Citrix Workspaceの基本とSecure Workspace Access 入門ガイド
はじめに
このガイドでは、Citrix Workspaceでシングルサインオン(SSO)を使用してSaaSと内部Webアプリを構成する方法について説明します。このデプロイメントガイドを使用して、読者が達成できることを以下に示します。
- Citrix Workspaceで内部WebアプリへのVPNレスアクセスを構成する手順を説明します
- Citrix WorkspaceでSaaSアプリへのセキュリティで保護されたアクセスを構成する手順を説明します
- Citrix Workspaceへの第2要素認証を有効にするために必要な構成について説明します
- SaaS/Web アプリへの SSO を Okta や Azure Active Directory などのサードパーティの SAML IdP と統合するために必要な構成について説明します。
ソリューションの概要
Citrix Workspace Essentialsは、シングルサインオンと多要素認証を使用して、エンドユーザーがSaaS、Webアプリケーション、およびITが提供するデータへの単純かつセキュアかつVPNレスアクセスを提供します。
図1:Citrix Workspace の基本の概要
すべてのアプリケーションにシングルサインオン
ユーザーのプライマリ Workspace ID は、SaaS およびオンプレミスの Web アプリへのアクセスを許可します。承認されたリソースの多くは、ユーザーのプライマリワークスペース ID とは異なる ID を持つ別の認証を必要とします。Citrix Workspaceでは、これらのセカンダリリソースへのシングルサインオンを提供することで、シームレスなエクスペリエンスをユーザーに提供します。
図 2: SaaS とオンプレミスの Web アプリへのアクセス
Citrix Workspace eのプライマリIDオプションの詳細については、ワークスペース-プライマリアイデンティティの技術概要を参照してください。
最初に気づいたのは使いやすさです。300 種類以上の SAML SSO テンプレートが用意されており、Web アプリと SaaS アプリを素早く設定することができます。既存のテンプレートを持たないアプリがある場合は、設定にさらに数回クリックするだけで済みます。
図 3: クイック設定に使用できる SAML SSO テンプレート
時間ベースのワンタイムパスワード(TOTP)を使用した多要素認証(MFA)
Citrix Workspace Essentialsは、Windows Active Directory をプライマリIDとして使用している組織向けに、クラウドホスト型のTOTPオプションを提供します。TOTPは、Citrix Workspaceエクスペリエンス内のシンプルな2要素認証で、登録済みデバイスのユーザーに対して生成された時間に依存するワンタイムパスワードを使用します。詳細については、こちらのビデオをご覧ください。
ユーザーは新しいトークンを要求してインストールでき、管理者は最小限の労力で TOTP 多要素認証を有効または無効にできます。Citrix Workspaceエクスペリエンス内で2要素認証を有効にすると、すべてのアクセスポイントのすべてのユーザーに認証が適用されます。
- ネイティブに生成されたワンタイムパスワード(OTP)
- オンプレミスの Active Directory をサポート
- ユーザーデバイス/アプリはCitrix Cloudに登録する必要があります
- OTPトークンの生成とログイン
- セルフサービス
- Citrix SSOアプリ、Google認証システム、 Microsoft認証アプリ
図4: ネイティブに生成されたワンタイムパスワード
ワークスペースエクスペリエンスのサポート (ワークスペースアプリ)
Citrix Workspace Essentialsには、Citrix Workspaceアプリを通じてCitrix Workspaceエクスペリエンスが提供する次のようなすべての利点があります。
図5:Citrix Workspaceエクスペリエンスのメリット
詳細については、このCitrix Workspaceアプリ技術洞察力をお読みください。
グローバルPoPネットワーク
Citrix Workspace Essentialsは、さまざまな国や地域で、複数のプレゼンス(PoP)で世界中で運用され、継続的に拡大しています。Microsoft Azure PoPとAmazon Web Services 両方でPoPを使用すると、顧客がサービスノードから離れすぎることは決してありません。
すべての PoP は可用性が高く、フェールオーバーが発生した場合、PoP 内で冗長サービスが実行されています。致命的なイベントで、PoP全体がダウンし、その確率が低い場合でも、ユーザーは次に最も近いPoPを通じてサービスを受けることができます。Citrix Workspace Essentialsには、PoP内およびPoP間で高い復元機能が組み込まれています。
SaaS および Web アプリの使用状況分析
