条件付き認証(Technical Preview)
注:
Technical Previewの機能は、非実稼働環境または制限のある稼働環境で使用でき、お客様がフィードバックを共有する機会を提供します。Technical Previewの機能のサポートは行っていませんが、改善に関するフィードバックをお待ちしております。この機能に関するフィードバックを送信するには、[フィードバックを送信]をクリックします。重要度と重大度により、フィードバックに対応する場合があります。
条件付き認証は、ゼロトラストフレームワークをさらに強化するのに役立つ新しいセキュリティ機能です。条件付き認証により、Citrix Cloud管理者は、設定したポリシー条件に基づいてワークスペースログインフロー中にエンドユーザーをさまざまなIDプロバイダーに誘導できます。そのため、管理者が設定したリスク要因に基づいて、エンドユーザーごとに異なるレベルのアクセス検証が行われます。
執筆時点では、定義したポリシーに基づいてエンドユーザーを異なるIDプロバイダーインスタンスに誘導する4つの異なる切り替え条件がサポートされています。
一般的なユースケース
- 合併と買収。大規模な親組織に合併中の複数の小規模企業が含まれます。
- サードパーティのユーザーや請負業者を専用のIDプロバイダー、OIDCアプリケーション、またはSAMLアプリケーションに誘導することで、ワークスペースへのアクセス権を付与します。これは、組織内の正社員が通常使用を許可されているアクセス権とは異なります。
- 異なる認証メカニズムを必要とする複数の支店または部署を持つ大規模な組織。
前提条件
- Active DirectoryディレクトリがIDプロバイダーと同期され、Citrix Cloud Connectorを介してCitrix Cloudに接続されていること。DaaS Web Studioコンソールでのリソース割り当てには、Active Directoryが必要です。
- [Citrix Cloud IDおよびアクセス管理]ページで作成された2つ以上のIDプロバイダー
条件付き認証の設定
-
[条件付き認証プロファイルの作成]をクリックします。
-
プロファイルの名前を入力し、[認証ポリシーの作成]をクリックします。
-
必要に応じてポリシーに適用する条件を選択し、[保存]をクリックします。
-
[ワークスペース構成]に移動し、[認証]をクリックしてIDプロバイダーまたは条件付き認証プロファイルを選択します。
条件付き認証の概念
条件付き認証プロファイル
条件付き認証プロファイルは、定義した条件に応じてエンドユーザーのワークスペースへの認証方法を制御する複数の条件付き認証ポリシーで構成されています。このプロファイルにより、ポリシーの優先順位付けと順序変更が可能になり、ポリシーを評価する順序を指定できます。
条件付き認証ポリシー
条件付き認証ポリシーは、1つ以上の条件を含むポリシーです。ANDロジックを使用してこれらの条件を満たすと、エンドユーザーのログインプロセスがOkta OIDC、SAML、ゲートウェイIDプロバイダー接続などの特定のターゲットIDプロバイダーインスタンスに誘導されます。個々のポリシーを複製して、必要に応じて変更や名前変更を行うことができます。
各ポリシーは次のデータで構成されています。
- ポリシー規則。エンドユーザーを特定のIDプロバイダーインスタンスに誘導するために満たす必要がある1つ以上の条件です。たとえば、ワークスペースURL1が使用され、かつ、ユーザーがActive Directory Group1 のメンバーであること、などです。
- ポリシー結果。ログオン処理中にユーザーが誘導されるターゲットIDプロバイダーインスタンスです。たとえば、ワークスペースURL 1が使用され、かつ、ユーザーがActive Directoryグループ1のメンバーである場合はAAD SAML IDプロバイダーインスタンス、などです。
- ポリシー名。ポリシーを識別し説明するために使用される管理者のわかりやすい名前です。
例:
Workspace URL 1 AND Group1 - AAD SAML。 - ポリシーの優先度は、ポリシーが評価される順序を決定します。優先度は降順で評価されます。例:優先度1は優先度2よりも高い。
[条件付き認証の事前認証]ページ
ワークスペースの構成方法および条件付き認証プロファイルに設定されている条件によっては、ワークスペースユーザーのログインプロセス中に事前認証ページが表示される場合があります。このページは、ワークスペースユーザーのユーザー名形式をキャプチャするために不可欠です。このユーザー名形式がないと、条件付き認証ポリシーに基づいて決定を下すことができません。これにより、ユーザーのログインフローが適切なIDプロバイダーインスタンスに確実に誘導されます。
