Weitere ähnliche Inhalte
Ähnlich wie 【Citrix】vdiクライアント仮想化における認証の現在とこれから (20)
Mehr von Citrix Systems Japan (20)
【Citrix】vdiクライアント仮想化における認証の現在とこれから
- 1. 1 © 2016 Citrix
VDIクライアント仮想化
における認証の
現在とこれから
⼤串昌央
シトリックス・システムズ・ジャパン株式会社
2016/09/06
- 2. 2 © 2016 Citrix
アジェンダ
XenApp/XenDesktopの認証
NetScalerによるリモートアクセス時の認証
Federated Authentication Service
Citrix Cloudと今後
VDIを認証の切り⼝でご紹介
- 3. 3 © 2016 Citrix
クライアント仮想化とは(≠サーバー仮想化)
パソコンの物理要素(デバイス)と論理要素(OS、アプリ)の分離とリモート配信
- 4. 4 © 2016 Citrix
Citrixのクライアント仮想化ソリューション
デスクトップ仮想化(VDI) アプリケーション仮想化
OS
デバイス
ハードウェア
ネットワーク
カスタマイズ性、アプリ互換性 セキュリティ、集約率
- 5. 5 © 2016 Citrix
クライアント仮想化の認証
アイデンティ
ティ
認証
認可
- 6. 6 © 2016 Citrix
Storefront
Receiver
MS SQL
Server
Windows
Desktop OS
Delivery
Controller
Windows
Server OS
VDAVDA
XenApp/XenDesktopのアーキテクチャー
FlexCast Management Architecture(FMA)
Storefront
vCenter
SCVMM
XenServer
Azure
AWS
Active
Directory
Linux
VDA
- 7. 7 © 2016 Citrix
Windowsの認証
ユーザー名と
パスワード
証明書
- 8. 8 © 2016 Citrix
XenDesktopでの認証フロー
Client
StoreFront
Delivery Controller
VDA
Active Directory
Winlogon
IE
Desktop Viewer
ICA Client Engine
Winlogon
VDA
Delivery
Controller
パスワード
パスワード
認証
パスワード
Ticket
Ticket
Ticket
ticket
パスワード
パスワード
認証
認証
- 9. 9 © 2016 Citrix
認証オプション
• ユーザー名パスワード
• ドメインパススルー
• スマートカード
• HTTP基本認証
• NetScaler Gatway
パススルー
- 10. 10 © 2016 Citrix
ドメインパススルー認証フロー
ドメイン認証されたクライアントから再度パスワードを⼊⼒することなく認証
Client
StoreFront
Delivery Controller
VDA
Active Directory
Winlogon
SSOn
IE
Desktop Viewer
ICA Client Engine
Winlogon
VDA
Delivery
Controller
パスワード
pwd
認証
Ticket
Ticket
Ticket+パスワード
パスワード
認証
認証
パスワード
- 11. 11 © 2016 Citrix
• Microsoft PC/SC拡張API
• ホストが、クライアントにアタッチされて
いるスマートカードリーダーのタイプ
(USBやシリアルなど)を認識することが
可能
• ホストがクライアントにアタッチされてい
るスマートカードリーダーのアイコンを取
得し(当該アイコンが利用可能でない場
合)、同アイコンをWindows LogonUIお
よびCredUIに表示することが可能
• Microsoftの仮想スマートカード(TPM)
対応
スマートカード認証
- 12. 12 © 2016 Citrix
Save
Print
Copy
Policy A
XX
Client A
Save
Print
Copy
Policy B
Client B
VDA
User A
HDXポリシー
コンテキストベースの認可
- 13. 13 © 2016 Citrix
https://www.youtube.com/watch?v=cH-fcgHjDxA
- 14. 14 © 2016 Citrix
リモート
社内
SSL/TLS
トンネル
Active Directory
VDA
StoreFront
RADIUS
ICA
Proxy
シングルサイ
ンオン
多要素認証
Endpoint
Analysis
(EPA)
Smart
Access
NetScalerによるリモートアクセス
セキュリティ強化された専用アプライアンス
- 15. 15 © 2016 Citrix
• VPN装置に接続し、ログイン
• さらにStoreFrontにアクセスしてログイン
• アイコンをクリックして接続完了
