macOS/iOS 上の Citrix Secure Accessクライアントの nFactor サポート
重要:
iOS向けCitrix SSOは、Citrix Secure Accessと呼ばれるようになりました。この名前の変更を反映するために、ドキュメントとUIスクリーンショットを更新しています。
多要素 (nFactor) 認証は、アクセスするために複数の身元証明を提供することをユーザーに要求することにより、アプリケーションのセキュリティを強化します。管理者は、クライアント証明書、LDAP、RADIUS、OAuth、SAML など、さまざまな認証要素を設定できます。これらの認証要素は、組織のニーズに応じて任意の順序で構成できます。
macOS/iOS上のCitrix Secure Accessクライアントは、以下の認証プロトコルをサポートしています:
-
nFactor — nFactor プロトコルは、認証仮想サーバーがゲートウェイ上の VPN 仮想サーバーにバインドされている場合に使用されます。認証要素の順序は動的であるため、クライアントはアプリケーションのコンテキスト内でレンダリングされるブラウザインスタンスを使用して認証 GUI を表示します。
-
Classic:クラシックプロトコルは 、ゲートウェイ上の VPN 仮想サーバでクラシック認証ポリシーが設定されている場合に使用されるデフォルトのフォールバックプロトコルです。クラシックプロトコルは、NAC などの特定の認証方式で nFactor が失敗した場合のフォールバックプロトコルです。
-
Citrix IDプラットフォーム — Citrix IDプラットフォームプロトコルは、CloudGatewayまたはNetScaler Gatewayサービスへの認証に使用され、Citrix CloudへのMDM登録が必要です。
次の表は、各プロトコルでサポートされているさまざまな認証方法をまとめたものです。
認証方法 | nFactor | クラシック | Citrix IdP |
---|---|---|---|
クライアント証明書 | サポート対象 | サポート対象 | 未サポート |
LDAP | サポート対象 | サポート対象 | 未サポート |
ローカル | サポート対象 | サポート対象 | 未サポート |
RADIUS | サポート対象 | 未サポート | 未サポート |
SAML | サポート対象 | 未サポート | 未サポート |
OAuth | サポート対象 | 未サポート | 未サポート |
TACACS | サポート対象 | 未サポート | 未サポート |
WebAuth | サポート対象 | 未サポート | 未サポート |
交渉する | サポート対象 | 未サポート | 未サポート |
EPA | サポート対象 | サポート対象 | 未サポート |
NAC | 未サポート | サポート対象 | 未サポート |
StoreFront | 未サポート | 未サポート | 未サポート |
ADAL | 未サポート | 未サポート | 未サポート |
DS-AUTH | 未サポート | 未サポート | サポート対象 |
nFactor 構成
nFactor の設定の詳細については、 nFactor 認証の設定を参照してください。
重要:
macOS/iOS上のCitrix Secure AccessクライアントでnFactorプロトコルを使用するには、NetScaler Gatewayのオンプレミスバージョンは12.1.50.xx以降が推奨されます。
制限事項
-
NAC(ネットワークアクセス制御)などのモバイル固有の認証ポリシーでは、クライアントはNetScaler Gateway での認証の一部として署名付きデバイス識別子を送信する必要があります。署名付きデバイス識別子は、MDM 環境に登録されているモバイルデバイスを一意に識別する回転可能な秘密キーです。このキーは、MDM サーバーによって管理される VPN プロファイルに埋め込まれます。このキーを WebView コンテキストに挿入できない場合があります。MDM VPNプロファイルでNACが有効になっている場合、macOS/iOS上のCitrix Secure Accessクライアントは自動的に従来の認証プロトコルにフォールバックします。
-
macOS 用の Intune では NAC チェックを設定できません。iOS の場合とは異なり、Intune には macOS 用の NAC を有効にするオプションが用意されていないためです。