認証
XenMobile® の展開では、認証の構成方法を決定する際にいくつかの考慮事項があります。このセクションでは、認証に影響を与えるさまざまな要因を、以下の点について説明することで理解を深めることができます。
- 認証に関わる主要なMDXポリシー、XenMobileクライアントプロパティ、およびCitrix Gateway設定
- これらのポリシー、クライアントプロパティ、および設定の相互作用
- それぞれの選択肢のトレードオフ
この記事には、セキュリティレベルを向上させるための推奨構成例も3つ含まれています。
一般的に、セキュリティを強化すると、ユーザーはより頻繁に認証する必要があるため、ユーザーエクスペリエンスは最適ではなくなります。これらの懸念事項をどのようにバランスさせるかは、組織のニーズと優先順位によって異なります。推奨される3つの構成を確認することで、利用可能な認証手段の相互作用と、独自のXenMobile環境を最適に展開する方法について、より深く理解できるはずです。
認証モード
オンライン認証: ユーザーがXenMobileネットワークにアクセスできるようにします。インターネット接続が必要です。
オフライン認証: デバイス上で実行されます。ユーザーはセキュアボールトのロックを解除し、ダウンロードされたメール、キャッシュされたWebサイト、メモなどの項目にオフラインでアクセスできます。
認証方法
シングルファクター
LDAP: XenMobileでは、Lightweight Directory Access Protocol (LDAP) に準拠したActive Directoryなどの1つ以上のディレクトリへの接続を構成できます。これは、企業環境でシングルサインオン (SSO) を提供するためによく使用される方法です。登録時の複雑なパスワード、パスワードの有効期限、アカウントのロックアウトといったセキュリティを提供しつつ、LDAPでのユーザーエクスペリエンスを向上させるために、Active Directoryパスワードキャッシュを使用したCitrix PINを選択することもできます。
詳細については、「ドメインまたはドメインとSTA」を参照してください。
クライアント証明書: XenMobileは、業界標準の証明書機関と統合し、オンライン認証の唯一の方法として証明書を使用できます。XenMobileは、ユーザー登録後にこの証明書を提供します。これには、ワンタイムパスワード、招待URL、またはLDAP資格情報のいずれかが必要です。クライアント証明書を主要な認証方法として使用する場合、クライアント証明書のみの環境では、デバイス上の証明書を保護するためにCitrix PINが必要です。
XenMobileは、サードパーティの証明書機関に対してのみ証明書失効リスト (CRL) をサポートしています。Microsoft CAを構成している場合、XenMobileはCitrix ADCを使用して失効を管理します。クライアント証明書ベースの認証を構成する際には、Citrix ADCの証明書失効リスト (CRL) 設定である [CRLの自動更新を有効にする] を構成する必要があるかどうかを検討してください。この手順により、MAM専用モードのデバイスのユーザーが、既存の証明書を使用して認証できないようにします。XenMobileは、ユーザーが失効したユーザー証明書を生成することを制限しないため、新しい証明書を再発行します。この設定は、CRLが期限切れのPKIエンティティをチェックする際に、PKIエンティティのセキュリティを向上させます。
ユーザーに証明書ベースの認証を使用する場合、またはデバイス証明書の発行にエンタープライズ証明書機関 (CA) を使用する必要がある場合に必要となる展開を示す図については、「オンプレミス展開の参照アーキテクチャ」を参照してください。
2要素
LDAP + クライアント証明書: XenMobile環境では、この構成はセキュリティとユーザーエクスペリエンスの最良の組み合わせであり、Citrix ADCでの2要素認証によって提供されるセキュリティと最高のSSOの可能性を兼ね備えています。LDAPとクライアント証明書の両方を使用することで、ユーザーが知っているもの (Active Directoryパスワード) とユーザーが持っているもの (デバイス上のクライアント証明書) の両方でセキュリティを提供します。Secure Mail (およびその他のモバイル生産性アプリ) は、適切に構成されたExchangeクライアントアクセスサーバー環境で、クライアント証明書認証によるシームレスな初回ユーザーエクスペリエンスを自動的に構成および提供できます。最適な使いやすさのために、このオプションをCitrix PINとActive Directoryパスワードキャッシュと組み合わせることができます。