Citrix Workspace Essentialsには、SaaSおよびWebアプリケーションインフラストラクチャ全体の使用状況をエンドツーエンドで可視化するための使用状況分析が含まれています。IT部門は、ユーザーのログイン失敗を追跡し、ユーザーによるアプリケーションの採用、高い使用期間、各ユーザーおよびアプリケーションがアップロードおよびダウンロードしたデータを把握できます。この機能により、ITは、使用率の低いアプリケーションを廃止することで、需要を拡大し、コストを削減できます。
図6:使用状況分析によるエンドツーエンドの使用状況の可視化
SaaSとWebアプリダッシュボードでは、Citrix Workspaceで公開されているSaaSとWebアプリに関するCitrix Analytics管理者への洞察が得られます。SaaS および Web Apps ダッシュボードには、次の情報が表示されます。
- SaaSおよびWebアプリケーションを使用しているユニークユーザーの数
- トップSaaSおよびWebアプリケーションユーザー
- 起動されたSaaSおよびWebアプリケーションの数
- トップSaaSおよびWebアプリケーション
- ユーザーがアクセスしたトップドメイン
- ユーザー、アプリケーション、ドメイン間でアップロードおよびダウンロードされたデータの総量
推奨アーキテクチャ
推奨されるアーキテクチャには、次のコンポーネントがあります。
- Citrix Workspaceを優先エンドユーザーポータルとして使用
- Microsoft Active Directory はユーザー・ディレクトリです
- Webアプリは企業のデータセンターにあります
- Citrix AnalyticsはSaaS/Webアプリの使用状況指標を提供
- Okta と Azure AD は SaaS および Web アプリの SAML IdP (オプション)
- Content Collaboration へのアクセス(ライセンスされている場合)
図 7: 推奨されるアーキテクチャとコンポーネント
アプリアクセスを構成するための前提条件
- Citrix Cloudについて
- 適切なエンタイトルメントがあり、/またはトライアルが有効になっていることを確認してください
- ソリューションのセットアップに必要なCitrix Workspaceプラットフォーム構成
- Citrix Workspace のセットアップ
- ユーザー認証
- Citrix Workspaceへのすべての異なる種類の認証方法の技術ブリーフ
ユースケース 1: 内部 Web アプリへの安全なアクセス
Citrix Workspace Essentialsは、SSOを使用してイントラネットWebアプリへの安全なアクセスを提供します。この記事の「SSO から Web への設定手順」に従って、この機能を展開します。
図 8: SSO を使用したイントラネット Web アプリへの安全なアクセス
ユースケース 2: SaaS アプリへの安全なアクセス
Citrix Workspace Essentialsは、SSOを使用して認可されたSaaSアプリへの安全なアクセスを提供します。この記事の「SSO から SaaS への設定手順」に従って、この機能を展開します。
図 9: SSO による認可された SaaS アプリへの安全なアクセス
ユースケース3:Citrix Workspaceへの第2要素認証の構成
Citrix Workspace Essentialsは、Citrix Workspaceへのユーザーログイン時の第2要素認証を有効にしますID およびアクセス管理での AD + トークンの構成およびCitrix云连接器展開ガイドの手順に従って、この機能をデプロイします。
図10:Citrix Workspaceへのユーザーログイン時の第2要素認証
Citrix Secure Workspace Access
Citrix Secure Workspace Access Essentialsが提供するSaaSおよびWebアプリケーションへのインスタントシングルサインオン(SSO)アクセスのほか、Citrix Workspace Essentialsが提供するセキュリティ機能が強化されています。従来の VPN とは異なり、Secure Workspace Access は、企業の Web、SaaS、仮想アプリケーションに安全にアクセスするためのゼロトラストアプローチを提供します。管理、非管理、およびBYOデバイスの高度なセキュリティ制御により、IT部門と従業員にとって理想的です。
図11:Citrix Secure Workspace Access 概要
Secure Workspace Access は、複数のCitrix Cloudサービスの要素を組み合わせて、エンドユーザーと管理者に統合されたエクスペリエンスを提供します。これには、詳細なコンテキストセキュリティポリシー、すべてのアプリのアプリ保護ポリシー、Web ブラウザーの分離、Web フィルターポリシーが含まれます。
Citrix Secure Workspace Access 詳細については、Citrix製品ドキュメントのCitrix Secure Workspace AccessおよびCitrix Secure Workspace Access 技術概要を参照してください。
