NetScaler GatewayおよびCitrix ADCとの統合
Citrix Endpoint Managementと統合すると、NetScaler GatewayはMAMデバイスの内部ネットワークへのリモートデバイスアクセスに認証メカニズムを提供します。この統合により、Citrixモバイル生産性アプリはマイクロVPNを介してイントラネット内の企業サーバーに接続できます。Citrix Endpoint Managementは、デバイス上のアプリからNetScaler GatewayへのマイクロVPNを作成します。NetScaler Gatewayは、すべての企業リソースへのアクセスにマイクロVPNパスを提供し、強力な多要素認証をサポートします。
ユーザーがMDM登録をオプトアウトすると、デバイスはNetScaler Gateway FQDNを使用して登録されます。
Citrix Cloud OperationsはCitrix ADCの負荷分散を管理します。
-
設計上の決定事項
以下のセクションでは、NetScaler GatewayとCitrix Endpoint Managementの統合を計画する際に考慮すべき多くの設計上の決定事項を要約します。
証明書
決定の詳細:
- Citrix Endpoint Management環境への登録とアクセスに、より高度なセキュリティが必要ですか?
- LDAPは選択肢になりませんか?
設計ガイダンス:
Citrix Endpoint Managementのデフォルト設定は、ユーザー名とパスワードによる認証です。Citrix Endpoint Management環境への登録とアクセスに別のセキュリティ層を追加するには、証明書ベースの認証の使用を検討してください。証明書をLDAPと組み合わせて2要素認証に使用することで、RSAサーバーを必要とせずに、より高度なセキュリティを提供できます。
LDAPを許可せず、スマートカードまたは類似の方法を使用する場合、証明書を構成することで、スマートカードをCitrix Endpoint Managementに表現できます。ユーザーは、Citrix Endpoint Managementが生成する一意のPINを使用して登録します。ユーザーがアクセス権を取得すると、Citrix Endpoint Managementは、後でCitrix Endpoint Management環境への認証に使用される証明書を作成および展開します。
- Citrix Endpoint Managementは、サードパーティの証明機関に対してのみ証明書失効リスト (CRL) をサポートします。Microsoft CAを構成している場合、Citrix Endpoint ManagementはNetScaler Gatewayを使用して失効を管理します。クライアント証明書ベースの認証を構成する際は、NetScaler Gatewayの証明書失効リスト (CRL) 設定である [CRL自動更新を有効にする] を構成する必要があるかどうかを検討してください。この手順により、MAMのみに登録されたデバイスのユーザーが、デバイス上の既存の証明書を使用して認証できないようにします。Citrix Endpoint Managementは、ユーザーが証明書を失効させてもユーザー証明書の生成を制限しないため、新しい証明書を再発行します。この設定は、CRLが期限切れのPKIエンティティをチェックする際に、PKIエンティティのセキュリティを向上させます。
専用または共有のNetScaler Gateway VIP
決定の詳細:
- 現在、Citrix Virtual Apps and DesktopsにNetScaler Gatewayを使用していますか?
- Citrix Endpoint Managementは、Citrix Virtual Apps and Desktopsと同じNetScaler Gatewayを使用しますか?
-
両方のトラフィックフローの認証要件は何ですか?
- 設計ガイダンス:
Citrix環境にCitrix Endpoint ManagementとVirtual Apps and Desktopsが含まれている場合、両方に同じNetScaler Gateway仮想サーバーを使用できます。バージョン競合の可能性と環境の分離のため、Citrix Endpoint Management環境ごとに専用のNetScaler Gatewayを使用することをお勧めします。
LDAP認証を使用する場合、Citrix Secure Hubは問題なく同じNetScaler Gatewayに認証できます。証明書ベースの認証を使用する場合、Citrix Endpoint ManagementはMDXコンテナに証明書をプッシュし、Citrix Secure Hubはその証明書を使用してNetScaler Gatewayで認証します。
2つのNetScaler Gateway VIPに同じFQDNを使用できるこの回避策を検討できます。同じIPアドレスを持つ2つのNetScaler Gateway VIPを作成できます。Citrix Secure Hub用は標準のポート443を使用し、Citrix Virtual Apps and Desktops用(Citrix Workspaceアプリを展開する)はポート444を使用します。これにより、1つのFQDNが同じIPアドレスに解決されます。この回避策の場合、StoreFrontを構成して、デフォルトのポート443ではなくポート444のICAファイルを返すようにする必要がある場合があります。この回避策では、ユーザーがポート番号を入力する必要はありません。
NetScaler Gatewayのタイムアウト
決定の詳細:
-
Citrix Endpoint ManagementトラフィックのNetScaler Gatewayタイムアウトをどのように構成しますか?