LDAP + トークン: この構成では、LDAP資格情報に加えて、RADIUSプロトコルを使用したワンタイムパスワードの従来の構成が可能です。最適な使いやすさのために、このオプションをCitrix PINとActive Directoryパスワードキャッシュと組み合わせることができます。
認証に関わる重要なポリシー、設定、およびクライアントプロパティ
以下のポリシー、設定、およびクライアントプロパティは、以下の3つの推奨構成で適用されます。
MDXポリシー
アプリのパスコード: オンの場合、アプリの起動時または一定期間の非アクティブ状態からの再開時に、Citrix PINまたはパスコードがアプリのロック解除に必要です。デフォルトはオンです。
すべてのアプリの非アクティブタイマーを構成するには、XenMobileコンソールの [設定] タブの [クライアントプロパティ] で、INACTIVITY_TIMERの値を分単位で設定します。デフォルトは15分です。非アクティブタイマーを無効にして、アプリの起動時にのみPINまたはパスコードのプロンプトが表示されるようにするには、値をゼロに設定します。
注:
[暗号化キーポリシー] で [Secure offline] を選択した場合、このポリシーは自動的に有効になります。
オンラインセッションが必要: オンの場合、ユーザーはエンタープライズネットワークへの接続とアクティブなセッションを持っている必要があります。オフの場合、デバイス上のアプリにアクセスするためにアクティブなセッションは必要ありません。デフォルトはオフです。
最大オフライン期間 (時間): アプリがアプリのエンタイトルメントを再確認し、XenMobileからポリシーを更新せずに実行できる最大期間を定義します。最大オフライン期間を設定すると、Secure Hub for iOSが有効なCitrix Gatewayトークンを持っている場合、アプリはユーザーに中断することなくXenMobileからMDXアプリの新しいポリシーを取得します。Secure Hubが有効なCitrix ADCトークンを持っていない場合、ユーザーはアプリポリシーを更新するためにSecure Hubを介して認証する必要があります。Citrix ADCトークンは、Citrix Gatewayセッションの非アクティブまたは強制セッションタイムアウトポリシーのために無効になることがあります。ユーザーがSecure Hubに再度サインオンすると、アプリの実行を継続できます。
ユーザーには、期間が期限切れになる30分前、15分前、5分前にサインオンするよう通知されます。期限切れ後、ユーザーがサインオンするまでアプリはロックされます。デフォルトは72時間 (3日)です。最小期間は1時間です。
注:
ユーザーが頻繁に旅行し、国際ローミングを使用できるシナリオでは、デフォルトの72時間 (3日) では短すぎる可能性があることに注意してください。
バックグラウンドサービスチケットの有効期限: バックグラウンドネットワークサービスチケットが有効な期間です。Secure MailがCitrix Gatewayを介してActiveSyncを実行しているExchange Serverに接続すると、XenMobileはSecure Mailが内部Exchange Serverに接続するために使用するトークンを発行します。このプロパティ設定は、Secure Mailが認証とExchange Serverへの接続のために新しいトークンを必要とせずにトークンを使用できる期間を決定します。このタイムアウトが期限切れになると、ユーザーは新しいトークンを生成するために再度ログオンする必要があります。デフォルトは168時間 (7日)です。このタイムアウトが期限切れになると、メール通知は停止します。
オンラインセッションが必要な猶予期間: オンラインセッションが必要なポリシーによってそれ以上の使用が妨げられる前に (オンラインセッションが検証されるまで)、ユーザーがオフラインでアプリを使用できる分数です。デフォルトは0 (猶予期間なし) です。
認証ポリシーについては、以下を参照してください。
- MAM SDKを使用する場合: MAM SDKの概要
- MDX Toolkitを使用する場合: iOS用MDXポリシーおよびAndroid用MDXポリシー
XenMobileクライアントプロパティ
注:
クライアントプロパティは、XenMobileに接続するすべてのデバイスに適用されるグローバル設定です。
Citrix PIN: シンプルなサインオンエクスペリエンスのために、Citrix PINを有効にすることを選択できます。PINを使用すると、ユーザーはActive Directoryのユーザー名やパスワードなどの他の資格情報を繰り返し入力する必要がありません。Citrix PINは、スタンドアロンのオフライン認証としてのみ構成することも、PINとActive Directoryパスワードキャッシュを組み合わせて、最適な使いやすさのために認証を効率化することもできます。Citrix PINは、XenMobileコンソールの [設定] > [クライアント] > [クライアントプロパティ] で構成します。
