アダプティブ認証サービス

Citrix の適応型認証サービス

March 9, 2023

寄稿者:

Citrix Cloudのお客様は、Citrix Workspaceを使用して、Citrix DaaSにアダプティブ認証を提供できます。アダプティブ認証は、Citrix Workspaceにログインしている顧客とユーザーに高度な認証を可能にするCitrix Cloudサービスです。アダプティブ認証サービスは、Citrixが管理しCitrix CloudがホストするADCであり、次のようなすべての高度な認証機能を提供します：

多要素認証: 多要素認証は、アクセスを得るために複数の身元証明の提供をユーザーに要求することにより、アプリケーションのセキュリティを強化します。顧客は、ビジネス要件に基づいて、多要素認証メカニズムの要素のさまざまな組み合わせを構成できます。詳しくは、「認証設定の例」を参照してください。

デバイスポスチャスキャン: デバイスのポスチャに基づいてユーザを認証できます。エンドポイント分析スキャンとも呼ばれるデバイスポスチャスキャンは、デバイスが準拠しているかどうかを確認します。たとえば、デバイスで最新の OS バージョンが実行されている場合、サービスパック、およびレジストリキーが設定されます。セキュリティコンプライアンスには、ウイルス対策ソフトウェアがインストールされているか、ファイアウォールが有効になっているかなどを確認するスキャンが含まれます。デバイスのポスチャでは、デバイスが管理対象か管理対象外か、企業所有か、BYOL かを確認することもできます。

条件付き認証： ネットワークの場所、デバイスの姿勢、ユーザーグループ、時刻などのユーザーのパラメーターに基づいて、条件付き認証を有効にできます。条件付き認証を行うには、これらのパラメータのいずれかまたはこれらのパラメータの組み合わせを使用できます。デバイスのポスチャベースの認証の例:デバイスのポスチャスキャンを実行して、デバイスが企業管理または BYOD かどうかを確認できます。デバイスが企業管理対象デバイスの場合は、簡単なAD（ユーザー名とパスワード）でユーザーにチャレンジできます。デバイスが BYOD の場合は、AD と RADIUS 認証でユーザーにチャレンジできます。

ネットワークの場所に基づいて仮想アプリと仮想デスクトップを選択的に列挙する場合は、ワークスペースではなくCitrix Studioポリシーを使用して、これらのデリバリーグループのユーザー管理を実行する必要があります。デリバリーグループを作成するときに、［ユーザー］設定で、［ このデリバリーグループの使用を次のユーザーに制限する］または［認証されたユーザーにこのデリバリーグループの使用を許可する**］を選択します。これにより、アダプティブアクセスを構成するための［デリバリーグループ］下の **［アクセスポリシー］タブが有効になります。

Citrix DaaSへのコンテキストアクセス： アダプティブ認証により、Citrix DaaSへのコンテキストアクセスが可能になります。アダプティブ認証は、ユーザーに関するすべてのポリシー情報をCitrix DaaSに表示します。管理者はポリシー構成でこの情報を使用して、Citrix DaaSで実行できるユーザーのアクションを制御できます。たとえば、ユーザーアクションでは、クリップボードへのアクセスやクライアントドライブマッピングのプリンタリダイレクトを有効または無効にすることができます。

アダプティブ認証によるセキュアインターネットアクセスおよびその他のCitrix Cloud サービスへのコンテキストアクセスは、今後のリリースで計画されています。

ログオンページのカスタマイズ： アダプティブ認証は、ユーザーがCitrix Cloud ログオンページを高度にカスタマイズするのに役立ちます。

アダプティブ認証機能

アダプティブ認証を使用するCitrix Workspace でサポートされている機能は次のとおりです。

LDAP (Active Directory) サポート
LDAPS (Active Directory) サポート
AD、Azure AD、Oktaのディレクトリサポート
RADIUS サポート (Duo、Symantec)
AD + トークン内蔵 MFA
SAML 2.0
OAuth、OIDC サポート
クライアント証明書認証
デバイスのポスチャ評価 (エンドポイント分析)
サードパーティ認証プロバイダとの統合
アプリを介したプッシュ通知
reCAPTCHA
条件付き/ポリシー主導の認証
SmartAccess (コンテキストアクセス) の認証ポリシー
ログオンページのカスタマイズ
セルフサービスパスワードリセット

