Netscaler_as_ADFS_Proxy - PDF 無料ダウンロード

導入ガイド : NetScaler を ADFS(Active Directory フェデレーションサービス ) プロキシとして導入 Office 365 のユースケースでシームレスな認証を実現 www.citrix.co.jp

目次 ADFS プロキシの導入... 4 サードパーティ製の ADFS プロキシに関するマイクロソフト社の推奨事項... 5 NetScaler を ADFS プロキシとして使する場合の導入シナリオ... 5 NetScaler を ADFS プロキシとして使した場合のメリット... 6 設定の詳細... 7 セクション A: アクティブクライアント / 内部ユーザー向けの設定フロー... 7 セクション B: パッシブユーザー向けの設定フロー... 20 まとめ... 26 www.citrix.co.jp 2

近年ますます多くの企業がクラウドベースのアプリケーションモデルへと移しつつあります Microsoft Office 365 のようなクラウドベースのサービスが出現したおかげでこのような移が加速していますクラウドベースのアプリケーション導入は大きな付加価値を提供すると同時に企業の基盤となるインフラストラクチャーを変革しますこのような状況において企業の IT 部門が懸念を抱いているクリティカルサービスの 1 つとして組織の内部および外部から接続をうユーザーの認証が挙げられますクラウドへと移する場合企業は移前と移後でユーザーエクスペリエンスが変わらないことを保証したいと考えますしかし企業データセンターの外部でホスティングされているサービスへのシームレスなアクセスをうためにはアプリケーション導入の設計において新しいコンポーネントが必要となります Active Directory のパスワードがデータセンターの外部のネットワーク上でやり取りされることを望むものは誰もいませんこのような理由からフェデレーションが自然で実績ある選択肢となっています主にマイクロソフト社のサービスに関しては Active Directory フェデレーションサービス (ADFS) がそのような企業の求めているソリューションとなります ADFS セキュリティトークンサービスを使すると Active Directory により認証されるクライアント向けのシングルサインオン (SSO) を企業データセンターの外部にあるリソースに拡張できます ADFS サーバーファームを使すると内部ユーザーが外部のクラウドホステッドサービスにアクセスできるようになりますただし外部ユーザーによる同サービスへのアクセスを許可する場合フェデレーション ID を通じてクラウドベースのサービスにリモート接続してアクセスする方法を同ユーザーに提供する必要があります ADFS プロキシの主な役割は外部ユーザーに内部のフェデレーション対応リソースとクラウドリソース (Office 365 など ) の両方に対する SSO アクセスを提供することにあります ADFS プロキシサーバーの目的はインターネットからはアクセスできない ADFS サーバー間で要求の送受信をうことです ADFS プロキシはリモートユーザー接続およびアプリケーションアクセスにおいて重要な役割を演じます Citrix NetScaler はリモートユーザー接続およびアプリケーションアクセスにおいて ADFS プロキシと同様の役割を 10 年以上も演じているという実績があります NetScaler はセキュアな接続認証およびフェデレーション ID の処理を実現するための適切なテクノロジーを提供するため既存の ADFS プロキシの置き換えや ADFS の新規実装をう場合の推奨ソリューションとなっていますほとんどの企業は DMZ 内におけるフットプリントの縮小を望んでいるため NetScaler がその従来の機能に加えて ADFS プロキシとしても作するという事実はそのような企業にとって大きなメリットとなります既存の NetScaler を ADFS プロキシとして使するならば DMZ 内に追加のコンポーネントを導入する必要はなくなります www.citrix.co.jp 3

