Citrix ADC

セッションとトラフィックの管理

セッションの設定

認証、承認、および監査プロファイルを構成したら、セッション設定を構成してユーザーセッションをカスタマイズします。セッション設定は次のとおりです。

  • セッションタイムアウト。

    ユーザーが自動的に切断され、イントラネットにアクセスするために再度認証が必要になるまでの期間を制御します。

  • デフォルトの認証設定。

    Citrix ADCアプライアンスが特定の承認ポリシーのないコンテンツへのアクセスをデフォルトで許可または拒否するかどうかを決定します。

  • シングルサインオンの設定。

    Citrix ADCアプライアンスがユーザーを認証後にすべてのWebアプリケーションに自動的にログオンするか、ユーザーをWebアプリケーションのログオンページに渡して各アプリケーションの認証を行うかを決定します。

  • クレデンシャルインデックスの設定。

    Citrix ADCアプライアンスがシングルサインオンにプライマリ認証資格情報を使用するかセカンダリ認証情報を使用するかを決定します。

セッション設定を構成するには、次の 2 つの方法のいずれかを使用できます。ユーザーアカウントまたはグループごとに異なる設定が必要な場合は、カスタムセッション設定を構成するユーザーアカウントまたはグループごとにプロファイルを作成します。また、特定のプロファイルを適用する接続を選択するポリシーを作成し、そのポリシーをユーザーまたはグループにバインドします。また、プロファイルを適用するトラフィックを処理する認証仮想サーバにポリシーをバインドすることもできます。

すべてのセッションに同じ設定を適用する場合、または特定のプロファイルとポリシーが設定されていないセッションのデフォルト設定をカスタマイズする場合は、グローバルセッション設定を構成するだけです。

セッションプロファイル

ユーザーセッションをカスタマイズするには、まずセッションプロファイルを作成します。セッションプロファイルを使用すると、任意のセッションパラメータのグローバル設定を上書きできます。

「セッションプロファイル」と「セッションアクション」という用語は同じ意味です。

コマンドラインインターフェイスを使用してセッションプロファイルを作成するには

コマンドプロンプトで次のコマンドを入力して、セッションプロファイルを作成し、構成を確認します。

add tm sessionAction <name> [-sessTimeout <mins>] [-defaultAuthorizationAction ( ALLOW | DENY )][-SSO ( ON | OFF )][-ssoCredential ( PRIMARY | SECONDARY )] [-ssoDomain <string>][-httpOnlyCookie ( YES | NO )] [-persistentCookie ( ENABLED | DISABLED )] [-persistentCookieValidity <minutes>]

show tm sessionAction <name>
<!--NeedCopy-->

> add tm sessionAction session-profile -sessTimeout 30 -defaultAuthorization ALLOW
 Done
> show tm sessionAction session-profile
1)      Name: session-profile
        Authorization action : ALLOW
        Session timeout: 30 minutes
 Done
<!--NeedCopy-->

コマンドラインインターフェイスを使用してセッションプロファイルを変更するには

コマンドプロンプトで次のコマンドを入力して、セッションプロファイルを変更し、構成を確認します。

set tm sessionAction <name> [-sessTimeout <mins>] [-defaultAuthorizationAction ( ALLOW | DENY )][-SSO ( ON | OFF )][-ssoCredential ( PRIMARY | SECONDARY )] [-ssoDomain <string>][-httpOnlyCookie ( YES | NO )] [-persistentCookie ( ENABLED | DISABLED )] [-persistentCookieValidity <minutes>]

show tm sessionAction
<!--NeedCopy-->


> set tm sessionAction session-profile -sessTimeout 30 -defaultAuthorization ALLOW
 Done
> show tm sessionAction session-profile
1)      Name: session-profile
        Authorization action : ALLOW
        Session timeout: 30 minutes
 Done
<!--NeedCopy-->

