技術概要:安全なプライベートアクセス-ユースケース

はじめに

日々サイバー攻撃に直面している今日の世界では、アプリケーションやドキュメントなどへのリモートアクセスをきめ細かく保護することがさらに必要になっています。ゼロトラストアーキテクチャにより、コンテキストに基づいてアプリケーションアクセスを絞り込むことが可能になります。

ここで「コンテキスト」という用語は次のことを指します。

  • ユーザーとグループ (ユーザーとユーザーグループ)
  • デバイス (デスクトップまたはモバイルデバイス)
  • ロケーション (ジオロケーションまたはネットワークロケーション)
  • デバイスの姿勢 (デバイスのポスチャチェック)
  • リスク(ユーザーリスクスコア)

概念アーキテクチャ

SaaS/Web または TCP/UDP アプリには、いつでも、どこからでも、どのデバイスからでもアクセスできます。
SaaS/Webアプリには、ネイティブブラウザ、Citrix Enterprise Browser(CEB)、またはリモートブラウザ分離サービス(RBI)からアクセスできます。CEBとRBIはどちらも、ブラウザタブごとに強化されたセキュリティ制御を使用できます。 TCP/UDP ベースのアプリには、アプリごとにマイクロトンネルを作成するセキュアアクセスエージェントが必要です。

「エンタープライズWeb、TCP、SaaSアプリケーションの適応型アクセスとセキュリティ制御」の詳細については、 こちらをご覧ください

デバイスポスチャチェックでは、デバイス情報を評価するために、ユーザーのデバイス上に小さなエンドポイント分析エージェント (EPA) アプリが必要です。スキャン結果を使用して、アプリケーションへのアクセスを許可、制限、または拒否します。

デバイスの姿勢チェックは次の方法で行うことができます。

Windowsデバイスでは、Citrix Workspaceアプリのクライアントアプリ管理を使用してエージェントのインストールを自動化できます

ユースケース 1 — ファイアウォールで受信トラフィックを開かずに、ゼロトラストアプローチを使用して内部アプリケーション (Web/TCP/UDP) にアクセスする

Citrix Secure Private Accessは、リモートアクセスのセキュリティ上の課題を克服し、内部アプリケーションの攻撃対象領域を減らすのに役立ちます。 ゼロトラストのアプローチは、可用性を維持しながら認証、承認、暗黙のトラストゾーンを縮小することに重点を置いていることに注意してください。アクセスは、ポリシー決定ポイント(PDP)と対応するポリシー適用ポイント(PEP)を通じて許可されます。セキュリティ上の理由から、ネットワーク内に設置しないでください。(NIST SP 800-207)

ユースケース 1 の概要

Webアプリケーション

Web アプリケーションは扱いにくい場合があります。社内Webアプリケーションへのアクセスを従業員、サードパーティの請負業者、またはその他の人に許可する必要がある場合があります。 つまり、認証要素やアクセス権などが異なります。 ユーザーエクスペリエンスを向上させるには、ウェブベースのアプリのシングルサインオン (SSO) を検討する必要があります。

使用しているWindowsデバイスやmacOSデバイスに関係なく、Citrix Enterprise Browser(CEB)を仕事用のブラウザとして選択できます。
「ワークブラウザ」とはどういう意味ですか?
CEBを仕事用ブラウザとして設定すると、設定済みのすべてのSaaS/Webアプリドメインを安全で制御された環境内で開くことができます。ブラウザタブごとに異なるセキュリティ制御を適用できます。たとえば、内部の Web リンクは電子メールや任意のドキュメントから直接開くことができます。リンクをコピーして適切なブラウザに貼り付ける必要はもうありません。 すべての公開ウェブサイトはネイティブブラウザで開きます。

次のアニメーションは、Citrix Enterprise Browserを作業用ブラウザとして設定する方法と、企業のWebページを開く場合とインターネットを閲覧する場合の違いを示しています。

CEB ワークブラウザデモ

たとえば、会社が管理するデバイスを使用する従業員は、制限やバックグラウンドウォーターマークなしで、Citrix Enterprise Browser(CEB)を使用してWebアプリケーションにアクセスできます。
サードパーティの契約者は、Citrix Workspaceアプリ(CWA)およびシトリックス Enterprise Browser(CEB)を使用せずに、管理対象外のデバイスを使用しています。アプリケーションはリモートブラウザ分離 (RBI) を使用してのみ起動でき、アクセスにはさらに制限があります。

制限の種類:

  • 印刷を制限
  • クリップボードへのアクセスを制限する
  • ダウンロードとアップロードを制限する
  • 背景のウォーターマークを挿入

注意すべき重要な点が1つあります

CWA がインストールされた管理対象外のデバイスでは、RBI を使用する必要はありません。代わりに、同じセキュリティ管理でCEBを利用できます。

Web アプリケーションの例 — アプリ定義

SaaS/Web アプリの作成とユーザー/グループの登録は、いくつかの簡単な手順で行えます。サンプルアプリに基づいて見てみましょう。

  • Citrix Cloudにログインし、[Secure Private Access]タイルから[ 管理 ]を選択します。
  • 「Secure Private Access」メニューで、「 アプリケーション」を選択します。
  • [アプリケーション] セクションで、[ アプリを追加] を選択します。

