認証
XenMobile環境で認証の構成方法を決定する場合、いくつかの点を考慮する必要があります。このセクションでは、認証に影響するさまざまな要素を理解できるよう、以下の項目について説明します:
- 認証に関係する主なMDXポリシー、XenMobileクライアントプロパティ、Citrix Gatewayの設定。
- これらのポリシー、クライアントプロパティ、および設定の関連性。
- それぞれの選択肢の代償。
また、セキュリティを強化する上で推奨される3つの構成例も紹介します。
大まかに言えば、セキュリティを強化するほどユーザーはより頻繁に認証を行わなければならなくなるため、最適なユーザーエクスペリエンスから遠ざかることになります。こうした問題のバランスをとる方法は、組織のニーズと優先事項によって異なります。3つの推奨構成を検討することで、利用可能な認証手段の関係と、お客様に合ったXenMobile環境の最適な展開方法についてより深く理解できます。
認証モード
オンライン認証: ユーザーはXenMobileネットワークに接続できます。インターネット接続が必要になります。
オフライン認証: デバイスで認証を行います。ユーザーは、セキュリティで保護された資格情報コンテナのロックを解除して、ダウンロード済みのメール、キャッシュされたWebサイト、メモなどにオフラインでアクセスできます。
認証方法
単一要素
LDAP: XenMobileでは、LDAP(Lightweight Directory Access Protocol)に準拠している1つ以上のディレクトリ(Active Directoryなど)への接続を構成することができます。この方法は、企業環境でシングルサインオン(SSO:Single Sign-On)を実現するためによく使用されています。Active Directoryのパスワードのキャッシュ化でCitrix PINを選択すると、LDAPによりユーザーエクスペリエンスを向上させながら、登録時に複雑なパスワードを要求し、パスワードの有効期限およびアカウントのロックアウトを設定してセキュリティを確保できます。
詳しくは、「ドメインまたはドメイン+セキュリティトークン認証」を参照してください。
クライアント証明書: XenMobileを業界標準の証明機関と統合し、証明書を唯一のオンライン認証方法として使用できます。XenMobileでは、ワンタイムパスワード、招待URL、LDAP資格情報のいずれかが要求されるユーザー登録を行った後に、この証明書が提供されます。クライアント証明書をプライマリ認証方法とする場合、クライアント証明書のみの環境では、デバイスで証明書を保護するためにCitrix PINが必要になります。
XenMobileは、サードパーティ証明機関でのみ証明書失効一覧(CRL)をサポートします。Microsoft CAが構成されている場合、XenMobileはCitrix ADCを使用して失効を管理します。クライアント証明書ベースの認証を構成する場合、Citrix ADC証明書失効一覧(CRL)設定 [Enable CRL Auto Refresh] を構成するかどうか検討します。この手順を使用すると、MAMのみモードのデバイスのユーザーがデバイス上の既存の証明書を使用して認証できなくなります。ユーザー証明書が失効してもユーザーによる生成が制限されるわけではないので、XenMobileは新しい証明書を再発行します。この設定は、CRLが期限切れのPKIエンティティを確認する場合、PKIエンティティのセキュリティを強化します。
ユーザー向けに証明書ベースの認証を使用する場合、またはデバイスの証明書の発行でエンタープライズ証明機関(CA:Certificate Authority)を利用する必要がある場合に必要な展開環境を示した図については、「オンプレミス環境のリファレンスアーキテクチャ」を参照してください。
2要素
LDAP+クライアント証明書: XenMobile環境において、この構成では最適なSSO機能とCitrix ADCの2要素認証で提供されるセキュリティが結びつけられており、セキュリティおよびユーザーエクスペリエンスについて最高の組み合わせとなります。LDAPとクライアント証明書の両方を使用することで、ユーザーの知識(Active Directoryパスワード)と所有物(デバイス上のクライアント証明書)の両方によるセキュリティを実現します。Exchangeクライアントアクセスサーバーの環境が適切に構成されていれば、Secure Mail(および他のいくつかの業務用モバイルアプリ)では、初回アクセス時にクライアント証明書認証を自動で構成し、シームレスなユーザーエクスペリエンスを提供できます。ユーザービリティを最適にするために、このオプションをCitrix PINやActive Directoryのパスワードキャッシュと組み合わせることができます。