-
設計ガイダンス:
NetScaler Gatewayには、セッションタイムアウトと強制タイムアウトの設定が含まれています。詳細については、推奨される構成を参照してください。バックグラウンドサービス、NetScaler Gateway、およびオフラインでのアプリケーションアクセスには、異なるタイムアウト値があることに注意してください。
登録FQDN
-
重要:
登録FQDNを変更するには、新しいSQL ServerデータベースとCitrix Endpoint Managementサーバーの再構築が必要です。
-
Citrix Secure Webトラフィック
決定の詳細:
- Citrix Secure Webを内部Webブラウジングのみに制限しますか?
- Citrix Secure Webを内部および外部Webブラウジングの両方に有効にしますか?
設計ガイダンス:
- Citrix Secure Webを内部Webブラウジングのみに使用する予定の場合、NetScaler Gatewayの構成は簡単です。ただし、Citrix Secure Webがデフォルトですべての内部サイトに到達できない場合、ファイアウォールとプロキシサーバーを構成する必要がある場合があります。
Citrix Secure Webを内部および外部ブラウジングの両方に使用する予定の場合、SNIPがアウトバウンドインターネットアクセスを持つように有効にする必要があります。IT部門は通常、登録済みデバイス(MDXコンテナを使用)を企業ネットワークの拡張と見なします。したがって、IT部門は通常、Citrix Secure Web接続がNetScaler Gatewayに戻り、プロキシサーバーを介してインターネットに出ることを望んでいます。デフォルトでは、Citrix Secure Webアクセスは内部ネットワークにトンネル接続します。Citrix Secure Webは、すべてのネットワークアクセスに内部ネットワークへのアプリケーションごとのVPNトンネルを使用し、NetScaler Gatewayはスプリットトンネル設定を使用します。
Citrix Secure Web接続の詳細については、ユーザー接続の構成を参照してください。
決定の詳細:
- プッシュ通知を使用しますか?
iOS向け設計ガイダンス:
NetScaler Gatewayの構成にSecure Ticket Authority (STA) が含まれており、スプリットトンネリングがオフの場合: NetScaler Gatewayは、Citrix Secure MailからCitrixリスナーサービスURLへのトラフィックを許可する必要があります。これらのURLは、iOS版Citrix Secure Mailのプッシュ通知で指定されます。
Android向け設計ガイダンス:
Firebase Cloud Messaging (FCM) を使用して、Android デバイスが Citrix Endpoint Management に接続する必要がある方法とタイミングを制御します。FCM を構成すると、セキュリティアクションまたは展開コマンドによって Citrix Secure Hub にプッシュ通知がトリガーされ、ユーザーに Citrix Endpoint Management サーバーへの再接続を促します。
HDX™ STA
決定事項:
- HDX アプリケーションアクセスを統合する場合、どの STA を使用するか
設計ガイダンス:
HDX STA は StoreFront の STA と一致し、Virtual Apps and Desktops サイトに対して有効である必要があります。
Citrix Files と ShareFile
決定事項:
- 環境でストレージゾーンコントローラーを使用するか
- どの Citrix Files VIP URL を使用するか
設計ガイダンス:
環境にストレージゾーンコントローラーを含める場合は、以下を正しく構成していることを確認してください。
- Citrix Files コンテンツスイッチ VIP (Citrix Files コントロールプレーンがストレージゾーンコントローラーサーバーと通信するために使用)
- Citrix Files ロードバランシング VIP
- すべての必須ポリシーとプロファイル
詳細については、Storage zones controller のドキュメントを参照してください。
SAML IdP
決定事項:
- Citrix Files に SAML が必要な場合、Citrix Endpoint Management を SAML IdP として使用するか
設計ガイダンス:
推奨されるベストプラクティスは、Citrix Files を Citrix Endpoint Management と統合することです。これは、SAML ベースのフェデレーションを構成するよりも簡単な代替手段です。Citrix Endpoint Management は、Citrix Files に以下を提供します。
- Citrix モバイル生産性アプリユーザーのシングルサインオン (SSO) 認証
- Active Directory に基づくユーザーアカウントプロビジョニング
- 包括的なアクセス制御ポリシー
Citrix Endpoint Management コンソールを使用すると、Citrix Files の構成を行い、サービスレベルとライセンス使用状況を監視できます。