以下は、いくつかの重要なプロパティの概要です。詳細については、「クライアントプロパティ」を参照してください。
ENABLE_PASSCODE_AUTH
表示名: Citrix PIN認証を有効にする
このキーを使用すると、Citrix PIN機能を有効にできます。Citrix PINまたはパスコードを使用すると、ユーザーはActive Directoryパスワードの代わりにPINを定義するように求められます。ENABLE_PASSWORD_CACHING が有効になっている場合、またはXenMobileが証明書認証を使用している場合は、この設定を有効にする必要があります。
設定可能な値: true または false
デフォルト値: false
ENABLE_PASSWORD_CACHING
表示名: ユーザーパスワードキャッシュを有効にする
このキーを使用すると、ユーザーのActive Directoryパスワードをモバイルデバイスにローカルでキャッシュできます。このキーをtrueに設定すると、ユーザーはCitrix PINまたはパスコードを設定するように求められます。このキーを true に設定する場合、ENABLE_PASSCODE_AUTH キーもtrueに設定する必要があります。
設定可能な値: true または false
デフォルト値: false
PASSCODE_STRENGTH
表示名: PINの強度要件
このキーは、Citrix PINまたはパスコードの強度を定義します。この設定を変更すると、次回認証を求められたときに、ユーザーは新しいCitrix PINまたはパスコードを設定するように求められます。
設定可能な値: 低、中、または 高
デフォルト値: 中
INACTIVITY_TIMER
表示名: 非アクティブタイマー
このキーは、ユーザーがデバイスを非アクティブなままにしてから、Citrix PINまたはパスコードの入力を求められることなくアプリにアクセスできる時間を分単位で定義します。MDXアプリでこの設定を有効にするには、[アプリパスコード] 設定を [オン] に設定する必要があります。[アプリパスコード] 設定が [オフ] に設定されている場合、ユーザーはSecure Hubにリダイレクトされ、完全な認証を実行します。この設定を変更すると、次回ユーザーが認証を求められたときに値が有効になります。デフォルトは15分です。
ENABLE_TOUCH_ID_AUTH
表示名: Touch ID認証を有効にする
オフライン認証のために指紋リーダー(iOSのみ)の使用を許可します。オンライン認証には、引き続きプライマリ認証方法が必要です。
ENCRYPT_SECRETS_USING_PASSCODE
表示名: パスコードを使用してシークレットを暗号化する
このキーを使用すると、機密データをiOSキーチェーンなどのプラットフォームベースのネイティブストアではなく、シークレットボールトにモバイルデバイスに保存できます。この構成キーは、キーアーティファクトの強力な暗号化を可能にするだけでなく、ユーザーエントロピー(ユーザーが生成した、ユーザーのみが知っているランダムなPINコード)も追加します。
指定可能な値: true または false
デフォルト値: false
Citrix ADC の設定
セッションタイムアウト: この設定を有効にすると、Citrix ADC が指定された間隔でネットワークアクティビティを検出しない場合、Citrix Gateway はセッションを切断します。この設定は、Citrix Gateway Plug-in、Citrix Receiver™、Secure Hub、または Web ブラウザー経由で接続するユーザーに適用されます。デフォルトは 1440 分です。この値をゼロに設定すると、この設定は無効になります。
強制タイムアウト: この設定を有効にすると、ユーザーが何をしていても、タイムアウト間隔が経過すると Citrix Gateway はセッションを切断します。タイムアウト間隔が経過した場合、ユーザーが切断を防ぐためにできる操作はありません。この設定は、Citrix Gateway Plug-in、Citrix Receiver、Secure Hub、または Web ブラウザー経由で接続するユーザーに適用されます。Secure Mail が STA(Citrix ADC の特殊モード)を使用している場合、強制タイムアウト設定は Secure Mail セッションには適用されません。デフォルトは 1440 分です。この値を空白のままにすると、この設定は無効になります。
