技術概要：Citrix Workspace Essentialsとセキュアプライベートアクセス入門ガイド

はじめに

このガイドでは、Citrix Workspaceでシングルサインオン（SSO）を使用してSaaSと内部Webアプリを構成する方法について説明します。このデプロイメントガイドを使用して、読者が達成できることを以下に示します。

• Citrix Workspaceで内部WebアプリへのVPNレスアクセスを構成する手順を説明します
• Citrix WorkspaceでSaaSアプリへのセキュリティで保護されたアクセスを構成する手順を説明します
• Citrix Workspaceへの第2要素認証を有効にするために必要な構成について説明します
• SaaS/Web アプリへの SSO を Okta や Azure Active Directory などのサードパーティの SAML IdP と統合するために必要な構成について説明します。

ソリューションの概要

Citrix Workspace Essentialsは、シングルサインオンと多要素認証を使用して、エンドユーザーがSaaS、Webアプリケーション、およびITが提供するデータへの単純かつセキュアかつVPNレスアクセスを提供します。

図1：Citrix Workspace の基本の概要

すべてのアプリケーションにシングルサインオン

ユーザーのプライマリ Workspace ID は、SaaS およびオンプレミスの Web アプリへのアクセスを許可します。承認されたリソースの多くは、ユーザーのプライマリワークスペース ID とは異なる ID を持つ別の認証を必要とします。Citrix Workspaceでは、これらのセカンダリリソースへのシングルサインオンを提供することで、シームレスなエクスペリエンスをユーザーに提供します。

図 2: SaaS とオンプレミスの Web アプリへのアクセス

Citrix Workspace のプライマリIDオプションの詳細については、「ワークスペース-プライマリID技術概要」を参照してください。

最初に気づいたのは使いやすさです。300 種類以上の SAML SSO テンプレートが用意されており、Web アプリと SaaS アプリを素早く設定することができます。既存のテンプレートを持たないアプリがある場合は、設定にさらに数回クリックするだけで済みます。

図 3: クイック設定に使用できる SAML SSO テンプレート

時間ベースのワンタイムパスワード(你觉得)を使用した多要素認証(MFA)

Citrix Workspace Essentialsは、Windows Active Directory をプライマリIDとして使用している組織向けに、クラウドホスト型のTOTPオプションを提供します。TOTPは、Citrix Workspaceエクスペリエンス内のシンプルな2要素認証で、登録済みデバイスのユーザーに対して生成された時間に依存するワンタイムパスワードを使用します。詳細については、このビデオをご覧ください。

ユーザーは新しいトークンを要求してインストールでき、管理者は最小限の労力で TOTP 多要素認証を有効または無効にできます。Citrix Workspaceエクスペリエンス内で2要素認証を有効にすると、すべてのアクセスポイントのすべてのユーザーに認証が適用されます。

• ネイティブに生成されたワンタイムパスワード（OTP）
• オンプレミスの Active Directory をサポート
• ユーザーデバイス/アプリはCitrix Cloudに登録する必要があります
• OTPトークンの生成とログイン
• セルフサービス
• Citrix SSOアプリ、Google認証システム、 Microsoft認証アプリ

図4: ネイティブに生成されたワンタイムパスワード

ワークスペースエクスペリエンスのサポート (ワークスペースアプリ)

Citrix工作区必需品は,Citrix Workspace kspaceアプリを通じてCitrix

詳細については、このCitrix Workspaceアプリ技術インサイトをお読みください。

グローバルPoPネットワーク

Citrix Workspace Essentialsは、さまざまな国や地域で、複数のプレゼンス（PoP）で世界中で運用され、継続的に拡大しています。Microsoft Azure PoPとAmazon Web Services 両方でPoPを使用すると、顧客がサービスノードから離れすぎることは決してありません。

すべての PoP は可用性が高く、フェールオーバーが発生した場合、PoP 内で冗長サービスが実行されています。致命的なイベントで、PoP全体がダウンし、その確率が低い場合でも、ユーザーは次に最も近いPoPを通じてサービスを受けることができます。Citrix Workspace Essentialsには、PoP内およびPoP間で高い復元機能が組み込まれています。

