Citrix のアダプティブ認証サービス
アダプティブ認証は、Citrix Workspaceにログインしている顧客とユーザーに高度な認証を可能にするCitrix Cloudサービスです。アダプティブ認証サービスは、場所、デバイスのステータス、エンドユーザーの状況などの要素に基づいて、ユーザーIDと承認レベルを検証します。Adaptive Authentication サービスは、これらの要素を使用して適切な認証方法をインテリジェントに選択し、承認されたリソースへのアクセスを可能にします。
さらに、管理者は、これらのユーザーがアプリケーションやデスクトップにアクセスするためのコンテキストアクセスを有効にすることもできます。 アダプティブ認証サービスは、Citrix Secure Private AccessおよびCitrix DaaS お客様が使用できます。
高度な認証機能
アダプティブ認証サービスは、Citrix が管理し、Citrix CloudがホストするADCであり、次のような高度な認証機能をすべて提供します:
多要素認証: 多要素認証は、アクセスを得るために複数の身元証明の提供をユーザーに要求することにより、アプリケーションのセキュリティを強化します。顧客は、ビジネス要件に基づいて、多要素認証メカニズムの要素のさまざまな組み合わせを構成できます。詳しくは、「 認証設定の例」を参照してください。
デバイスポスチャスキャン: デバイスポスチャに基づいてユーザを認証できます。エンドポイント分析スキャンとも呼ばれるデバイスポスチャスキャンは、デバイスが準拠しているかどうかを確認します。たとえば、デバイスで最新の OS バージョンが実行されている場合、サービスパック、およびレジストリキーが設定されます。セキュリティコンプライアンスには、ウイルス対策ソフトウェアがインストールされているか、ファイアウォールが有効になっているかなどを確認するスキャンが含まれます。デバイスポスチャでは、デバイスが管理対象か管理対象外か、企業所有か、BYOL かを確認することもできます。
デバイスポスチャサービス: デバイスポスチャサービスは、エンドユーザーにログインを許可する前にエンドデバイスのコンプライアンスをチェックすることで、ネットワークにゼロトラストの原則を適用します。アダプティブ認証サービスとデバイスポスチャサービスを併用するには、デバイスポスチャサービスを構成し、 認証方法を引き続きアダプティブ認証として使用できます (Citrix Cloud > IDおよびアクセス管理)。デバイスポスチャサービスの詳細については、「 デバイスポスチャ」を参照してください。
注:
アダプティブ認証を使用してデバイスポスチャを設定する場合は、アダプティブ認証インスタンスに EPA ポリシーを設定しないでください。
条件付き認証: ネットワークの場所、デバイスポスチャ、ユーザーグループ、時刻などのユーザーのパラメーターに基づいて、条件付き認証を有効にできます。条件付き認証を行うには、これらのパラメータのいずれかまたはこれらのパラメータの組み合わせを使用できます。
デバイスポスチャベースの認証の例:デバイスポスチャスキャンを実行して、デバイスが企業管理または BYOD かどうかを確認できます。
- デバイスが企業管理対象デバイスの場合は、簡単なAD(ユーザー名とパスワード)でユーザーにチャレンジできます。
- デバイスが BYOD の場合は、AD と RADIUS 認証でユーザーにチャレンジできます。
ネットワークの場所に基づいて仮想アプリと仮想デスクトップを選択的に列挙する場合は、ワークスペースではなくCitrix Studioポリシーを使用して、これらのデリバリーグループのユーザー管理を実行する必要があります。デリバリーグループを作成するときに、[ユーザー]設定で、[ このデリバリーグループの使用を次のユーザーに制限する]または[認証されたユーザーにこのデリバリーグループの使用を許可する**]を選択します。これにより、アダプティブアクセスを構成するための[デリバリーグループ]下の **[アクセスポリシー] タブが有効になります。
Citrix DaaSへのコンテキストアクセス: アダプティブ認証により、Citrix DaaSへのコンテキストアクセスが可能になります。アダプティブ認証は、ユーザーに関するすべてのポリシー情報をCitrix DaaSに表示します。管理者はポリシー構成でこの情報を使用して、Citrix DaaSで実行できるユーザーのアクションを制御できます。たとえば、ユーザーアクションでは、クリップボードへのアクセスやクライアントドライブマッピングのプリンタリダイレクトを有効または無効にすることができます。
アダプティブ認証によるSecure Private Accessやその他のCitrix Cloudサービスへのコンテキスト・アクセスは、今後のリリースで予定されています。
ログオンページのカスタマイズ: アダプティブ認証は、ユーザーがCitrix Cloud ログオンページを高度にカスタマイズするのに役立ちます。
その他のアダプティブ認証機能
アダプティブ認証を使用するCitrix Workspace でサポートされている機能は次のとおりです。
- LDAP (Active Directory) サポート
- LDAPS (Active Directory) サポート
- AD、Azure AD、Oktaのディレクトリサポート
- RADIUS サポート (Duo、Symantec)
- AD + トークン内蔵 MFA
- SAML 2.0
- OAuth、OIDC サポート
- クライアント証明書認証
- デバイスポスチャ評価 (エンドポイント分析)
- デバイスポスチャサービス
- サードパーティ認証プロバイダとの統合
- アプリを介したプッシュ通知
- reCAPTCHA サポート
- 条件付き/ポリシー主導の認証
- スマートアクセス (コンテキストアクセス) の認証ポリシー
- ログオンページのカスタマイズ
- セルフサービスパスワードリセット
アダプティブ認証インスタンスのアップグレードとメンテナンス
