nFactor認証
重要
- nFactor認証はNetScaler 11.0ビルド62. x以降でサポートされています。
- nFactor認証をCitrix ADCで機能させるには,アドバンスライセンスまたはプレミアムライセンスが必要です。
- 13.0リリースビルド67. x以降,nFactor認証は標準ライセンスでのみサポートされます。网关/ VPN仮想サーバー。Citrix Gateway でのnFactor認証の詳細については、「ゲートウェイ認証のnFactor“を参照してください。
- nFactor認証はLinuxクライアントではサポートされていません。
多要素認証は,アクセス権を付与するために複数のIDをユーザーに要求することで,アプリケーションのセキュリティを強化します。Citrix ADCアプライアンスは,多要素認証を構成するための拡張性と柔軟なアプローチを提供します。このアプローチはnFactor認証と呼ばれます。
nFactor認証のしくみ
各認証ファクタは,次のタスクを実行します。
ユーザーから認証情報を収集します。Citrix ADCでサポートされている認証メカニズムには、LDAP、RADIUS、SAMLアサーション、クライアント証明書、OAuth OpenID Connect、Kerberosなどがあります。
指定されたクレデンシャルを評価して,認証が成功したか,失敗したか,またはグループ抽出,属性抽出などのアクションを実行するかを決定します。
評価結果に基づいて,アクセスが許可されるか,拒否されるか,次の要素が選択されます。
評価する次の要因がなくなるまで,これらの手順を繰り返します。
nFactor認証を使用すると,次のことができます。
- 任意の数の認証要素を設定します。
- 前のファクタの実行結果に基づいて,次のファクタの選択を行います。
- ログインインターフェイスをカスタマイズします。たとえば,ラベル名,エラーメッセージ,およびヘルプテキストをカスタマイズできます。
- 認証を行わずにユーザーグループ情報を抽出します。
- 認証ファクタのパススルーを設定します。つまり,その要素には明示的なログイン操作は必要ありません。
- 異なるタイプの認証が適用される順序を設定します。Citrix ADCアプライアンスでサポートされている認証メカニズムは、nFactor認証設定の任意の要素として構成できます。これらの要因は、設定されている順序で実行されます。
- Citrix ADCを構成して,認証が失敗したときに実行する必要のある認証係数に進みます。そのためには,まったく同じ条件で,次に高い優先順位で,アクションを“NO_AUTHに設定して,別の認証ポリシーを設定します。次の要素を設定する必要があります。次の要素では,適用する代替認証メカニズムを指定する必要があります。
nFactor認証用のCitrix网关ログイン情報の暗号化
nFactor認証を使用したCitrix网关では,認証プロセス中にクライアント(ブラウザまたはSSOアプリ)から送信されたログイン要求フィールドを暗号化できます。暗号化されたログイン要求フィールドは,ユーザーの機密データが開示されないように保護するための追加のセキュリティレイヤーを提供します。
互換性のあるブラウザー
次の表に,ログイン暗号化をサポートするバージョンの詳細とブラウザの一覧を示します。
| Webブラウザー | バージョン |
|---|---|
| 铬 | 78以降 |
| 火狐 | 69以降 |
| Internet Explorer | 11 |
| 边缘 | 42以降 |
| Safari | 11.0以降 |
| オペラ | 66 |
互換性のあるクライアント
次のセクションでは,Citrix网关ログイン情報の暗号化をサポートするバージョンの詳細とともに,クライアントの一覧を示します。
- MacのCitrix工作区アプリは、OSバージョンが10.14.x以降の場合にのみ暗号化をサポートします。
- MacのCitrix SSOアプリは、OSバージョンが10.14.x以降の場合にのみ暗号化をサポートします。
- Windows SSOアプリには,互換性に関する制限はありません。
- Windowsクライアント用Citrix工作区アプリでのパスワード暗号化は,Internet Explorer 11のバージョンでのみサポートされています。
CLIを使用してログイン暗号化を有効にするには
コマンドプロンプトで入力します。
设置aaa参数[-loginEncryption (ENABLED | DISABLED)]注
LoginEncryptionパラメータは,デフォルトで無効になっています。有効にする必要があります。
GUIを使用してログイン暗号化を有効にするには
- [セキュリティ]> [AAA -アプリケーショントラフィック]に移動し,(認証設定]セクションで[* *認証AAA設定の変更* *]をクリックします。
- (AAAパラメータの設定)ページで,(ログイン暗号化]オプションまでスクロールダウンし,有効にします。