LDAP+トークン: この構成では、RADIUSプロトコルを使用して、従来のLDAP資格情報の構成とワンタイムパスワードを組み合わせることができます。ユーザービリティを最適にするために、このオプションをCitrix PINやActive Directoryのパスワードキャッシュと組み合わせることができます。
認証に関係する重要なポリシー、設定、およびクライアントプロパティ
後に示す3つの推奨構成では、次のポリシー、設定、およびクライアントプロパティを利用します。
MDXポリシー
アプリのパスコード: [オン] の場合、アプリを起動する時、または一定期間操作を行わなかった後で再開する時に、アプリのロック解除のためにCitrix PINまたはパスコードが求められます。デフォルトは [オン] です。
すべてのアプリに対して無操作タイマーを構成するには、XenMobileコンソールの [設定] タブの [クライアントプロパティ] で、INACTIVITY_TIMER値を分単位で設定します。デフォルトは15分です。無通信タイマーを無効にして、PINまたはパスコードを要求するプロンプトがアプリの起動時のみに表示されるようにするには、この値をゼロに設定します。
注:
[暗号キー]ポリシーでオフラインのセキュリティ保護を選択した場合、このポリシーは自動的に有効になります。
オンラインセッションを必須とする: [オン] の場合、デバイス上のアプリにアクセスするために、エンタープライズネットワークおよびアクティブなセッションへ接続する必要があります。[オフ] の場合、デバイス上のアプリにアクセスするために、アクティブなセッションに接続する必要はありません。デフォルトは [オフ] です。
最大オフライン期間(時間):XenMobileからアプリ使用権の再確認とポリシーの更新を求められることなくアプリを実行できる最大期間を定義します。最大オフライン期間が設定されており、iOS向けSecure Hubに有効なCitrix Gatewayトークンがある場合、アプリはユーザーの操作を中断することなく、XenMobileからMDXアプリの新しいポリシーを取得します。Secure Hubに有効なCitrix ADCトークンがない場合、アプリポリシーを更新するにはユーザーがSecure Hubで認証する必要があります。非アクティブなCitrix Gatewayセッション、または強制的なセッションタイムアウトポリシーにより、Citrix ADCトークンが無効になることがあります。Secure Hubに再度サインインすると、アプリの実行を続けることができます。
期間が終了する30分前、15分前、5分前に、サインオンするようユーザーに警告メッセージが表示されます。期間終了後は、ユーザーがサインインするまでアプリはロックされます。デフォルトは 72時間(3日) です。最短の期間は1時間です。
注:
ユーザーの移動が頻繁であり国際ローミングを使用するシナリオでは、デフォルトの72時間(3日)では時間が足りない場合があることに注意してください。
バックグラウンドサービスチケットの有効期間: バックグラウンドネットワークサービスチケットの有効状態が維持される期間。Citrix Gatewayを介してSecure MailがActiveSyncを実行するExchange Serverに接続する場合、XenMobileは内部Exchange Serverへの接続にSecure Mailが使用するトークンを発行します。このプロパティ設定により、認証のために新しいトークンおよびExchange Serverへの接続を要求することなくSecure Mailがトークンを使用できる期間が決まります。有効期限が切れた場合は、ユーザーは再度ログオンして新しいトークンを生成する必要があります。デフォルトは 168時間(7日間) です。この有効期間が切れると、メール通知は行われなくなります。
オンラインセッションを必須とするまでの猶予期間:[オンラインセッションを必須とする]ポリシーにより使用を停止されるまで(オンラインセッションが検証されるまで)に、オフラインでアプリを使用できる分数を指定します。デフォルトは0(猶予期間なし)です。
認証ポリシーの詳細については、次を参照してください:
- MAM SDKを使用する場合:MAM SDKの概要
- MDX Toolkitを使用する場合:「iOSのMDXポリシー」および「AndroidのMDXポリシー」
XenMobileクライアントプロパティ
注:
クライアントプロパティは、XenMobileに接続するすべてのデバイスに適用されるグローバル設定です。
Citrix PIN: サインインを簡略化する場合は、Citrix PINを有効にします。PINを使用する場合、ユーザーは他の資格情報(Active Directoryのユーザー名やパスワードなど)を繰り返し入力する必要はありません。Citrix PINは単独のスタンドアロンのオフライン認証として設定できるほか、Active Directoryのパスワードキャッシュと組み合わせて認証を効率化し、ユーザビリティを最適化することもできます。Citrix PINの構成は、XenMobileコンソールの [設定]>[クライアント]>[クライアントプロパティ] で行うことができます。