この例では、テンプレートは使用されていません。テンプレートの選択ウィザードで、「 スキップ」をクリックします。

  • まず、アプリの詳細画面でアプリケーションの場所を指定し、赤いアスタリスクの付いた必須フィールドに入力します。オプションでカスタムアイコンを追加できます。[次へ] を選択します。

ユースケース 1 Web アプリの詳細

  • 次に、シングルサインオン画面で SSO タイプを選択し、必須フィールドに入力します。[次へ] を選択します。

ユースケース 1 ウェブアプリケーション SSO

*注:デモ Web アプリケーションは SSO をサポートしていません。そのため、SSO は「SSO を使用しない」に設定されています。*

  • 3 番目に、「アプリケーション接続」画面で、ドメインの「 タイプ 」と「 リソースロケーション 」を選択します。[ 次へ ] を選択し、[ 完了] を選択します。

ユースケース 1: Web アプリケーションの接続

デモ Web アプリケーションが正常に作成されました。
次に、このアプリケーションにユーザー/グループを登録し、条件付きアクセスを設定する必要があります。

Web アプリケーションの例 — アクセスポリシー

条件と制限は、アクセスポリシーを使用して設定されます。
アクセスポリシーの作成は、次の 4 つの簡単な手順で行えます。

  • 「Secure Private Access」メニューで、「 アクセスポリシー」を選択します。
  • [アプリケーション] セクションで、[ ポリシーの作成] を選択します。
  • **ポリシー名と簡単なポリシーの説明を入力します**
  • アプリケーション 」ドロップダウンリストで、「Demo-Website」を検索して選択します

1 つのポリシー内で、複数のアクセスルールを作成し、さまざまなユーザーまたはユーザーグループにさまざまなアクセス条件を設定できます。これらのルールは、HTTP/HTTPS アプリケーションと TCP/UDP アプリケーションの両方に、すべて 1 つのポリシー内で個別に適用できます。 複数のアクセス規則の詳細については、「 複数の規則を含むアクセスポリシーの設定」を参照してください。

ユースケース 1: アクセスポリシー Web アプリケーション

  • ポリシーのルールを作成するには 、[ルールを作成] を選択します。
  • ルール名とルールの簡単な説明を入力し、[ 次へ] を選択します

ユースケース 1: アクセスポリシー Web ルール名

  • アプリを起動する権限を持つ適切なユーザー/グループを追加し、[次へ] を選択します

コンテキストに基づいて複数の条件を追加するには、「+」をクリックします。

ユースケース 1 アクセスポリシー Web 条件

  • HTTP/HTTPS アプリに制限付きまたは制限なしでアクセスできるかどうかを指定してください。
    以下のスクリーンショットでは、「ウォーターマークの表示」が設定されています。
    アンチキーロギングとアンチスクリーンキャプチャにはCitrix Workspaceデスクトップクライアントが必要であることに注意してください。
  • TCP/UDP アプリのアクションを指定してください。
    以下のスクリーンショットでは、TCP/UDP アプリへのアクセスが拒否されています。
  • 次を選択

ユースケース 1 アクセスポリシー Web 制限

  • 「概要」ページには、ポリシールールの詳細が表示されます。
    詳細を確認して、「 完了」を選択します。

ユースケース 1: アクセスポリシー Web ルールの概要

  • ポリシーの作成 」ダイアログで、「 保存時にポリシーを有効にする」がオンになっていることを確認し 、「 保存」を選択します。

ユースケース 1: アクセスポリシー Web ポリシーの概要

ウェブアプリケーションの例 — Citrix Workspaceアプリ

デモWebアプリケーションとアクセスポリシーが正常に作成されると、新しいアプリケーションがCitrix WorkspaceアプリとCitrix Workspace Webに表示されます。

Citrix WorkspaceアプリはEPAエージェントを起動して、ユーザーの会社管理対象デバイスを確認します。

ユースケース 1 Web CWA EPA

会社管理デバイスまたは信頼できるデバイス

会社が管理するデバイスでは、すべてのチェックに合格すると、ユーザーに 1 要素ログイン画面が表示されます。

ユースケース 1: ウェブ CWA シングル

新しいデモアプリは、すべての DaaS アプリと同じように表示されます。
*注:ホーム画面にデモアプリが表示されない場合は、「すべてのアプリケーションを表示」に進んでください。*

ユースケース 1: Web CWA ショーアプリ

デモアプリを開くと、管理対象の Citrix Enterprise Browserが起動します。

ユースケース 1 Web CEB デモアプリ

自分のデバイスまたは信頼できないデバイスを持ち込む

BYO デバイスでは、チェックに合格しなかったため、ユーザーに多要素ログイン画面が表示されます。

ユースケース 1 ウェブブラウザ BYOD マルチ

新しいデモアプリは、BYO デバイスでの起動が許可されているすべての DaaS アプリと同様に Workspace Web に表示されます。デモアプリを開くと、設定によっては、強化されたセキュリティがアクティブになっていることが表示されます。
*注:ホーム画面にデモアプリが表示されない場合は、「すべてのアプリケーションを表示」に進んでください。*

