Citrix ADC

セッションとトラフィックの管理

セッションの設定

認証、承認、および監査プロファイルを構成したら、セッション設定を構成してユーザーセッションをカスタマイズします。セッション設定は次のとおりです。

  • セッションのタイムアウト。

    ユーザーが自動的に切断され、イントラネットにアクセスするために再度認証が必要になるまでの期間を制御します。

  • デフォルトの認可設定。

    Citrix ADCアプライアンスで、特定の認証ポリシーがないコンテンツへのアクセスをデフォルトで許可するか拒否するかを決定します。

  • シングルサインオンの設定。

    Citrix ADCアプライアンスがユーザーを認証後にすべてのWebアプリケーションに自動的にログオンするか、ユーザーをWebアプリケーションログオンページに渡して各アプリケーションを認証するかを決定します。

  • クレデンシャルインデックスの設定。

    Citrix ADCアプライアンスがシングルサインオンにプライマリ認証資格情報とセカンダリ認証資格情報のどちらを使用するかを決定します。

セッション設定を構成するには、2 つの方法のいずれかを使用します。ユーザーアカウントまたはグループごとに異なる設定が必要な場合は、カスタムセッション設定を構成するユーザーアカウントまたはグループごとにプロファイルを作成します。また、特定のプロファイルを適用する接続を選択するポリシーを作成し、そのポリシーをユーザーまたはグループにバインドします。また、プロファイルを適用するトラフィックを処理する認証仮想サーバにポリシーをバインドすることもできます。

すべてのセッションに同じ設定を使用する場合、または特定のプロファイルとポリシーが設定されていないセッションのデフォルト設定をカスタマイズする場合は、単にグローバルセッション設定を構成できます。

セッションプロファイル

ユーザーセッションをカスタマイズするには、まずセッションプロファイルを作成します。セッションプロファイルを使用すると、任意のセッションパラメータのグローバル設定を上書きできます。

「セッションプロファイル」と「セッションアクション」という用語は同じことを意味します。

コマンドラインインターフェイスを使用してセッションプロファイルを作成するには

コマンドプロンプトで次のコマンドを入力して、セッションプロファイルを作成し、構成を確認します。

add tm sessionAction <name> [-sessTimeout <mins>] [-defaultAuthorizationAction ( ALLOW | DENY )][-SSO ( ON | OFF )][-ssoCredential ( PRIMARY | SECONDARY )] [-ssoDomain <string>][-httpOnlyCookie ( YES | NO )] [-persistentCookie ( ENABLED | DISABLED )] [-persistentCookieValidity <minutes>]

show tm sessionAction <name>

> add tm sessionAction session-profile -sessTimeout 30 -defaultAuthorization ALLOW
 Done
> show tm sessionAction session-profile
1)      Name: session-profile
        Authorization action : ALLOW
        Session timeout: 30 minutes
 Done

コマンドラインインターフェイスを使用してセッションプロファイルを変更するには

コマンド・プロンプトで次のコマンドを入力して、セッション・プロファイルを変更し、構成を確認します。

set tm sessionAction <name> [-sessTimeout <mins>] [-defaultAuthorizationAction ( ALLOW | DENY )][-SSO ( ON | OFF )][-ssoCredential ( PRIMARY | SECONDARY )] [-ssoDomain <string>][-httpOnlyCookie ( YES | NO )] [-persistentCookie ( ENABLED | DISABLED )] [-persistentCookieValidity <minutes>]

show tm sessionAction


> set tm sessionAction session-profile -sessTimeout 30 -defaultAuthorization ALLOW
 Done
> show tm sessionAction session-profile
1)      Name: session-profile
        Authorization action : ALLOW
        Session timeout: 30 minutes
 Done

コマンドラインインターフェイスを使用してセッションプロファイルを削除するには

コマンドプロンプトで次のコマンドを入力して、セッションプロファイルを削除します。

rm tm sessionAction <name>

構成ユーティリティを使用してセッションプロファイルを構成するには

  1. [セキュリティ] > [AAA-アプリケーショントラフィック] > [セッション] に移動します。
  2. [セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [セッション] に移動します。
  3. 詳細ウィンドウで、[プロファイル] タブをクリックします。
  4. [プロファイル] タブで、次のいずれかの操作を行います。
    • 新しいセッションプロファイルを作成するには、[追加] をクリックします。
    • 既存のセッションプロファイルを変更するには、プロファイルを選択し、[編集] をクリックします。
  5. [TM セッションプロファイルの作成] または [TM セッションプロファイルの設定] ダイアログで、パラメータの値を入力または選択します。
    • Name*:actionname(以前に設定されたセッションアクションでは変更できません)
    • セッションタイムアウト:sesstimeout
    • Webアプリケーションへのシングルサインオン—sso
    • デフォルトの認可アクション:defaultAuthorizationAction
    • 資格情報インデックス—ssocredential
    • シングルサインオンドメイン:ssoDomain
    • HTTPのみのクッキー—httpOnlyCookie
    • パーシステント Cookie の有効化-persistentCookie
    • 永続的クッキーの有効性-persistentCookieValidity
  6. [作成] または[OK]をクリックします。作成したセッションプロファイルが [セッションポリシーおよびプロファイル] ペインに表示されます。