Citrix Gateway のタイムアウト設定の詳細については、Citrix ADC ドキュメントを参照してください。
ユーザーがデバイスに資格情報を入力して XenMobile で認証するよう促されるシナリオの詳細については、「認証プロンプトのシナリオ」を参照してください。
デフォルト構成設定
これらの設定は、以下によって提供されるデフォルトです。
- NetScaler® for XenMobile ウィザード
- MAM SDK または MDX Toolkit
- XenMobile コンソール
| 設定 | 設定場所 | デフォルト設定 |
|---|---|---|
| セッションタイムアウト | Citrix Gateway | 1440 分 |
| 強制タイムアウト | Citrix Gateway | 1440 分 |
| 最大オフライン期間 | MDX ポリシー | 72 時間 |
| バックグラウンドサービスチケットの有効期限 | MDX ポリシー | 168 時間 (7 日) |
| オンラインセッション必須 | MDX ポリシー | オフ |
| オンラインセッション必須猶予期間 | MDX ポリシー | 0 |
| アプリパスコード | MDX ポリシー | オン |
| パスコードを使用したシークレットの暗号化 | XenMobile クライアントプロパティ | false |
| Citrix PIN 認証の有効化 | XenMobile クライアントプロパティ | false |
| PIN 強度の要件 | XenMobile クライアントプロパティ | 中 |
| PIN の種類 | XenMobile クライアントプロパティ | 数字 |
| ユーザーパスワードキャッシュの有効化 | XenMobile クライアントプロパティ | false |
| 非アクティブタイマー | XenMobile クライアントプロパティ | 15 |
| Touch ID 認証の有効化 | XenMobile クライアントプロパティ | false |
推奨構成
このセクションでは、最低限のセキュリティと最適なユーザーエクスペリエンスから、最高のセキュリティとより煩雑なユーザーエクスペリエンスまでの3つの XenMobile 構成の例を示します。これらの例は、独自の構成をどのレベルに設定するかを決定するための役立つ参照点となるはずです。これらの設定を変更するには、他の設定も変更する必要がある場合があります。たとえば、最大オフライン期間は常にセッションタイムアウトよりも短くする必要があります。
最高セキュリティ
この構成は最高のセキュリティレベルを提供しますが、ユーザビリティに大きなトレードオフがあります。
| 設定 | 設定場所 | 推奨設定 | 動作への影響 |
|---|---|---|---|
| セッションタイムアウト | Citrix Gateway | 1440 | ユーザーは、オンライン認証が必要な場合(24時間ごと)にのみ Secure Hub の資格情報を入力します。 |
| 強制タイムアウト | Citrix Gateway | 1440 | オンライン認証は24時間ごとに厳密に要求されます。アクティビティによってセッションの有効期間は延長されません。 |
| 最大オフライン期間 | MDX ポリシー | 23 | 毎日ポリシーの更新が必要です。 |
| バックグラウンドサービスチケットの有効期限 | MDX ポリシー | 72 時間 | STA のタイムアウト。Citrix Gateway セッショントークンなしで長期間のセッションを許可します。Secure Mail の場合、STA タイムアウトをセッションタイムアウトよりも長く設定することで、セッションの有効期限が切れる前にユーザーがアプリを開かない場合でも、ユーザーにプロンプトを表示せずにメール通知が停止するのを防ぎます。 |
| オンラインセッション必須 | MDX ポリシー | オフ | アプリを使用するために、有効なネットワーク接続と Citrix Gateway セッションを確保します。 |
| オンラインセッション必須猶予期間 | MDX ポリシー | 0 | 猶予期間なし(オンラインセッション必須を有効にした場合)。 |
| アプリパスコード | MDX ポリシー | オン | アプリケーションにパスコードを要求します。 |
| パスコードを使用したシークレットの暗号化 | XenMobile クライアントプロパティ | true | ユーザーエントロピーから派生したキーがボールトを保護します。 |
| Citrix PIN 認証の有効化 | XenMobile クライアントプロパティ | true | 簡素化された認証エクスペリエンスのために Citrix PIN を有効にします。 |
