構成を簡素化するための多要素(nFactor)ビジュアライザー
Citrix ADC リリース 13.0 ビルド 36.27 以降、GUI による nFactor 構成は nFactor ビジュアライザーを使用することで簡素化されています。nFactor ビジュアライザーを使用すると、管理者は各要素を見失うことなく複数の要素を追加できます。フローに組み込まれた要素のグループが 1 か所に表示されます。管理者は認証成功パスと失敗パスを別々に追加できます。フローを作成したら、管理者は nFactor フローを認証仮想サーバーにバインドする必要があります。
注
- nFactor フローで管理者が作成したすべてのファクターは、今後の使用に備えて保持されます。
- Citrix ADC 機能リリース 13.0 ビルド 64.35 以降では、nFactor ビジュアライザーを使用して、デシジョンブロックで nFactor フローを開始できます。
以前は、nFactorの設定は面倒で、管理者が多くのページにアクセスして設定する必要がありました。変更が必要な場合、管理者は毎回設定したセクションを再確認する必要がありました。また、構成全体を 1 か所に表示するオプションもありませんでした。
ユースケース 1: RADIUS に続いて LDAP 認証、それ以外の場合は nFactor ビジュアライザーを使用してキャプチャにフォールバックする
第 1 レベルの認証として RADIUS 認証を行い、次に LDAP 認証を行います。RADIUS が失敗した場合、認証は Captcha にフォールバックする必要があります。
このユースケースを実現するには、nFactor ビジュアライザーを使用できます。ビジュアライザーには、このフローと関連項目を追加するために使用できるさまざまなコントロールが用意されています。
次の図は、前述のユースケースでビジュアライザーを使用して作成された nFactor フローを示しています。
-
RADIUS。RADIUS を最初の要素として設定します。ログインスキーマとポリシーを追加します。この例では、radius_auth と radius_Policy が追加されるログインスキーマとポリシーです。RADIUS_Policy については、成功事例の要因をもう1つ追加できます。この例では、成功事例として LDAP ファクターブロックが追加されています。失敗した場合は、Captcha ファクターを追加できます。
-
LDAP。2 番目の要素として LDAP 認証を設定します。ログインスキーマとポリシーを追加します。この例では、追加されるログインスキーマとポリシーは ldap_auth と LDAP_Policy です。
-
キャプチャ。RADIUS ポリシーが失敗した場合に備えて、キャプチャファクターを作成します。この例では、追加されるログインスキーマとポリシーは captcha と captcha_policy です。
使用事例 2: LDAP に続いて nFactor ビジュアライザーによる LDAP グループメンバーシップに基づくキャプチャによる RADIUS/証明書認証
第 1 レベルの認証として RADIUS 認証を行い、次に LDAP 認証を行います。RADIUS が失敗した場合、認証は Captcha にフォールバックする必要があります。
次の図は、前述のユースケースでビジュアライザーを使用して作成された nFactor フローを示しています。
-
LDAP。LDAP を最初の要素として設定します。ログインスキーマとポリシーを追加します。この例では、SingleAuth と LDAP_Policy が追加されているログインスキーマとポリシーです。LDAP_Policyについては、成功事例の要因をもう1つ追加できます。この例では、成功事例のデシジョンブロックが追加されています。失敗した場合は、Captchaの後にADファクターを追加することができます。
-
グループ抽出 LDAP。LDAP の成功事例に追加されたデシジョンブロックですか。デシジョンブロックは、ポリシー・ルールに基づいてユーザーを分岐させるための分岐要因として使用されます。ビジュアライザーでは、デシジョンブロックに NO_AUTHN ポリシーのみを設定できます。
この例では、グループ_抽出_LDAPがデシジョンブロックです。このデシジョンブロックには 2 つのポリシー (
AD_Group_Partner and AD_Group_Employee
