Comments
Description
Transcript
導入ガイド - ワークスタイル変革ポータル
導入ガイド 導入ガイド: NetScaler を ADFS(Active Directory フェデレーション サービス)プロキシとして導入 Office 365 のユースケースでシームレスな認証を実現 www.citrix.co.jp 導入ガイド NetScaler を ADFS プロキシとして導入 目次 ADFS プロキシの導入 ....................................................................................................................... 4 サードパーティ製の ADFS プロキシに関するマイクロソフト社の推奨事項 .................................... 5 NetScaler を ADFS プロキシとして使⽤する場合の導入シナリオ .................................................... 5 NetScaler を ADFS プロキシとして使⽤した場合のメリット ........................................................... 6 設定の詳細 ......................................................................................................................................... 7 セクション A:アクティブクライアント/内部ユーザー向けの設定フロー .................................... 7 セクション B:パッシブユーザー向けの設定フロー ................................................................... 20 まとめ .............................................................................................................................................. 26 www.citrix.co.jp 2 導入ガイド NetScaler を ADFS プロキシとして導入 近年、ますます多くの企業が、クラウドベースのアプリケーションモデル へと移⾏しつつあります。Microsoft Office 365 のようなクラウドベースの サービスが出現したおかげで、このような移⾏が加速しています。クラウ ドベースのアプリケーション導入は大きな付加価値を提供すると同時に、 企業の基盤となるインフラストラクチャーを変革します。このような状況 において、企業の IT 部門が懸念を抱いているクリティカルサービスの 1 つ として、組織の内部および外部から接続を⾏うユーザーの認証が挙げられ ます。 クラウドへと移⾏する場合、企業は、移⾏前と移⾏後でユーザーエクスペリエンスが変わらないこ とを保証したいと考えます。しかし、企業データセンターの外部でホスティングされているサービ スへのシームレスなアクセスを⾏うためには、アプリケーション導入の設計において新しいコン ポーネントが必要となります。Active Directory のパスワードがデータセンターの外部のネットワー ク上でやり取りされることを望むものは誰もいません。このような理由から、フェデレーションが 自然で実績ある選択肢となっています。主にマイクロソフト社のサービスに関しては、Active Directory フェデレーションサービス(ADFS)が、そのような企業の求めているソリューションと なります。ADFS セキュリティトークンサービスを使⽤すると、Active Directory により認証される クライアント向けのシングルサインオン(SSO)を、企業データセンターの外部にあるリソースに 拡張できます。 ADFS サーバーファームを使⽤すると、内部ユーザーが、外部のクラウドホステッドサービスにア クセスできるようになります。ただし、外部ユーザーによる同サービスへのアクセスを許可する場 合、フェデレーション ID を通じてクラウドベースのサービスにリモート接続してアクセスする方法 を同ユーザーに提供する必要があります。ADFS プロキシの主な役割は、外部ユーザーに内部のフェ デレーション対応リソースとクラウドリソース(Office 365 など)の両方に対する SSO アクセスを 提供することにあります。