導入ガイド： netscaler を adfs（active directory フェデレーション

導入ガイド

www.citrix.co.jp

導入ガイド： NetScaler を ADFS（Active Directory フェデレーションサービス）プロキシとして導入 Office 365 のユースケースでシームレスな認証を実現

導入ガイド NetScaler を ADFS プロキシとして導入

www.citrix.co.jp 2

目次 ADFS プロキシの導入 ....................................................................................................................... 4 サードパーティ製の ADFS プロキシに関するマイクロソフト社の推奨事項 .................................... 5 NetScaler を ADFS プロキシとして使⽤する場合の導入シナリオ .................................................... 5 NetScaler を ADFS プロキシとして使⽤した場合のメリット ........................................................... 6 設定の詳細 ......................................................................................................................................... 7

セクション A：アクティブクライアント/内部ユーザー向けの設定フロー .................................... 7 セクション B：パッシブユーザー向けの設定フロー ................................................................... 20

まとめ .............................................................................................................................................. 26


www.citrix.co.jp 3

近年、ますます多くの企業が、クラウドベースのアプリケーションモデルへと移⾏しつつあります。Microsoft Office 365 のようなクラウドベースのサービスが出現したおかげで、このような移⾏が加速しています。クラウドベースのアプリケーション導入は大きな付加価値を提供すると同時に、企業の基盤となるインフラストラクチャーを変革します。このような状況において、企業の IT 部門が懸念を抱いているクリティカルサービスの 1 つとして、組織の内部および外部から接続を⾏うユーザーの認証が挙げられます。

クラウドへと移⾏する場合、企業は、移⾏前と移⾏後でユーザーエクスペリエンスが変わらないことを保証したいと考えます。しかし、企業データセンターの外部でホスティングされているサービスへのシームレスなアクセスを⾏うためには、アプリケーション導入の設計において新しいコンポーネントが必要となります。Active Directory のパスワードがデータセンターの外部のネットワーク上でやり取りされることを望むものは誰もいません。このような理由から、フェデレーションが自然で実績ある選択肢となっています。主にマイクロソフト社のサービスに関しては、Active Directory フェデレーションサービス（ADFS）が、そのような企業の求めているソリューションとなります。ADFS セキュリティトークンサービスを使⽤すると、Active Directory により認証されるクライアント向けのシングルサインオン（SSO）を、企業データセンターの外部にあるリソースに拡張できます。

ADFS サーバーファームを使⽤すると、内部ユーザーが、外部のクラウドホステッドサービスにアクセスできるようになります。ただし、外部ユーザーによる同サービスへのアクセスを許可する場合、フェデレーション ID を通じてクラウドベースのサービスにリモート接続してアクセスする方法を同ユーザーに提供する必要があります。ADFS プロキシの主な役割は、外部ユーザーに内部のフェデレーション対応リソースとクラウドリソース（Office 365 など）の両方に対する SSO アクセスを提供することにあります。ADFS プロキシサーバーの目的は、インターネットからはアクセスできない ADFS サーバー間で要求の送受信を⾏うことです。

ADFS プロキシは、リモートユーザー接続およびアプリケーションアクセスにおいて重要な役割を演じます。Citrix® NetScaler®は、リモートユーザー接続およびアプリケーションアクセスにおいて、ADFS プロキシと同様の役割を 10 年以上も演じているという実績があります。NetScaler は、セキュアな接続、認証、およびフェデレーション ID の処理を実現するための適切なテクノロジーを提供するため、既存の ADFS プロキシの置き換えや ADFS の新規実装を⾏う場合の推奨ソリューションとなっています。ほとんどの企業は DMZ 内におけるフットプリントの縮小を望んでいるため、NetScaler がその従来の機能に加えて、ADFS プロキシとしても作するという事実は、そのような企業にとって大きなメリットとなります。既存の NetScaler を ADFS プロキシとして使⽤するならば、DMZ 内に追加のコンポーネントを導入する必要はなくなります。