SaaS および Web アプリの使用状況分析

Citrix Workspace Essentialsには、SaaSおよびWebアプリケーションインフラストラクチャ全体の使用状況をエンドツーエンドで可視化するための使用状況分析が含まれています。IT部門は、ユーザーのログイン失敗を追跡し、ユーザーによるアプリケーションの採用、高い使用期間、各ユーザーおよびアプリケーションがアップロードおよびダウンロードしたデータを把握できます。この機能により、ITは、使用率の低いアプリケーションを廃止することで、需要を拡大し、コストを削減できます。

図 5: 使用状況分析によるエンドツーエンドの使用状況の可視化

SaaSとWebアプリダッシュボードでは、Citrix Workspaceで公開されているSaaSとWebアプリに関するCitrix Analytics管理者への洞察が得られます。SaaS および Web Apps ダッシュボードには、次の情報が表示されます。

• SaaSおよびWebアプリケーションを使用しているユニークユーザーの数
• SaaS および Web アプリケーションの上位ユーザー
• 起動された SaaS および Web アプリケーションの数
• 上位の SaaS および Web アプリケーション
• ユーザーがアクセスしたトップドメイン
• ユーザー、アプリケーション、ドメイン間でアップロードおよびダウンロードされたデータの総量

推奨アーキテクチャ

推奨されるアーキテクチャには、次のコンポーネントがあります。

• Citrix Workspaceを優先エンドユーザーポータルとして使用
• Microsoft Active Directory はユーザー・ディレクトリです
• Webアプリは企業のデータセンターにあります
• Citrix AnalyticsはSaaS/Webアプリの使用状況指標を提供
• Okta と Azure AD は SaaS および Web アプリの SAML IdP (オプション)
• Content Collaboration へのアクセス（ライセンスされている場合）

図 6: 推奨されるアーキテクチャとコンポーネント

アプリアクセスを構成するための前提条件

• Citrix Cloudの使用を開始する
• 適切なエンタイトルメントがあり、/またはトライアルが有効になっていることを確認してください
• ソリューションのセットアップに必要なCitrix工作区プラットフォーム構成
  • Citrix Workspace のセットアップ
  • ユーザー認証
  • Citrix Workspaceに対するさまざまな種類の認証方法をすべて記載した技術概要

ユースケース 1: 内部 Web アプリへの安全なアクセス

Citrix Workspace Essentialsは、SSOを使用してイントラネットWebアプリへの安全なアクセスを提供します。この機能を展開するには、記事の「SSO から Web への設定手順」に従ってください。

図 7: SSO を使用したイントラネット Web アプリへの安全なアクセス

ユースケース 2: SaaS アプリへの安全なアクセス

Citrix Workspace Essentialsは、SSOを使用して認可されたSaaSアプリへの安全なアクセスを提供します。この記事の「SSO から SaaS への設定手順」に従って、この機能を展開します。

図 8: SSO による認可された SaaS アプリへの安全なアクセス

ユースケース3：Citrix Workspaceへの第2要素認証の構成

Citrix工作区必需品は,Citrix Workspaceへのユーザーログイン時の第2要素認証を有効にしますIDとアクセス管理のAD +トークンの構成ガイドおよびCitrixCloud Connectorの展開ガイドの手順に従って、この機能を展開します。

図9：Citrix Workspace へのユーザーログイン時の第2要素認証

Citrix Secure Private Access

Citrixセキュアプライベートアクセスでは、Citrix Workspace Essentialsが提供するSaaSおよびWebアプリケーションへのインスタントシングルサインオン（SSO）アクセスに加えて、より多くのセキュリティ機能が導入されています。従来のVPNとは異なり、セキュアプライベートアクセスは、企業のWeb、SaaS、および仮想アプリケーションに安全にアクセスするためのゼロトラストアプローチを提供します。管理、非管理、およびBYOデバイスの高度なセキュリティ制御により、IT部門と従業員にとって理想的です。

セキュアプライベートアクセスは、いくつかのCitrix Cloud サービスの要素を組み合わせて、エンドユーザーと管理者に統合されたエクスペリエンスを提供します。これには、詳細なコンテキストセキュリティポリシー、すべてのアプリのアプリ保護ポリシー、Web ブラウザーの分離、Web フィルターポリシーが含まれます。