ADFS プロキシサーバーの目的は、インターネットからはアクセスでき ない ADFS サーバー間で要求の送受信を⾏うことです。 ADFS プロキシは、リモートユーザー接続およびアプリケーションアクセスにおいて重要な役割を 演じます。Citrix® NetScaler®は、リモートユーザー接続およびアプリケーションアクセスにおいて、 ADFS プロキシと同様の役割を 10 年以上も演じているという実績があります。 NetScaler は、 セキュ アな接続、認証、およびフェデレーション ID の処理を実現するための適切なテクノロジーを提供す るため、既存の ADFS プロキシの置き換えや ADFS の新規実装を⾏う場合の推奨ソリューションと なっています。ほとんどの企業は DMZ 内におけるフットプリントの縮小を望んでいるため、 NetScaler がその従来の機能に加えて、ADFS プロキシとしても動作するという事実は、そのような 企業にとって大きなメリットとなります。既存の NetScaler を ADFS プロキシとして使⽤するなら ば、DMZ 内に追加のコンポーネントを導入する必要はなくなります。 www.citrix.co.jp 3 導入ガイド NetScaler を ADFS プロキシとして導入 ADFS プロキシの導入 フェデレーション ゲートウェイ 企業 AD ファーム 企業ネットワーク ADFS プロキシファーム 企業 DMZ ADFS プロキシを通じた外部ユーザーアクセスにおけるパケットの流れは以下の通りです。 1. 外部ユーザーが、ADFS 対応の内部または外部アプリケーションにアクセスします。 2. ユーザーは、認証のためにアプリケーションフェデレーションサービスへとリダイレクトされ ます。 3. ユーザーは、企業の内部フェデレーションサービスへとリダイレクトされます。 4. ユーザーは DMZ 内の ADFS プロキシに接続され、同ユーザーにはサインオンページが表示さ れます。 5. ADFS プロキシは外部ユーザーからの入⼒を受け取り、ADFS ファームに接続します。 6. ADFS プロキシは、外部ユーザーのクレデンシャルを ADFS ファームに提供します。 7. ADFS サーバーは、企業の Active Directory(AD)を使⽤して外部ユーザーを認証します。 8. ADFS サーバーは、署名付きのセキュリティトークンおよびクレームを含む認証クッキーを戻 します。 9. ADFS プロキシは、当該トークンおよびクレーム情報を外部ユーザーに送信します。 10. ユーザーは、トークンおよびクレームが検証されるフェデレーションサービスに接続します。 11. この検証に基づいて、フェデレーションサービスは新しいセキュリティトークンを当該ユー ザーに提供します。 12. 外部ユーザーは、セキュリティトークンを含む新しい認証クッキーを、アクセス先のリソース に提供します。 ほとんどの場合、ADFS および ADFS プロキシファームの運⽤では、⾼可⽤性と共に負荷分散とス ケーリング機能が必要となります。NetScaler ADC を使⽤して、自社の ADFS プロキシファームや その他の主要サービスの負荷分散を実現している場合、必要となる追加の作業は、NetScaler を ADFS プロキシファームの置き換えとして設定するだけになります。これは、NetScaler が単に ADC としての役割を演じるだけではなく、外部ユーザーアクセスシナリオを実現するために ADFS プロ キシにより実⾏される各種プロセスの所有権を NetScaler が持つことを意味します。 NetScaler は DMZ 向けの実績あるリモートアクセスソリューションです。シトリックスは、 NetScaler の AAA-TM(AAA for Traffic Management)機能を使⽤することで ADFS プロキシのユー スケースを実現すると同時に、その他の製品のセキュリティ機能を使⽤することで、このソリュー ションに全体的な価値を追加しています。 www.citrix.co.jp 4 導入ガイド NetScaler を ADFS プロキシとして導入 サードパーティ製の ADFS プロキシに関するマイクロソフト社の推奨事項 マイクロソフト社の要件および推奨事項 NetScaler の能⼒ プロキシは応答の本⽂を変更しないこと 対応済み プロキシは、すべての HTTP ヘッダをバックエンド STS へとパススルーする こと 対応済み プロキシは HTTP 302 応答を発⾏しないこと 対応済み すべての要求は ADFS ファームへとパススルーされること 対応済み すべての外部要求がバックエンド STS へと再ルーティングされること 対応済み プロキシは、マルチレッグ型の NTLM 認証フローにおいて同じ STS に対する 持続性を提供すること 持続性を提供 ADFS への要求はすべて、バックエンド STS 上の同じ URL へと再ルーティン グされること 対応済み プロキシは、すべてのクエリ⽂字列パラメータをパススルーすること 対応済み プロキシはフォームベースのログインを提供すること AAA-TM を使⽤ プロキシはクレデンシャルを使⽤して、ADFS 上で NTLM 認証を実⾏すること SSO を使⽤ プロキシは、必要に応じて 2 要素認証も実⾏できること AAA-TM を使⽤ Office 365 アクセスシナリオの場合、プロキシは追加情報を提供すること 対応済み NetScaler を ADFS プロキシとして使用する場合の導入シナリオ フェデレーション ゲートウェイ 企業 AD ファーム 企業ネットワーク NetScaler による ADFS プロキシ 企業 DMZ ADFS プロキシとして動作する NetScaler を通じた内部/外部ユーザーアクセスにおけるパケットの 流れは以下の通りです。 1. Office 365 アプリケーションに対する内部/外部ユーザーアクセスが ADFS により有効化され ます。 2. ユーザーは、認証のためにアプリケーションフェデレーションサービスへとリダイレクトされ ます。 3. ユーザーは、企業の内部フェデレーションサービスへとリダイレクトされます。 4. 内部ユーザーは ADFS ファームで負荷分散されます。 5. 外部ユーザーは NetScaler AAA-TM のログオンページに接続します。 www.citrix.co.jp 5 導入ガイド NetScaler を ADFS プロキシとして導入 6. ユーザーは Active Directory または同様の認証サービスを通じて認証されます。 7. 認証後、NetScaler は ADFS ファームに対して SSO(Kerberos/NTLM)を実施します。 8. ADFS サーバーは SSO クレデンシャルを検証した後、STS トークンを戻します。 9. 外部ユーザーは、トークンおよびクレームが検証されるフェデレーションサービスに接続しま す。 10. この検証に基づいて、フェデレーションサービスは新しいセキュリティトークンを当該ユー ザーに提供します。 11. 外部ユーザーは、セキュリティトークンを含む新しい認証クッキーを、アクセス先のリソース に提供します。 これで、内部ユーザーと外部ユーザーの両者が、NetScaler パスを通過できるようになります。唯 一の違いは、外部ユーザーは NetScaler AAA-TM モジュールを使⽤して事前に認証される必要があ るということです。このアクセスシナリオでは、事前認証を⾏うために、AAA-TM 仮想サーバーを NetScaler 上でセットアップする必要があります。一方、内部ユーザーは、ADFS サーバーファーム に対して直接負荷分散されます。 NetScaler を ADFS プロキシとして使用した場合のメリット 1. 負荷分散と ADFS プロキシの両方のニーズに対応 2. 内部および外部ユーザーアクセスシナリオの両方で利⽤可能 3. 事前認証を⾏うための方法を豊富にサポート 4. エンドユーザーに SSO エクスペリエンスを提供 5. アクティブおよびパッシブの両方のプロトコルをサポート a. アクティブプロトコルアプリケーションの例:Outlook、Lync b. パッシブプロトコルアプリケーションの例:Outlook Web アプリケーション、ブラウザ 6. DMZ ベースの導入⽤にデバイスを強化 7. コアとなる ADC 機能に付加価値を追加 a. コンテンツ切り替え b. SSL オフローディング c. リライト d. レスポンダー e. レート制限 f. セキュリティ アクティブプロトコルベースのシナリオでは、ユーザーは Office 365 に接続し、各自のクレデンシャ ルを提供します。Microsoft Federation Gateway は、アクティブプロトコルクライアントに代わって ADFS サービスとの通信を⾏い、それらのクレデンシャルをサブミットします。認証後、ADFS サー ビスは、Federation Gateway にトークンを提供します。このトークンが Office 365 にサブミットさ れることにより、クライアントアクセスが提供されます。 アクティブプロトコルベースのユースケースでは、通常、クライアントは NetScaler 上で 401 NTLM を使⽤して認証されます。アクティブおよびパッシブプロトコルベースの両方のユースケース向け に NetScaler を設定する方法については、次のセクション「設定の詳細」を参照してください。 