セッション・ポリシー

1 つ以上のセッションプロファイルを作成したら、セッションポリシーを作成し、ポリシーをグローバルにバインドするか、認証仮想サーバーにバインドして有効にします。

コマンドラインインターフェイスを使用してセッションポリシーを作成するには

コマンドプロンプトで次のコマンドを入力して、セッションポリシーを作成し、構成を確認します。

-  add tm sessionPolicy <name> <rule> <action>
-  show tm sessionPolicy <name>

> add tm sessionPolicy session-pol "URL == /\*.gif" session-profile
Done
> show tm sessionPolicy session-pol
1)      Name: session-pol       Rule: URL == '/\*.gif'
        Action: session-profile
 Done

コマンドラインインターフェイスを使用してセッションポリシーを変更するには

コマンド・プロンプトで次のコマンドを入力して、セッション・ポリシーを変更し、構成を確認します。

-  set tm sessionPolicy <name> [-rule <expression>] [-action <action>]
-  show tm sessionPolicy <name>

> set tm sessionPolicy session-pol "URL == /\*.gif" session-profile
 Done
> show tm sessionPolicy session-pol
1)      Name: session-pol       Rule: URL == '/\*.gif'
        Action: session-profile
 Done

コマンドラインインターフェイスを使用してセッションポリシーをグローバルにバインドするには

コマンドプロンプトで次のコマンドを入力して、セッションポリシーをグローバルにバインドし、構成を確認します。

bind tm global -policyName <policyname> [-priority <priority>]

> bind tm global -policyName session-pol
 Done

> show tm sessionPolicy session-pol
1)      Name: session-pol       Rule: URL == '/*.gif'
        Action: session-profile
        Policy is bound to following entities
        1) TM GLOBAL    PRIORITY : 0
 Done

コマンドラインインターフェイスを使用してセッションポリシーを認証仮想サーバーにバインドするには

コマンドプロンプトで次のコマンドを入力して、セッションポリシーを認証仮想にバインドし、構成を確認します。

bind authentication vserver <name> -policy <policyname> [-priority <priority>]

bind authentication vserver auth-vserver-1 -policyName Session-Pol-1 -priority 1000
Done

コマンドラインインターフェイスを使用して認証仮想サーバーからセッションポリシーをバインド解除するには

コマンドプロンプトで次のコマンドを入力して、認証仮想サーバーからセッションポリシーをバインド解除し、構成を確認します。

unbind authentication vserver <name> -policy <policyname>

unbind authentication vserver auth-vserver-1 -policyName Session-Pol-1
Done

コマンドラインインターフェイスを使用してグローバルにバインドされたセッションポリシーをバインド解除するには

コマンドプロンプトで次のコマンドを入力して、グローバルにバインドされたセッションポリシーのバインドを解除します。

unbind tm global -policyName <policyname>

unbind tm global -policyName Session-Pol-1
Done

コマンドラインインターフェイスを使用してセッションポリシーを削除するには

まず、グローバルからセッションポリシーをバインド解除し、コマンドプロンプトで次のコマンドを入力してセッションポリシーを削除し、構成を確認します。

rm tm sessionPolicy <name>


rm tm sessionPolicy Session-Pol-1
Done

構成ユーティリティを使用してセッションポリシーを構成およびバインドするには

  1. Security > AAA - Application Traffic > Sessionに移動します。
  2. Security > AAA - Application Traffic > Policies > Sessionに移動します。
  3. 詳細ウィンドウの [ポリシー] タブで、次のいずれかの操作を行います。
    • 新しいセッションポリシーを作成するには、[追加]をクリックします。
    • 既存のセッションポリシーを変更するには、ポリシーを選択し、[編集]をクリックします。
  4. パラメータの値を入力するか選択し、 セッションポリシーの設定 やセッションポリシーの作成]ダイアログボックスで。
    • Name*:policyname(以前に設定されたセッションポリシーでは変更できません)
    • 要求プロファイル*—actionname
    • 式*—rule (式を入力するには、まず [式] テキスト領域の下の左端のドロップダウンリストで式のタイプを選択し、式テキスト領域に直接式を入力するか、[追加] をクリックして [式の追加] ダイアログボックスを開き、ダウンリストを使用して式を作成します)。
  5. [作成] または[OK]をクリックします。作成したポリシーが、[セッションポリシー および プロファイル] ページの詳細ペインに表示されます。
  6. セッションポリシーをグローバルにバインドするには、詳細ペインで、[Action] ドロップダウンリストから [Global Bindings] を選択し、ダイアログに入力します。
    • グローバルにバインドするセッションポリシーの名前を選択します。
    • [OK] をクリックします。
  7. セッションポリシーを認証仮想サーバにバインドするには、ナビゲーションペインで [Virtual Servers] をクリックし、そのポリシーをポリシーリストに追加します。
    • 詳細ウィンドウで、仮想サーバーを選択し、[編集] をクリックします。
    • 詳細領域の右側にある [詳細選択] で、[ポリシー] をクリックします。
    • ポリシーを選択するか、 プラス アイコンをクリックしてポリシーを追加します。
    • 左側の [Priority] 列で、デフォルトの優先度を変更し、ポリシーが適切な順序で評価されるようにします。
    • [OK] をクリックします。 ポリシーが正常に構成されたことを示すメッセージがステータスバーに表示されます。