www.citrix.co.jp 4

ADFS プロキシの導入

ADFS プロキシを通じた外部ユーザーアクセスにおけるパケットの流れは以下の通りです。

1. 外部ユーザーが、ADFS 対応の内部または外部アプリケーションにアクセスします。

2. ユーザーは、認証のためにアプリケーションフェデレーションサービスへとリダイレクトされます。

3. ユーザーは、企業の内部フェデレーションサービスへとリダイレクトされます。

4. ユーザーは DMZ 内の ADFS プロキシに接続され、同ユーザーにはサインオンページが表示されます。

5. ADFS プロキシは外部ユーザーからの入⼒を受け取り、ADFS ファームに接続します。

6. ADFS プロキシは、外部ユーザーのクレデンシャルを ADFS ファームに提供します。

7. ADFS サーバーは、企業の Active Directory（AD）を使⽤して外部ユーザーを認証します。

8. ADFS サーバーは、署名付きのセキュリティトークンおよびクレームを含む認証クッキーを戻します。

9. ADFS プロキシは、当該トークンおよびクレーム情報を外部ユーザーに送信します。

10. ユーザーは、トークンおよびクレームが検証されるフェデレーションサービスに接続します。

11. この検証に基づいて、フェデレーションサービスは新しいセキュリティトークンを当該ユーザーに提供します。

12. 外部ユーザーは、セキュリティトークンを含む新しい認証クッキーを、アクセス先のリソースに提供します。

ほとんどの場合、ADFS および ADFS プロキシファームの運⽤では、⾼可⽤性と共に負荷分散とスケーリング機能が必要となります。NetScaler ADC を使⽤して、自社の ADFS プロキシファームやその他の主要サービスの負荷分散を実現している場合、必要となる追加の作業は、NetScaler をADFS プロキシファームの置き換えとして設定するだけになります。これは、NetScaler が単に ADCとしての役割を演じるだけではなく、外部ユーザーアクセスシナリオを実現するために ADFS プロキシにより実⾏される各種プロセスの所有権を NetScaler が持つことを意味します。

NetScaler は DMZ 向けの実績あるリモートアクセスソリューションです。シトリックスは、NetScaler の AAA-TM（AAA for Traffic Management）機能を使⽤することで ADFS プロキシのユースケースを実現すると同時に、その他の製品のセキュリティ機能を使⽤することで、このソリューションに全体的な価値を追加しています。

企業 AD

企業ネットワーク企業 DMZ

ADFS プロキシファーム

フェデレーションゲートウェイ

ファーム


www.citrix.co.jp 5

サードパーティ製の ADFS プロキシに関するマイクロソフト社の推奨事項

マイクロソフト社の要件および推奨事項 NetScaler の能⼒

プロキシは応答の本⽂を変更しないこと対応済み

プロキシは、すべての HTTP ヘッダをバックエンド STS へとパススルーすること

対応済み

プロキシは HTTP 302 応答を発⾏しないこと対応済み

すべての要求は ADFS ファームへとパススルーされること対応済み

すべての外部要求がバックエンド STS へと再ルーティングされること対応済み

プロキシは、マルチレッグ型の NTLM 認証フローにおいて同じ STS に対する持続性を提供すること

持続性を提供

ADFS への要求はすべて、バックエンド STS 上の同じ URL へと再ルーティングされること

対応済み

プロキシは、すべてのクエリ⽂字列パラメータをパススルーすること対応済み

プロキシはフォームベースのログインを提供すること AAA-TM を使⽤

プロキシはクレデンシャルを使⽤して、ADFS 上で NTLM 認証を実⾏すること SSO を使⽤

プロキシは、必要に応じて 2 要素認証も実⾏できること AAA-TM を使⽤

Office 365 アクセスシナリオの場合、プロキシは追加情報を提供すること対応済み

NetScaler を ADFS プロキシとして使用する場合の導入シナリオ

ADFS プロキシとして作する NetScaler を通じた内部/外部ユーザーアクセスにおけるパケットの流れは以下の通りです。

1. Office 365 アプリケーションに対する内部/外部ユーザーアクセスが ADFS により有効化されます。

2. ユーザーは、認証のためにアプリケーションフェデレーションサービスへとリダイレクトされます。

3. ユーザーは、企業の内部フェデレーションサービスへとリダイレクトされます。

4. 内部ユーザーは ADFS ファームで負荷分散されます。

5. 外部ユーザーは NetScaler AAA-TM のログオンページに接続します。

企業 AD

企業ネットワーク企業 DMZ

NetScaler による ADFS プロキシ

フェデレーションゲートウェイ

ファーム


www.citrix.co.jp 6

6. ユーザーは Active Directory または同様の認証サービスを通じて認証されます。

7. 認証後、NetScaler は ADFS ファームに対して SSO（Kerberos/NTLM）を実施します。

8. ADFS サーバーは SSO クレデンシャルを検証した後、STS トークンを戻します。

9. 外部ユーザーは、トークンおよびクレームが検証されるフェデレーションサービスに接続します。

10. この検証に基づいて、フェデレーションサービスは新しいセキュリティトークンを当該ユーザーに提供します。

11. 外部ユーザーは、セキュリティトークンを含む新しい認証クッキーを、アクセス先のリソースに提供します。

これで、内部ユーザーと外部ユーザーの両者が、NetScaler パスを通過できるようになります。唯一の違いは、外部ユーザーは NetScaler AAA-TM モジュールを使⽤して事前に認証される必要があるということです。このアクセスシナリオでは、事前認証を⾏うために、AAA-TM 仮想サーバーをNetScaler 上でセットアップする必要があります。一方、内部ユーザーは、ADFS サーバーファームに対して直接負荷分散されます。