以下に、いくつかの重要なプロパティの概要を示します。詳しくは、「クライアントプロパティ」を参照してください。
ENABLE_PASSCODE_AUTH
表示名: Enable Citrix PIN Authentication
このキーを使用すると、Citrix PIN機能を有効にできます。ユーザーは、Citrix PINまたはパスコードにより、Active Directoryパスワードの代わりに使用するPINを定義するように求められます。ENABLE_PASSWORD_CACHING を有効にしているか、XenMobileで証明書認証を使用している場合は、この設定を有効にする必要があります。
設定可能な値: trueまたはfalse
デフォルト値: false
ENABLE_PASSWORD_CACHING
表示名: Enable User Password Caching
このキーを使用すると、ユーザーのActive Directoryパスワードをモバイルデバイス上でローカルにキャッシュできます。このキーをtrueに設定すると、ユーザーはCitrix PINまたはパスコードを設定するように求められます。このキーを true に設定する場合は、ENABLE_PASSCODE_AUTHキーをtrueに設定する必要があります。
設定可能な値: trueまたはfalse
デフォルト値: false
PASSCODE_STRENGTH
表示名: PIN Strength Requirement
このキーでは、Citrix PINまたはパスコードの強度を定義します。この設定を変更すると、ユーザーは次回認証を求められたときに、新しいCitrix PINまたはパスコードを設定するように求められます。
設定可能な値: Low、Medium、Strong
デフォルト値: Medium
INACTIVITY_TIMER
表示名: Inactivity Timer
このキーでは、ユーザーがデバイスの操作を行わなくなってから、Citrix PINまたはパスコードの入力を求められずにアプリにアクセスできる時間(分単位)を定義します。MDXアプリでこの設定を有効にするには、[アプリのパスコード] 設定を [オン] に設定する必要があります。[アプリのパスコード]設定を [オフ] に設定すると、ユーザーは完全認証を実行するようSecure Hubにリダイレクトされます。この設定を変更すると、ユーザーが次回認証を求められたときに値が有効になります。デフォルトは15分です。
ENABLE_TOUCH_ID_AUTH
表示名: Enable Touch ID Authentication
オフライン認証での指紋リーダー(iOSのみ搭載)の使用を許可します。オンライン認証でも、プライマリ認証方法が求められます。
ENCRYPT_SECRETS_USING_PASSCODE
表示名: Encrypt secrets using Passcode
このキーでは、機密データをプラットフォームベースのネイティブな格納場所(iOSキーチェーンなど)ではなく、モバイルデバイスのSecret Vaultに格納できます。この構成キーにより、重要な成果物を強力に暗号化できますが、ユーザーエントロピー(ユーザーだけが知る、ユーザーが生成したランダムなPINコード)も追加されます。
設定可能な値: trueまたはfalse
デフォルト値: false
Citrix ADCの設定
セッションタイムアウト: この設定を有効にすると、指定期間にわたってCitrix ADCでネットワークアクティビティが検出されない場合、Citrix Gatewayによりセッションが切断されます。この設定は、Citrix Gateway Plug-in、Citrix Receiver、Secure Hub、またはWebブラウザーを使用して接続するユーザーに適用されます。デフォルトは1440分です。値を0にすると、設定は無効になります。
強制的なタイムアウト: この設定を有効にした場合、タイムアウト時間が経過すると、ユーザーの操作内容にかかわらずCitrix Gatewayによりセッションが切断されます。タイムアウト時間が経過した場合、ユーザーが切断を中止することはできません。この設定は、Citrix Gateway Plug-in、Citrix Receiver、Secure Hub、またはWebブラウザーを使用して接続するユーザーに適用されます。Secure MailでSTA(特別なCitrix ADCモード)を使用している場合、この設定はSecure Mailのセッションには適用されません。デフォルトは1440分です。この値を空白にすると、設定は無効になります。
Citrix Gatewayのタイムアウト設定について詳しくは、Citrix ADCのドキュメントを参照してください。
ユーザーにデバイスで資格情報を入力してXenMobileの認証を行うように求めるシナリオについては、「認証を求められるシナリオ」を参照してください。
