpriseは、ユーザーエクスペリエンスを複雑にすることなく、多要素認証を実装することで、セキュリティ体制を向上させることができます。ユーザーは、標準のドメインユーザーとパスワードを入力し、モバイルデバイス上のCitrix SSOアプリのボタンを押すだけでIDを確認することで、すべてのワークスペースリソースにアクセスできます。

参照ドキュメント

詳細については、以下を参照してください。

認証プッシュ — TOTPを使用してCitrix Workspaceで認証セキュリティを向上させる技術インサイトのビデオをご覧ください

認証-オンプレミスのCitrix Gateway — オンプレミスのCitrix Gatewayとの統合に関するテクニカルインサイトのビデオを見て、Citrix Workspace 認証セキュリティを向上させます

概念実証ガイド:プッシュトークンを使用したCitrix Gateway認証用のnFactor