Secure Workspace Access ユースケース 1-強化されたセキュリティを SaaS および Web アプリケーションに適用する
SaaS アプリは、シンプルさとマネージドインフラストラクチャへの依存性がゼロであるため、人気が高まっています。しかし、多くの企業では、IT部門が企業のセキュリティ基準を満たすために必要なセキュリティ制御とガバナンスを欠いています。また、多くの組織では、オンプレミス Web アプリにセキュリティのレイヤーを追加する機会を歓迎しています。
Citrix Secure Workspace Access により、IT部門はこれらの追加セキュリティコントロールをSaaSとWebアプリの両方に適用し、データの漏出を防止できます。コントロールには、コピーと貼り付け、印刷、ダウンロード、ナビゲーション、透かし (エンドポイントのユーザー名と IP アドレスを示す画面ベースの透かしをオーバーレイする) などを制限するポリシーが含まれています。
Citrix WorkspaceアプリのWebまたはモバイルを使用するときにデスクトップ用Citrix WorkspaceアプリまたはCitrix Secure Browserサービスを使用するときに、各ポリシーで組み込みブラウザに制限が適用されます。
App Protection によるセキュリティ強化により、IT 部門は、従業員にプロビジョニングする Web アプリケーションと SaaS アプリケーションの両方にセキュリティポリシーを適用できます。これらのポリシーは、セキュリティの強化で説明されているセキュリティ制御を適用することにより、これらのアプリケーションに保存されているデータを保護します。
Secure Workspace Access ユースケース 2-BYOと管理されていないデバイスの保護
柔軟な作業の増加と仕事のための個人用デバイスの使用は、セキュリティ上の課題を生み出しています。IT部門は、デバイスの正常性に関する洞察がないと、マルウェアに感染したデバイスを防御できません。これは、キーロガーやスクリーンショットのマルウェアを搭載したデバイスで、攻撃者が機密性の高い企業データを漏洩させる可能性がある場合に特に当てはまります。
企業が管理するデバイスは、定期的なヘルスチェックを行い、デバイスが安全要件を満たしていることを確認します。ただし、ほとんどのエンドユーザーは個人用デバイスと同じ注意を払っていません。そのため、ユーザーがアプリやドキュメントリポジトリなどの企業リソースにアクセスすると、マルウェアはログイン情報やユーザーの画面に表示されるデータを盗み出す可能性があります。
アプリ保護は、キーストロークをスクランブルしてスクリーンショットを空白画面として返し、キーロガーやスクリーンショットのマルウェアから企業データを保護することで、管理されていないデバイスを保護します。
セキュリティ安全工作区访问は強化されたセキュリティポリシーを使用して、組織をデータの損失や資格情報の盗難から保護する機能を提供します。従業員が個人のデバイスを使用して企業のリソースにアクセスする場合、セキュリティポリシーの強化はさらに重要になります。もっとここで読む:BYOを保護する
Secure Workspace Access ユースケース 3-セキュリティで保護されたブラウザポリシーと分離の使用
インターネットを閲覧すると、企業にとって別のリスクがあり、Web サイト、ブラウザ、ブラウザプラグインの脆弱性にさらされます。従業員のデバイスに存在するマルウェアも、企業のリソースに重大なリスクをもたらす可能性があります。
ほとんどのユーザーは、企業が発行したデバイスでリスクのある Web サイトにアクセスすべきではないことを理解していますが、個人のものと同じ注意を払わない場合があります。それに応じて、一部の組織では、インターネットブラウジングを完全に禁止し、生産性に深刻な影響を与えます。
Citrix Secure Workspace Access には、強化されたセキュリティポリシーを適用できる安全な組み込みブラウザが含まれており、拡張セキュリティポリシーが有効な場合は常に、組み込みブラウザが使用されます。ただし、ユーザーがCitrix Workspaceを使用するのではなく、ネイティブブラウザを使用しているとします。その後、より安全なメカニズムが必要です。
Citrix Secure Browser サービス(Microsoft Azure でホストされているChromiumベースのブラウザー)を使用すると、ユーザーは企業環境にリスクを冒すことなく、Webやアプリを安全にナビゲートできます。悪意のある Web サイトにアクセスすることによって発生する可能性のある脅威は、企業ネットワークとデバイスから隔離されます。ブラウザはステートレスであり、各セッションの終了時に破棄されるため、Web の閲覧中に悪意のあるソフトウェアが検出された場合でも、企業のインフラストラクチャには到達しません。
Secure Workspace Access により、エンドユーザーはインターネットを安全に閲覧できます。エンドユーザーがCitrix WorkspaceからSaaSアプリケーションを起動すると、このSaaSアプリケーションに最適なサービスを決定するために、いくつかの決定が動的に行われます。セキュリティでSecure Workspace Access には、このアプリケーションをエンドユーザーに提供する 3 つの方法が用意されています。もっとここで読む:ブラウザの分離