デフォルトの構成設定
これらの設定は、以下によって提供されるデフォルトです:
- NetScaler for XenMobileウィザード
- MAM SDKまたはMDX Toolkit
- XenMobileコンソール
| 設定 | 設定が見つかる場所 | デフォルト設定 |
|---|---|---|
| セッションのタイムアウト | Citrix Gateway | 1,440分 |
| Forced time-out | Citrix Gateway | 1,440分 |
| 最大オフライン期間 | MDXポリシー | 72時間 |
| バックグラウンドサービスチケットの有効期間 | MDXポリシー | 168時間(7日) |
| オンラインセッションを必須とする | MDXポリシー | オフ |
| オンラインセッションを必須とするまでの猶予期間 | MDXポリシー | 0 |
| アプリのパスコード | MDXポリシー | On |
| Encrypt secrets using passcode | XenMobileクライアントプロパティ | false |
| Enable Citrix PIN Authentication | XenMobileクライアントプロパティ | false |
| PIN Strength Requirement | XenMobileクライアントプロパティ | 中 |
| PINの種類 | XenMobileクライアントプロパティ | Numeric |
| Enable User Password Caching | XenMobileクライアントプロパティ | false |
| Inactivity Timer | XenMobileクライアントプロパティ | 15 |
| Enable Touch ID Authentication | XenMobileクライアントプロパティ | false |
推奨構成
このセクションでは、セキュリティが最も弱く最適なユーザーエクスペリエンスが得られる構成から、セキュリティが最高レベルでユーザーに操作が求められる頻度が最も多い構成まで、3種類のXenMobileの構成例を示します。お客様自身の構成配置のスケールを決定する際は、これらの例を参考にしてください。これらの設定を変更する場合、他の設定の変更も必要になる可能性があります。たとえば、最大オフライン期間は、セッションのタイムアウト期間よりも短くする必要があります。
最高のセキュリティ
この構成ではセキュリティのレベルは最高になりますが、ユーザビリティが大きく損なわれます。
| 設定 | 設定が見つかる場所 | 推奨設定 | 動作への影響 |
| セッションのタイムアウト | Citrix Gateway | 1440 | ユーザーは、オンライン認証が求められた時(24時間ごと)にのみ、Secure Hubの資格情報を入力します。 |
| Forced time-out | Citrix Gateway | 1440 | 24時間ごとにオンライン認証を厳格に要求します。アクティビティによりセッションの有効期間が延長されることはありません。 |
| 最大オフライン期間 | MDXポリシー | 23 | 毎日ポリシーを更新するように求めます。 |
| バックグラウンドサービスチケットの有効期間 | MDXポリシー | 72時間 | Citrix Gatewayのセッショントークンなしでセッションを長時間継続できるようにする、STAのタイムアウト期限です。Secure Mailでは、STAのタイムアウト期限をセッションのタイムアウト期限よりも長くすると、ユーザーがセッションの期限切れまでにアプリを開かなかった場合に、ユーザーに確認を求めることなくメール通知が停止されてしまう事態を回避できます。 |
| オンラインセッションを必須とする | MDXポリシー | オフ | アプリを使用する場合に、有効なネットワーク接続とCitrix Gatewayセッションを必須にします。 |
| オンラインセッションを必須とするまでの猶予期間 | MDXポリシー | 0 | 猶予期間なし([オンラインセッションを必須とする]を有効にする場合)。 |
| アプリのパスコード | MDXポリシー | On | アプリケーションのパスコードを求めます。 |
| Encrypt secrets using passcode | XenMobileクライアントプロパティ | true | ユーザーエントロピーで設定されたキーにより資格情報コンテナを保護します。 |
| Enable Citrix PIN Authentication | XenMobileクライアントプロパティ | true | 認証工程の簡略化のため、Citrix PINを有効化します。 |
| PIN Strength Requirement | XenMobileクライアントプロパティ | Strong | パスワードの複雑さに関する高レベルの要件を適用します。 |