Citrix Files クライアントには、Citrix Endpoint Management 用 Citrix Files (ラップされた Citrix Files とも呼ばれる) と Citrix Files モバイルクライアント (ラップされていない Citrix Files とも呼ばれる) の 2 種類があります。違いを理解するには、「How Citrix Files for Citrix Endpoint Management Clients differ from Citrix Files mobile clients」を参照してください。
Citrix Endpoint Management と Citrix Files を構成して SAML を使用し、以下への SSO アクセスを提供できます。
- MAM SDK が有効になっている、または MDX Toolkit を使用してラップされている Citrix Files アプリ
- Web サイト、Outlook プラグイン、同期クライアントなどのラップされていない Citrix Files クライアント
Citrix Endpoint Management を Citrix Files の SAML IdP として使用する場合は、適切な構成がされていることを確認してください。詳細については、「SAML for SSO with Citrix Files」を参照してください。
ShareConnect ダイレクト接続
決定事項:
- ユーザーは、ShareConnect を実行しているコンピューターまたはモバイルデバイスから、ダイレクト接続を使用してホストコンピューターにアクセスするか
設計ガイダンス:
ShareConnect を使用すると、ユーザーは iPad、Android タブレット、Android スマートフォンを介してコンピューターに安全に接続し、ファイルやアプリケーションにアクセスできます。ダイレクト接続の場合、Citrix Endpoint Management は NetScaler Gateway を使用して、ローカルネットワーク外のリソースへの安全なアクセスを提供します。構成の詳細については、「ShareConnect」を参照してください。
各管理モードの登録 FQDN
| 管理モード | 登録 FQDN |
|---|---|
| 必須 MDM 登録を伴う MDM+MAM | Citrix Endpoint Management サーバー FQDN |
| オプション MDM 登録を伴う MDM+MAM | Citrix Endpoint Management サーバー FQDN |
| MAM のみ | Citrix Endpoint Management サーバー FQDN |
展開の概要
テスト、開発、本番環境など、多数の Citrix Endpoint Management インスタンスがある場合は、追加の環境に対して NetScaler Gateway を手動で構成する必要があります。動作する環境が整ったら、Citrix Endpoint Management 用に NetScaler Gateway を手動で構成する前に、設定をメモしておいてください。
重要な決定事項は、Citrix Endpoint Management サーバーへの通信に HTTPS と HTTP のどちらを使用するかです。HTTPS は、NetScaler Gateway と Citrix Endpoint Management 間のトラフィックが暗号化されるため、安全なバックエンド通信を提供します。再暗号化は Citrix Endpoint Management サーバーのパフォーマンスに影響を与えます。HTTP は、Citrix Endpoint Management サーバーのパフォーマンスを向上させます。NetScaler Gateway と Citrix Endpoint Management 間のトラフィックは暗号化されません。次の表は、NetScaler Gateway と Citrix Endpoint Management の HTTP および HTTPS ポート要件を示しています。
HTTPS
Citrix は通常、NetScaler Gateway MDM 仮想サーバー構成に SSL Bridge を推奨しています。MDM 仮想サーバーで NetScaler Gateway SSL オフロードを使用する場合、Citrix Endpoint Management はバックエンドサービスとしてポート 80 のみをサポートします。
| 管理モード | NetScaler Gateway ロードバランシング方式 | SSL 再暗号化 | Citrix Endpoint Management サーバーポート |
|---|---|---|---|
| MAM | SSL オフロード | 有効 | 8443 |
| MDM+MAM | MDM: SSL Bridge | N/A | 443, 8443 |
| MDM+MAM | MAM: SSL オフロード | 有効 | 8443 |
HTTP
| 管理モード | NetScaler Gateway ロードバランシング方式 | SSL 再暗号化 | Citrix Endpoint Management サーバーポート |
|---|---|---|---|
| MAM | SSL オフロード | 有効 | 8443 |
| MDM+MAM | MDM: SSL オフロード | サポート対象外 | 80 |
| MDM+MAM | MAM: SSL オフロード | 有効 | 8443 |
Citrix Endpoint Management 展開における NetScaler Gateway の図については、「Architecture」を参照してください。