使用事例 1: Web ブラウザー BYOD によるアプリの表示

デモアプリを開くと、新しいブラウザタブが開き、リモートブラウザ分離 (RBI) セッションが開始されます。

ユースケース 1 ウェブブラウザ BYOD RBI

重要

この管理対象外デバイスの例では、サードパーティの請負業者が新しいソフトウェアをインストールしたくなかったため、リモートブラウザ分離が使用されました。 契約者がCitrix Workspaceアプリをインストールした場合、Citrix Enterprise Browserは管理対象の Enterprise Browserと同じセキュリティ制御と機能を提供します。

TCP/UDP アプリケーション

これらの種類のアプリケーションは上記のWebアプリケーションとは異なり、ユーザーのデバイスにCitrix Secure Access Agent をインストールする必要があります。TCP/UDP ベースのアプリケーションの場合、アクセスは DNS 名/IP アドレスとポートを使用して定義されます。

TCP アプリケーションの例

TCP アプリの作成とユーザー/グループの登録は、いくつかの簡単な手順で行えます。サンプルアプリに基づいて見てみましょう。

  • Citrix Cloudにログインし、[Secure Private Access]タイルから[ 管理 ]を選択します。
  • 「Secure Private Access」メニューで、「 アプリケーション」を選択します。
  • [アプリケーション] セクションで、[ アプリを追加] を選択します。

この例では、テンプレートは使用されていません。テンプレートの選択ウィザードで、「 スキップ」をクリックします。

  • まず、アプリの詳細画面でアプリケーションの場所を指定し、赤いアスタリスクの付いた必須フィールドに入力します。オプションでカスタムアイコンを追加できます。[次へ] を選択します。

ユースケース 1 TCP アプリケーションの詳細

この例では、アクセスは FQDN 経由では許可されていますが、IP アドレスを使用すると拒否されます。

  • 次に、アプリ接続画面で、 **ドメインのタイプとリソースの場所を選択します** 。[ 次へ ] を選択し、[ 完了] を選択します。

ユースケース 1 TCP アプリケーション接続

デモ TCP アプリケーションが正常に作成されました。
次に、このアプリケーションにユーザー/グループを登録し、条件付きアクセスを設定する必要があります。

TCP アプリケーションの例 — アクセスポリシー

条件と制限は、アクセスポリシーを使用して設定されます。
アクセスポリシーの作成は、次の 4 つの簡単な手順で行えます。

  • 「Secure Private Access」メニューで、「 アクセスポリシー」を選択します。
  • [アプリケーション] セクションで、[ ポリシーの作成] を選択します。
  • **ポリシー名と簡単なポリシーの説明を入力します**
  • アプリケーション 」ドロップダウンリストで「Demo RDP」を検索して選択します

1 つのポリシー内で、複数のアクセスルールを作成し、さまざまなユーザーまたはユーザーグループにさまざまなアクセス条件を設定できます。これらのルールは、HTTP/HTTPS アプリケーションと TCP/UDP アプリケーションの両方に、すべて 1 つのポリシー内で個別に適用できます。 複数のアクセス規則の詳細については、「 複数の規則を含むアクセスポリシーの設定」を参照してください。

ユースケース 1: アクセスポリシー TCP アプリケーション

  • ポリシーのルールを作成するには 、[ルールを作成] を選択します。
  • ルール名とルールの簡単な説明を入力し、[ 次へ] を選択します

ユースケース 1: アクセスポリシー TCP ルール名

  • アプリを起動する権限を持つ適切なユーザー/グループを追加し、[次へ] を選択します

コンテキストに基づいて複数の条件を追加するには、「+」をクリックします。

ユースケース 1 アクセスポリシー TCP 条件

  • HTTP/HTTPS アプリに制限付きまたは制限なしでアクセスできるかどうかを指定してください。
    以下のスクリーンショットでは、HTTP/HTTPS アプリへのアクセスが拒否されています。
  • TCP/UDP アプリのアクションを指定する以下のスクリーンショットでは
    、TCP/UDP アプリにアクセスできます。
  • 次を選択

ユースケース 1: アクセスポリシー TCP 制限

  • 「概要」ページには、ポリシールールの詳細が表示されます。
    詳細を確認して、「 完了」を選択します。

ユースケース 1: アクセスポリシー TCP ルールの概要

  • ポリシーの作成 」ダイアログで、「 保存時にポリシーを有効にする」がオンになっていることを確認し 、「 保存」を選択します。

ユースケース 1: アクセスポリシー TCP ポリシーの概要

TCP アプリケーションの例 — セキュアアクセスエージェント

デモTCPアプリケーションとアクセスポリシーが正常に作成されたら、Citrix Secure Accessエージェントを使用してRDPサーバーアクセスをテストできます。