コマンドラインインターフェイスを使用してセッションプロファイルを削除するには

コマンドプロンプトで次のコマンドを入力して、セッションプロファイルを削除します。

rm tm sessionAction <name>
<!--NeedCopy-->

構成ユーティリティを使用してセッションプロファイルを構成するには

  1. セキュリティ > AAA-アプリケーショントラフィック > セッションに移動します。
  2. セキュリティ > AAA-アプリケーショントラフィック > ポリシー > セッションに移動します。
  3. 詳細ペインで、[ プロファイル ] タブをクリックします。
  4. [ プロファイル ] タブで、次のいずれかの操作を行います。
    • 新しいセッションプロファイルを作成するには、[ 追加(Add)] をクリックします。
    • 既存のセッションプロファイルを変更するには、プロファイルを選択し、[ 編集] をクリックします。
  5. [TM セッションプロファイルの作成] または [TM セッションプロファイルの構成] ダイアログで、パラメータの値を入力または選択します。
    • name*:actionName(以前に設定されたセッションアクションでは変更できません。)
    • セッションタイムアウト:sesTimeout
    • Web アプリケーションへのシングルサインオン-SSO
    • デフォルトの認可アクション:defaultAuthorizationAction
    • クレデンシャルインデックス:SSOCredential
    • シングルサインオンドメイン — SSODomain
    • httpOnlyCookie — httpOnlyCookie
    • パーシステントクッキーの有効化-パーシステントクッキー
    • パーシステントクッキーの有効性 — パーシステントクッキーの有効性
  6. [ 作成] または[ OK]をクリックします。作成したセッションプロファイルが [セッションポリシーおよびプロファイル] ペインに表示されます。

セッションポリシー

1 つ以上のセッションプロファイルを作成したら、セッションポリシーを作成し、ポリシーをグローバルにバインドするか、認証仮想サーバにバインドして有効にします。

コマンドラインインターフェイスを使用してセッションポリシーを作成するには

コマンドプロンプトで次のコマンドを入力して、セッションポリシーを作成し、構成を確認します。

-  add tm sessionPolicy <name> <rule> <action>
-  show tm sessionPolicy <name>
<!--NeedCopy-->

> add tm sessionPolicy session-pol "URL == /\*.gif" session-profile
Done
> show tm sessionPolicy session-pol
1)      Name: session-pol       Rule: URL == '/\*.gif'
        Action: session-profile
 Done
<!--NeedCopy-->

コマンドラインインターフェイスを使用してセッションポリシーを変更するには

コマンドプロンプトで次のコマンドを入力して、セッションポリシーを変更し、構成を確認します。

-  set tm sessionPolicy <name> [-rule <expression>] [-action <action>]
-  show tm sessionPolicy <name>
<!--NeedCopy-->

> set tm sessionPolicy session-pol "URL == /\*.gif" session-profile
 Done
> show tm sessionPolicy session-pol
1)      Name: session-pol       Rule: URL == '/\*.gif'
        Action: session-profile
 Done
<!--NeedCopy-->

コマンドラインインターフェイスを使用してセッションポリシーをグローバルにバインドするには

コマンドプロンプトで次のコマンドを入力して、セッションポリシーをグローバルにバインドし、構成を確認します。

bind tm global -policyName <policyname> [-priority <priority>]
<!--NeedCopy-->

> bind tm global -policyName session-pol
 Done

> show tm sessionPolicy session-pol
1)      Name: session-pol       Rule: URL == '/*.gif'
        Action: session-profile
        Policy is bound to following entities
        1) TM GLOBAL    PRIORITY : 0
 Done

<!--NeedCopy-->

コマンドラインインターフェイスを使用してセッションポリシーを認証仮想サーバーにバインドするには

コマンドプロンプトで次のコマンドを入力して、セッションポリシーを認証仮想にバインドし、構成を確認します。

bind authentication vserver <name> -policy <policyname> [-priority <priority>]
<!--NeedCopy-->

bind authentication vserver auth-vserver-1 -policyName Session-Pol-1 -priority 1000
Done
<!--NeedCopy-->

コマンドラインインターフェイスを使用して認証仮想サーバーからセッションポリシーをバインド解除するには

コマンドプロンプトで次のコマンドを入力して、認証仮想サーバーからセッションポリシーをバインド解除し、構成を確認します。

unbind authentication vserver <name> -policy <policyname>
<!--NeedCopy-->

unbind authentication vserver auth-vserver-1 -policyName Session-Pol-1
Done
<!--NeedCopy-->