セキュリティ責任の共有

顧客から必要なアクション

以下は、セキュリティのベストプラクティスの一環としての顧客からのアクションの一部です。

アダプティブ認証 UI にアクセスするための認証情報:お客様は、アダプティブ認証 UI にアクセスするための認証情報を作成し、管理する責任があります。顧客がCitrix サポートと協力して問題を解決している場合、これらの資格情報をサポート担当者と共有する必要がある場合があります。
リモートCLIアクセスのセキュリティ：Citrix は、顧客にリモートCLIアクセスを提供します。ただし、顧客は、実行時にインスタンスのセキュリティを維持する責任があります。
SSL秘密鍵：Citrix ADCはお客様の管理下にあるため、Citrixはファイルシステムにアクセスできません。顧客は、Citrix ADCインスタンスでホストしている証明書とキーを確実に保護する必要があります。
データバックアップ:構成、証明書、キー、ポータルのカスタマイズ、およびその他のファイルシステムの変更をバックアップします。
ADCインスタンスのディスクイメージ：Citrix ADC ディスク容量とディスククリーンアップを維持および管理します。顧客は、これらのタスクを安全かつ確実に実行する責任があります。
アップグレード:アダプティブ認証インスタンスのアップグレードをスケジュールします。詳細については、「アダプティブ認証インスタンスのアップグレードをスケジュールする」を参照してください。
アダプティブ認証インスタンスをランダムな RTM ビルドにアップグレードしないでください。すべてのアップグレードはCitrix Cloud によって管理されます。
アダプティブ認証インスタンスのアップグレードはCitrix が管理するため、お客様はVARディレクトリにアップグレード用の十分なスペースがあることを確認する必要があります。VARディレクトリの空き容量を増やす方法の詳細については、「 Citrix ADCアプライアンスの問題を記録するためにVARディレクトリの空き容量を増やす方法」を参照してください。
高可用性ステータスを [有効] から [プライマリのまま] または [セカンダリのまま] に変更しないでください。アダプティブ認証では、高可用性ステータスが有効になっている必要があります。
負荷分散LDAPS構成のサンプルについては、「負荷分散LDAPS構成の例」を参照してください。

顧客とCitrix 双方から必要なアクション

ディザスタリカバリ：サポートされているAzureリージョンでは、Citrix ADC高可用性インスタンスは、データ損失から保護するために別々のアベイラビリティゾーンにプロビジョニングされます。Azureのデータ損失が発生した場合、Citrix はCitrixが管理するAzureサブスクリプション内のできるだけ多くのリソースを回復します。

Azure リージョン全体が失われた場合、顧客は、顧客が管理する仮想ネットワークを新しいリージョンに再構築し、新しい VNet ピアリングを作成する責任があります。
パブリック管理 IP アドレスによる安全なアクセス:

割り当てられたパブリック IP アドレスによって管理インターフェイスへのアクセスを保護し、インターネットへのアウトバウンド接続を許可します。

制限事項

証明書バンドルのアップロードはサポートされていません。
RADIUS サーバによる負荷分散はサポートされていません。
RADIUS 要求を処理するコネクタがダウンすると、RADIUS 認証が数分間影響を受けます。この場合、ユーザーは再認証する必要があります。
DNS トンネリングはサポートされていません。お客様のオンプレミスデータセンターにある認証サーバーの認証ポリシー/プロファイル（LDAP/RADIUS）で使用されるFQDNの静的レコードをCitrix ADCアプライアンスに追加する必要があります。 DNS 静的レコードの追加の詳細については、「ドメイン名のアドレスレコードの作成」を参照してください。
LDAPプロファイルのネットワーク接続をテストすると、LDAP サーバーへの接続が確立されていない場合でも、「サーバーに到達可能」として誤った結果が表示される場合があります。「ポートが開いていません」や「サーバーがLDAPではありません」などのエラーメッセージが表示され、失敗を示す場合があります。Citrix では、このシナリオでトレースを収集し、さらにトラブルシューティングを行うことをお勧めします。
EPA スキャンを macOS で機能させるには、[ECC カーブ] オプションを [ すべて ] として選択して、デフォルトの ECC カーブを認証および承認仮想サーバーにバインドする必要があります。

サービス品質

アダプティブ認証は、高可用性 (アクティブ/スタンバイ) サービスです。

このコンテンツの正式なバージョンは英語で提供されています。Cloud Software Groupドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Cloud Software Groupは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いのCloud Software Group製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいはCloud Software Groupとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Cloud Software Groupは責任を負わないものとします。

この情報は役に立ちましたか?

Citrix の適応型認証サービス

March 9, 2023

寄稿者:

March 9, 2023

寄稿者:

この情報は役に立ちましたか?