ユースケース 1 TCP ZTNA デモ

エンドポイント分析スキャンが成功しない場合、ログインは拒否されます。

ユースケース 2 — ユーザーがアクセスするアプリケーションを発見してゼロトラストアプローチに移行する

従来の VPN (仮想プライベートネットワーク) ベースのアクセス方法からゼロトラストネットワークアクセス (ZTNA) ソリューションに移行するとします。ユーザーはどのアプリケーションを使用していますか?
アプリケーション検出機能を使用すると、必要なアプリケーションへのユーザーのアクセスを自分のペースで減らすことができます。

Application Discoveryは、「許可されていないWebサイト」機能が有効になっているか、専用のアプリケーションを作成してユーザーまたはグループにサブスクライブしている場合にのみデータをキャプチャします。

許可されていないウェブサイト機能を有効にして、すべてのアクセスリクエストを収集します

  • 「Secure Private Access」メニューで、「 設定」を選択します。
  • 認可されていない Web サイト 」タブに切り替えて、「 編集」をクリックします。
  • ウェブサイトリストを絞り込む 」を有効にして、「 保存」をクリックします。

詳細については、 認可されていない Web サイトの機能に関するドキュメントを参照してください

特定のアクセス要求を収集するアプリケーションを作成する

  • 「Secure Private Access」メニューで、「 アプリケーション」を選択します。
  • [アプリケーション] セクションで、[ アプリを追加] を選択します。

この例では、テンプレートは使用されていません。テンプレートの選択ウィザードで、「 スキップ」をクリックします。

  • まず、アプリの詳細画面で、アプリケーションの場所として「 社内ネットワーク内 」を選択し、アプリの種類として「 TCP/UDP 」を選択し、アプリ名を指定して、宛先を設定します。オプションでカスタムアイコンを追加できます。[次へ] を選択します。

ユースケース 2 ディスカバリーアプリの詳細

キャプチャする各宛先 (ドメイン、IP/ポート) を必ず指定してください。
複数のアプリケーションを作成することもできます。

  • 次に、「アプリケーション接続」画面で、「 タイプ 」として「 内部 」を選択し、 リソースの場所を指定します。[ 次へ ] を選択し、[ 完了] を選択します。

ユースケース 2: ディスカバリーアプリケーションの接続

  • 「Secure Private Access」メニューで、「 アクセスポリシー」を選択します。
  • [アプリケーション] セクションで、[ ポリシーの作成] を選択します。
  • **ポリシー名と簡単なポリシーの説明を入力します**
  • アプリケーション 」ドロップダウンリストで、「アプリケーションディスカバリー」を検索して選択します。

1 つのポリシー内で、複数のアクセスルールを作成し、さまざまなユーザーまたはユーザーグループにさまざまなアクセス条件を設定できます。これらのルールは、HTTP/HTTPS アプリケーションと TCP/UDP アプリケーションの両方に、すべて 1 つのポリシー内で個別に適用できます。 複数のアクセス規則の詳細については、「 複数の規則を含むアクセスポリシーの設定」を参照してください。

ユースケース 1: アクセスポリシー TCP アプリケーションディスカバリー

  • ポリシーのルールを作成するには 、[ルールを作成] を選択します。
  • ルール名とルールの簡単な説明を入力し、[ 次へ] を選択します

ユースケース 1: アクセスポリシー TCP アプリケーション検出ルール名

  • アプリを起動する権限を持つ適切なユーザー/グループを追加し、[次へ] を選択します

コンテキストに基づいて複数の条件を追加するには、「+」をクリックします。

ユースケース 1: アクセスポリシー TCP アプリケーション検出条件

  • HTTP/HTTPS アプリに制限付きまたは制限なしでアクセスできるかどうかを指定してください。
    以下のスクリーンショットでは、HTTP/HTTPS アプリへのアクセスが拒否されています。
  • TCP/UDP アプリのアクションを指定する以下のスクリーンショットでは
    、TCP/UDP アプリにアクセスできます。
  • 次を選択

ユースケース 1: アクセスポリシー TCP アプリケーション検出制限

  • 「概要」ページには、ポリシールールの詳細が表示されます。
    詳細を確認して、「 完了」を選択します。

ユースケース 1: アクセスポリシー TCP アプリケーション検出ルールの概要

  • ポリシーの作成 」ダイアログで、「 保存時にポリシーを有効にする」がオンになっていることを確認し 、「 保存」を選択します。

ユースケース 1: アクセスポリシー TCP アプリケーション検出ポリシーの概要

アプリケーション検出アプリケーションが正常に作成されました。

ディスカバリーアプリケーションを見る

SPAダッシュボードの左下にあるアプリケーション検出タイルを使用すると、検出されたドメイン、IPアドレス、プロトコル、およびポートの概要が表示され、作業が楽になります。検出結果に基づいて、管理者はシンプルで簡単なワークフローを使用してアプリとポリシーをデプロイできます。