コマンドラインインターフェイスを使用してグローバルにバインドされたセッションポリシーをバインド解除するには

コマンドプロンプトで次のコマンドを入力して、グローバルにバインドされたセッションポリシーをバインド解除します。

unbind tm global -policyName <policyname>
<!--NeedCopy-->

unbind tm global -policyName Session-Pol-1
Done
<!--NeedCopy-->

コマンドラインインターフェイスを使用してセッションポリシーを削除するには

まず、グローバルからセッションポリシーをバインド解除し、コマンドプロンプトで次のコマンドを入力して、セッションポリシーを削除し、構成を確認します。

rm tm sessionPolicy <name>
<!--NeedCopy-->


rm tm sessionPolicy Session-Pol-1
Done

<!--NeedCopy-->

構成ユーティリティを使用してセッションポリシーを構成およびバインドするには

  1. セキュリティ > AAA アプリケーショントラフィック > セッションに移動します
  2. セキュリティ > AAA-アプリケーショントラフィック > ポリシー > セッションに移動します
  3. 詳細ウィンドウの [ ポリシー ] タブで、次のいずれかの操作を行います。
    • 新しいセッションポリシーを作成するには、[ Add] をクリックします。
    • 既存のセッションポリシーを変更するには、ポリシーを選択し、[ 編集] をクリックします。
  4. [ セッションポリシーの作成 ] または [ セッションポリシーの構成 ] ダイアログで、パラメータの値を入力または選択します。
    • name*:policyName(以前に設定されたセッションポリシーでは変更できません。)
    • リクエストプロファイル*—ActionName
    • 式*-規則 (式を入力するには、まず [式] テキスト領域の下にある左端のドロップダウンリストで式のタイプを選択し、次に式テキスト領域に式を直接入力するか、[ 追加 ] をクリックして [式の追加] ダイアログボックスを開き、ドロップダウンを使用します。その中にリストして式を構成します。)
  5. [ 作成] または[ OK]をクリックします。作成したポリシーが、[ セッションポリシーおよびプロファイル ]ページの詳細ペインに表示されます。
  6. セッションポリシーをグローバルにバインドするには、詳細ペインで、[ アクション ]ドロップダウンリストから[ グローバルバインディング ]を選択し、ダイアログに入力します。
    • グローバルにバインドするセッションポリシーの名前を選択します。
    • OK」をクリックします。
  7. セッションポリシーを認証仮想サーバーにバインドするには、ナビゲーションペインで [ 仮想サーバー] をクリックし、そのポリシーをポリシーリストに追加します。
    • 詳細ウィンドウで、仮想サーバーを選択し、[ 編集] をクリックします。
    • 詳細領域の右側にある [詳細選択 ] で、[ ポリシー] をクリックします。
    • ポリシーを選択するか、 プラスアイコンをクリックしてポリシーを追加します
    • 左側の [ Priority ] 列で、デフォルトの優先度を変更して、ポリシーが適切な順序で評価されるようにします。
    • OK」をクリックします。 ポリシーが正常に構成されたことを示すメッセージがステータスバーに表示されます。

グローバルセッション設定

セッションプロファイルおよびポリシーの作成に加えて、または作成する代わりに、グローバルセッション設定を構成できます。これらの設定は、セッション構成をオーバーライドする明示的なポリシーがない場合に、セッション構成を制御します。

コマンドラインインターフェイスを使用してセッション設定を構成するには

コマンドプロンプトで次のコマンドを入力して、グローバルセッション設定を構成し、構成を確認します。

set tm sessionParameter [-sessTimeout <mins>][-defaultAuthorizationAction ( ALLOW | DENY )][-SSO ( ON | OFF )][-ssoCredential ( PRIMARY | SECONDARY )][-ssoDomain <string>][-httpOnlyCookie ( YES | NO )][-persistentCookie ( ENABLED | DISABLED )] [-persistentCookieValidity <minutes>]
<!--NeedCopy-->

> set tm sessionParameter -sessTimeout 30
  Done
> set tm sessionParameter -defaultAuthorizationAction DENY
  Done
> set tm sessionParameter -SSO ON
  Done
> set tm sessionParameter -ssoCredential PRIMARY
  Done
<!--NeedCopy-->

