Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
1 © 2016 Citrix
VDIクライアント仮想化
における認証の
現在とこれから
⼤串昌央
シトリックス・システムズ・ジャパン株式会社
2016/09/06
2 © 2016 Citrix
アジェンダ
XenApp/XenDesktopの認証
NetScalerによるリモートアクセス時の認証
Federated Authentication Service
Citrix Cloudと今後
VDIを認...
3 © 2016 Citrix
クライアント仮想化とは(≠サーバー仮想化)
パソコンの物理要素(デバイス)と論理要素(OS、アプリ)の分離とリモート配信
4 © 2016 Citrix
Citrixのクライアント仮想化ソリューション
デスクトップ仮想化(VDI) アプリケーション仮想化
OS
デバイス
ハードウェア
ネットワーク
カスタマイズ性、アプリ互換性 セキュリティ、集約率
5 © 2016 Citrix
クライアント仮想化の認証
アイデンティ
ティ
認証
認可
6 © 2016 Citrix
Storefront
Receiver
MS SQL
Server
Windows
Desktop OS
Delivery
Controller
Windows
Server OS
VDAVDA
XenApp/X...
7 © 2016 Citrix
Windowsの認証
ユーザー名と
パスワード
証明書
8 © 2016 Citrix
XenDesktopでの認証フロー
Client
StoreFront
Delivery Controller
VDA
Active Directory
Winlogon
IE
Desktop Viewer
IC...
9 © 2016 Citrix
認証オプション
• ユーザー名パスワード
• ドメインパススルー
• スマートカード
• HTTP基本認証
• NetScaler Gatway
パススルー
10 © 2016 Citrix
ドメインパススルー認証フロー
ドメイン認証されたクライアントから再度パスワードを⼊⼒することなく認証
Client
StoreFront
Delivery Controller
VDA
Active Direc...
11 © 2016 Citrix
• Microsoft PC/SC拡張API
• ホストが、クライアントにアタッチされて
いるスマートカードリーダーのタイプ
(USBやシリアルなど)を認識することが
可能
• ホストがクライアントにアタッチさ...
12 © 2016 Citrix
Save
Print
Copy
Policy A
XX
Client A
Save
Print
Copy
Policy B
Client B
VDA
User A
HDXポリシー
コンテキストベースの認可
13 © 2016 Citrix
https://www.youtube.com/watch?v=cH-fcgHjDxA
14 © 2016 Citrix
リモート
社内
SSL/TLS
トンネル
Active Directory
VDA
StoreFront
RADIUS
ICA
Proxy
シングルサイ
ンオン
多要素認証
Endpoint
Analysis
...
15 © 2016 Citrix
• VPN装置に接続し、ログイン
• さらにStoreFrontにアクセスしてログイン
• アイコンをクリックして接続完了
NetScaler Gateway
NetScaler Gateway
社内リソース
...
16 © 2016 Citrix
• NetScalerにアクセスしてログオン
• StoreFrontまでパススルーしてログオンされる
• アイコンをクリックして接続完了
NetScaler Gateway
ICA Proxy接続
NetSc...
17 © 2016 Citrix
クライアント証明書
ワンタイムパスワー
ド
二要素認証による認証セキュリティの強化
17
18 © 2016 Citrix
• エンドポイント解析の結果など細かい条件に基づきアクセスリソースのフィルタリン
グを⾏う
SmartAccess
エンドポイント
NetScaler Gateway
RDSおよびVDI
リソース要求
リソース...
19 © 2016 Citrix
Access Unification
アクセスの統合
Gatewayを統合
- シングルIPアドレス
- シングルURL
SAMLによる
シングルサインオン