ユースケース 1: ダッシュボードで検出されたアプリ

[もっと見る] をクリックすると、 検出されたすべてのアプリケーションの詳細が表示されます

ユースケース 1: ダッシュボードで検出されたアプリ

詳細ビューでは、フィルターを作成して結果を絞り込んだり、値が事前に入力されたアプリを作成したりできます。

ユースケース 3 — SaaS アプリケーションへのアクセスの制御

多くの企業は、アプリケーションのメンテナンス、セキュリティ、可用性などの面倒を見たくないという理由で、Software as a Service(SaaS)アプリケーションを使用しています。ただし、認証と承認、またはアクセスセキュリティは依然として会社の責任であり、慎重に検討する必要があります。

SaaS アプリケーションは通常、ユーザーのデバイス (会社管理または BYO) から直接アクセスされ、認証と承認は会社のアイデンティティプロバイダー (IdP) ソリューションによって処理されます。

通常、会社所有のデバイスは管理され、管理者はSaaSアプリケーションにアクセスできる仕事用ブラウザを制御します。 一方、管理対象外のデバイスの所有者だけが、SaaS アプリへのアクセスに使用するブラウザを制御および決定します。セキュリティ上の懸念が生じる可能性があります。

SaaS アプリケーションへのアクセスを制限することで、このようなセキュリティ上の懸念が解消され、以下の方法で実現できます。

ユースケース 3a — SaaS アプリケーションへのアクセスをシトリックスの Enterprise Browserに制限する

最も単純で使いやすい制限は、Web ブラウザ自体に基づいています。 そのため、 User-Agent ヘッダーは認証プロセス中に検証され、ログオンは許可または拒否されます。

次の 2 つの IdP 例は、WebブラウザのUser-Agentヘッダーチェックに基づいています。

Okta

Okta のサインインページへの制限付きアクセスは、カスタムドメインを作成する場合にのみ可能です。

*注:Okta カスタムドメインの詳細については、 こちらをご覧ください。*

カスタムドメインの作成

カスタムドメインを作成する前に、次の要件を考慮する必要があります。

  • ルートドメインのサブドメインが必要です (たとえば、login.example.com)
  • TLS 証明書の秘密鍵のサイズは 2048 ビットでなければなりません
  • DNS レコードを作成する必要があります

それでは、設定プロセスを始めましょう。

  • Okta 管理者ダッシュボードにスーパー管理者としてログインします
  • Okta メニューで [ カスタマイズ ] に切り替え、[ ドメイン] を選択します。
  • 「カスタム URL ドメイン」タイルで、「 編集 」を選択し、「 開始」をクリックします。
  • カスタムドメインを [ ドメイン] フィールド(1) に挿入し、希望の証明書管理 (2) 方法を選択して、[ 次へ] をクリックします。

ユースケース 3a: Okta カスタムドメイン、ステップ 1

  • Okta を指す DNS レコードをドメインに追加し、 変更が有効になるのを待ってから、[ 次へ ] をクリックして検証プロセスを開始します。

ユースケース 3a: Okta カスタムドメイン、ステップ 2

  • [ Finish ] をクリックしてカスタムドメインの設定を完了します。

ユースケース 3a、Okta カスタムドメイン、ステップ 3

  • 次に進む前に、カスタムドメインのステータスがアクティブであることを確認してください。

ユースケース 3a、Okta カスタムドメイン、ステップ 4

ログインページの変更

カスタムドメインを作成してアクティブ化したら、次のステップはサインインページのコードを変更することです。

  • Okta メニューで [ カスタマイズ ] に切り替え、[ サインインページコードエディター] を選択します。
  • </script>の前に次のコードを挿入します。
// Functions
    function check_browser() {
        try {
            var browser_brands = window.navigator.userAgentData.brands;
            for (brand_version_pair of browser_brands) {
                if (brand_version_pair.brand == "Citrix Enterprise Browser") {
                    return "CEB";
                }
            }
        }
        catch(error) {
            // Non chromium based browser
            return "nonCEB";
        }
    }

    async function wait_on_element(task, timer) {
        // timer in milliseconds
        while(document.getElementById("okta-signin-submit") === null) {
            await new Promise(resolve => setTimeout(resolve, timer));
        }
        switch(task) {
            case "enable":
                document.getElementById("okta-signin-submit").disabled = false;
                break;
            case "disable":
                document.getElementById("okta-signin-submit").disabled = true;
                break;
            case "value":
                document.getElementById("okta-signin-submit").value = "Login Disallowed";
                break;
        }
    }

// BEGIN
    // Disable login by default
    wait_on_element("disable", 200);