構成ユーティリティを使用してセッション設定を構成するには

  1. セキュリティ > AAA-アプリケーショントラフィックに移動します
  2. 詳細ウィンドウの [ 設定] で、[グローバル設定の変更] をクリックします。
  3. [ グローバルセッション設定 ] ダイアログで、パラメータの値を入力または選択します。
    • セッションタイムアウト:sesTimeout
    • デフォルトの認可アクション:defaultAuthorizationAction
    • Web アプリケーションへのシングルサインオン:SSO
    • クレデンシャルインデックス:SSOCredential
    • シングルサインオンドメイン — SSODomain
    • httpOnlyCookie — httpOnlyCookie
    • パーシステントクッキーの有効化-パーシステントクッキー
    • パーシステントクッキーの有効性 (分) — パーシステントクッキーの有効性
    • ホームページ-ホームページ
  4. OK」をクリックします。

トラフィック設定

保護されたアプリケーションにフォームベースまたは SAML シングルサインオン (SSO) を使用する場合は、その機能を [トラフィック] 設定で構成します。SSO を使用すると、ユーザーは 1 回ログオンして保護されているすべてのアプリケーションにアクセスできます。各アプリケーションにアクセスするために個別にログオンする必要はありません。

フォームベースの SSO では、一般的なポップアップウィンドウの代わりに、独自のデザインの Web フォームをサインオン方法として使用できます。したがって、会社のロゴやその他の情報をログオンフォームに表示することができます。SAML SSOを使用すると、1つのCitrix ADCアプライアンスまたは仮想アプライアンスインスタンスが、最初のアプライアンスで認証されたユーザーの代わりに別のCitrix ADCアプライアンスで認証されるように構成できます。

いずれかのタイプの SSO を設定するには、まずフォームまたは SAML SSO プロファイルを作成します。次に、トラフィックプロファイルを作成し、作成した SSO プロファイルにリンクします。次に、ポリシーを作成し、トラフィックプロファイルにリンクします。最後に、ポリシーをグローバルにバインドするか、認証仮想サーバにバインドして、設定を有効にします。

トラフィックプロファイル

少なくとも 1 つのフォームまたは SAML SSO プロファイルを作成したら、次にトラフィックプロファイルを作成する必要があります。

注:

この機能では、「プロファイル」と「アクション」という用語は同じことを意味します。

コマンドラインインターフェイスを使用してトラフィックプロファイルを作成するには

コマンドプロンプトで入力します。

add tm trafficAction <name> [-appTimeout <mins>][-SSO ( ON | OFF ) [-formSSOAction <string>]][-persistentCookie ( ENABLED | DISABLED )][-InitiateLogout ( ON | OFF )]
<!--NeedCopy-->

add tm trafficAction Traffic-Prof-1 –appTimeout 10 -SSO ON -formSSOAction SSO-Prof-1
<!--NeedCopy-->

コマンドラインインターフェイスを使用してセッションプロファイルを変更するには

コマンドプロンプトで入力します。

set tm trafficAction <name> [-appTimeout <mins>] [-SSO ( ON | OFF ) [-formSSOAction <string>]] [-persistentCookie ( ENABLED | DISABLED )] [-InitiateLogout ( ON | OFF )]
<!--NeedCopy-->

set tm trafficAction Traffic-Prof-1 –appTimeout 10 -SSO ON -formSSOAction SSO-Prof-1
<!--NeedCopy-->