NetScaler を ADFS プロキシとして使用した場合のメリット 1. 負荷分散と ADFS プロキシの両方のニーズに対応

2. 内部および外部ユーザーアクセスシナリオの両方で利⽤可能

3. 事前認証を⾏うための方法を豊富にサポート

4. エンドユーザーに SSO エクスペリエンスを提供

5. アクティブおよびパッシブの両方のプロトコルをサポート

a. アクティブプロトコルアプリケーションの例：Outlook、Lync

b. パッシブプロトコルアプリケーションの例：Outlook Web アプリケーション、ブラウザ

6. DMZ ベースの導入⽤にデバイスを強化

7. コアとなる ADC 機能に付加価値を追加

a. コンテンツ切り替え

b. SSL オフローディング

c. リライト

d. レスポンダー

e. レート制限

f. セキュリティ

アクティブプロトコルベースのシナリオでは、ユーザーは Office 365 に接続し、各自のクレデンシャルを提供します。Microsoft Federation Gateway は、アクティブプロトコルクライアントに代わってADFS サービスとの通信を⾏い、それらのクレデンシャルをサブミットします。認証後、ADFS サービスは、Federation Gateway にトークンを提供します。このトークンが Office 365 にサブミットされることにより、クライアントアクセスが提供されます。

アクティブプロトコルベースのユースケースでは、通常、クライアントは NetScaler 上で 401 NTLMを使⽤して認証されます。アクティブおよびパッシブプロトコルベースの両方のユースケース向けに NetScaler を設定する方法については、次のセクション「設定の詳細」を参照してください。


www.citrix.co.jp 7

設定の詳細本ガイドでは、アクティブクライアント（セクション A）およびパッシブクライアント（セクション B）のための設定ワークフローを紹介します。アクティブクライアントおよびパッシブクライアントの両方をカバーする導入を⾏う場合、セクション A とセクション B の設定フローを順番に実⾏してください。

下記に示す設定は外部ユーザー向けのものです。内部ユーザーの場合、NetScaler を ADFS ファーム向けの負荷分散仮想サーバーとして使⽤します。内部ユーザーを NetScaler により認証する必要がある場合、パッシブクライアントおよびアクティブクライアントの両方にセクション A の設定を⾏うだけで⼗分です。

セクション A：アクティブクライアント/内部ユーザー向けの設定フロー

1. コンテンツ切り替え⽤の仮想サーバーを作成し、SSL キーのバインドと、CA 証明書のバインドを実施します。


www.citrix.co.jp 8


www.citrix.co.jp 9

2. AAA 仮想サーバーを作成し、ネゴシエートポリシーのバインド、Kerberos SSO ⽤のセッションポリシーのバインドを実施します。この仮想サーバーは外部からアクセスされないため、同サーバーにはプライベート IP アドレスを設定します。

ステップ 1 に示した手順に従って、SSL サーバーおよび CA 証明書をこの仮想サーバーにバインドします。

正しい DNS サーバーが設定されていることを確認してください。これは、クライアントサイドのNTLM 認証および Kerberos SSO で必要となります。単一の DNS サーバーを保有している場合、同サーバーをポイントするネームサーバーを作成します。以下の設定では、複数の DNS サーバーをサービスとして負荷分散仮想サーバーにバインドしています。


www.citrix.co.jp 10

ネゴシエートアクションポリシーを作成し、それを AAA 仮想サーバーにバインドします。


www.citrix.co.jp 11


www.citrix.co.jp 12


www.citrix.co.jp 13

セッションポリシーをこの AAA 仮想サーバーにバインドします。


www.citrix.co.jp 14

3. デフォルトの負荷分散仮想サーバーを作成します。この仮想サーバーが、ユーザー認証を⾏いKerberos SSO を実⾏するために、401:Negotiate/NTLM 応答をバックエンドに送信します。


www.citrix.co.jp 15


www.citrix.co.jp 16

4. 負荷分散仮想サーバーを作成します。この仮想サーバーは、単に要求をバックエンドに送信し、要求 URL を/adfs/services/trust から/adfs/services/trust/proxymex へと変換します。