Citrixセキュアプライベートアクセスの詳細については、Citrix製品ドキュメントおよびCitrix Secure Private Access技術概要の「Citrix Secure Private Access」を参照してください。

セキュアプライベートアクセスユースケース 1-強化されたセキュリティを SaaS と Web アプリに適用する

SaaS アプリは、シンプルさとマネージドインフラストラクチャへの依存性がゼロであるため、人気が高まっています。しかし、多くの企業では、IT部門が企業のセキュリティ基準を満たすために必要なセキュリティ制御とガバナンスを欠いています。また、多くの組織では、オンプレミス Web アプリにセキュリティのレイヤーを追加する機会を歓迎しています。

Citrix Secure Private Accessにより、IT部門はこれらの追加されたセキュリティ制御をSaaSとWebアプリの両方に適用して、データの流出を防ぐことができますコントロールには、コピーと貼り付け、印刷、ダウンロード、ナビゲーション、透かし (エンドポイントのユーザー名と IP アドレスを示す画面ベースの透かしをオーバーレイする) などを制限するポリシーが含まれています。

Citrix Secure Private Access には、Citrix Enterprise Browser（旧Citrix Workspace Browser）が含まれます。強化されたセキュリティポリシーを適用できる安全なエンタープライズブラウザです。各ポリシーは、デスクトップ向けCitrix Workspaceアプリを使用する場合はブラウザーを介して、Citrix Workspaceアプリ（Webまたはモバイル用）を使用する場合はCitrix Remote Browser Isolation Serviceサービスを使用する場合はブラウザーを介して制限を適用します。

App Protection によるセキュリティ強化により、IT 部門は、従業員にプロビジョニングする Web アプリケーションと SaaS アプリケーションの両方にセキュリティポリシーを適用できます。これらのポリシーは、強化されたセキュリティで詳述されているセキュリティ制御を適用することによって、これらのアプリケーションに保存されているデータを保護します。

セキュアプライベートアクセスユースケース 2-BYO と管理対象外デバイスの保護

柔軟な作業の増加と仕事のための個人用デバイスの使用は、セキュリティ上の課題を生み出しています。IT部門は、デバイスの正常性に関する洞察がないと、マルウェアに感染したデバイスを防御できません。これは、キーロガーやスクリーンショットのマルウェアを搭載したデバイスで、攻撃者が機密性の高い企業データを漏洩させる可能性がある場合に特に当てはまります。

企業が管理するデバイスは、定期的なヘルスチェックを行い、デバイスが安全要件を満たしていることを確認します。ただし、ほとんどのエンドユーザーは個人用デバイスと同じ注意を払っていません。そのため、ユーザーがアプリやドキュメントリポジトリなどの企業リソースにアクセスすると、マルウェアはログイン情報やユーザーの画面に表示されるデータを盗み出す可能性があります。

アプリ保護は、キーストロークをスクランブルしてスクリーンショットを空白画面として返し、キーロガーやスクリーンショットのマルウェアから企業データを保護することで、管理されていないデバイスを保護します。

強化されたセキュリティポリシーを使用することで、管理者はデータ損失や資格情報の盗難から組織を保護することができます。従業員が個人のデバイスを使用して企業のリソースにアクセスする場合、セキュリティポリシーの強化はさらに重要になります。詳細はこちら：BYOの保護

セキュアプライベートアクセスユースケース 3-セキュアブラウザポリシーと分離の使用

インターネットを閲覧すると、企業にとって別のリスクがあり、Web サイト、ブラウザ、ブラウザプラグインの脆弱性にさらされます。従業員のデバイスに存在するマルウェアも、企業のリソースに重大なリスクをもたらす可能性があります。

ほとんどのユーザーは、企業が発行したデバイスでリスクのある Web サイトにアクセスすべきではないことを理解していますが、個人のものと同じ注意を払わない場合があります。それに応じて、一部の組織では、インターネットブラウジングを完全に禁止し、生産性に深刻な影響を与えます。

強化されたセキュリティポリシーが有効になっている場合は常に、ブラウザが使用されます。ただし、ユーザーがCitrix Workspaceを使用するのではなく、ネイティブブラウザを使用しているとします。その後、より安全なメカニズムが必要です。