| PINの種類 | XenMobileクライアントプロパティ | Alphanumeric | PINは英数字の文字列になります。 |
| Enable Password Caching | XenMobileクライアントプロパティ | false | Active Directoryのパスワードはキャッシュされず、Citrix PINを使用してオフライン認証を行います。 |
| Inactivity Timer | XenMobileクライアントプロパティ | 15 | ユーザーがこの期間にわたりMDXアプリまたはSecure Hubを使用しない場合、オフライン認証を求めるメッセージが表示されます。 |
| Enable Touch ID Authentication | XenMobileクライアントプロパティ | false | iOSでのオフライン認証のユースケースで、Touch IDを無効にします。 |
より高いセキュリティ
この構成は中間的なアプローチであり、ユーザーに認証を求める頻度を増やし(7日ごとではなく最長で3日ごと)、セキュリティを強化しています。認証回数を増やしたことでコンテナはより頻繁にロックされるようになり、デバイスが使用されていない時のデータのセキュリティを確保できます。
| 設定 | 設定が見つかる場所 | 推奨設定 | 動作への影響 |
| セッションのタイムアウト | Citrix Gateway | 4320 | ユーザーは、オンライン認証が求められたとき(3日ごと)にのみ、Secure Hubの資格情報を入力します。 |
| Forced time-out | Citrix Gateway | 値なし | アクティビティが行われれば、セッションは延長されます。 |
| 最大オフライン期間 | MDXポリシー | 71 | 3日ごとにポリシーを更新するように求めます。1時間短くしているのは、セッションタイムアウトより前に更新を行わせるようにするためです。 |
| バックグラウンドサービスチケットの有効期間 | MDXポリシー | 168時間 | Citrix Gatewayのセッショントークンなしでセッションを長時間継続できるようにする、STAのタイムアウト期限です。Secure Mailでは、STAのタイムアウト期限をセッションのタイムアウト期限よりも長くすると、ユーザーがセッションの期限切れまでにアプリを開かなかった場合に、ユーザーに確認を求めることなくメール通知が停止されてしまう事態を回避できます。 |
| オンラインセッションを必須とする | MDXポリシー | オフ | アプリを使用する場合に、有効なネットワーク接続とCitrix Gatewayセッションを必須にします。 |
| オンラインセッションを必須とするまでの猶予期間 | MDXポリシー | 0 | 猶予期間なし([オンラインセッションを必須とする]を有効にする場合)。 |
| アプリのパスコード | MDXポリシー | On | アプリケーションのパスコードを求めます。 |
| Encrypt secrets using passcode | XenMobileクライアントプロパティ | false | ユーザーエントロピーを要求せずに、資格情報コンテナを暗号化します。 |
| Enable Citrix PIN Authentication | XenMobileクライアントプロパティ | true | 認証工程の簡略化のため、Citrix PINを有効化します。 |
| PIN Strength Requirement | XenMobileクライアントプロパティ | 中 | 中レベルのパスワードの複雑さ規則を適用します。 |
| PINの種類 | XenMobileクライアントプロパティ | Numeric | PINは数列になります。 |
| Enable Password Caching | XenMobileクライアントプロパティ | true | ユーザーPINにより、Active Directoryのパスワードをキャッシュ化して保護します。 |
| Inactivity Timer | XenMobileクライアントプロパティ | 30 | ユーザーがこの期間にわたりMDXアプリまたはSecure Hubを使用しない場合、オフライン認証を求めるメッセージが表示されます。 |
| Enable Touch ID Authentication | XenMobileクライアントプロパティ | true | iOSでのオフライン認証のユースケース向けに、Touch IDを有効にします。 |
高セキュリティ
この構成はユーザーが最も使いやすいものであり、セキュリティは基本レベルになります。
| 設定 | 設定が見つかる場所 | 推奨設定 | 動作への影響 |
| セッションのタイムアウト | Citrix Gateway | 10080 | ユーザーは、オンライン認証が求められた時(7日ごと)にのみ、Secure Hubの資格情報を入力します。 |
| Forced time-out | Citrix Gateway | 値なし | アクティビティが行われれば、セッションは延長されます。 |