20 © 2016 Citrix
ShareFile Data
(Cloud)
XenMobile Server
(MDM/MAM/Appストア)
ShareFile Data
(On-Premis)
NetScaler
Gateway
データ...
21 © 2016 Citrix
動作の概要
アイデンティティ
プロバイダー
SAML
NetScaler
StoreFront
Federated
Authentication
Service
Microsoft
Active Directo...
22 © 2016 Citrix
Federation以前のCitrix Single Sign-On
Windows
アプリケーション
Web
アプリケーション
Windows
プライマリログオン
セカンダリ
ログオン
Citrix Sing...
23 © 2016 Citrix
• アカウントを即座にロック解除
• その他のセキュリティに関する質問
• ヘルプデスク宛ての電話の件数削減
• パスワードロックに関する問い合わ
せはVDIにすると以外多い
セルフサービス式のパスワードリセッ...
24 © 2016 Citrix
ChromebookでXenApp/XenDesktopを使う場合の認証
Google の
ユーザーアカウント
Active
Directory
のユーザー
アカウント
25 © 2016 Citrix
XenApp/XenDesktop 7.9での認証
シングルサインオン(SSO)エクスペリエンス
Google の
ユーザーアカウント
Active
Directory
のユーザー
アカウント
「パスワードは不...
26 © 2016 Citrix
Receiver /
ブラウザ
NetScaler
Gateway
StoreFront
デリバリー
コントローラー VDA
アイデン
ティティー
データスト
ア (AD)
ICAチケット
27 © 2016 Citrix
Receiver /
ブラウザ
NetScaler
Gateway
StoreFront
デリバリー
コントローラー VDA
アイデン
ティティ
データスト
ア(AD)
アイデンティ
ティ
プロバイダー
アイデ...
28 © 2016 Citrix
Receiver /
ブラウザ
NetScaler
Gateway
StoreFront
デリバリー
コントローラー VDA
アイデン
ティティ
データスト
ア(AD)
アイデンティ
ティ
プロバイダー
アイデ...
29 © 2016 Citrix
https://www.youtube.com/watch?v=Zv6tCSaCnIU
30 © 2016 Citrix
Citrix Cloud
Citrix Cloud:ワークロードと管理を分離
ワークロードワークロード
管理管理
パブリッククラウド
ワークロードワークロード
管理管理
現在:管理とワークロードは、管理と制御か...
31 © 2016 Citrix
SQL
StoreFront/
Receiver
for Web
デリバリー
コントローラー
ハイパーバイザー
Active
Directory
NetScaler
Gateway Server
VDAs
Se...
32 © 2016 Citrix
Citrix
Citrix Cloud
コネクタStoreFront
NetScaler
Gateway
VDAsVDAs
VDA
コネクタ
パスワードの暗号化
パスワード
暗号化キー/ ICAチケット
AES...
33 © 2016 Citrix
34 © 2016 Citrix
XenApp/XenDesktop Service on Azure
Windows 10 VDI Service / XenApp "express" Service
Customer’s Azure Sub...
35 © 2016 Citrix
Service available now
Service available soon
Secure
Browser
service
Lifecycle
Management
AppDNA
Express
I...
36 © 2016 Citrix
• 基本はAD
• パスワード
• 証明書
• ポリシー
• リモートアクセス
• 二要素認証
• SmartAccess
• 今後はフェデレーション
• SSO
• クラウド対応
認証から理解する
XenAp...
37 © 2016 Citrix
Upcoming SlideShare
Loading in …5
×