Secure Workspace Access ユースケース 4-SaaS および Web アプリケーションのセキュリティ分析
Citrix 製品ポートフォリオは広範囲にわたり、クラウドサービスは相互に作用し増幅するためにゼロから設計されています。このポートフォリオの一部として、セキュリティ向けCitrix Analytics があります。セキュリティ向けCitrix Analytics は、Citrix Secure Workspace Access とネイティブに統合されます。継続的な監視、リスク評価、および軽減により、最初のユーザーログイン中およびログイン後に、さまざまなアプリケーションやクラウドにわたって、コンプライアンスとガバナンスの両面で組織を保護します。
この継続的な監視により、システムは一貫性のない疑わしいアクティビティを特定し、ID、デバイス、ロケーション、ネットワーク、アプリ、およびファイル全体にわたるユーザーの行動に関する実用的な洞察を提供します。
たとえば、ユーザが VPN レス接続を介して大量のデータをダウンロードしているとします。この場合、アクションをトリガーして、ユーザーの応答を要求してユーザーの ID を検証したり、ユーザーに電子メールを送信してアクティビティを確認してウォッチリストに入れることができます。また、ユーザーの返信応答に基づいて、セカンダリアクションを開始できます。
これらのルールは、継続的に評価されたユーザーリスクスコアのしきい値に基づいて、ユーザーアカウントの特定のアクションをトリガーするように設定できます。たとえば、リスクスコアの変更に基づいて、Citrix Workspaceに認証されたエンドユーザーセッションをリアルタイムでログオフできます。
エンドユーザーは、セキュリティ強化が有効になっている SaaS アプリに常にアクセスします。Citrix Workspaceアプリ、Citrix Gatewayサービス、およびセキュアブラウザサービスは、セキュリティ分析サービスに、以下のユーザーおよびアプリケーションの動作に関する情報を提供します。使用状況分析は、Secure Workspace Access 基本的な使用状況データに関する洞察を提供します。管理者は、組織で使用されている SaaS および Web アプリケーションをユーザーがどのように操作するかを可視化できます。もっとここで読む:セキュリティ分析
Secure Workspace Access セキュリティ強化デモ
Citrix Secure Workspace Access により、WebおよびSaaSアプリケーションのセキュリティ強化とエンドユーザーエクスペリエンスがどのように提供されるのかをご覧ください。
Citrix Secure Workspace Access SSOからSaaSアプリへのデモ
Citrix Secure Workspace Access によって、SaaSアプリケーションへのシングルサインオンとエンドユーザーエクスペリエンスがどのように提供されるかをご覧ください。
Citrix Secure Workspace Access VPNレスアクセスのデモ
Citrix Secure Workspace Access により、WebアプリケーションへのVPNレスアクセスとエンドユーザーエクスペリエンスがどのように提供されるかをご覧ください。
Citrix Secure Workspace Access Webサイトのフィルタリングデモ
Citrix Secure Workspace Access により、WebおよびSaaSアプリケーションのWebサイトフィルタリングとエンドユーザーエクスペリエンスがどのように提供されるかをご覧ください。
この記事の概要
- はじめに
- ソリューションの概要
- 推奨アーキテクチャ
- ユースケース 1: 内部 Web アプリへの安全なアクセス
- ユースケース 2: SaaS アプリへの安全なアクセス
- ユースケース3:Citrix Workspaceへの第2要素認証の構成
- Citrix Secure Workspace Access
- Secure Workspace Access ユースケース 1-強化されたセキュリティを SaaS および Web アプリケーションに適用する
- Secure Workspace Access ユースケース 2-BYOと管理されていないデバイスの保護
- Secure Workspace Access ユースケース 3-セキュリティで保護されたブラウザポリシーと分離の使用
- Secure Workspace Access ユースケース 4-SaaS および Web アプリケーションのセキュリティ分析
- Secure Workspace Access セキュリティ強化デモ
- Citrix Secure Workspace Access SSOからSaaSアプリへのデモ
- Citrix Secure Workspace Access VPNレスアクセスのデモ
- Citrix Secure Workspace Access Webサイトのフィルタリングデモ