コマンドラインインターフェイスを使用してセッションプロファイルを削除するには

コマンドプロンプトで入力します。

rm tm trafficAction <name>
<!--NeedCopy-->

rm tm trafficAction Traffic-Prof-1
<!--NeedCopy-->

構成ユーティリティを使用してトラフィックプロファイルを構成するには

  1. セキュリティ > AAA-アプリケーショントラフィック > トラフィックに移動します。
  2. セキュリティ > AAA-アプリケーショントラフィック > ポリシー > トラフィックに移動します。
  3. 詳細ペインで、[プロファイル] タブをクリックします。
  4. [プロファイル] タブで、次のいずれかの操作を行います。
    • 新しいトラフィックプロファイルを作成するには、[ 追加(Add)] をクリックします。
    • 既存のトラフィックプロファイルを変更するには、プロファイルを選択し、[ 編集(Edit)] をクリックします。
  5. [ トラフィックプロファイルの作成 ] または [ トラフィックプロファイルの設定 ] ダイアログボックスで、パラメータの値を指定します。
    • name*:name(以前に設定されたセッションアクションでは変更できません)。
    • appTimeout — apptimeout
    • シングルサインオン:SSO
    • フォームの SSO アクション — FormsSOAction
    • SAML SSO アクション — samlssoAction
    • パーシステントクッキーの有効化-パーシステントクッキー
    • ログアウトの開始:InitiateLogout
  6. [ 作成] または[ OK]をクリックします。作成したトラフィックプロファイルは、[トラフィックポリシー]、[プロファイル]、および [フォーム SSO プロファイル] ペインまたは [SAML SSO プロファイル] ペインに適切に表示されます。

AAA.USER および AAA.LOGIN 式のサポート

AAA.USER 式は、既存の HTTP.REQ.USER 式を置き換えるために実装されました。AAA.USER 式は、Secure Web Gateway(SWG)やロールベースアクセス(RBA)メカニズムなど、HTTP 以外のトラフィックを処理する場合に適用できます。AAA.USER 式は HTTP.REQ.USER 式と同等です。

この式は、さまざまなアクションまたはプロファイル設定で使用できます。

コマンドプロンプトで入力します。

add tm trafficAction <name> [SSO (ON|OFF)] [-userExpression <string>]

add tm trafficAction <name> [SSO (ON|OFF)] [-passwdExpression <string>]

<!--NeedCopy-->

add tm trafficAction tm_act -SSO ON -userExpression "AAA.USER.NAME"

add tm trafficAction tm_act -SSO ON -userExpression "AAA.USER.PASSWD"

add tm trafficPolicy tm_pol true tm_act

bind lb vserver lb1 -policyName tm_pol -priority 2
<!--NeedCopy-->

注:

HTTP.REQ.USER 式を使用すると、警告メッセージ”HTTP.REQ.USER は廃止されました。代わりに AAA.USER を使用する”とコマンドプロンプトに表示されます。

  • AAA.LOGIN 式。LOGIN 式は、ログイン要求とも呼ばれるログイン前を表します。ログイン要求は、Citrix Gateway、SAML IdP、またはOAuth認証から行うことができます。Citrix ADCは、ポリシー構成から必要な属性を抽象化します。AAA.LOGIN 式には属性が含まれ、次の条件に基づいて取得できます。
    • AAA.LOGIN.USERNAME。ユーザー名 (見つかった場合) は、現在のログイン要求から取得されます。非ログイン要求(認証、認可、および監査によって決定される)に適用された同じ式は、空の文字列になります。
    • AAA.LOGIN.PASSWORD。ユーザパスワード (見つかった場合) は、現在のログイン要求から取得されます。パスワードが見つからない場合、この式は空の文字列になります。
    • AAA.LOGIN.PASSWORD2. 2 番目のパスワード (見つかった場合) は、ログイン要求から取得されます。
    • AAA.LOGIN.DOMAIN。ドメイン情報は、ログイン要求からフェッチされます。
  • AAA.USER.ATTRIBUTE(“#”). この式は、ユーザー属性を格納するために使用されます。ここで # は、整数 (1 から 16) または文字列値のいずれかになります。これらのインデックス値は、式 AAA.USER.ATTRIBUTE (「#」) を使用して使用できます。認証、承認、および監査モジュールはユーザーセッション属性を検索し、 AAA.USER.ATTRIBUTE("#") はその特定の属性についてハッシュテーブルにクエリを実行します。たとえば、Attributes("samaccountname")が設定されている場合、AAA.USER.ATTRIBUTE("samaccountname")はハッシュマップを照会し、samaccountnameに対応する値をフェッチします。

トラフィックポリシー

1 つ以上のフォーム SSO およびトラフィックプロファイルを作成したら、トラフィックポリシーを作成し、ポリシーをグローバルに、またはトラフィック管理仮想サーバにバインドして有効にします。