    // Browser check
    if (check_browser() !== 'CEB') {
        wait_on_element("value", 200);
        var theDiv=document.getElementById("okta-login-container");

        theDiv.insertAdjacentHTML('afterend', "<center><a href='ctxwb://" + encodeURIComponent(window.location.href) + "'>Launch</a> in Citrix Enterprise Browser App</center>");
        theDiv.insertAdjacentHTML('afterend', "<center><a href='https://www.citrix.com/downloads/workspace-app'>Download</a> Citrix Enterprise Browser App</center>");
        theDiv.insertAdjacentHTML('afterend', "<center><b>Citrix Enterprise Browser is required for this site</b></center>");
        if (typeof variable !== 'undefined' && fromUri != null) {
            theDiv.insertAdjacentHTML('afterend', "<center>((fromURI=" + fromUri + "</center><br>");
        }
    } else {
        // Enable login when CEB is used
        wait_on_element("enable", 200);
    }
// END
<!--NeedCopy-->
  • カスタマイズは次のスクリーンショットのようになるはずです。

ユースケース 3a Okta カスタムドメインログインページ

  • HTML エディターの上部にある「 プレビュー」をクリックします。
    *注:変更したサインインページは自動的に保存され、新しいタブが開きます。*

Okta サインインページの変更が完了しました。

Okta サインインページにアクセスする

標準のWebブラウザーには、 「ログイン不可」 ボタンとCitrix Enterprise Browserをダウンロードするための情報が表示されます。

ユースケース 3a: Okta カスタムドメインのログイン/ページの拒否

Citrix Enterprise Browserに正しい Okta サインインページが表示されます。

ユースケース 3a: Okta カスタムドメインのログイン/ページの許可

NetScaler (AAA)

NetScalerサインインページへの制限付きアクセスは、カスタムポータルテーマを使用してのみ実行できます。
カスタム・ポータル・テーマ内では、「CustomAuthLabelHandler」 がUser-Agentヘッダーをチェックします。

この構成は次の環境でテストされました。

  • NetScaler リリース 13.1.37.38
  • アダプティブ認証サービス
カスタムのポータルテーマの作成
  • NetScaler管理GUIにスーパーユーザーとしてログインします
  • NetScalerメニューでNetScaler Gatewayに切り替え 、「 ポータルテーマ」を選択します。
  • ポータル・テーマ・ペインで、「 追加」をクリックします。
  • 「ポータル・テーマの作成」ダイアログで、 テーマ名を追加し、テンプレート・テーマとして「 RFWebUI 」を選択し、「 OK」をクリックします。

ユースケース 3a-NetScaler ポータルのテーマ、ステップ 1

  • 次の画面で、ルックアンドフィールを変更できます。「 OK」 をクリックして続行します。
  • 「言語」セクションで、「 OK」をクリックします。
  • 完了 」をクリックして「ポータル・テーマ」画面を閉じます。
カスタムポータルテーマの変更
  • SSH経由でNetScaler管理IPに接続します。
  • コマンドshellを入力します。
  • /var/netscaler/logon/themes/<custom_theme_name>/にアクセスします。

ここでは、以下のコマンドを使用します。
cd /var/netscaler/logon/themes/RfWebUI-CEB-restricted/

  • ファイルscript.jsを開き、次のコードスニペットを追加します。
CTXS.ExtensionAPI.addCustomAuthLabelHandler({
  // Name of credential returned in form from server
  getLabelTypeName: function () { return "nsg-link-label"; },
  getLabelTypeMarkup: function (requirements) {
    var labelInfo = requirements.label;
    label = $('<center></center>').attr("for", requirements.credential.id)

    // Functions
    function check_browser() {
      try {
        var browser_brands = window.navigator.userAgentData.brands;
        for (brand_version_pair of browser_brands) {
          if (brand_version_pair.brand == "Citrix Enterprise Browser") {
            return "CEB";
          }
        }
      }
      catch {
        // Non chromium based browser
        return "nonCEB";
      }
    }

  function disableFormsButton($button) {
    // Disable the button and stop it from appearing clickable
    $button.addClass('disabled').removeAttr('href');
    // Change the button text based  on the localization file
    $button.text(_localize("CEB Button"));
  }

  // BEGIN
    if(labelInfo && check_browser() !== "CEB") {
    text = _localize(labelInfo.text);
      text = text.replace(/(\w+)===([\w]+://.*?)(\s)/ig, '<br/><a href="$2">$1$3</a>');
      lines = text.split(';;');
      note = $('<label class="label plain">' + lines[0] + '</label>').css("line-height", "24px");
      download = $('<label class="label plain">' + lines[1] + '</label>').css("line-height", "20px");
      launch = $('<label class="label plain">' + lines[2] + '</label>').css("line-height", "20px");
      label.css("line-height", "20px");
      note.css("font-weight", "bold");
      label.append(note, download, launch);
    }

    $(document).on('ctxsformsauthenticationdisplayform', function (e, data) {
      var $form = data.authenticationElement.find('.credentialform'),
      $loginButton = $form.find('#loginBtn');
      if (check_browser() !== "CEB") {
        // If Citrix Enterprise Browser is not used
        // Disable the Log On button
        disableFormsButton($loginButton);
      }
    });

    return label;
  //END
  },
  parseAsType: function () {
    return "plain";
  }
});
<!--NeedCopy-->
  • **ファイルを保存して閉じます** 。

  • ファイルstrings.en.jsonを開き、中括弧の中に次のコードスニペットを追加します。({})

