技術概要:Citrix nFactorによる多要素認証

はじめに

脆弱なパスワードや盗まれたパスワードは、エンタープライズネットワークにおける侵害の主な原因です。これらは、知的財産の損失、個人識別情報(PII)の損失につながり、ビジネスに重大な影響を与える可能性があります。多要素認証 (MFA) は、ID の脆弱性を防ぐための最も優れたセキュリティ対策の 1 つです。

通常、ユーザーを識別するために使用される認証には 3 つのタイプがあります。

1) あなたが知っていること(例えば、パスワード)-このタイプは、歴史的に最も一般的に使用されているタイプです。ユーザーは、自分だけが知っているユーザー名とパスワードを入力します。パスワードは、文字数が多く、文字の種類が多い悪意のある人物からの攻撃に対して強化できます。ただし、ユーザーは人間にすぎないため、単純にしておくか、定期的に変更しないようにすることができます。エンドポイントがマルウェアに感染した場合、容赦ないアルゴリズムがパスワードを特定し、ユーザーがアクセスできるシステムとデータを侵害するのは時間の問題です。

2) あなたが持っているもの(たとえば、デジタルキー、物理、または仮想スマートカード)-このタイプは、特に米国政府にとって一般的な第2の要素です。ユーザーにはスマートカードが発行され、ユーザー名とパスワードを入力すると、プライベート証明書とキーが抽出されて検証されます。物理カードはエンドポイントに接続されたリーダーに挿入されるか、仮想カードがエンドポイントにインストールされ、ユーザーがコピーして認証フォームに貼り付けられます。

3) あなたが何か(例えば、指紋スキャナー)-このタイプは、バイオメトリクスを使用してユーザーを一意に識別することに焦点を当てた3番目の方法です。従来、バイオメトリクスは、実装にかかる費用と複雑さのために主流の採用が遅くなってきましたが、セキュリティの高い環境では強力なオプションです。

多要素認証は、ユーザーIDを検証し、悪意のある攻撃者がエンタープライズ環境にアクセスするリスクを軽減するために、これらのタイプの認証を2つ以上使用することに関係します。

Citrix nFactor MFA

概要

Citrix ADCは、さまざまな多要素認証方法をサポートしています。これは、nFactor 認証を使用してこれらを構成するための拡張可能で柔軟なアプローチを提供します。

また、コンテンツスイッチング、トラフィック管理、負荷分散、完全VPN、ゲートウェイプロキシなど、多要素認証を利用できるさまざまなアプリケーション配信テクノロジーもサポートしています。オンプレミス、クラウド、ハイブリッド環境で使用できます。

この概要では、Citrix Gatewayで5組の方法を使用する多要素認証について説明します。ここでは、Citrix Virtual Apps and Desktops のオンプレミス環境およびCitrix Workspace での方法の使用に重点を置いています。

Citrix nFactor MFA

nFactor

nFactor は Citrix ADC AAA 仮想サーバーを使用して多要素認証を展開します。これらは、認証方法を実装するために、要素ごとにグループ化された高度なポリシーとアクションにバインドされます。認証資格情報を要求するユーザーへのインターフェイスと、入力を格納する変数は、ログインスキーマで定義されます。

nFactor は CLI、手動で GUI、または GUI のビジュアライザツールを使用して設定できます。関連する構成要素には以下が含まれます。

  • ビジュアライザー-Citrix ADC GUIで使用できるツールで、nFactorを構成して多数の認証要件に対応するMFAフローを実装するのに役立ちます。
  • Citrix ADC AAA仮想サーバー-「ファクター0」は、認証のためにMFAに依存するゲートウェイ、LB、またはコンテンツスイッチ仮想サーバーによって参照されるMFAの開始点です。
  • ファクター-Citrix ADC AAA仮想サーバーにバインドされているファクターは、一連のポリシーと関連するスキーマを含む「バケット」として機能します。(ビジュアライザーを使用しない場合、ポリシーラベルとも呼ばれます)
  • ログインスキーマ-各認証要素の「ランディングページ」には、フロー全体で参照されるフィールドタイプと変数が含まれます。
  • ポリシー-認証アクションにマップされ、いつ一致するかを判断する式を含むオブジェクト。
  • アクション-さまざまな認証方法を定義します。SAML、OAuth、証明書、LDAP など。

Citrix nFactor MFA

メソッド

Citrix ADC は多くの認証方法をサポートしています。詳しくは、「 Citrix ADC の認証方法」を参照してください。この概要では、ユーザーが知っていることを表すドメイン資格情報と、ユーザーが持っているものの5つのバリエーションに焦点を当てます。

  1. ネイティブ OTP
  2. プッシュトークン
  3. OTP をメールで送信
  4. グループ抽出
  5. デバイス証明書

ネイティブ OTP

ネイティブOTPまたは「ワンタイムピン」はCitrix ADCによって機能し、ユーザーはOTPをサポートするアプリに登録し、そのアプリとキーを共有します。次に、現在の時刻とそのキーを使用して、ユーザーのOTPアプリのみが持つ数値の文字列を一定の間隔で生成します(たとえば、Microsoft Authenticator またはCitrix SSOアプリ)。デフォルトでは、30 秒間有効な 6 桁の OTP コードを使用します。

このシナリオでは、認証を成功させるために、ユーザーはドメイン資格情報の後に OTP コードを入力します。Citrix ADCによる検証が成功すると、ユーザーの資格情報がターゲットの配信システムに中継され、シングルサインオンでアプリセッションを確立できます。

