NetScalerの ICA Proxy機能を利用すると、ユーザーは外部からインターネットを介して自身の仮想デスクトップやアプリケーションにセキュアにアクセスすることが可能です。外部アクセスのシナリオではID・パスワードを不正に入手した者によるアクセスを防ぐためにも、2要素認証は必要不可欠です。NetScalerはワンタイムパスワードなど、様々な多要素認証ソリューションをサポートしています。ここではAzure Multi-Factor Authenticationサービスとのインテグレーションについて紹介します。


Azure Multi-Factor Authenticationとは

Azure Multi-Factor Authentication(AzureMFA)はAzure上で展開されている多要素認証サービスで、高い可用性が確保されています。AzureMFAを使うとID・パスワードに加え以下の要素と組み合わせた認証が可能です。

  • 電話*
  • テキストメッセージ(SMS)
  • モバイル アプリの通知
  • モバイル アプリの検証コード(PIN)
  • サード パーティの OATH トークン

(電話*=Citrix環境への認証プロセスの過程で、AzureMFAサービスからユーザー毎に登録されている電話が呼び出され、確認を求める音声メッセージが流れます。プッシュボタンから「#」キーやあらかじめ登録した「PINコード」入力するとCitrix環境への認証が完了します。AzureMFAではデフォルトのメッセージの他、独自のカスタム音声メッセージを流すことができます。)

百聞は一見にしかず、外部からNetScaler経由でXenAppおよびXenDesktop環境への認証イメージをデモでご覧ください。

テキストメッセージ(SMS)による認証

ユーザー名・パスワードで認証後、ログオンボタンを押すと、都度ユーザーのスマートフォンに6 桁のコードを含むメッセージが送信されます。続く認証画面で送られてきたコード番号を入力して「送信」を行うことでCitrix環境へ認証が完了します。

電話による認証

ユーザー名・パスワードを入力してログオン行うと、AzureMFAサービスからユーザーアカウント毎に登録されている番号に電話がかかり、認証確認を求めるメッセージが再生されます。電話機のプッシュボタンで「# 」キーを押すと認証が完了します。

電話による認証(PINあり)

同じくユーザー名・パスコードを入力しログオンを行うと、AzureMFAサービスからユーザーアカウント毎に登録されている番号に電話がかかり、認証確認を求めるメッセージが再生されます。電話機のプッシュボタンで、あらかじめ設定されている「PINコード」を入力すると認証が完了します。

モバイルアプリ

スマート フォンまたはタブレットの Azure Multi-Factor Authentication アプリに認証確認のプッシュ通知を行います。 ユーザーはアプリ上 で認証 ボタンをタップ するだけでログインできます。PINを要求することも可能です。iOS用のモバイルアプリAzureAuthenticatorはTouchIDもサポートしています。

不正アクセスを検知

security

AzureMFAには様々なセキュリティオプションがあります。例えば、あなたが端末をまったく使用してない状況にも関わらず、AzureMFAサービスから突然電話がかかってきて、認証確認を求める音声メッセージが流れたとします。これはあなた以外の誰かが、あなたのユーザーアカウントでアクセスを試みようとしてしている証拠です。これを逆手にとって、その電話に対して、認証を完了する「#」キーや「PIN」ではなく、不正アクセスのブロックコマンドとして設定されている「0#」キーや予め設定した番号を入力することで、直ちにアカウントロックをかけたり、セキュリティ管理者に不正アクセスの試みがあったことをメールで通知することができます。


Azureの多要素認証は下記の3つのバージョンがあります。NetScalerと連携する場合は「Azure Multi-Factor Authentication」が必要になります。

  • Office 365 の多要素認証 (Office 365 SKU に付属)
  • Azure 管理者用の多要素認証(Azure サブスクリプションに付属)
  • Azure Multi-Factor Authentication (Azure AD Premium および Enterprise Mobility Suite に付属)

各バージョンについては、こちら(外部サイト)を参照ください。

構成について

オンプレミスやクラウド上のインフラ環境にAzure Multi-Factor Authenticationサーバーが必要です。必要なモジュールはAzure上からダウンロードします。

figure1

Azure Multi-Factor Authentication Server

NetScalerやVPN、Remote Desktop GatewayでAzureMFAを使用する場合はMulti-Factor Authentication Serverが必要です。この構成の場合、Azure Multi-Factor Authentication Server は RADIUS クライアント (VPN 装置など) と認証ターゲット (Active Directory (AD)、LDAP ディレクトリ、他の RADIUS サーバーなど) の間でRADIUS サーバーとして機能します。Azure Multi-Factor Authentication Server上で認証方法の選択や認証オプション設定、テストを行います。

figure3

Azure Multi-Factor Authentication Server上で認証方法の変更やテストを行う

Azure Multi-factor Authentication ユーザー ポータル

ユーザー ポータルではユーザー自身が Azure Multi-Factor Authentication に登録を行ったり、管理者によって許可されていればユーザーはいつでも認証方法の変更、電話番号の変更、PIN の変更など行えます。

Azure AD Connect(オプション)

Azure AD Connect は、オンプレミスのActive Deirectoryと Azure Active Directory を統合する機能で、 Azure、Office 365 など Azure AD と連動するアプリケーションの ID を共通化します。利用する場合はメンバーサーバーにインストールします。本構成の場合は不要です。

まとめ

NetScalerとAzureMFAを組み合わせると多様な認証オプションが実現します。メインの2要素認証システムとして、またバックアップの2要素認証システムとして活用頂けるかと思います。


関連情報

Summit banner