Citrix Remote Browser Isolation サービスは、Microsoft Azure でホストされるChromiumベースのブラウザーで、ユーザーは企業環境にリスクをもたらすことなく、ウェブやアプリを安全にナビゲートできます。悪意のある Web サイトにアクセスすることによって発生する可能性のある脅威は、企業ネットワークとデバイスから隔離されます。ブラウザはステートレスであり、各セッションの終了時に破棄されるため、Web の閲覧中に悪意のあるソフトウェアが検出された場合でも、企業のインフラストラクチャには到達しません。

セキュアプライベートアクセスにより、エンドユーザーはインターネットを安全に閲覧できます。エンドユーザーがCitrix WorkspaceからSaaSアプリケーションを起動すると、このSaaSアプリケーションに最適なサービスを決定するために、いくつかの決定が動的に行われます。セキュアプライベートアクセスは、このアプリケーションをエンドユーザーに提供する 3 つの方法を提供します。詳細はこちら:ブラウザの分離

セキュアプライベートアクセスユースケース 4-SaaS と Web アプリケーションのセキュリティ分析

Citrix 製品ポートフォリオは広範囲にわたり、クラウドサービスは相互に作用し増幅するためにゼロから設計されています。このポートフォリオの一部として、セキュリティ向けCitrix Analytics があります。セキュリティ向けCitrix Analytics は、Citrix Secure Private Access とネイティブに統合されます。継続的な監視、リスク評価、および軽減により、最初のユーザーログイン中およびログイン後に、さまざまなアプリケーションやクラウドにわたって、コンプライアンスとガバナンスの両面で組織を保護します。

この継続的な監視により、システムは一貫性のない疑わしいアクティビティを特定し、ID、デバイス、ロケーション、ネットワーク、アプリ、およびファイル全体にわたるユーザーの行動に関する実用的な洞察を提供します。

たとえば、ユーザが VPN レス接続を介して大量のデータをダウンロードしているとします。この場合、アクションをトリガーして、ユーザーの応答を要求してユーザーの ID を検証したり、ユーザーに電子メールを送信してアクティビティを確認してウォッチリストに入れることができます。また、ユーザーの返信応答に基づいて、セカンダリアクションを開始できます。

これらのルールは、継続的に評価されたユーザーリスクスコアのしきい値に基づいて、ユーザーアカウントの特定のアクションをトリガーするように設定できます。たとえば、リスクスコアの変更に基づいて、Citrix Workspaceに認証されたエンドユーザーセッションをリアルタイムでログオフできます。

エンドユーザーは、セキュリティ強化が有効になっている SaaS アプリに常にアクセスします。Citrix Workspaceアプリ、Citrix Gateway サービス、およびリモートブラウザー隔離サービスは、以下のユーザーとアプリケーションの動作に関する情報をセキュリティ分析サービスに提供します。使用状況分析は、Secure Private Accessの基本的な使用状況データに関する洞察を提供します。管理者は、組織で使用されている SaaS および Web アプリケーションをユーザーがどのように操作するかを可視化できます。詳細はこちら:セキュリティ分析

セキュアプライベートアクセス強化セキュリティデモ

Citrix Secure Private AccessがどのようにWebおよびSaaSアプリケーションとエンドユーザーエクスペリエンスの強化されたセキュリティを提供するかをご覧ください。

デモを見るにはこのビデオを見てください：

Citrix Secure Private Access SSOからSaaSアプリへのデモ

Citrix Secure Private AccessがSaaSアプリケーションへのシングルサインオンとエンドユーザーエクスペリエンスを提供する方法をご覧ください。

デモを見るにはこのビデオを見てください：

Citrix Secure Private Access VPN レスアクセスデモ

Citrix Secure Private AccessがWebアプリケーションへのVPNレスアクセスとエンドユーザーエクスペリエンスを提供する方法をご覧ください。

デモを見るにはこのビデオを見てください：

Citrix Secure Private Access Webサイトフィルタリングのデモ

Citrix Secure Private AccessがWebおよびSaaSアプリケーションおよびエンドユーザーエクスペリエンスのWebサイトフィルタリングをどのように提供しているかをご覧ください。

デモを見るにはこのビデオを見てください：