アダプティブ認証インスタンスのすべてのアップグレードとメンテナンスは、Citrix Cloudチームによって管理されます。アダプティブ認証インスタンスをランダムな RTM ビルドにアップグレードまたはダウングレードしないことをお勧めします。お客様のトラフィックに応じてアップグレードをスケジュールできます。アダプティブ認証インスタンスのアップグレードをスケジュールします。その後、Citrix Cloudチームは、それに応じてインスタンスをアップグレードします。
重要:
- Citrix Cloudチームは、インスタンスとの通信を定期的にチェックします。接続が切断された場合、アダプティブ認証サポートチームからインスタンスの管理を再開するよう連絡する場合があります。インスタンス管理の問題が修正されない場合、アダプティブ認証チームはアップグレードを管理できません。これにより、脆弱なバージョンが実行される可能性があります。
- エンタイトルメントの有効期限とディスク容量使用量の詳細に関するメールを受信するには、メール通知を有効にすることをお勧めします。詳しくは、「通知」を参照してください。
- アダプティブ認証インスタンスのアップグレードはCitrix が管理するため、お客様はVARディレクトリにアップグレード用の十分な容量(最低7 GB)があることを確認する必要があります。VAR ディレクトリの領域を解放する方法の詳細については、「VAR ディレクトリの領域を解放する方法」を参照してください。
- 高可用性ステータスを [有効] から [プライマリのまま] または [セカンダリのまま] に変更しないでください。アダプティブ認証では、高可用性ステータスが有効になっている必要があります。
- アダプティブ認証インスタンスのユーザー (authadmin) のパスワードは変更しないでください。パスワードが変更された場合、アダプティブ認証チームはアップグレードを管理できません。
セキュリティ責任の共有
顧客から必要なアクション
以下は、セキュリティのベストプラクティスの一環としての顧客からのアクションの一部です。
-
アダプティブ認証UIにアクセスするための認証情報:お客様は、アダプティブ認証UIにアクセスするための認証情報を作成して管理する責任があります。顧客がCitrix サポートと協力して問題を解決している場合、これらの資格情報をサポート担当者と共有する必要がある場合があります。
-
多要素認証:ベストプラクティスとして、お客様はリソースへの不正アクセスを防ぐために二要素認証ポリシーを設定する必要があります。
-
認証資格情報:お客様は、一般的なセキュリティおよびパスワードの基準に従って認証資格情報を設定する必要があります。
-
リモートCLIアクセスのセキュリティ:Citrix は、顧客にリモートCLIアクセスを提供します。ただし、顧客は、実行時にインスタンスのセキュリティを維持する責任があります。
-
SSL秘密鍵:NetScalerはお客様の管理下にあるため、Citrixはファイルシステムにアクセスできません。顧客は、NetScalerインスタンスでホストしている証明書とキーを確実に保護する必要があります。
-
データバックアップ:構成、証明書、キー、ポータルのカスタマイズ、およびその他のファイルシステムの変更をバックアップします。
-
NetScalerインスタンスのディスクイメージ:NetScalerのディスク容量とディスククリーンアップを維持および管理します。詳細については、「 インスタンスのディスク容量管理」を参照してください。
-
負荷分散LDAPS構成のサンプルについては、「負荷分散LDAPS構成の例」を参照してください。
顧客とCitrix 双方から必要なアクション
-
ディザスタリカバリ:サポートされているAzureリージョンでは、NetScaler ADC高可用性インスタンスは、データ損失から保護するために別々のアベイラビリティゾーンにプロビジョニングされます。Azureのデータ損失が発生した場合、Citrix はCitrixが管理するAzureサブスクリプション内のできるだけ多くのリソースを回復します。
Azure リージョン全体が失われた場合、顧客は、顧客が管理する仮想ネットワークを新しいリージョンに再構築し、新しい VNet ピアリングを作成する責任があります。
-
パブリック管理 IP アドレスによる安全なアクセス:
割り当てられたパブリック IP アドレスによって管理インターフェイスへのアクセスを保護し、インターネットへのアウトバウンド接続を許可します。
制限事項
- 証明書バンドルは PEM タイプの証明書でのみサポートされます。他の種類のバンドルについては、ルート証明書と中間証明書をインストールし、それらをサーバー証明書にリンクすることをお勧めします。
- RADIUS サーバによる負荷分散はサポートされていません。
- RADIUS 要求を処理するコネクタがダウンすると、RADIUS 認証が数分間影響を受けます。この場合、ユーザーは再認証する必要があります。
-
DNS トンネリングはサポートされていません。お客様のオンプレミスデータセンターの認証サーバーの認証ポリシー/プロファイル(LDAP/RADIUS)で使用されるFQDNの静的レコードをNetScalerに追加する必要があります。
DNS 静的レコードの追加について詳しくは、「 ドメイン名のアドレスレコードの作成」を参照してください。
- LDAPプロファイルのネットワーク接続をテストすると 、LDAP サーバーへの接続が確立されていない場合でも、「サーバーに到達可能」として誤った結果が表示される場合があります。「ポートが開いていません」や「サーバーがLDAPではありません」などのエラーメッセージが表示され、失敗を示す場合があります。このシナリオでは、トレースを収集してさらにトラブルシューティングを行うことをお勧めします。
- EPA スキャンを macOS で機能させるには、[ECC カーブ] オプションを [ すべて ] として選択して、デフォルトの ECC カーブを認証および承認仮想サーバーにバインドする必要があります。
サービス品質
アダプティブ認証は、高可用性 (アクティブ/スタンバイ) サービスです。