ADFS プロキシの導入企業 AD フェデレーションゲートウェイファーム ADFS プロキシファーム企業ネットワーク企業 DMZ ADFS プロキシを通じた外部ユーザーアクセスにおけるパケットの流れは以下の通りです 1. 外部ユーザーが ADFS 対応の内部または外部アプリケーションにアクセスします 2. ユーザーは認証のためにアプリケーションフェデレーションサービスへとリダイレクトされます 3. ユーザーは企業の内部フェデレーションサービスへとリダイレクトされます 4. ユーザーは DMZ 内の ADFS プロキシに接続され同ユーザーにはサインオンページが表示されます 5. ADFS プロキシは外部ユーザーからの入を受け取り ADFS ファームに接続します 6. ADFS プロキシは外部ユーザーのクレデンシャルを ADFS ファームに提供します 7. ADFS サーバーは企業の Active Directory(AD) を使して外部ユーザーを認証します 8. ADFS サーバーは署名付きのセキュリティトークンおよびクレームを含む認証クッキーを戻します 9. ADFS プロキシは当該トークンおよびクレーム情報を外部ユーザーに送信します 10. ユーザーはトークンおよびクレームが検証されるフェデレーションサービスに接続します 11. この検証に基づいてフェデレーションサービスは新しいセキュリティトークンを当該ユーザーに提供します 12. 外部ユーザーはセキュリティトークンを含む新しい認証クッキーをアクセス先のリソースに提供しますほとんどの場合 ADFS および ADFS プロキシファームの運では可性と共に負荷分散とスケーリング機能が必要となります NetScaler ADC を使して自社の ADFS プロキシファームやその他の主要サービスの負荷分散を実現している場合必要となる追加の作業は NetScaler を ADFS プロキシファームの置き換えとして設定するだけになりますこれは NetScaler が単に ADC としての役割を演じるだけではなく外部ユーザーアクセスシナリオを実現するために ADFS プロキシにより実される各種プロセスの所有権を NetScaler が持つことを意味します NetScaler は DMZ 向けの実績あるリモートアクセスソリューションですシトリックスは NetScaler の AAA-TM(AAA for Traffic Management) 機能を使することで ADFS プロキシのユースケースを実現すると同時にその他の製品のセキュリティ機能を使することでこのソリューションに全体的な価値を追加しています www.citrix.co.jp 4

サードパーティ製の ADFS プロキシに関するマイクロソフト社の推奨事項マイクロソフト社の要件および推奨事項プロキシは応答の本を変更しないことプロキシはすべての HTTP ヘッダをバックエンド STS へとパススルーすることプロキシは HTTP 302 応答を発しないことすべての要求は ADFS ファームへとパススルーされることすべての外部要求がバックエンド STS へと再ルーティングされることプロキシはマルチレッグ型の NTLM 認証フローにおいて同じ STS に対する持続性を提供すること ADFS への要求はすべてバックエンド STS 上の同じ URL へと再ルーティングされることプロキシはすべてのクエリ字列パラメータをパススルーすることプロキシはフォームベースのログインを提供することプロキシはクレデンシャルを使して ADFS 上で NTLM 認証を実することプロキシは必要に応じて 2 要素認証も実できること Office 365 アクセスシナリオの場合プロキシは追加情報を提供すること NetScaler の能対応済み対応済み対応済み対応済み対応済み持続性を提供対応済み対応済み AAA-TM を使 SSO を使 AAA-TM を使対応済み NetScaler を ADFS プロキシとして使用する場合の導入シナリオ企業 AD フェデレーションゲートウェイファーム NetScaler による ADFS プロキシ企業ネットワーク企業 DMZ ADFS プロキシとして作する NetScaler を通じた内部 / 外部ユーザーアクセスにおけるパケットの流れは以下の通りです 1. Office 365 アプリケーションに対する内部 / 外部ユーザーアクセスが ADFS により有効化されます 2. ユーザーは認証のためにアプリケーションフェデレーションサービスへとリダイレクトされます 3. ユーザーは企業の内部フェデレーションサービスへとリダイレクトされます 4. 内部ユーザーは ADFS ファームで負荷分散されます 5. 外部ユーザーは NetScaler AAA-TM のログオンページに接続します www.citrix.co.jp 5