| PIN 強度の要件 | XenMobile クライアントプロパティ | 強 | 高いパスワード複雑性要件。 |
| PIN の種類 | XenMobile クライアントプロパティ | 英数字 | PIN は英数字のシーケンスです。 |
| パスワードキャッシュの有効化 | XenMobile クライアントプロパティ | false | Active Directory パスワードはキャッシュされず、Citrix PIN がオフライン認証に使用されます。 |
| 非アクティブタイマー | XenMobile クライアントプロパティ | 15 | ユーザーがこの期間 MDX アプリまたは Secure Hub を使用しない場合、オフライン認証を要求します。 |
| Touch ID 認証の有効化 | XenMobile クライアントプロパティ | false | iOS のオフライン認証ユースケースで Touch ID を無効にします。 |
より高セキュリティ
より中道的なアプローチであるこの構成では、ユーザーはより頻繁に(最大7日ではなく3日ごとに)認証を行う必要があり、より強力なセキュリティが提供されます。認証回数が増えることで、コンテナーがより頻繁にロックされ、デバイスが使用されていないときのデータセキュリティが確保されます。
| 設定 | 設定場所 | 推奨設定 | 動作への影響 |
|---|---|---|---|
| セッションタイムアウト | Citrix Gateway | 4320 | ユーザーは、オンライン認証が必要な場合(3日ごと)にのみ Secure Hub の資格情報を入力します。 |
| 強制タイムアウト | Citrix Gateway | 値なし | アクティビティがある場合、セッションは延長されます。 |
| 最大オフライン期間 | MDX ポリシー | 71 | 3日ごとにポリシーの更新が必要です。1時間の差は、セッションタイムアウトより前に更新を許可するためです。 |
| バックグラウンドサービスチケットの有効期限 | MDX ポリシー | 168 時間 | STA のタイムアウト。Citrix Gateway セッショントークンなしで長期間のセッションを許可します。Secure Mail の場合、STA タイムアウトをセッションタイムアウトよりも長く設定することで、セッションの有効期限が切れる前にユーザーがアプリを開かない場合でも、ユーザーにプロンプトを表示せずにメール通知が停止するのを防ぎます。 |
| オンラインセッション必須 | MDX ポリシー | オフ | アプリを使用するために、有効なネットワーク接続と Citrix Gateway セッションを確保します。 |
| オンラインセッション必須猶予期間 | MDX ポリシー | 0 | 猶予期間なし(オンラインセッション必須を有効にした場合)。 |
| アプリパスコード | MDX ポリシー | オン | アプリケーションにパスコードを要求します。 |
| パスコードを使用したシークレットの暗号化 | XenMobile クライアントプロパティ | false | ボールトを暗号化するためにユーザーエントロピーを要求しません。 |
| Citrix PIN 認証の有効化 | XenMobile クライアントプロパティ | true | 簡素化された認証エクスペリエンスのために Citrix PIN を有効にします。 |
| PIN 強度の要件 | XenMobile クライアントプロパティ | 中 | 中程度のパスワード複雑性ルールを適用します。 |
| PIN の種類 | XenMobile クライアントプロパティ | 数字 | PIN は数字のシーケンスです。 |
| パスワードキャッシュの有効化 | XenMobile クライアントプロパティ | true | ユーザー PIN が Active Directory パスワードをキャッシュして保護します。 |
| 非アクティブタイマー | XenMobile クライアントプロパティ | 30 | ユーザーがこの期間 MDX アプリまたは Secure Hub を使用しない場合、オフライン認証を要求します。 |
| Touch ID 認証の有効化 | XenMobile クライアントプロパティ | true | iOS のオフライン認証ユースケースで Touch ID を有効にします。 |
高セキュリティ
この構成は、ユーザーにとって最も便利であり、ベースレベルのセキュリティを提供します。
| 設定 | 設定場所 | 推奨設定 | 動作への影響 |
|---|---|---|---|
| セッションタイムアウト | Citrix Gateway | 10080 | ユーザーは、オンライン認証が必要な場合(7日ごと)にのみ Secure Hub の資格情報を入力します。 |