NetScaler Gateway
NetScaler Gateway
社内リソース
フルVPN接続
事前にVPNをセットアップ / クライアントは社内ネットワークの一部になる
すべての社内リソースへのアクセスが可能 / クライアントの安全性の担保が必要
Gateway Plug-in
TCP/UDP over IP
- 16. 16 © 2016 Citrix
• NetScalerにアクセスしてログオン
• StoreFrontまでパススルーしてログオンされる
• アイコンをクリックして接続完了
NetScaler Gateway
ICA Proxy接続
NetScaler Gateway
XenDesktop
XenApp
ICA over SSL
ICA
Citrix Receiver
独⽴したネットワーク間で画⾯転送(ICA)のみを取り扱う
双方向でICA以外のアプリケーション、プロトコルは利⽤できないためより安全
- 17. 17 © 2016 Citrix
クライアント証明書
ワンタイムパスワー
ド
二要素認証による認証セキュリティの強化
17
- 18. 18 © 2016 Citrix
• エンドポイント解析の結果など細かい条件に基づきアクセスリソースのフィルタリン
グを⾏う
SmartAccess
エンドポイント
NetScaler Gateway
RDSおよびVDI
リソース要求
リソース要求(SmartAccessポリシー)
Microsoft Word(フル機能)
Windows 8デスクトップ(印刷なし、ローカルドライブのマッピングなし)
⾦融アプリ(アクセス不可)
リソース要求
エンドポイントのスキャン結果
- 19. 19 © 2016 Citrix
Access Unification
アクセスの統合
Gatewayを統合
- シングルIPアドレス
- シングルURL
SAMLによる
シングルサインオン
- 20. 20 © 2016 Citrix
ShareFile Data
(Cloud)
XenMobile Server
(MDM/MAM/Appストア)
ShareFile Data
(On-Premis)
NetScaler
Gateway
データ
ShareFile Control Plane
XenApp/XenDesktop
Enterprise App Store
Windows
SaaS
Mobile Apps
モバイルソリューション全体
XenMobile/ShareFile, Enterprise Mobility Management ソリューションとの統合
- 21. 21 © 2016 Citrix
動作の概要
アイデンティティ
プロバイダー
SAML
NetScaler
StoreFront
Federated
Authentication
Service
Microsoft
Active Directory
(認証局)
7.9のFederated Authentication Service
- 22. 22 © 2016 Citrix
Federation以前のCitrix Single Sign-On
Windows
アプリケーション
Web
アプリケーション
Windows
プライマリログオン
セカンダリ
ログオン
Citrix Single Sign-On
ユーザーによるパスワード⼊⼒作業を代⾏
パスワード変更要求への⾃動対応・パスワードの⾃動⽣成
ユーザーはWindowsログオン時にログオン情報を⼊⼒するだけ、
後はSingle Sign-Onが⼈間に代わって安全にパスワードを管理
シングルサインオンが
必要なアプリケーションが実行
する環境に
Plug-inを設定
Citrix XenApp
- 23. 23 © 2016 Citrix
• アカウントを即座にロック解除
• その他のセキュリティに関する質問
• ヘルプデスク宛ての電話の件数削減
• パスワードロックに関する問い合わ
せはVDIにすると以外多い
セルフサービス式のパスワードリセット
Citrix Single Sing-onのちょっと便利な機能
- 24. 24 © 2016 Citrix
ChromebookでXenApp/XenDesktopを使う場合の認証
Google の
ユーザーアカウント
Active
Directory
のユーザー
アカウント
- 25. 25 © 2016 Citrix
XenApp/XenDesktop 7.9での認証
シングルサインオン(SSO)エクスペリエンス
Google の
ユーザーアカウント
Active
Directory
のユーザー
アカウント
「パスワードは不要」
- 26. 26 © 2016 Citrix
Receiver /
ブラウザ
NetScaler
Gateway
StoreFront
デリバリー
コントローラー VDA
アイデン
ティティー
データスト
ア (AD)
ICAチケット
- 27. 27 © 2016 Citrix
Receiver /
ブラウザ
NetScaler
Gateway
StoreFront
デリバリー
コントローラー VDA
アイデン
ティティ
データスト
ア(AD)
アイデンティ
ティ
プロバイダー
アイデン
ティティ
データ
ストア
?