www.citrix.co.jp 6 導入ガイド NetScaler を ADFS プロキシとして導入 設定の詳細 本ガイドでは、アクティブクライアント(セクション A)およびパッシブクライアント(セクショ ン B)のための設定ワークフローを紹介します。アクティブクライアントおよびパッシブクライア ントの両方をカバーする導入を⾏う場合、セクション A とセクション B の設定フローを順番に実⾏ してください。 下記に示す設定は外部ユーザー向けのものです。内部ユーザーの場合、NetScaler を ADFS ファー ム向けの負荷分散仮想サーバーとして使⽤します。内部ユーザーを NetScaler により認証する必要 がある場合、パッシブクライアントおよびアクティブクライアントの両方にセクション A の設定を ⾏うだけで⼗分です。 セクション A:アクティブクライアント/内部ユーザー向けの設定フロー 1. コンテンツ切り替え⽤の仮想サーバーを作成し、SSL キーのバインドと、CA 証明書のバイン ドを実施します。 www.citrix.co.jp 7 導入ガイド www.citrix.co.jp NetScaler を ADFS プロキシとして導入 8 導入ガイド 2. NetScaler を ADFS プロキシとして導入 AAA 仮想サーバーを作成し、ネゴシエートポリシーのバインド、Kerberos SSO ⽤のセッショ ンポリシーのバインドを実施します。この仮想サーバーは外部からアクセスされないため、同 サーバーにはプライベート IP アドレスを設定します。 ステップ 1 に示した手順に従って、SSL サーバーおよび CA 証明書をこの仮想サーバーにバインド します。 正しい DNS サーバーが設定されていることを確認してください。これは、クライアントサイドの NTLM 認証および Kerberos SSO で必要となります。単一の DNS サーバーを保有している場合、同 サーバーをポイントするネームサーバーを作成します。以下の設定では、複数の DNS サーバーを サービスとして負荷分散仮想サーバーにバインドしています。 www.citrix.co.jp 9 導入ガイド NetScaler を ADFS プロキシとして導入 ネゴシエートアクションポリシーを作成し、それを AAA 仮想サーバーにバインドします。 www.citrix.co.jp 10 導入ガイド www.citrix.co.jp NetScaler を ADFS プロキシとして導入 11 導入ガイド www.citrix.co.jp NetScaler を ADFS プロキシとして導入 12 導入ガイド NetScaler を ADFS プロキシとして導入 セッションポリシーをこの AAA 仮想サーバーにバインドします。 www.citrix.co.jp 13 導入ガイド 3. NetScaler を ADFS プロキシとして導入 デフォルトの負荷分散仮想サーバーを作成します。この仮想サーバーが、ユーザー認証を⾏い Kerberos SSO を実⾏するために、401:Negotiate/NTLM 応答をバックエンドに送信します。 www.citrix.co.jp 14 導入ガイド www.citrix.co.jp NetScaler を ADFS プロキシとして導入 15 導入ガイド 4. NetScaler を ADFS プロキシとして導入 負荷分散仮想サーバーを作成します。この仮想サーバーは、単に要求をバックエンドに送信し、 要求 URL を/adfs/services/trust から/adfs/services/trust/proxymex へと変換します。 www.citrix.co.jp 16 導入ガイド NetScaler を ADFS プロキシとして導入 SSL サーバーおよび CA 証明書を、新規作成した仮想サーバーにバインドします。 www.citrix.co.jp 17 導入ガイド 5. NetScaler を ADFS プロキシとして導入 /adfs/services/trust および/federationmetadata/2007-06/federationmetadata.xml を含んでいる 要求のためのコンテンツ切り替えポリシーを作成し、認証なしでプロキシサーバーに進むこと ができるようにします。 www.citrix.co.jp 18 導入ガイド 6. NetScaler を ADFS プロキシとして導入 認証が有効な負荷分散仮想サーバーを、コンテンツ切り替え仮想サーバー⽤のデフォルト仮想 サーバーとして設定します。 www.citrix.co.jp 19 導入ガイド NetScaler を ADFS プロキシとして導入 セクション B:パッシブユーザー向けの設定フロー 注:以下の設定ではセクション A で作成したコンテンツ切り替え仮想サーバーと同じものを使⽤し ますが、パッシブクライアントに対応するために異なるルールを使⽤します。 