www.citrix.co.jp 17

SSL サーバーおよび CA 証明書を、新規作成した仮想サーバーにバインドします。


www.citrix.co.jp 18

5. /adfs/services/trust および/federationmetadata/2007-06/federationmetadata.xml を含んでいる要求のためのコンテンツ切り替えポリシーを作成し、認証なしでプロキシサーバーに進むことができるようにします。


www.citrix.co.jp 19

6. 認証が有効な負荷分散仮想サーバーを、コンテンツ切り替え仮想サーバー⽤のデフォルト仮想サーバーとして設定します。


www.citrix.co.jp 20

セクション B：パッシブユーザー向けの設定フロー

注：以下の設定ではセクション A で作成したコンテンツ切り替え仮想サーバーと同じものを使⽤しますが、パッシブクライアントに対応するために異なるルールを使⽤します。

1. AAA 仮想サーバーを作成し、認証ドメインを設定し、LDAP ポリシーをバインドします。

a. Kerberos におけるなりすまし防止と SSO 向けのセッションポリシーのために、KCD アカウントを作成します。


www.citrix.co.jp 21

SSL サーバーおよび CA 証明書を仮想サーバーにバインドします。

2. Kerberos におけるなりすまし防止のために KCD アカウントを作成し、DNS サーバーと NTPサーバーが正しく設定されていることを確認します。その後、セッションポリシーを作成し、それを AAA 仮想サーバーにバインドします。


www.citrix.co.jp 22


www.citrix.co.jp 23

3. 要求/adfs/ls/auth/integrated（ADFS 2.0 の場合）または/adfs/ls/wia（ADFS3.0 の場合）を処理するための負荷分散仮想サーバーを作成します。このサーバーをフォームベースの認証のために有効化します。


www.citrix.co.jp 24

4. コンテンツ切り替えアクションおよびポリシーを作成し、それをコンテンツ切り替え仮想サーバーにバインドします。


www.citrix.co.jp 25


www.citrix.co.jp 26

まとめ NetScaler は、リモートアクセスユースケースにおける⾼速で信頼できる⾼可⽤性に対応したセキュアなアプリケーションデリバリーを可能にする実績あるソリューションです。NetScaler を ADFSプロキシとして作させる機能が追加されたことにより、NetScaler が企業にもたらす全体的な価値がなお一層⾼まりました。NetScaler は、Office 365 へのリモートアクセスを含む、すべての企業ユーザーによるアクセスを実現するために単一のゲートウェイポイントとなります。また、NetScaler を導入すると、そのコアとなる機能を利⽤できる以外に、導入システム全体におけるエンドユーザーエクスペリエンス、スケーラビリティ、安定性を改善できます。さらに、DMZ 内にNetScaler アプライアンスを配置する場合、その NetScaler アプライアンスを別のリモートアクセスのユースケースでも利⽤できます。単一の NetScaler ADC アプライアンスを通じて、リモートアクセスや認証などのようなあらゆるユースケースを統合することには非常に大きな価値があります。

ホワイトペーパー NetScaler を ADFS プロキシとして導入

E0115/PDF J0215/PDF www.citrix.co.jp 27

Citrix について

Citrix Systems, Inc.（NASDAQ:CTXS）は、新しい快適なワークスタイルを実現する仮想化、ネットワーキング、クラウドインフラストラクチャのリーディングカンパニーです。多くの企業および組織の IT 部門やサービスプロバイダーが、仮想化、モバイル化されたワークスペースの構築、管理、セキュリティ確保のために、シトリックスのソリューションを利⽤しています。仮想化、モバイル化されたワークスペースでは、デバイス、ユーザー、利⽤するネットワークやクラウドを問わず、アプリケーション、デスクトップ、データ、サービスをシームレスに利⽤することができます。シトリックスは今年、創設 25 周年を迎えますが、今後も革新に取り組み、モバイルワークスタイルにより IT をさらにシンプルにするとともに生産性の向上に貢献していきます。シトリックスの 2013 年度の年間売上⾼は 29 億ドルで、その製品は世界中の 33 万以上の企業や組織において、1 億人以上の人々に利⽤されています。シトリックスの詳細については www.citrix.co.jp をご覧ください。

©2014 Citrix Systems, Inc. All rights reserved. Citrix および NetScaler は、Citrix Systems, Inc.またはその子会社の登録商標であり、米国の特許商標局およびその他の国に登録されています。その他の商標や登録商標はそれぞれの各社が所有権を有するものです。

導入ガイド： netscaler を adfs（active directory フェデレーション

Documents