Citrix nFactor MFA

ご使用の環境で試す方法の詳細については、「 概念実証ガイド:ネイティブOTP認証を使用するCitrix Gateway 用nFactor」を参照してください。

プッシュトークン

プッシュトークンを使用すると、ユーザーはCitrix ADCへの初期登録も行います。ただし、この方法では、ユーザーはコードをコピーして貼り付ける必要はありません。代わりに、ADCはモバイル配信ネットワーク(Appleデバイスの場合はAPNS、Androidデバイスの場合はGCM)を介してプッシュ通知を送信します。次に、ユーザーはCitrix SSOアプリからのポップアップを受け入れるだけで、2番目の要素を完了できます。繰り返しになりますが、ユーザーの資格情報がターゲットの配信システムとそのアプリに中継されると、シングルサインオンでセッションを確立できます。

Citrix nFactor MFA

ご使用の環境で試す方法の詳細については、「 概念実証ガイド:プッシュトークンを使用したCitrix Gateway 認証のnFactor」を参照してください。

OTP をメールで送信

メールOTPはネイティブOTPのように機能しますが、OTPコードはアプリではなくメールとして送信されます。この方法は、モバイルデバイスを持たないユーザーグループにとって有益です。生成されたコードは一定の間隔で期限切れになり、ユーザーは認証情報とともにそれをコピーしてフィールドに貼り付ける必要があるという点で同様の方法で機能します。

Citrix nFactor MFA

ご使用の環境で試す方法の詳細については、「 概念実証ガイド:メールOTPを使用したCitrix Gateway 認証のnFactor」を参照してください。

グループ抽出

グループ抽出は、ドメイン資格情報を入力するのと同じタイプの認証ですが、ユーザーのグループメンバーシップを抽出することによって他のタイプにルーティングできます。次に、前の例を使用して、管理者はグループをモバイルユーザーまたは非モバイルユーザーとして指定して、2つ目の要素がプッシュトークンとメールOTPかどうかを判断できます。または、セキュリティペルソナに従ってユーザーのグループを指定し、グループのリスクプロファイルに従って認証方法の数と種類を照合することもできます。

ユーザー・グループの例は次のとおりです。

  • Normal-security-group。職務の性質上、セキュリティ要件が低い、またはデータアクセスが制限されており、企業のセキュリティ境界内にいる個人を対象としています。このグループには1つの因子しか必要ありません。

  • 身元調査を行っておらず、より高いセキュリティ要件を持つサードパーティの労働者または請負業者のための高度なセキュリティグループ。このグループには2つ以上の要素が必要な場合があります。

  • 重要な職務を遂行し、特別な政府認可または業界の承認を必要とする従業員のための高セキュリティグループ。このグループには、2 つ以上の要素と、送信元 IP アドレスなどのコンテキスト検証が必要になる場合があります。

Citrix nFactor MFA

ご使用の環境で試す方法の詳細については、「 概念実証ガイド:グループ抽出によるCitrix Gateway 認証のnFactor」を参照してください。

デバイス証明書

デバイス証明書は、エンドポイントで一意の証明書が利用できるかどうかに依存します。Citrix ADCは、証明書が指定された認証局によって発行されたことを検証します。証明書の発行と失効を管理するには、さまざまな方法があります。いったん配置されると、ユーザーからの入力をほとんどまたはまったく必要としないシームレスな2番目の認証要素を提供できます。

Citrix nFactor MFA

ご使用の環境で試す方法の詳細については、「 概念実証ガイド:デバイス証明書を使用したCitrix Gateway 認証のnFactor」を参照してください。

Workspace Service

nFactor フローを設定したら、Workspace サービスと統合できます。IDとアクセス管理のワークスペースサービス内で、Citrix Gatewayサービスは、OAuthを使用してCitrix ADCと統合するために必要な設定を提供します。

1.)Citrix Workspace-Citrix ADC 仮想サーバーを指すようにCitrix Gateway サービスを構成します。ワークスペースの認証方法をCitrix Gateway に変更します

ご使用の環境で試す方法の詳細については、以下を参照してください。 Tech Insight ビデオ:認証-オンプレミスのCitrix Gateway

Citrix nFactor MFA

2.)Citrix ADC nFactor-ワークスペースサービスから取得したテナント情報を使用して OAuth ポリシーを作成します。nFactor フローよりも優先度の高い関連する AAA 仮想サーバにバインドします。「ログオンポイント」ランディングページのテーマをCitrix Workspace のルックアンドフィールで更新します。

ご使用の環境で試す方法の詳細については、「 オンプレミスのCitrix Gateway 認証ページをカスタマイズしてCitrix Cloud ログオンページと同じように見せる」を参照してください。

Citrix nFactor MFA

構成が完了すると、ユーザーは引き続きWorkspaceサービスドメイン(例: https://<customerdomain>.cloud.com)にアクセスし、Citrix ADC FQDNに自動的にリダイレクトされます。認証が成功すると、Citrix ADCはユーザー名のステータスをワークスペースに中継し、ユーザーにはリソースが表示されます。

Citrix nFactor MFA

概要

Citrix nFactorを使用すると、企業は信頼性の高い多要素認証を実装し、環境への主要な入り口を強化できます。優れたユーザーエクスペリエンスを維持しながら、このセキュリティ改善をすべて実装できます。

技術概要:Citrix nFactorによる多要素認証