) を追加します。ユースケースで説明したように、AD_Group_Partner ポリシーを介してルーティングされるすべてのリクエストは RADIUS 認証を使用します。したがって、このポリシーの成功事例を次の要因であるRADIUSファクターに結び付けます。同様に、ad_Group_Employee ポリシーを介してルーティングされるすべてのリクエストは、証明書認証を使用します。したがって、このポリシーの成功事例を次の要素、つまり証明書認証要素に結び付けることになります。-
RADIUS。AD_Group_Partner ポリシーの成功事例では、RADIUS 認証ファクターを作成します。
-
証明書。AD_Group_Employee ポリシーの成功事例では、証明書認証ファクターを作成します。
-
-
キャプチャ。LDAP ポリシーが失敗した場合、次の 2 つのファクター、つまり Captcha と AD ファクターを作成します。
注
- 最初にブランチアウトするユースケースがある場合は、2 つのフローを作成して別々にバインドすることも、1 つ目のフローをブランチアウトとして 1 つのフローを作成して仮想サーバーにバインドすることもできます。
- ブロックが複数あり、nFactor Flow 画面にフロー全体を表示するには、ビジュアライザーをクリックしてフローを左端にドラッグします。
- Citrix では、nFactor フローページのみを使用して nFactor フローを変更することを推奨しています。
nFactor ビジュアライザーを使用して nFactor を設定するには
注:
以下の nFactor 設定は、ユースケース 1 のシナリオ構成を実行するのに役立つ簡単な例です。
- [ セキュリティ] > [AAA — アプリケーショントラフィック] > [nFactor ビジュアライザー] > [nFactorフロー] に移動します。
- [追加] をクリックします。
-
nFactor フローページで 、 + をクリックしてフローの最初のファクターを追加します。最初のファクターは、この nFactor フローの識別子としても機能します。
-
ファクター名を入力して、「 作成」をクリックします。
ファクター名は nFactor Flow ページのファクターブロックに表示されます。
注:
__root
、__<flow_name>
などのポリシーラベル名をサフィックスや_db_
をプレフィックスとして使用しないことをお勧めします。 nFactor フローで作成されるファクター名として使用されます。 -
RADIUSファクターを作成したら、「スキーマの追加」と「ポリシーの追加」を作成する必要があります。
注
詳細については、 nFactor の概念、エンティティ、および用語を参照してください。
-
[スキーマの追加]をクリックします。新しいログインスキーマを追加するか、認証ログインスキーマリストから既存のログインスキーマを選択できます 。
-
ログインスキーマを作成するには、「 追加 」をクリックし、「 認証ログインスキーマの作成 」ページにスキーマの名前を入力します。 編集 (鉛筆アイコン) をクリックして、 一覧からログインスキーマファイルを選択します 。
-
「 ポリシーを追加」をクリックします。新しいポリシーを作成するか、既存の認証ポリシーを選択できます。
-
新しいポリシーを作成するには、「 追加 」をクリックし、「 認証ポリシーの作成」ページでポリシーの名前を入力して 「 作成」をクリックします。
-
ログインスキーマとポリシーをファクターに追加すると、次の図に示すように、ログインスキーマとポリシーがビジュアライザーのファクターに表示されます。どの要素についても、複数のポリシーを追加し、各ポリシーの成否を判断する次の要素を定義できます。ファクターの一部であるポリシーを削除することもできます。
- フローを作成したら、nFactor フローを認証仮想サーバーにバインドできます。
次のファクターの追加
次の要素を追加するには、要件に応じて次のオプションのいずれかを選択できます。
- ファクターの作成。ファクターを作成します。フローで作成される各ファクターは、そのフロー専用です。
-
デシジョンブロックを作成します。分岐要因となるデシジョンブロックを作成します。ログインスキーマをデシジョンブロックに追加することはできません。ビジュアライザーでは、デシジョンブロックに NO_AUTHN ポリシーのみを設定できます。
注
デシジョンブロックを追加または編集できるのは、Citrix ADC GUIからのみです。CLI コマンドからデシジョンブロックを設定するオプションはありません。