1. AAA 仮想サーバーを作成し、認証ドメインを設定し、LDAP ポリシーをバインドします。 a. Kerberos におけるなりすまし防止と SSO 向けのセッションポリシーのために、KCD アカウ ントを作成します。 www.citrix.co.jp 20 導入ガイド NetScaler を ADFS プロキシとして導入 SSL サーバーおよび CA 証明書を仮想サーバーにバインドします。 2. Kerberos におけるなりすまし防止のために KCD アカウントを作成し、DNS サーバーと NTP サーバーが正しく設定されていることを確認します。その後、セッションポリシーを作成し、 それを AAA 仮想サーバーにバインドします。 www.citrix.co.jp 21 導入ガイド www.citrix.co.jp NetScaler を ADFS プロキシとして導入 22 導入ガイド 3. NetScaler を ADFS プロキシとして導入 要求/adfs/ls/auth/integrated(ADFS 2.0 の場合)または/adfs/ls/wia(ADFS3.0 の場合)を処理 するための負荷分散仮想サーバーを作成します。このサーバーをフォームベースの認証のため に有効化します。 www.citrix.co.jp 23 導入ガイド 4. NetScaler を ADFS プロキシとして導入 コンテンツ切り替えアクションおよびポリシーを作成し、それをコンテンツ切り替え仮想サー バーにバインドします。 www.citrix.co.jp 24 導入ガイド www.citrix.co.jp NetScaler を ADFS プロキシとして導入 25 導入ガイド NetScaler を ADFS プロキシとして導入 まとめ NetScaler は、 リモートアクセスユースケースにおける⾼速で信頼できる⾼可⽤性に対応したセキュ アなアプリケーションデリバリーを可能にする実績あるソリューションです。NetScaler を ADFS プロキシとして動作させる機能が追加されたことにより、NetScaler が企業にもたらす全体的な価 値がなお一層⾼まりました。NetScaler は、Office 365 へのリモートアクセスを含む、すべての企業 ユーザーによるアクセスを実現するために単一のゲートウェイポイントとなります。また、 NetScaler を導入すると、そのコアとなる機能を利⽤できる以外に、導入システム全体におけるエ ンドユーザーエクスペリエンス、スケーラビリティ、安定性を改善できます。さらに、DMZ 内に NetScaler アプライアンスを配置する場合、その NetScaler アプライアンスを別のリモートアクセス のユースケースでも利⽤できます。単一の NetScaler ADC アプライアンスを通じて、リモートアク セスや認証などのようなあらゆるユースケースを統合することには非常に大きな価値があります。 www.citrix.co.jp 26 ホワイトペーパー NetScaler を ADFS プロキシとして導入 Citrix について Citrix Systems, Inc.(NASDAQ:CTXS)は、新しい快適なワークスタイルを実現する仮想化、ネットワーキング、クラウドイン フラストラクチャのリーディングカンパニーです。多くの企業および組織の IT 部門やサービスプロバイダーが、仮想化、モバ イル化されたワークスペースの構築、管理、セキュリティ確保のために、シトリックスのソリューションを利⽤しています。仮 想化、モバイル化されたワークスペースでは、デバイス、ユーザー、利⽤するネットワークやクラウドを問わず、アプリケーショ ン、デスクトップ、データ、サービスをシームレスに利⽤することができます。シトリックスは今年、創設 25 周年を迎えます が、今後も革新に取り組み、モバイルワークスタイルにより IT をさらにシンプルにするとともに生産性の向上に貢献していき ます。シトリックスの 2013 年度の年間売上⾼は 29 億ドルで、その製品は世界中の 33 万以上の企業や組織において、1 億人以 上の人々に利⽤されています。シトリックスの詳細については www.citrix.co.jp をご覧ください。 ©2014 Citrix Systems, Inc. All rights reserved. Citrix および NetScaler は、Citrix Systems, Inc.またはその子会社の登録商標であ り、米国の特許商標局およびその他の国に登録されています。その他の商標や登録商標はそれぞれの各社が所有権を有するもの です。 E0115/PDF J0215/PDF www.citrix.co.jp 27