| 強制タイムアウト | Citrix Gateway | 値なし | アクティビティがある場合、セッションは延長されます。 |
| 最大オフライン期間 | MDX ポリシー | 167 | 毎週(7日ごと)ポリシーの更新が必要です。1時間の差は、セッションタイムアウトより前に更新を許可するためです。 |
| バックグラウンドサービスチケットの有効期限 | MDX ポリシー | 240 | STA のタイムアウト。Citrix Gateway セッショントークンなしで長期間のセッションを許可します。Secure Mail の場合、STA タイムアウトをセッションタイムアウトよりも長く設定することで、セッションの有効期限が切れる前にユーザーがアプリを開かない場合でも、ユーザーにプロンプトを表示せずにメール通知が停止するのを防ぎます。 |
| オンラインセッション必須 | MDX ポリシー | オフ | アプリを使用するために、有効なネットワーク接続と Citrix Gateway セッションを確保します。 |
| オンラインセッション必須猶予期間 | MDX ポリシー | 0 | 猶予期間なし(オンラインセッション必須を有効にした場合)。 |
| アプリパスコード | MDX ポリシー | オン | アプリケーションにパスコードを要求します。 |
| パスコードを使用したシークレットの暗号化 | XenMobile クライアントプロパティ | false | ボールトを暗号化するためにユーザーエントロピーを要求しません。 |
| Citrix PIN 認証の有効化 | XenMobile クライアントプロパティ | true | 簡素化された認証エクスペリエンスのために Citrix PIN を有効にします。 |
| PIN 強度の要件 | XenMobile クライアントプロパティ | 低 | パスワード複雑性要件なし |
| PIN の種類 | XenMobile クライアントプロパティ | 数字 | PIN は数字のシーケンスです。 |
| パスワードキャッシュの有効化 | XenMobile クライアントプロパティ | true | ユーザー PIN が Active Directory パスワードをキャッシュして保護します。 |
| 非アクティブタイマー | XenMobile クライアントプロパティ | 90 | ユーザーがこの期間 MDX アプリまたは Secure Hub を使用しない場合、オフライン認証を要求します。 |
| Touch ID 認証の有効化 | XenMobile クライアントプロパティ | true | iOS のオフライン認証ユースケースで Touch ID を有効にします。 |
ステップアップ認証の使用
一部のアプリでは、強化された認証(たとえば、トークンや積極的なセッションタイムアウトなどのセカンダリ認証要素)が必要になる場合があります。この認証方法は、MDX ポリシーを通じて制御します。この方法では、認証方法を制御するための個別の仮想サーバーも必要です(同じ Citrix ADC アプライアンス上または別のアプライアンス上)。
| 設定 | 設定場所 | 推奨設定 | 動作への影響 |
|---|---|---|---|
| 代替 Citrix Gateway | MDX ポリシー | セカンダリ Citrix ADC アプライアンスの FQDN とポートが必要です。 | セカンダリ Citrix ADC アプライアンスの認証およびセッションポリシーによって制御される強化された認証を許可します。 |
ユーザーが代替 Citrix Gateway インスタンスにログオンするアプリを開くと、他のすべてのアプリは、内部ネットワークとの通信にその Citrix Gateway インスタンスを使用します。セッションは、強化されたセキュリティを持つ Citrix Gateway インスタンスからセッションがタイムアウトした場合にのみ、より低いセキュリティの Citrix Gateway インスタンスに切り替わります。
オンラインセッション必須の使用
Secure Web などの特定のアプリケーションでは、ユーザーが認証済みセッションを持ち、デバイスがネットワークに接続されている場合にのみアプリを実行するようにしたい場合があります。このポリシーは、そのオプションを強制し、ユーザーが作業を完了できるように猶予期間を許可します。
| 設定 | 設定場所 | 推奨設定 | 動作への影響 |
|---|---|---|---|
| オンラインセッション必須 | MDX ポリシー | オン | デバイスがオンラインであり、有効な認証トークンを持っていることを確認します。 |
| オンラインセッション必須猶予期間 | MDX ポリシー | 15 | ユーザーがアプリを使用できなくなる前に15分間の猶予期間を許可します |