iOS および macOS での Citrix SSO のサポート
多要素(nFactor)認証は、ユーザーがアクセスするために複数の識別証明を提供する必要があるため、アプリケーションのセキュリティを強化します。管理者は、クライアント証明書、LDAP、RADIUS、OAuth、SAML などのさまざまな認証要素を設定できます。これらの認証要素は、組織のニーズに応じて任意の順序で構成できます。
Citrix SSO は、次の認証プロトコルをサポートしています。
-
nFactor — nFactor プロトコルは、認証仮想サーバーがGateway 上の VPN 仮想サーバーにバインドされる場合に使用されます。認証要素の順序は動的であるため、クライアントは、アプリケーションのコンテキスト内でレンダリングされるブラウザインスタンスを使用して認証 GUI を表示します。
-
Classic :クラシックプロトコルは、Gateway の VPN 仮想サーバで従来の認証ポリシーが設定されている場合に使用されるデフォルトのフォールバックプロトコルです。クラシックプロトコルは、NAC などの特定の認証方式で nFactor が失敗した場合のフォールバックプロトコルです。
-
Citrixアイデンティティプラットフォーム — Citrix アイデンティティプラットフォームプロトコルは、CloudGatewayまたはGateway サービスへの認証に使用され、Citrix CloudへのMDM登録が必要です。
次の表は、各プロトコルでサポートされているさまざまな認証方法をまとめたものです。
| 認証方法 | nFactor | クラシック | Citrix IdP |
|---|---|---|---|
| クライアント証明書 | サポート対象 | サポート対象 | 未サポート |
| LDAP | サポート対象 | サポート対象 | 未サポート |
| Local | サポート対象 | サポート対象 | 未サポート |
| RADIUS | サポート対象 | 未サポート | 未サポート |
| SAML | サポート対象 | 未サポート | 未サポート |
| OAuth | サポート対象 | 未サポート | 未サポート |
| TACACS | サポート対象 | 未サポート | 未サポート |
| WebAuth | サポート対象 | 未サポート | 未サポート |
| Negotiate | サポート対象 | 未サポート | 未サポート |
| EPA | サポート対象 | サポート対象 | 未サポート |
| NAC | 未サポート | サポート対象 | 未サポート |
| StoreFront | 未サポート | 未サポート | 未サポート |
| ADAL | 未サポート | 未サポート | 未サポート |
| DS-AUTH | 未サポート | 未サポート | サポート対象 |
nFactor構成
nFactorの設定の詳細については、nFactor 認証の設定を参照してください。
重要: Citrix SSO でnFactorプロトコルを使用するには、推奨されるオンプレミスバージョンのCitrix Gateway は、12.1.50.xx以降です。
制限事項
-
nFactor プロトコルはデフォルトで無効になっています。nFactorの使用を希望されるお客様は、Citrix のサポートを明示的に要求し、VPN仮想サーバーFQDNを提供する必要があります。
-
NAC(ネットワークアクセス制御)などのモバイル固有の認証ポリシーでは、クライアントはCitrix Gateway での認証の一部として署名されたデバイス識別子を送信する必要があります。署名付きデバイス ID は、MDM 環境に登録されているモバイルデバイスを一意に識別する回転可能な秘密キーです。このキーは、MDM サーバーによって管理される VPN プロファイルに埋め込まれます。このキーをWebViewコンテキストに挿入することはできない場合があります。MDM VPNプロファイルでNACが有効になっている場合、Citrix SSO は自動的に従来の認証プロトコルにフォールバックします。