6. ユーザーは Active Directory または同様の認証サービスを通じて認証されます 7. 認証後 NetScaler は ADFS ファームに対して SSO(Kerberos/NTLM) を実施します 8. ADFS サーバーは SSO クレデンシャルを検証した後 STS トークンを戻します 9. 外部ユーザーはトークンおよびクレームが検証されるフェデレーションサービスに接続します 10. この検証に基づいてフェデレーションサービスは新しいセキュリティトークンを当該ユーザーに提供します 11. 外部ユーザーはセキュリティトークンを含む新しい認証クッキーをアクセス先のリソースに提供しますこれで内部ユーザーと外部ユーザーの両者が NetScaler パスを通過できるようになります唯一の違いは外部ユーザーは NetScaler AAA-TM モジュールを使して事前に認証される必要があるということですこのアクセスシナリオでは事前認証をうために AAA-TM 仮想サーバーを NetScaler 上でセットアップする必要があります一方内部ユーザーは ADFS サーバーファームに対して直接負荷分散されます NetScaler を ADFS プロキシとして使用した場合のメリット 1. 負荷分散と ADFS プロキシの両方のニーズに対応 2. 内部および外部ユーザーアクセスシナリオの両方で利可能 3. 事前認証をうための方法を豊富にサポート 4. エンドユーザーに SSO エクスペリエンスを提供 5. アクティブおよびパッシブの両方のプロトコルをサポート a. アクティブプロトコルアプリケーションの例 :Outlook Lync b. パッシブプロトコルアプリケーションの例 :Outlook Web アプリケーションブラウザ 6. DMZ ベースの導入にデバイスを強化 7. コアとなる ADC 機能に付加価値を追加 a. コンテンツ切り替え b. SSL オフローディング c. リライト d. レスポンダー e. レート制限 f. セキュリティアクティブプロトコルベースのシナリオではユーザーは Office 365 に接続し各自のクレデンシャルを提供します Microsoft Federation Gateway はアクティブプロトコルクライアントに代わって ADFS サービスとの通信をいそれらのクレデンシャルをサブミットします認証後 ADFS サービスは Federation Gateway にトークンを提供しますこのトークンが Office 365 にサブミットされることによりクライアントアクセスが提供されますアクティブプロトコルベースのユースケースでは通常クライアントは NetScaler 上で 401 NTLM を使して認証されますアクティブおよびパッシブプロトコルベースの両方のユースケース向けに NetScaler を設定する方法については次のセクション設定の詳細を参照してください www.citrix.co.jp 6

設定の詳細本ガイドではアクティブクライアント ( セクション A) およびパッシブクライアント ( セクション B) のための設定ワークフローを紹介しますアクティブクライアントおよびパッシブクライアントの両方をカバーする導入をう場合セクション A とセクション B の設定フローを順番に実してください下記に示す設定は外部ユーザー向けのものです内部ユーザーの場合 NetScaler を ADFS ファーム向けの負荷分散仮想サーバーとして使します内部ユーザーを NetScaler により認証する必要がある場合パッシブクライアントおよびアクティブクライアントの両方にセクション A の設定をうだけで分ですセクション A: アクティブクライアント / 内部ユーザー向けの設定フロー 1. コンテンツ切り替えの仮想サーバーを作成し SSL キーのバインドと CA 証明書のバインドを実施します www.citrix.co.jp 7

www.citrix.co.jp 8

2. AAA 仮想サーバーを作成しネゴシエートポリシーのバインド Kerberos SSO のセッションポリシーのバインドを実施しますこの仮想サーバーは外部からアクセスされないため同サーバーにはプライベート IP アドレスを設定しますステップ 1 に示した手順に従って SSL サーバーおよび CA 証明書をこの仮想サーバーにバインドします正しい DNS サーバーが設定されていることを確認してくださいこれはクライアントサイドの NTLM 認証および Kerberos SSO で必要となります単一の DNS サーバーを保有している場合同サーバーをポイントするネームサーバーを作成します以下の設定では複数の DNS サーバーをサービスとして負荷分散仮想サーバーにバインドしています www.citrix.co.jp 9

ネゴシエートアクションポリシーを作成しそれを AAA 仮想サーバーにバインドします www.citrix.co.jp 10

www.citrix.co.jp 11

www.citrix.co.jp 12

セッションポリシーをこの AAA 仮想サーバーにバインドします www.citrix.co.jp 13

3. デフォルトの負荷分散仮想サーバーを作成しますこの仮想サーバーがユーザー認証をい Kerberos SSO を実するために 401:Negotiate/NTLM 応答をバックエンドに送信します www.citrix.co.jp 14

www.citrix.co.jp 15

4. 負荷分散仮想サーバーを作成しますこの仮想サーバーは単に要求をバックエンドに送信し要求 URL を /adfs/services/trust から /adfs/services/trust/proxymex へと変換します www.citrix.co.jp 16