ログイン自動入力
事前認証ページが必要な場合のために、事前認証ページのユーザー入力をログインページのユーザー名フィールドに自動的に入力するログイン自動入力機能を導入しました。これにより、ユーザーはユーザー名を2回入力する必要がなくなります。
ログイン自動入力機能は、次に示すように、条件付き認証プロファイル設定で管理者によって管理および構成されます。
-
[条件付き認証プロファイル]ページの[設定の管理]をクリックします。
-
[編集]をクリックします。
-
ログイン自動入力を有効にしたいIDプロバイダーを選択します。
重要:
ログイン自動入力は、それをサポートするIDプロバイダーでのみ利用でき、デフォルトでActive DirectoryおよびActive Directory+TOTPに対して有効になり、適用されます(デフォルト設定については上のスクリーンショットを参照してください)。
特定のIDプロバイダーは特定のログイン形式を想定しており、一部は複数のタイプのユーザー名形式をサポートできます。たとえば、Google Cioud Identityでは、ユーザーは自分のメールアドレス(user.name@domain.com)でログインする必要がありますが、これはUPN(username@domain.com)とは異なる場合があります。ワークスペースエンドユーザーが事前認証ページで下位レベルのログオン名(domain\username)を入力すると、下位レベルのログオン名がIDプロバイダーログインページのユーザー名フィールドに事前入力され、ユーザーがログオンしようとするとエラーが発生します。管理者は、ログイン自動入力機能を設定する前に、最も適切なIDプロバイダー切り替えポリシー条件と、特定のIDプロバイダーがログオン処理中に受信することを想定しているユーザー名形式を検討する必要があります。
ポリシー条件タイプ
ワークスペースURL
[ワークスペース構成]>[アクセス]では、各ワークスペースURLを個別のIDプロバイダーインスタンスにリンクできます。さらに、複数のワークスペースURLを同じポリシーに関連付けて、エンドユーザーを同じIDプロバイダーインスタンスに誘導できます。
注:
プロファイルがワークスペースURL条件を含むポリシーのみで構成されている場合、ユーザーは事前認証ページをスキップしてIDプロバイダーに直接リダイレクトされます。ただし、プロファイルにワークスペースURL以外の条件を持つポリシーが含まれている場合は、一致するポリシーがワークスペースURLタイプであるかどうかに関係なく、事前認証ページがエンドユーザーに表示されます。
Active Directoryユーザーグループメンバーシップ
Active Directoryユーザーグループメンバーシップでは、グループメンバーシップに基づいてActive Directoryユーザーの特定グループのIDプロバイダーインスタンスを指定できます。
UPNのサフィックスまたはドメインの下位レベルのログオン名は、相互に排他的な2つのポリシー条件です。 これにより、エンドユーザーが事前認証ページに入力する必要があるユーザー名の必須形式が決まります。同じポリシー内でこれらの条件を両方使用することはできません。
UPNサフィックス:IDプロバイダーインスタンスに1つ以上のUPNサフィックス(username1@domain.comまたはusername2@domain.netなど)を設定します。
ドメインの下位レベルのログオン名:IDプロバイダーインスタンスを1つ以上のドメイン名(DOMAIN1\username1またはDOMAIN1.COM\username1など)に割り当てます。
相互に排他的な2つの条件のいずれかを選択すると、同じポリシーに追加されないように、もう一方の条件のドロップダウンメニューオプションは無効になります。
既知の問題と制限事項
-
条件付き認証は現在、前述のすべてのIDプロバイダーをサポートしていますが、サポートしているのはActive Directoryディレクトリのみです。この制限は将来のリリースで削除される予定です。そのため、Studioのユーザーへのリソース割り当てはActive Directoryを通じて行う必要があります。
- ポリシーに負の優先度を割り当てても、意図したとおりに機能しません。この問題は、今後のアップデートで解決される予定です。
- 現在、条件付き認証はカスタムドメインをサポートしていません。この機能は、今後のアップデートに含まれる予定です。