"Citrix Enterprise Browser recommendation":"Citrix Enterprise Browser is recommended for this site;;Download===https://www.citrix.com/downloads/workspace-app Citrix Workspace app;;Launch===ctxwb://https%3A%2F%2Flogin.hasenzagl.eu%2F in Citrix Enterprise Browser","CEB Button":"Login Disallowed"
<!--NeedCopy-->

重要

スクリプトが機能するには、テキストの上にある形式が重要です。;;で区切られたテキストは新しい行に表示され、URL 名とリンクは===で区切られます 。

  • **ファイルを保存して閉じます** 。

  • 他の言語についても同様の手順を繰り返します。
    *注:次のキー"Citrix Enterprise Browser recommendation":および"CEB Button":の背後にある値 (テキスト) で、ローカライズできます。*

カスタムログインスキーマの作成
  • SSH経由でNetScaler管理IPに接続します。
  • コマンドshellを入力します。
  • /nsconfig/loginschema/LoginSchema/にアクセスします。
  • 選択したログインスキーマを/nsconfig/loginschema/にコピーします。

ここでは、以下のコマンドを使用します。
cp -p /nsconfig/loginschema/LoginSchema/SingleAuth.xml /nsconfig/loginschema/CustomSingleAuth.xml

  • /nsconfig/loginschema/にアクセスします。
  • ファイル「CustomSingleAuth.xml」を開きます。
  • <ID>loginBtn<ID>を検索する。
  • 次の行に次のコードスニペットを挿入します。
<Requirement><Credential><Type>none</Type></Credential><Label><Text>Citrix Enterprise Browser recommendation</Text><Type>nsg-link-label</Type></Label></Requirement>
<!--NeedCopy-->
  • カスタマイズは次のスクリーンショットのようになるはずです。

使用例 3a: NetScaler ログインテーマ (ステップ 1)

  • **ファイルを保存して閉じます** 。

必要なカスタマイズが完了しました。
次に、仮想認証サーバーを作成し、必要なポリシーをバインドします。

仮想認証サーバーの作成

仮想認証サーバーを作成する前に、次の前提条件を考慮する必要があります。

  • 仮想 IP アドレス (VIP) として使用する IP アドレスを 1 つ予約します。
  • 仮想認証サーバー用のSSL証明書をNetScalerにインストールします。
    証明書の共通名は DNS レコードと一致する必要があります。(たとえば、login.example.org)
    すべての中間証明書をサーバー証明書にリンクします。
  • 証明書の共通名の DNS レコードを作成し、VIP を指定します。
  • ユーザー認証情報を検証するための拡張認証ポリシーとLDAPアクションを作成します。

構成のこの部分はNetScaler管理CLIで行います。

  • SSH経由でNetScaler管理IPに接続します。
  • 次のコマンドをメモ帳にコピーし、山括弧で囲まれたプレースホルダーを置き換えます。(< >)
add authentication loginSchema lschema_CustomSingleAuth -authenticationSchema "/nsconfig/loginschema/CustomSingleAuth.xml"
add authentication loginSchemaPolicy lschema_CustomSingleAuth -rule true -action lschema_CustomSingleAuth
add authentication vserver aaavs_CEB_only SSL <VIP> 443
bind authentication vserver aaavs_CEB_only -portaltheme RfWebUI-CEB-restricted
bind authentication vserver aaavs_CEB_only -policy lschema_CustomSingleAuth -priority 100 -gotoPriorityExpression END
bind authentication vserver aaavs_CEB_only -policy advauth_ldap -priority 100 -gotoPriorityExpression NEXT
bind ssl vserver aaavs_CEB_only -certkeyName <certificate-name>
<!--NeedCopy-->
  • コマンドをメモ帳からNetScaler管理CLIにコピーして実行します。

テスト専用

認証ページのキャッシュを無効にするには、以下のコマンドを実行します。
set aaa parameter -enableStaticPageCaching NO

  • NetScaler(AAA)のサインインページの変更が完了しました。
NetScaler (AAA) のサインインページにアクセスする

標準のWebブラウザーには、 「ログイン不可」 ボタンとCitrix Enterprise Browserをダウンロードするための情報が表示されます。

ユースケース 3a NetScaler サインインページの拒否

Citrix Enterprise Browserに正しい NetScaler (AAA) サインインページが表示されます。

ユースケース 3a NetScaler のサインインページで許可する

ユースケース 3b — SaaS アプリケーションへのアクセスを会社所有のパブリック IP アドレスに制限する

セキュリティ上の理由から、一部の SaaS アプリケーションには、指定されたパブリック IP アドレス (たとえば、会社のデータセンター)からのみアクセスできます。これにより、 企業ネットワークに接続している従業員だけがアクセスできるようになり、たとえば、トラフィックは企業のファイアウォールやその他のネットワークデバイスによって検査されます。

"connected to the corporate network"を考えてみると、これはBYOデバイスにとって何を意味するのでしょうか? ほとんどの場合、これは許可されていません!