SSL サーバーおよび CA 証明書を新規作成した仮想サーバーにバインドします www.citrix.co.jp 17

5. /adfs/services/trust および /federationmetadata/2007-06/federationmetadata.xml を含んでいる要求のためのコンテンツ切り替えポリシーを作成し認証なしでプロキシサーバーに進むことができるようにします www.citrix.co.jp 18

6. 認証が有効な負荷分散仮想サーバーをコンテンツ切り替え仮想サーバーのデフォルト仮想サーバーとして設定します www.citrix.co.jp 19

セクション B: パッシブユーザー向けの設定フロー注 : 以下の設定ではセクション A で作成したコンテンツ切り替え仮想サーバーと同じものを使しますがパッシブクライアントに対応するために異なるルールを使します 1. AAA 仮想サーバーを作成し認証ドメインを設定し LDAP ポリシーをバインドします a. Kerberos におけるなりすまし防止と SSO 向けのセッションポリシーのために KCD アカウントを作成します www.citrix.co.jp 20

SSL サーバーおよび CA 証明書を仮想サーバーにバインドします 2. Kerberos におけるなりすまし防止のために KCD アカウントを作成し DNS サーバーと NTP サーバーが正しく設定されていることを確認しますその後セッションポリシーを作成しそれを AAA 仮想サーバーにバインドします www.citrix.co.jp 21

www.citrix.co.jp 22

3. 要求 /adfs/ls/auth/integrated(adfs 2.0 の場合 ) または /adfs/ls/wia(adfs3.0 の場合 ) を処理するための負荷分散仮想サーバーを作成しますこのサーバーをフォームベースの認証のために有効化します www.citrix.co.jp 23

4. コンテンツ切り替えアクションおよびポリシーを作成しそれをコンテンツ切り替え仮想サーバーにバインドします www.citrix.co.jp 24

www.citrix.co.jp 25

まとめ NetScaler はリモートアクセスユースケースにおける速で信頼できる可性に対応したセキュアなアプリケーションデリバリーを可能にする実績あるソリューションです NetScaler を ADFS プロキシとして作させる機能が追加されたことにより NetScaler が企業にもたらす全体的な価値がなお一層まりました NetScaler は Office 365 へのリモートアクセスを含むすべての企業ユーザーによるアクセスを実現するために単一のゲートウェイポイントとなりますまた NetScaler を導入するとそのコアとなる機能を利できる以外に導入システム全体におけるエンドユーザーエクスペリエンススケーラビリティ安定性を改善できますさらに DMZ 内に NetScaler アプライアンスを配置する場合その NetScaler アプライアンスを別のリモートアクセスのユースケースでも利できます単一の NetScaler ADC アプライアンスを通じてリモートアクセスや認証などのようなあらゆるユースケースを統合することには非常に大きな価値があります www.citrix.co.jp 26

ホワイトペーパー Citrix について Citrix Systems, Inc.(NASDAQ:CTXS) は新しい快適なワークスタイルを実現する仮想化ネットワーキングクラウドインフラストラクチャのリーディングカンパニーです多くの企業および組織の IT 部門やサービスプロバイダーが仮想化モバイル化されたワークスペースの構築管理セキュリティ確保のためにシトリックスのソリューションを利しています仮想化モバイル化されたワークスペースではデバイスユーザー利するネットワークやクラウドを問わずアプリケーションデスクトップデータサービスをシームレスに利することができますシトリックスは今年創設 25 周年を迎えますが今後も革新に取り組みモバイルワークスタイルにより IT をさらにシンプルにするとともに生産性の向上に貢献していきますシトリックスの 2013 年度の年間売上は 29 億ドルでその製品は世界中の 33 万以上の企業や組織において 1 億人以上の人々に利されていますシトリックスの詳細については www.citrix.co.jp をご覧ください 2014 Citrix Systems, Inc. All rights reserved. Citrix および NetScaler は Citrix Systems, Inc. またはその子会社の登録商標であり米国の特許商標局およびその他の国に登録されていますその他の商標や登録商標はそれぞれの各社が所有権を有するものです E0115/PDF J0215/PDF www.citrix.co.jp 27