【Citrix】vdiクライアント仮想化における認証の現在とこれから

2,160 views

Published on

ZDnet様主催の認証セキュリティセミナーでのCitrixの講演資料です。
http://japan.zdnet.com/info/event/security/201609/

Published in: Technology
  • Hello! Who wants to chat with me? Nu photos with me here http://bit.ly/helenswee
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

【Citrix】vdiクライアント仮想化における認証の現在とこれから

  1. 1. 1 © 2016 Citrix VDIクライアント仮想化 における認証の 現在とこれから ⼤串昌央 シトリックス・システムズ・ジャパン株式会社 2016/09/06
  2. 2. 2 © 2016 Citrix アジェンダ XenApp/XenDesktopの認証 NetScalerによるリモートアクセス時の認証 Federated Authentication Service Citrix Cloudと今後 VDIを認証の切り⼝でご紹介
  3. 3. 3 © 2016 Citrix クライアント仮想化とは(≠サーバー仮想化) パソコンの物理要素(デバイス)と論理要素(OS、アプリ)の分離とリモート配信
  4. 4. 4 © 2016 Citrix Citrixのクライアント仮想化ソリューション デスクトップ仮想化(VDI) アプリケーション仮想化 OS デバイス ハードウェア ネットワーク カスタマイズ性、アプリ互換性 セキュリティ、集約率
  5. 5. 5 © 2016 Citrix クライアント仮想化の認証 アイデンティ ティ 認証 認可
  6. 6. 6 © 2016 Citrix Storefront Receiver MS SQL Server Windows Desktop OS Delivery Controller Windows Server OS VDAVDA XenApp/XenDesktopのアーキテクチャー FlexCast Management Architecture(FMA) Storefront vCenter SCVMM XenServer Azure AWS Active Directory Linux VDA
  7. 7. 7 © 2016 Citrix Windowsの認証 ユーザー名と パスワード 証明書
  8. 8. 8 © 2016 Citrix XenDesktopでの認証フロー Client StoreFront Delivery Controller VDA Active Directory Winlogon IE Desktop Viewer ICA Client Engine Winlogon VDA Delivery Controller パスワード パスワード 認証 パスワード Ticket Ticket Ticket ticket パスワード パスワード 認証 認証
  9. 9. 9 © 2016 Citrix 認証オプション • ユーザー名パスワード • ドメインパススルー • スマートカード • HTTP基本認証 • NetScaler Gatway パススルー
  10. 10. 10 © 2016 Citrix ドメインパススルー認証フロー ドメイン認証されたクライアントから再度パスワードを⼊⼒することなく認証 Client StoreFront Delivery Controller VDA Active Directory Winlogon SSOn IE Desktop Viewer ICA Client Engine Winlogon VDA Delivery Controller パスワード pwd 認証 Ticket Ticket Ticket+パスワード パスワード 認証 認証 パスワード
  11. 11. 11 © 2016 Citrix • Microsoft PC/SC拡張API • ホストが、クライアントにアタッチされて いるスマートカードリーダーのタイプ (USBやシリアルなど)を認識することが 可能 • ホストがクライアントにアタッチされてい るスマートカードリーダーのアイコンを取 得し(当該アイコンが利用可能でない場 合)、同アイコンをWindows LogonUIお よびCredUIに表示することが可能 • Microsoftの仮想スマートカード(TPM) 対応 スマートカード認証
  12. 12. 12 © 2016 Citrix Save Print Copy Policy A XX Client A Save Print Copy Policy B Client B VDA User A HDXポリシー コンテキストベースの認可
  13. 13. 13 © 2016 Citrix https://www.youtube.com/watch?v=cH-fcgHjDxA
  14. 14. 14 © 2016 Citrix リモート 社内 SSL/TLS トンネル Active Directory VDA StoreFront RADIUS ICA Proxy シングルサイ ンオン 多要素認証 Endpoint Analysis (EPA) Smart Access NetScalerによるリモートアクセス セキュリティ強化された専用アプライアンス
  15. 15. 15 © 2016 Citrix • VPN装置に接続し、ログイン • さらにStoreFrontにアクセスしてログイン • アイコンをクリックして接続完了 NetScaler Gateway NetScaler Gateway 社内リソース フルVPN接続 事前にVPNをセットアップ / クライアントは社内ネットワークの一部になる すべての社内リソースへのアクセスが可能 / クライアントの安全性の担保が必要 Gateway Plug-in TCP/UDP over IP
  16. 16. 16 © 2016 Citrix • NetScalerにアクセスしてログオン • StoreFrontまでパススルーしてログオンされる • アイコンをクリックして接続完了 NetScaler Gateway ICA Proxy接続 NetScaler Gateway XenDesktop XenApp ICA over SSL ICA Citrix Receiver 独⽴したネットワーク間で画⾯転送(ICA)のみを取り扱う 双方向でICA以外のアプリケーション、プロトコルは利⽤できないためより安全
  17. 17. 17 © 2016 Citrix クライアント証明書 ワンタイムパスワー ド 二要素認証による認証セキュリティの強化 17
  18. 18. 18 © 2016 Citrix • エンドポイント解析の結果など細かい条件に基づきアクセスリソースのフィルタリン グを⾏う SmartAccess エンドポイント NetScaler Gateway RDSおよびVDI リソース要求 リソース要求(SmartAccessポリシー) Microsoft Word(フル機能) Windows 8デスクトップ(印刷なし、ローカルドライブのマッピングなし) ⾦融アプリ(アクセス不可) リソース要求 エンドポイントのスキャン結果
  19. 19. 19 © 2016 Citrix Access Unification アクセスの統合 Gatewayを統合 - シングルIPアドレス - シングルURL SAMLによる シングルサインオン
