Citrix Tips & Tricks

Citrix活用のヒントとサンプル

ここでは、Citrix を活用するためのヒントやサンプルをご紹介します。
随時アップデートしますので、是非ご活用ください!

ワンタイムパスワードを使った2要素認証 ( Virtual Apps/Virtual Desktops版 )

NetScaler を使ったワンタイムパスワードの利用

  • ワンタイムパスワードとして、 Time-based One-Time Password ( TOTP ) を利用
  • Microsoft Authenticator や Google Authenticator などの RFC6238 準拠アプリ ( OTP アプリ) を使った2要素認証が可能
  • 特別なアプリやトークン、専用のサーバーは不要
  • Citrix ADCのPremium Edition以上で対応 ( Universal ライセンスが必要)
  • Active Directory との連携が必須 (シークレット情報保管用に Attribute が必要)

TOTP 利用時のメリット

メリット
  • Citrix ADCのみで完結するため管理サーバーが不要。
    *シークレット保存の為にAD連携必須(LDAPS:TCP=636)
  • ワンタイムパスワード用のハードウェアトークン、もしくはソフトウェアライセンスが不要。

TOTPを使った認証、登録の流れ

登録フロー (初回登録のみ)

(1)/manageotp  - OTP登録用URL ー

TOTP アプリと NetScaler を連携させるための URL

  • クライアントはこの URL へ接続後、“/logon/LogonPoint/index.html” にリダイレクションされる
  • リダイレクションのタイミングで NetScaler は Cookie を発行
    “NSC_TASS”
    “manageotp”

(2)/logon/LogonPoint/index.html  ー OTP登録用画面、認証画面 ー

TOTPを使った認証、登録の流れ

“NSC_TASS”、“manageotp”を持っていれば接続可能なページ

  • 接続可能端末を送信元 IP を使って制限可能
  • 意図しない端末からの登録を避けるために IP による制限が必須
  • 少なくともインターネットからの接続は許可しない
  • このページでは User name と Password のみを使用

 TOTPを使った認証、登録の流れ

  • 認証後のシークレット登録画面、端末を登録し、表示される QR コードをアプリに読み込ませる
  • シークレットを登録後、登録済みアプリを使って2要素目の認証が成功する
  • シークレット登録用の LDAP ポリシーを使用する

認証フロー

(1)Google Authenticator のワンタイムパスワード生成画面

Google Authenticator のワンタイムパスワード生成画面

(2)/logon/LogonPoint/index.html  2要素認証画面

利用者作業:TOTPアプリを使った認証フロー(VDI環境認証時都度入力)

通常のVPN認証用画面

  • User name、Password と Passcode (ワンタイムパスワード) を使って認証

(3)認証完了

認証完了

PAGE TOP