コマンドラインインターフェイスを使用してトラフィックポリシーを作成するには

コマンドプロンプトで入力します。

add tm trafficPolicy <name> <rule> <action>
<!--NeedCopy-->

add tm trafficPolicy Traffic-Pol-1 "HTTP.REQ.HEADER("Cookie").CONTAINS("login=true")" Traffic-Prof-1
<!--NeedCopy-->

コマンドラインインターフェイスを使用してトラフィックポリシーを変更するには

コマンドプロンプトで入力します。

set tm trafficPolicy <name> <rule> <action>
<!--NeedCopy-->

set tm trafficPolicy Traffic-Pol-1 "HTTP.REQ.HEADER("Cookie").CONTAINS("login=true")" Traffic-Prof-1
<!--NeedCopy-->

コマンドラインインターフェイスを使用してトラフィックポリシーをグローバルにバインドするには

コマンドプロンプトで入力します。

bind tm global -policyName <string> [-priority <priority>]
<!--NeedCopy-->

bind tm global -policyName Traffic-Pol-1
<!--NeedCopy-->

コマンドラインインターフェイスを使用してトラフィックポリシーを負荷分散仮想サーバーまたはコンテンツスイッチング仮想サーバーにバインドするには

コマンドプロンプトで、次のコマンドのいずれかを入力します。

bind lb vserver <name> -policy <policyName> [-priority <priority>]

bind cs vserver <name> -policy <policyName> [-priority <priority>]
<!--NeedCopy-->

bind authentication vserver auth-vserver-1 -policyName Traffic-Pol-1 -priority 1000
<!--NeedCopy-->

コマンドラインインターフェイスを使用してグローバルにバインドされたトラフィックポリシーをバインド解除するには

コマンドプロンプトで入力します。

unbind tm global -policyName <policyname>
<!--NeedCopy-->

unbind tm global -policyName Traffic-Pol-1
<!--NeedCopy-->

コマンドラインインターフェイスを使用して、負荷分散仮想サーバーまたはコンテンツスイッチング仮想サーバーからトラフィックポリシーをバインド解除するには

コマンドプロンプトで、次のコマンドのいずれかを入力します。

unbind lb vserver <name> -policy <policyname>

unbind cs vserver <name> -policy <policyname>
<!--NeedCopy-->

unbind authentication vserver auth-vserver-1 -policyName Traffic-Pol-1
<!--NeedCopy-->

コマンドラインインターフェイスを使用してトラフィックポリシーを削除するには

まず、グローバルからセッションポリシーをバインド解除し、コマンドプロンプトで次のように入力します。

rm tm trafficPolicy <name>
<!--NeedCopy-->

rm tm trafficPolicy Traffic-Pol-1
<!--NeedCopy-->

構成ユーティリティを使用してトラフィックポリシーを構成およびバインドするには

  1. セキュリティ > AAA-アプリケーショントラフィック > トラフィックに移動します。
  2. セキュリティ > AAA-アプリケーショントラフィック > ポリシー > トラフィックに移動します。
  3. 詳細ウィンドウで、次のいずれかの操作を行います。
    • 新しいセッションポリシーを作成するには、[ 追加] をクリックします。
    • 既存のセッションポリシーを変更するには、ポリシーを選択し、[ 編集] をクリックします。
  4. [ トラフィックポリシーの作成 ] または [ トラフィックポリシーの設定 ] ダイアログで、パラメータの値を指定します。
    • name*:policyName(以前に設定されたセッションポリシーでは変更できません。)
    • プロファイル*—アクション名
    • 式-規則 (式を入力するには、まず [式] テキスト領域の下にある左端のドロップダウンリストで式のタイプを選択し、次に式テキスト領域に式を直接入力するか、[追加] をクリックして [式の追加] ダイアログボックスを開き、その中のドロップダウンリストを使用して式を構築します。)
  5. [ 作成] または[ OK]をクリックします。作成したポリシーが、[ セッションポリシーおよびプロファイル ]ページの詳細ペインに表示されます。

フォームの SSO プロファイル

フォームベースの SSO を有効にして構成するには、最初に SSO プロファイルを作成します。

  • フォームが Javascript を含むようにカスタマイズされている場合、フォームベースのシングルサインオンは機能しません。
  • この機能では、「プロファイル」と「アクション」という用語は同じことを意味します。