  20. 20. 20 © 2016 Citrix ShareFile Data (Cloud) XenMobile Server (MDM/MAM/Appストア) ShareFile Data (On-Premis) NetScaler Gateway データ ShareFile Control Plane XenApp/XenDesktop Enterprise App Store Windows SaaS Mobile Apps モバイルソリューション全体 XenMobile/ShareFile, Enterprise Mobility Management ソリューションとの統合
  21. 21. 21 © 2016 Citrix 動作の概要 アイデンティティ プロバイダー SAML NetScaler StoreFront Federated Authentication Service Microsoft Active Directory (認証局) 7.9のFederated Authentication Service
  22. 22. 22 © 2016 Citrix Federation以前のCitrix Single Sign-On Windows アプリケーション Web アプリケーション Windows プライマリログオン セカンダリ ログオン Citrix Single Sign-On ユーザーによるパスワード⼊⼒作業を代⾏ パスワード変更要求への⾃動対応・パスワードの⾃動⽣成 ユーザーはWindowsログオン時にログオン情報を⼊⼒するだけ、 後はSingle Sign-Onが⼈間に代わって安全にパスワードを管理 シングルサインオンが 必要なアプリケーションが実行 する環境に Plug-inを設定 Citrix XenApp
  23. 23. 23 © 2016 Citrix • アカウントを即座にロック解除 • その他のセキュリティに関する質問 • ヘルプデスク宛ての電話の件数削減 • パスワードロックに関する問い合わ せはVDIにすると以外多い セルフサービス式のパスワードリセット Citrix Single Sing-onのちょっと便利な機能
  24. 24. 24 © 2016 Citrix ChromebookでXenApp/XenDesktopを使う場合の認証 Google の ユーザーアカウント Active Directory のユーザー アカウント
  25. 25. 25 © 2016 Citrix XenApp/XenDesktop 7.9での認証 シングルサインオン(SSO)エクスペリエンス Google の ユーザーアカウント Active Directory のユーザー アカウント 「パスワードは不要」
  26. 26. 26 © 2016 Citrix Receiver / ブラウザ NetScaler Gateway StoreFront デリバリー コントローラー VDA アイデン ティティー データスト ア (AD) ICAチケット
  27. 27. 27 © 2016 Citrix Receiver / ブラウザ NetScaler Gateway StoreFront デリバリー コントローラー VDA アイデン ティティ データスト ア(AD) アイデンティ ティ プロバイダー アイデン ティティ データ ストア ? ? SAMLトラスト 同期 ICAチケット
  28. 28. 28 © 2016 Citrix Receiver / ブラウザ NetScaler Gateway StoreFront デリバリー コントローラー VDA アイデン ティティ データスト ア(AD) アイデンティ ティ プロバイダー アイデン ティティ データ ストア Citrix Federation Authentication Service Microsoft Certificate Services StoreFront VDA ログオンデータ プロバイダー クレデンシャ ルプラグイン 同期 SAMLトラスト ICAチケット
  29. 29. 29 © 2016 Citrix https://www.youtube.com/watch?v=Zv6tCSaCnIU
  30. 30. 30 © 2016 Citrix Citrix Cloud Citrix Cloud:ワークロードと管理を分離 ワークロードワークロード 管理管理 パブリッククラウド ワークロードワークロード 管理管理 現在:管理とワークロードは、管理と制御から切り離された孤島となっている プライベートクラウド/ オンプレミス 将来:クラウド管理により単⼀の統⼀的なハイブリッドシステムが可能となる。これにより顧客は、クラウドが もたらす規模の経済を利用できるようになるほか、各⾃の既存の投資を活用できるようになる。
  31. 31. 31 © 2016 Citrix SQL StoreFront/ Receiver for Web デリバリー コントローラー ハイパーバイザー Active Directory NetScaler Gateway Server VDAs Server VDAs サーバー VDA Server VDAs Server VDAs デスクトッ プ VDA License Server Studio Director 顧客/パートナーが 管理する Citrix Cloud (シトリックスが運用する) Citrix Cloudアーキテクチャー
  32. 32. 32 © 2016 Citrix Citrix Citrix Cloud コネクタStoreFront NetScaler Gateway VDAsVDAs VDA コネクタ パスワードの暗号化 パスワード 暗号化キー/ ICAチケット AES暗号化パスワード パスワード Windowsログオン 用のシングルサイ ンオン(SSO) Windowsログオン 用のシングルサイ ンオン(SSO)
  33. 33. 33 © 2016 Citrix
  34. 34. 34 © 2016 Citrix XenApp/XenDesktop Service on Azure Windows 10 VDI Service / XenApp "express" Service Customer’s Azure Subscription CONNECTOR Citrixによる管理 お客様のサブスクリプション Citrix Cloud Active Directory Server VDAs Server VDAs Windows DesktopServer VDAs Server VDAs Windows Apps Simple Management UI Control Plane
  35. 35. 35 © 2016 Citrix Service available now Service available soon Secure Browser service Lifecycle Management AppDNA Express IoT Automation 3rd Party Services Hybrid Cloud | Private Cloud | Any Public Cloud | Any Hypervisor XenApp and XenDesktop service XenMobile service ShareFile NetScaler Gateway Service ワークスペーステクノロジーをクラウド上で管理、配信
  36. 36. 36 © 2016 Citrix • 基本はAD • パスワード • 証明書 • ポリシー • リモートアクセス • 二要素認証 • SmartAccess • 今後はフェデレーション • SSO • クラウド対応 認証から理解する XenApp/XenDesktop セキュリティの強化と今後の拡張
  37. 37. 37 © 2016 Citrix

×