- 既存のファクターに接続します。既存のファクターを次のファクターとして選択します。既存のリストに表示されるすべてのファクターは、そのフロー専用に作成されます。
-
なし。既存の接続を削除します。
次のファクターの追加
次の要素を追加するには、要件に応じて次のオプションのいずれかを選択できます。
- ファクターの作成。ファクターを作成します。フローで作成される各ファクターは、そのフロー専用です。
-
デシジョンブロックを作成します。分岐要因となるデシジョンブロックを作成します。ログインスキーマをデシジョンブロックに追加することはできません。ビジュアライザーでは、デシジョンブロックに NO_AUTHN ポリシーのみを設定できます。
注
デシジョンブロックを追加または編集できるのは、Citrix ADC GUIからのみです。CLI コマンドからデシジョンブロックを設定するオプションはありません。
- 既存のファクターに接続します。既存のファクターを次のファクターとして選択します。既存のリストに表示されるすべてのファクターは、そのフロー専用に作成されます。
-
なし。既存の接続を削除します。
nFactor フローを認証サーバーにバインドするには
-
nFactor フローページで 、認証仮想サーバーにバインドしたい nFactor フローを選択します。
-
横の省略記号をクリックして [ 認証サーバーにバインド] を選択するか、[ **nFactor フロー ] ページで [ 認証サーバーにバインド**] をクリックします。
-
「 認証サーバーへのバインド 」ページでは、次のアクションを実行できます。
- 認証仮想サーバーを追加するには、「 追加」をクリックします。
- リストから既存の認証サーバーを選択するには、「 認証サーバー 」フィールドをクリックします。
-
ハンバーガーアイコンから「 バインディングを表示 」をクリックすると、バインディングが表示されます。
-
認証サーバーを特定の nFactor フローからバインド解除するには、次の手順を実行します。
- nFactor フローページで 、ハンバーガーアイコンから「 バインディングを表示 」をクリックします。
- 「認証サーバーのバインディング」ページで、バインド解除する認証サーバーを選択し、「バインド解除」をクリックします。[閉じる] をクリックします。
nFactor 認証の詳細については、次のトピックを参照してください:
-
概念: 多要素 (nFactor) 認証。
-
ワークフロー: nFactor 認証の仕組み。
nFactor ビジュアライザーの機能強化
Citrix ADC リリース 13.0 ビルド 41.20 以降、nFactor ビジュアライザーには以下の機能強化が行われています。
- 管理者は作成したファクターをごみ箱アイコンに移動できます。
- 認証仮想サーバーページで nFactor フローを表示します。
ゴミ箱アイコン。管理者は接続されていないノードのみを削除できます。ただし、ファクターをゴミ箱に移動しても、ファクターの基礎となるポリシーや作成されたスキーマは削除されません。
ゴミ箱アイコンを表示するには、
-
[ セキュリティ] > [AAA — アプリケーショントラフィック] > [nFactor ビジュアライザー] > [nFactorフロー] に移動します。左上隅にゴミ箱アイコンが表示されます。
-
ファクターを削除するには、ファクターブロックをクリックしてゴミ箱にドラッグします。
認証仮想サーバーからの nFactor フローを表示します。管理者は、作成したnFactorフローを認証仮想サーバーページから確認することもできます。
認証仮想サーバーページから nFactor フローを表示するには、
- [ セキュリティ] > [AAA — アプリケーショントラフィック] > [仮想サーバ] に移動します。 認証仮想サーバーページでは 、次の手順を実行できます。
- 認証仮想サーバーを追加するには、「 追加」をクリックします。
- 既存の認証仮想サーバーを編集するには、詳細ペインの [ 編集 ] オプションをクリックします。
-
認証仮想サーバーページの 「 高度な認証ポリシー 」に nFactor Flowオプションが表示されます。
- 仮想サーバーにバインドされている nFactor フローがない場合は、[ 詳細認証ポリシー ] セクションの [ No nFactor Flow ] オプションをクリックして、新しい nFactor フローを追加するか、リストから既存の nFactor フローを選択できます。