ゼロトラストの要。高度な認証とアクセス管理ソリューションとの連携 ~SAML2.0を使用したIDP統合~
Citrix Workspaceと認証
多くの企業や組織は自社のゼロトラストセキュリティ基盤をベースに、高度な認証とアクセス管理ソリューションを導入しています。
Citrix Workspaceは Azure Active DirectoryやOkta、またCitrix GatewayやStoreFrontを介してSAMLやRADIUSなどに対応する認証ソリューションと認証統合することができます。
Citrix CloudネイティブでのSAMP2.0サポート
今回の注目ポイントはCitrix CloudネイティブでSAML2.0をサポートしたことです(2021年3月末現在Tech Preview)。これまで必要だったCitrix GatewayやStoreFrontなど追加コンポーネントが不要になり、よりシンプルにSAML2.0対応の認証ソリューションと認証統合ができるようになりました。
図:SAM2.0 IDPとCitrix Cloud上のアイデンティティマイクロサービスを介して連携
百聞は一見にしかず、動作の様子を見てみましょう。
このデモではSAML2.0のIDPとしてGoogle Identity Platformを使います。更にWindows仮想デスクトップに対してSSOを実現するためにCitrix Federated Authentication Service(以下FAS)を有効にしています。
1. Citrix Workspaceにアクセスします。
2. IDPにリダイレクトされるので、IDPのアカウントで認証します。
3. 仮想デスクトップを起動します。
4. FASが有効な為、仮想デスクトップにシングルサインオンします。
参考までにWindows版Workspace Appのから認証する場合はこのような動きになります。
1. Citrix Workspace App からアカウントの追加をします。
2. IDPにリダイレクトされるので、IDPのアカウントで認証します。
3. 仮想デスクトップを起動します。
4. FASが有効な場合は仮想デスクトップにシングルサインオンします。
FASについて少し説明すると、WindowはSAML認証に対応していません。FASはSAMLアサーションに含まれるユーザー属性情報からWindows Active Directoryのユーザーアカウント(シャドーアカウント)を特定して、そのユーザーがWindowsにログオンするのに必要な証明書を内部的に発行します。その証明書を使い仮想的なスマートカードを使うようなイメージでWindowsログインするしくみです。
FASが無効な場合は、このようにIDPとWindowsで認証を2回聞かれます。
1. FASが無効になっています。
2. IDPアカウントで認証を行います。
3. 更に仮想デスクトップへのアクセス時に、Windows Active Directoryのアカウントで認証を行います。
FASについては下記のブログを参考にしてください。
SAMLによるAzure ADやADFSとの認証連携(SAML Integration with Azure AD and ADFS)
テレワークに最適なVDI環境 ~Citrix CloudネイティブFASサポート~
IDPが提供する高度な認証を使う
会社が管理する端末からのアクセスは許可するが、BYOD端末はアクセスさせたくないなどの要件がある場合、クライアント証明書などを使うとシステムや管理が煩雑になりがちです。
ここではSAML2.0対応のIDの例としてGoogle Identity PlatformとSAML連携し、コンテキストアウエアアクセスを有効にし、企業が管理する端末のみからのアクセスを許可させる様子をご覧ください。
1. IDP側のポリシーでは会社支給の端末のみのアクセスが許可されています。
2. この状態で未登録マシンからアクセスします。
3. 条件を満たさない為。アクセスが拒否されています。
4. 会社の所有マシンとして、端末のシリアル情報をインベントリに登録します。
5. 同じ端末で再度アクセスをします。
6. デバイスの固有情報から会社所有の端末であることが判定され、アクセスが可能になりました。
例えば、アクセス元地域など複数の条件と組み合わせ、企業が所有、管理するChromebook™のみからのアクセスを許可するといった運用も非常にスマートに行うことができます。
Chromebook™とCitrix Cloudの連携については是非、弊社の櫻井のブログをご覧ください。
Citrix CloudとChromebookで、安全で快適なリモートワーク環境を素早く導入する Part1
Citrix CloudとChromebookで、安全で快適なリモートワーク環境を素早く導入する Part2
設定のポイントとアーキテクチャー
設定はIDPとCitrix Cloudの管理画面で、それぞれ必要なSAMLの構成情報を入力し、Citrix CloudでSAML2.0のIDP連携を有効にします。。
SAML構成を行う上で、いくつかのポイントがあります。
まずはCitrix CloudでSAML認証を使用する場合、次の要件を満たしている必要があります。
- SAML 2.0をサポートするSAML対応のプロバイダー
- Active Directoryドメイン
- リソースロケーションに展開された、ADドメインに参加している2代以上のCloud Connector
- SAML対応のプロバイダーとのAD統合(統合ツールやAPI、手動など)
ポイントは以下のActive Directory のユーザー属性情報がIDP側のユーザーの属性にマッピングされていることです。
- SecurityIDentifier(SID)
- objectGUID(OID)
- userPrincipalName(UPN)
- Mail(メール)
IDP側のユーザー属性にActive Directoryユーザーの属性情報がマップされている。
SAML Tracerでこれらの属性情報が正しく送られているか見てみましょう。
Active Directoryユーザー等の属性情報はWindows Active Directory Exploreなどで確認ができますので、正しく情報が送られているか確認しましょう。
IDP側のカスタム属性の設定方法はIDPによって異なります。 Windows Active Directoryとの同期ツールやスクリプト、APIでIDP上のユーザーの属性情報を一括で追加、更新することもできます。検証レベルで少人数のユーザーであれば、手動でこれらの属性情報を追加してテストすることもできると思います。
既にIDP側で必要な属性情報がユーザーにマップされている場合は、カスタム属性を作成してマップする必要はありません。代わりに、Citrix CloudでSAMLを構成するときに、既存の属性名を使用してください。属性名のデフォルト値は以下ですが、必要に応じて上書き変更してください。
最後にWorkspaceでSAML2.0の認証を有効にします。
必要に応じてFASも構成して有効化してください。
まとめ
Citrix CloudネイティブでSAML2.0に対応することで、よりシンプルにSMAL2.0
対応の認証プロバイダーやソリューションと認証統合が可能になりました。
今回は仮想デスクトップを例にCitrix CloudネイティブのSAML 2.0サポートを紹介しましたが、Citrix Workspaceが提供するSaaSやWeb、ファイル、プロジェクト管理ツールなどのリソースに、よりセキュアにアクセスすることが可能になります。
本ブログについての注意
本ブログの内容は2021年3月時点の情報をベースにしています。事前の予告なしに製品、サービスの仕様が変更される場合がありますので、あらかじめご了承ください。
Citrix CloudネイティブSAML2.0対応は2021年3月末時点においてTechnical Previewです。本ブログの内容はTechnical Previewをベースに記述されています。
スクリーンキャプチャー内の画像の一部はセキュリティ保護等の理由でマスキングされています。
Google、Chromebook は Google LLC の商標です。