コマンドラインインターフェイスを使用してフォーム SSO プロファイルを作成するには

コマンドプロンプトで入力します。

add tm formSSOAction <name> -actionURL <URL> -userField <string> -passwdField <string> -ssoSuccessRule <expression> [-nameValuePair <string>] [-responsesize <positive_integer>][-nvtype ( STATIC | DYNAMIC )][-submitMethod ( GET | POST )]

show tm formSSOAction [<name>]
<!--NeedCopy-->

add tm formSSOAction SSO-Prof-1 -actionURL "/logon.php"
-userField "loginID" -passwdField "passwd"
-nameValuePair "loginID passwd" -responsesize "9096"
-ssoSuccessRule "HTTP.RES.HEADER("Set-Cookie").CONTAINS("LogonID")"
-nvtype STATIC -submitMethod GET
–sessTimeout 10 -defaultAuthorizationAction ALLOW
<!--NeedCopy-->

コマンドラインインターフェイスを使用してフォーム SSO を変更するには

コマンドプロンプトで入力します。

set tm formSSOAction <name> -actionURL <URL> -userField <string> -passwdField <string> -ssoSuccessRule <expression> [-nameValuePair <string>] [-responsesize <positive_integer>][-nvtype ( STATIC | DYNAMIC )][-submitMethod ( GET | POST )]
<!--NeedCopy-->

set tm formSSOAction SSO-Prof-1 -actionURL "/logon.php"
-userField "loginID" -passwdField "passwd"
-ssoSuccessRule "HTTP.RES.HEADER("Set-Cookie").CONTAINS("LogonID")"
-nameValuePair "loginID passwd" -responsesize "9096"
-nvtype STATIC -submitMethod GET
–sessTimeout 10 -defaultAuthorizationAction ALLOW
<!--NeedCopy-->

コマンドラインインターフェイスを使用してフォーム SSO プロファイルを削除するには

コマンドプロンプトで入力します。

rm tm formSSOAction <name>
<!--NeedCopy-->

rm tm sessionAction SSO-Prof-1
<!--NeedCopy-->

構成ユーティリティを使用してフォーム SSO プロファイルを構成するには

  1. セキュリティ > AAA-アプリケーショントラフィック > ポリシー > トラフィックに移動します
  2. 詳細ウィンドウで、[ フォーム SSO プロファイル ] タブをクリックします。
  3. [フォーム SSO プロファイル] タブで、次のいずれかの操作を行います。
    • 新しいフォーム SSO プロファイルを作成するには、[ 追加] をクリックします。
    • 既存のフォーム SSO プロファイルを変更するには、プロファイルを選択し、[編集] をクリックします。
  4. フォーム SSO プロファイルの作成 」または「 フォーム SSO プロファイルの設定 」ダイアログで、パラメーターの値を指定します。
    • name*:name(以前に設定されたセッションアクションでは変更できません)。
    • アクションURL*—actionURL
    • ユーザー名フィールド*—userField
    • パスワードフィールド*—passField
    • 式* — ssoSuccessRule
    • 名前と値のペア-ON, OFF
    • レスポンスサイズ-responsesize
    • 抽出-nvType
    • 送信メソッド-submitMethod</span>
  5. 作成」または「OK」をクリックし、「 閉じる」をクリックします。作成したフォーム SSO プロファイルが、[ トラフィックポリシー]、[ プロファイル]、および [ フォーム SSO プロファイル ] ペインに表示されます。

SAML SSO プロファイル

SAML ベースの SSO を有効にして設定するには、まず SAML SSO プロファイルを作成します。

コマンドラインインターフェイスを使用して SAML SSO プロファイルを作成するには

コマンドプロンプトで入力します。

add tm samlSSOProfile <name> -samlSigningCertName <string> -assertionConsumerServiceURL <URL> -relaystateRule <expression> -sendPassword (ON | OFF) [-samlIssuerName <string>]
<!--NeedCopy-->

add tm samlSSOProfile saml-SSO-Prof-1 -samlSigningCertName "Example, Inc."  -assertionConsumerServiceURL "https://service.example.com" -relaystateRule "true"  -sendPassword "ON" -samlIssuerName "Example, Inc."
<!--NeedCopy-->

