テレワークに最適なVDI環境とは

ビジネス継続の為のテレワークソリューションとして、VDIやアプリケーション仮想化がこれまで以上に注目を浴びています。市場には多くのVDIソリューションが氾濫していますが、失敗ないVDIテレワーク環境の導入において、以下の要素を掘り下げて検討することが重要です。

  • セキュリティ
  • コスト
  • 柔軟性
  • 耐障害性

テレワークVDIソリューションの検討で、とりわけ重要なのはセキュティです。中でも認証セキュリティは非常に大切なポイントになります。このシリーズでは認証セキュリティにて、解説してゆきます。

Citrix Workplaceにワンタイムパスワード(OTP)機能がビルドインされています。しかも無償です。

これまでアプライアンス版のCitrix Gatwayに実装されていたワンタイムパスワード機能が、Citrix Cloudにも実装されました。このシンプルOTP機能を使えばワンタイムパスワードを使って仮想デスクトップやアプリケーションだけでなく。Workspaceが提供するWeb、SaaSアプリケーン、ファイル共有サービスなどあらゆるサービスにセキュアにアクセスすることができます。

百聞は一見にしかず

まずはユーザーがワンタイムパスワードを使ってアクセスする様子をご覧ください。

モバイル用の認証トークン利用時

PC用のトークンジェネレーターの利用例

思わず微笑むほどシンプルな設定

ワンタイムパスワード機能(以下OTP機能)を有効にするには、Citrix Cloudの管理コンソール上で2つの設定スイッチをONにするだけです。

IDおよびアクセス管理からActive Directory+トークンで接続をスイッチをオンにします。
ユーザーの認証方法が変わる旨の警告と確認のメッセージが表示されます。
たったこれだけで設定は完了です。

サポートされている認証トークンデバイス

認証トークンデバイスはトークンジェネレーターとも呼ばれています。。RFC6238 TOTP generator互換であれば基本的に何でも利用可能です。それらのほとんどは無償で提供されています。以下にはCitrixで検証済みの製品です。

  • Citrix SSO
  • Google Authenticator
  • Microsoft Authenticator
  • Symantec VIP

RFC6238 TOTP generatorにについてはこちらをご覧ください。

ユーザーの初回利用

ユーザーはセルフサービスによって認証アプリの登録をします。実際はCitrixのTOTPサービスから管理者側で設定されたメールアドレスに送られくるトークンIDを認証アプリに登録するだけです。1ユーザーあたり登録できるトークンデバイス、すなわち認証アプリの数は1個になります。ユーザーとはActive Directoryのユーザーを指します。

ユーザー視点で一連の認証トークンデバイス(認証アプリ)のセルフ登録方法を見てみましょう。

認証トークンデバイスとなるスマートフォンもしくはPCにRFC準拠のトークンジェネレーターをインストールします。
いつもどおりCitrix Workspaceのリンクにアクセスします。次にトークンがない場合を。をクリックします。
ドメイン\ユーザー名の形式でドメインアカウント名を入力します。
もしくはユーザー名@ドメインのUPN形式でドメインアカウント名を入力します。※メールアドレスでありません。
ADユーザーのプロパティのE-mailに紐づけられているアドレスにトークンIDを入手するための認証コードが送付されます。
メールで送付された認証コードとドメインのパスワードを入手します。
認証コードとドメインパスワード入力後に画面が遷移して、トークンIDが発行されます。
ほとんどのモバイル用の認証トークン認証アプリではQRコードに対応していますので、手動でトークンIDを入力する必要はありません。カメラが使えない場合も手動でIDを入力することが可能です。
PC用の認証トークンアプリの場合は基本QRコードの読み込みができないので、トークンIDを手動で入力します。
認証画面でユーザー名とパスコードおよびパスワードでログインすることができました。

設定のポイント

ユーザーのセルフ登録後にメールにより確認コードが送られてきます。このメールアドレスの紐づけはADのユーザーアカウントのE-mailプロパティで指定します。すなわちメールの送付先はADのユーザープロパティに設定されたアドレスに送付されます。

デバイスの削除

従業員の離職などADアカウントの削除に伴い、登録されたデバイスを管理者側で削除することができます。

Q&A

Q.ユーザーが認証トークンアプリが入ったスマホを家に忘れてしまいました。どのように対応すればいいでしょうか?

A.ユーザーは認証画面から別のデバイスで再登録することでそのデバイスで上書きして利用可能です。ただユーザーはメールアドレスで登録コードを確認できる必要があります。またこれまで利用してきたデバイスは無効になるため、同じデバイスを使う際にはユーザー自身で再登録が必要です。

Q.Citrix Cloudの管理者アクセスでもOPTは使えますか?

A.近日中に対応予定です。これにより管理者はユーザー/パスワード、Azure AD認証のみならず、OTP機能を使ってセキュアに管理コンソールにアクセスすることが可能です。

セールポイント

  • 無償で利用可能
  • スピーディに展開
  • サービス提供につき、インフラの構築運用が不要

まとめ

Citrixはあらゆる認証ストラテジーに柔軟に対応できるよう様々な認証オプションを用意しています。ここで紹介した機能はCitrixがサポートする多様な認証オプションのごくごく一部です。今回はCitrix Cloudにネイティブで実装されたシンプルなOTP機能を紹介しました。

注意事項

本ブログの内容は2020年1月現在の情報です。製品やサービス、仕様については事前の予告なしに変更される場合があります。本ブログの内容は情報提供のみを目的として、本ブログの内容により生じる損害に対しシトリックスはいかなる責任を負うものではありません。