VDI環境でのSSOや多要素認証にも目を向けよ
シトリックス・システムズ・ジャパンのセッションでは、「VDIクライアント仮想化における認証の現在とこれから」と題し、セールスエンジニアリング本部 コーポレートSE部 部長 大串昌央氏が、VDIにおける認証の現状と今後を紹介した。
シトリックス・システムズ・ジャパン
大串昌央氏
クライアントPC上にデータを保存しないVDIは、情報漏えいの観点から強固なセキュリティソリューションとなっている。VDIには大きく、デスクトップそのものを配信するデスクトップ仮想化と、アプリケーション単位で配信するアプリケーション仮想化がある。シトリックスの製品では、XenDesktopとXenAppがそれぞれの仮想化を提供する。Reciverを使って仮想化された基盤に接続し、通常のクライアントPCと同様、Active Directory(AD)によるユーザー名とパスワード認証を行うのが基本だ。
認証を強化するために、ここでさまざまなオプションを利用することができる。具体的には、ドメイン認証されたクライアントから再度パスワードを入力することなく認証する「ドメインパススルー認証」、外部接続のスマートカードや仮想スマートカードを使った「スマートカード認証」などがある。さらに、ロードバランサ/セキュリティアプライアンスである「NetScaler Gateway」を使ったシングルサインオンや多要素認証も可能だ。
「クライアント証明書やワンタイムパスワードなどを組み合わせた二要素認証により認証を強化します。さらに、エンドポイント解析の結果など、細かい条件に基づいてアクセスリソースのフィルタリングを行うことや、SAMLによるシングルサインオンで利便性を高めることもできます」(大串氏)
NetScaler Gatewayを利用すると、こうしたVDIクライアント仮想化の認証にくわえ、モバイルソリューション全体での認証強化も可能だ。さらに、XenApp/XenDesktop 7.9からは、「Federated Authentication Service(FAS)」と呼ばれる、AD証明機関(CA)と統合して、Citrix環境内でのシームレスなユーザー認証を実現する新機能が加わった。
FASを利用すると、Webアプリケーションを経由してセルフサービス式のパスワードリセットを行うことや、クラウドサービスと連動したシングルサインオンなどが可能になる。
大串氏は「マイクロソフトと密接に連携しながら認証を強化しています。ポリシーに基づいた認可や、二要素認証やスマートアクセスなどが、利便性を損なわず実現できます。今後は、シングルサインオンやクラウド対応を中心に認証を強化していきます」と解説した。