| 最大オフライン期間 | MDXポリシー | 167 | 毎週(7日ごと)にポリシーを更新するように求めます。1時間短くしているのは、セッションタイムアウトより前に更新を行わせるようにするためです。 |
| バックグラウンドサービスチケットの有効期間 | MDXポリシー | 240 | Citrix Gatewayのセッショントークンなしでセッションを長時間継続できるようにする、STAのタイムアウト期限です。Secure Mailでは、STAのタイムアウト期限をセッションのタイムアウト期限よりも長くすると、ユーザーがセッションの期限切れまでにアプリを開かなかった場合に、ユーザーに確認を求めることなくメール通知が停止されてしまう事態を回避できます。 |
| オンラインセッションを必須とする | MDXポリシー | オフ | アプリを使用する場合に、有効なネットワーク接続とCitrix Gatewayセッションを必須にします。 |
| オンラインセッションを必須とするまでの猶予期間 | MDXポリシー | 0 | 猶予期間なし([オンラインセッションを必須とする]を有効にする場合)。 |
| アプリのパスコード | MDXポリシー | On | アプリケーションのパスコードを求めます。 |
| Encrypt secrets using passcode | XenMobileクライアントプロパティ | false | ユーザーエントロピーを要求せずに、資格情報コンテナを暗号化します。 |
| Enable Citrix PIN Authentication | XenMobileクライアントプロパティ | true | 認証工程の簡略化のため、Citrix PINを有効化します。 |
| PIN Strength Requirement | XenMobileクライアントプロパティ | 低 | パスワードの複雑さに関する要件を適用しません。 |
| PINの種類 | XenMobileクライアントプロパティ | Numeric | PINは数列になります。 |
| Enable Password Caching | XenMobileクライアントプロパティ | true | ユーザーPINにより、Active Directoryのパスワードをキャッシュ化して保護します。 |
| Inactivity Timer | XenMobileクライアントプロパティ | 90 | ユーザーがこの期間にわたりMDXアプリまたはSecure Hubを使用しない場合、オフライン認証を求めるメッセージが表示されます。 |
| Enable Touch ID Authentication | XenMobileクライアントプロパティ | true | iOSでのオフライン認証のユースケース向けに、Touch IDを有効にします。 |
高レベルな認証を使用する
アプリによっては、高度な認証(トークンや短い間隔のセッションタイムアウトといった2番目の認証要素など)が必要になる場合があります。こうした認証方法は、MDXポリシーで制御します。この方法では、認証方法を制御するために別個の(同一または別のCitrix ADCアプライアンス上の)仮想サーバーも必要になります。
| 設定 | 設定が見つかる場所 | 推奨設定 | 動作への影響 |
|---|---|---|---|
| 代替Citrix Gateway | MDXポリシー | セカンダリCitrix ADCアプライアンスのFQDNとポートを必須にする。 | セカンダリCitrix ADCアプライアンスの認証ポリシーおよびセッションポリシーによって制御する、より強固な認証が可能になります。 |
代替Citrix Gatewayインスタンスにログオンするアプリをユーザーが開くと、他のすべてのアプリは、内部ネットワークとの通信にそのCitrix Gatewayインスタンスを使用するようになります。セキュリティが強化されたCitrix Gatewayインスタンスのセッションがタイムアウトした場合、セキュリティの弱いCitrix Gatewayインスタンスに切り替わるだけです。
[オンラインセッションを必須とする]を使用する
Secure Webなどの特定のアプリケーションでは、ユーザーが認証されたセッションを開いておりデバイスがネットワークに接続されている間のみ、ユーザーがアプリを実行できるようにした方が良い場合があります。このポリシーではこうした設定を適用し、ユーザーが作業を完了できるように猶予期間を設けます。
| 設定 | 設定が見つかる場所 | 推奨設定 | 動作への影響 |
|---|---|---|---|
| オンラインセッションを必須とする | MDXポリシー | On | デバイスがオンラインで、有効な認証トークンを持っていることを必須にします。 |
| オンラインセッションを必須とするまでの猶予期間 | MDXポリシー | 15 | ユーザーがアプリを使用できなくなるまでに15分間の猶予期間を設けます。 |