コマンドラインインターフェイスを使用して SAML SSO を変更するには

コマンドプロンプトで入力します。

set tm samlSSOProfile <name> -samlSigningCertName <string> -assertionConsumerServiceURL <URL> -relaystateRule <expression> -sendPassword (ON | OFF) [-samlIssuerName <string>]
<!--NeedCopy-->

set tm samlSSOProfile saml-SSO-Prof-1 -samlSigningCertName "Example, Inc."  -assertionConsumerServiceURL "https://service.example.com" -relaystateRule "true"  -sendPassword "ON" -samlIssuerName "Example, Inc."
<!--NeedCopy-->

コマンドラインインターフェイスを使用して SAML SSO プロファイルを削除するには

コマンドプロンプトで入力します。

rm tm samlSSOProfile <name>
<!--NeedCopy-->

rm tm sessionAction saml-SSO-Prof-1
<!--NeedCopy-->

構成ユーティリティを使用して SAML SSO プロファイルを構成するには

  1. セキュリティ > AAA-アプリケーショントラフィック > ポリシー > トラフィックに移動します。
  2. 詳細ペインで、[ SAML SSO プロファイル ] タブをクリックします。
  3. [ SAML SSO プロファイル ] タブで、次のいずれかの操作を行います。
    • 新しい SAML SSO プロファイルを作成するには、[ 追加] をクリックします。
    • 既存の SAML SSO プロファイルを変更するには、プロファイルを選択し、[ OpenEdit] をクリックします。
  4. [ SAML SSO プロファイルの作成 ] または [ SAML SSO プロファイルの構成 ] ダイアログボックスで、次のパラメータを設定します。
    • 名前*
    • 署名証明書名*
    • ACS URL*
    • リレーステートルール*
    • パスワードを送信
    • 発行者名
  5. 作成」または「OK」をクリックし、「 閉じる」をクリックします。作成した SAML SSO プロファイルが [トラフィックポリシー、プロファイル、および SAML SSO プロファイル] ペインに表示されます。

OWA 2010 のセッションタイムアウト

OWA 2010 の接続を、非アクティブ状態の一定期間後に強制的にタイムアウトできるようになりました。OWA は、タイムアウトを防ぐために、繰り返しキープアライブ要求をサーバーに送信します。接続を開いたままにしておくと、シングルサインオンを妨げることがあります。

コマンドラインインターフェイスを使用して OWA 2010 を指定期間後に強制的にタイムアウトするには

コマンドプロンプトで、次のコマンドを入力します。

add tm trafficAction <actname> [-forcedTimeout <forcedTimeout> -forcedTimeoutVal <mins>]
<!--NeedCopy-->

<actname >の場合は 、トラフィックポリシーの名前に置き換えます。<mins >の場合は、強制タイムアウトを開始するまでの分数に置き換えます。<forcedTimeout>の場合は 、次の値のいずれかを代入します。

-START:タイマーがまだ開始されていない場合 、強制タイムアウトのタイマーを開始します。実行中のタイマーが存在する場合、効果はありません。 -STOP — 実行中のタイマーを停止します。実行中のタイマーが見つからない場合、は効果がありません。 -RESET — 実行中のタイマーを再起動します。実行中のタイマーが見つからない場合、START オプションが使用されているかのようにタイマーを開始します。

add tm trafficPolicy <polname> <rule> <actname>
<!--NeedCopy-->

<polname\ >の場合は、トラフィックポリシーの名前に置き換えます。<rule\ >の場合は、Citrix ADC詳細ポリシーのルールを置き換えます。

bind lb vserver <vservername> –policyName <name> -priority <number>
<!--NeedCopy-->

<vservername\ >の場合は、認証、認可、および監査トラフィック管理仮想サーバの名前を置き換えます。<priority\ >の場合は、ポリシーの優先度を指定する整数に置き換えます。

add tm trafficAction act-owa2010timeout -forcedTimeout RESET -forcedTimeoutVal 10
add tm trafficPolicy pol-owa2010timeout true act-owa2010timeout
bind lb vserver vs-owa2010 -policyName pol-owa2010timeout -priority 10
<!--NeedCopy-->