Citrix Secure Private Access(SPA)を使用するゼロトラストネットワークアクセス(ZTNA)は、この問題を解決します。企業管理デバイスと BYO デバイスを使用するすべてのアプリケーションに同じエントリポイントを使用することは、使いやすさとユーザーエクスペリエンスの面で大きな利点となります。ユーザーデバイスに応じたさまざまな認証要素と制限が企業にとって付加価値となります。

ユースケース 3b の概要

SaaS アプリケーションの例 — アプリ定義

このユースケースでは、SaaS アプリケーションを 「社内ネットワーク内」と定義し、「アプリケーション接続」を「社内」に設定します。 この構成により、企業はファイアウォールまたは任意のトランスペアレントゲートウェイデバイス上の SaaS アプリケーショントラフィックを検査できます。

  • Citrix Cloudにログインし、[Secure Private Access]タイルから[ 管理 ]を選択します。
  • 「Secure Private Access」メニューで、「 アプリケーション」を選択します。
  • [アプリケーション] セクションで、[ アプリを追加] を選択します。

この例では、テンプレートは使用されていません。テンプレートの選択ウィザードで、「 スキップ」をクリックします。

  • まず、アプリの詳細画面で、アプリケーションの場所を「 社内ネットワーク内 」に設定し、赤いアスタリスクの付いた必須フィールドに入力します。オプションでカスタムアイコンを追加できます。[次へ]を選択します。

ユースケース 3b SaaS アプリケーションの詳細

  • 次に、シングル・サインオン画面で、SSOの種類として「 SSOを使用しない 」を選択します。[次へ]を選択します。

ユースケース 3b SaaS アプリケーション SSO

  • 3 番目に、「アプリケーション接続」画面で、「 タイプ 」として「 内部 」を選択し、「 リソースロケーション」を選択します。[ 保存して終了] をクリックします。

ユースケース 3b SaaS アプリケーション接続

アプリを定義する際、SaaS アプリケーションへのトラフィックルーティングは「アプリ接続」セクションで制御できます。

可能な「アプリ接続」トラフィックルーティング設定:

  • ダイレクト: External
    トラフィックはユーザーのデバイスから SaaS アプリケーションに直接流れます。

  • 間接: Internal (または「外部経由コネクタ」)
    トラフィックはユーザーのデバイスから SPA サービスに流れます。SPAサービスから、会社のデータセンター(リソースロケーション)に導入されたConnector Appliance、そして最後にSaaSアプリケーションまで。

「内部」と「外部-ビアコネクタ」に違いはありません。そのため、「内部」を使用することをお勧めします。

Workday サンプル Web アプリケーションが正常に作成されました。

次に、このアプリケーションにユーザー/グループを登録し、条件付きアクセスを設定する必要があります。

SaaS アプリケーションの例 — アクセスポリシー

条件と制限は、アクセスポリシーを使用して設定されます。 アクセスポリシーの作成は、次の 4 つの簡単な手順で行えます。

  • 「Secure Private Access」メニューで、「 アクセスポリシー」を選択します。
  • 「アクセスポリシー」セクションで、「 ポリシーの作成」を選択します。
  • **ポリシー名と簡単なポリシーの説明を入力します**
  • アプリケーション 」ドロップダウンリストで「Workday」を検索して選択します。

1 つのポリシー内で、複数のアクセスルールを作成し、さまざまなユーザーまたはユーザーグループにさまざまなアクセス条件を設定できます。これらのルールは、HTTP/HTTPS アプリケーションと TCP/UDP アプリケーションの両方に、すべて 1 つのポリシー内で個別に適用できます。 複数のアクセス規則の詳細については、「 複数の規則を含むアクセスポリシーの設定」を参照してください。

ユースケース 3b アクセスポリシー SaaS アプリケーション

  • ポリシーのルールを作成するには 、[ルールを作成] を選択します。
  • ルール名とルールの簡単な説明を入力し、[ 次へ] を選択します。

ユースケース 3b アクセスポリシー SaaS ルール名

  • アプリを起動する権限を持つ適切なユーザー/グループを追加し、[次へ] を選択します

コンテキストに基づいて複数の条件を追加するには、「+」をクリックします。

ユースケース 3b アクセスポリシー SaaS 条件

  • HTTP/HTTPS
    アプリに制限付きまたは制限なしでアクセスできるかどうかを指定してください。以下のスクリーンショットには制限が設定されていません。
  • TCP/UDP アプリのアクションを指定してください。
    以下のスクリーンショットでは、TCP/UDP アプリへのアクセスが拒否されています。
  • 次を選択

ユースケース 3b アクセスポリシー SaaS 制限

  • 「概要」ページには、ポリシールールの詳細が表示されます。
    詳細を確認して、「 完了」を選択します。

ユースケース 3b アクセスポリシー SaaS ルールの概要

  • ポリシーの作成 」ダイアログで、「 保存時にポリシーを有効にする」がオンになっていることを確認し 、「 保存」を選択します。

ユースケース 3b アクセスポリシー SaaS ポリシーの概要

技術概要:安全なプライベートアクセス-ユースケース