Citrix Gatewayがサポートするバージョン、クライアント、機能、要素

Oktaでは、以下のバージョン、クライアント、機能、要素でCitrix Gatewayを使用したRADIUS統合がサポートされています。

サポート対象バージョン

このガイドは、次のCitrix Gatewayバージョンで検証されています。

  • バージョン10.5.x
  • バージョン11.x
  • バージョン12.x
  • バージョン13.0.x

サポート対象クライアント

次のCitrixクライアントが検証済みです。

  • Citrix Web Receiver
  • Citrix Windows\Mac Receiver
  • Citrix iOS\Android Receiver

サポートされる機能

次のOkta機能がサポートされています。

  • RADIUS経由のOkta認証情報による認証
  • SAML経由のOkta認証情報による認証
  • RADIUS経由の多要素認証
  • SAML経由の多要素認証
  • RADIUS経由のグループメンバーシップ/属性:ユーザー名とパスワードをADグループ権限のStoreFrontに渡します。

サポートされる要素

多数のAuthenticatorの登録をユーザーに許可した場合、RADIUSプロンプトに対してチャレンジメッセージのサイズが大きくなりすぎることがあります。Oktaでは、一定期間に登録するAuthenticatorを8個までにすることを推奨しています。

OktaではRADIUSアプリ用に次のAuthenticatorをサポートしています。

MFA Authenticator

パスワード認証プロトコル(PAP) 拡張認証プロトコル - Generic Token Card(EAP-GTC) 拡張認証プロトコル - Tunneled Transport Layer Security(EAP-TTLS)*
Duo(プッシュ、SMS、パスコードのみ) サポート サポート Duoパスコードのみ。

メール

サポート

サポート

文字列「EMAIL」が最初に送信された場合にサポートされます。
「関連する注意事項」を参照してください。

RADIUSは、メールによるインライン登録をサポートしていません。インライン登録を使用する場合は、メールを無効にするか、メール設定で[Password reset(パスワードリセット)]を指定します。

Google Authenticator

サポート サポート サポート(チャレンジが回避される限り)。
たとえば、MFAのみ、または「パスワード、パスコード」。

Okta Verify(TOTPおよびPUSH)

サポート<MadCap:conditionalText data-mc-conditions="MultiProdPublish.OIE">(1デバイスのみ)</MadCap:conditionalText> サポート<MadCap:conditionalText data-mc-conditions="MultiProdPublish.OIE">(1デバイスのみ)</MadCap:conditionalText> チャレンジが回避される限りサポート<MadCap:conditionalText data-mc-conditions="MultiProdPublish.OIE">(1デバイスのみ)</MadCap:conditionalText>
例:
TOTPの場合、MFAのみ、または「パスワード、MFA」。
プッシュチャレンジは帯域外で送信されるため、プッシュはプライマリ認証 + MFAで機能します。

Okta Verify(番号チャレンジ)

サポート対象外

サポート対象外

サポート対象外

電話(SMSおよび音声通話)

サポート サポート 文字列「CALL」が送信された場合にサポートされます。
「関連する注意事項」を参照してください。

YubiKey OTP

サポート サポート サポート - チャレンジが回避される限り。
たとえば、MFAのみ、または「パスワード、パスコード」。

* RADIUSは、次の3つの認証方法をサポートしています。

  • パスワード + MFA:パスワードを使用したプライマリ認証が行われ、その後、ユーザーは認証を完了するための要素を選択するよう求められます。
  • MFAのみ:パスワードの代わりに、ユーザーはワンタイムパスコード(OTP)を入力するか、EMAILSMSCALLPUSH(大文字と小文字を区別しない)のいずれかを入力します。
  • パスワード、パスコード:リクエストでパスワードの直後にパスコードを入力します。
    同一リクエスト内に存在する必要があります。例:「Abcd1234,879890」または「Abcd1234,SmS」。

プロトコルは次の認証方法をサポートします。

プロトコル サポート
PAP パスワードとMFA、MFA、「パスワードとパスコード」。
EAP-TTLS MFAのみ、「パスワードとパスコード」。
EAP-GTC パスワードとMFA、MFAのみ、「パスワードとパスコード」。

ユーザーは指定された文字列EMAIL/SMS/CALLを送信する必要があります。最初は失敗が返されます。これにより、指定された方法を使用して提供されるOTPが生成されます。提供されたOTPは、認証に使用できます。

EAP-TTLSは登録をサポートしていません

EAP-TTLSが有効になっていて、Okta Verifyまたは電話が必須登録ポリシーとして指定されており、ユーザーがそのAuthenticatorに登録されていない場合、認証は予期せず失敗します。

U2FセキュリティおよびWindows Hello MFA要素は、RADIUS対応の実装と互換性がありません。「OktaでRADIUSアプリケーションを構成する」を参照してください。

パスワードなしの認証

RADIUS認証では、プライマリ認証メカニズムとしてパスワードが使用されます。従来のRADIUS認証は、パスワードを持たないユーザーでは実行できません。アプリケーション設定プロパティの[Okta performs primary authentication(Oktaでプライマリ認証を実施)]がクリアされている場合は、RADIUSで認証のためにほかの要素を使用できます。詳細については、「OktaのRADIUSアプリケーション」「二要素認証のみ(パスワードなしモード)を参照してください。

パスワードなしの認証について詳しくは、「パスワードなしサインインエクスペリエンスをセットアップする」を参照してください。