?
SAMLトラスト
同期
ICAチケット
- 28. 28 © 2016 Citrix
Receiver /
ブラウザ
NetScaler
Gateway
StoreFront
デリバリー
コントローラー VDA
アイデン
ティティ
データスト
ア(AD)
アイデンティ
ティ
プロバイダー
アイデン
ティティ
データ
ストア
Citrix Federation
Authentication
Service
Microsoft
Certificate
Services
StoreFront VDA
ログオンデータ
プロバイダー
クレデンシャ
ルプラグイン
同期
SAMLトラスト
ICAチケット
- 29. 29 © 2016 Citrix
https://www.youtube.com/watch?v=Zv6tCSaCnIU
- 30. 30 © 2016 Citrix
Citrix Cloud
Citrix Cloud:ワークロードと管理を分離
ワークロードワークロード
管理管理
パブリッククラウド
ワークロードワークロード
管理管理
現在:管理とワークロードは、管理と制御から切り離された孤島となっている
プライベートクラウド/
オンプレミス
将来:クラウド管理により単⼀の統⼀的なハイブリッドシステムが可能となる。これにより顧客は、クラウドが
もたらす規模の経済を利用できるようになるほか、各⾃の既存の投資を活用できるようになる。
- 31. 31 © 2016 Citrix
SQL
StoreFront/
Receiver
for Web
デリバリー
コントローラー
ハイパーバイザー
Active
Directory
NetScaler
Gateway Server
VDAs
Server
VDAs
サーバー
VDA Server
VDAs
Server
VDAs
デスクトッ
プ VDA
License
Server
Studio Director
顧客/パートナーが
管理する
Citrix Cloud
(シトリックスが運用する)
Citrix Cloudアーキテクチャー
- 32. 32 © 2016 Citrix
Citrix
Citrix Cloud
コネクタStoreFront
NetScaler
Gateway
VDAsVDAs
VDA
コネクタ
パスワードの暗号化
パスワード
暗号化キー/ ICAチケット
AES暗号化パスワード
パスワード
Windowsログオン
用のシングルサイ
ンオン(SSO)
Windowsログオン
用のシングルサイ
ンオン(SSO)
- 34. 34 © 2016 Citrix
XenApp/XenDesktop Service on Azure
Windows 10 VDI Service / XenApp "express" Service
Customer’s Azure Subscription
CONNECTOR
Citrixによる管理
お客様のサブスクリプション
Citrix Cloud
Active
Directory
Server
VDAs
Server
VDAs
Windows
DesktopServer
VDAs
Server
VDAs
Windows
Apps
Simple Management UI
Control Plane
- 35. 35 © 2016 Citrix
Service available now
Service available soon
Secure
Browser
service
Lifecycle
Management
AppDNA
Express
IoT
Automation
3rd Party
Services
Hybrid Cloud | Private Cloud | Any Public Cloud | Any Hypervisor
XenApp and
XenDesktop
service
XenMobile
service
ShareFile
NetScaler
Gateway
Service
ワークスペーステクノロジーをクラウド上で管理、配信
- 36. 36 © 2016 Citrix
• 基本はAD
• パスワード
• 証明書
• ポリシー
• リモートアクセス
• 二要素認証
• SmartAccess
• 今後はフェデレーション
• SSO
• クラウド対応
認証から理解する
XenApp/XenDesktop
セキュリティの強化と今後の拡張