グローバルセッション設定

セッションプロファイルおよびポリシーを作成する代わりに、グローバルセッション設定を構成できます。これらの設定は、セッション構成を上書きする明示的なポリシーがない場合に、セッション構成を制御します。

コマンドラインインターフェイスを使用してセッション設定を構成するには

コマンドプロンプトで次のコマンドを入力して、グローバルセッション設定を構成し、構成を確認します。

set tm sessionParameter [-sessTimeout <mins>][-defaultAuthorizationAction ( ALLOW | DENY )][-SSO ( ON | OFF )][-ssoCredential ( PRIMARY | SECONDARY )][-ssoDomain <string>][-httpOnlyCookie ( YES | NO )][-persistentCookie ( ENABLED | DISABLED )] [-persistentCookieValidity <minutes>]

> set tm sessionParameter -sessTimeout 30
  Done
> set tm sessionParameter -defaultAuthorizationAction DENY
  Done
> set tm sessionParameter -SSO ON
  Done
> set tm sessionParameter -ssoCredential PRIMARY
  Done

構成ユーティリティを使用してセッション設定を構成するには

  1. [セキュリティ] > [AAA-アプリケーショントラフィック] に移動します。
  2. 詳細ペインの [設定]で、[グローバル設定の変更]をクリックします。
  3. [グローバルセッション設定] ダイアログで、パラメータの値を入力または選択します。
    • セッション・タイムアウト:sessTimeout
    • デフォルトの認可アクション:defaultAuthorizationAction
    • Webアプリケーションへのシングル・サインオン:sso
    • クレデンシャルインデックス-ssoCredential
    • シングルサインオンドメイン:ssoDomain
    • HTTPのみのクッキー—httpOnlyCookie
    • パーシステント Cookie の有効化-persistentCookie
    • 永続的クッキーの有効性 (分)-persistentCookieValidity
    • ホームページ-ホームページ
  4. [OK] をクリックします。

トラフィックの設定

保護されたアプリケーションにフォームベースまたは SAML シングルサインオン (SSO) を使用する場合は、トラフィック設定でこの機能を構成します。SSO を使用すると、ユーザーは 1 回ログオンして、保護されたすべてのアプリケーションにアクセスできます。各アプリケーションにアクセスするために個別にログオンする必要はありません。

フォームベースの SSO を使用すると、一般的なポップアップウィンドウではなく、独自のデザインの Web フォームをサインオン方法として使用できます。したがって、ログオンフォームに、ユーザーに表示してほしい会社のロゴやその他の情報を入力できます。SAML SSO を使用すると、1 つの Citrix ADC アプライアンスまたは仮想アプライアンスのインスタンスを構成して、最初のアプライアンスで認証されたユーザーの代わりに別の Citrix ADC アプライアンスに対して認証を行うことができます。

いずれかのタイプの SSO を設定するには、まずフォームまたは SAML SSO プロファイルを作成します。次に、トラフィックプロファイルを作成し、作成した SSO プロファイルにリンクします。次に、ポリシーを作成し、トラフィックプロファイルにリンクします。最後に、ポリシーをグローバルにバインドするか、認証仮想サーバーにバインドして、設定を有効にします。

トラフィックプロファイル

少なくとも 1 つのフォームまたは SAML sso プロファイルを作成したら、次にトラフィックプロファイルを作成する必要があります。

注:

この機能では、「プロファイル」と「アクション」という用語は同じことを意味します。

コマンドラインインターフェイスを使用してトラフィックプロファイルを作成するには

コマンドプロンプトで、次のように入力します。

add tm trafficAction <name> [-appTimeout <mins>][-SSO ( ON | OFF ) [-formSSOAction <string>]][-persistentCookie ( ENABLED | DISABLED )][-InitiateLogout ( ON | OFF )]

add tm trafficAction Traffic-Prof-1 –appTimeout 10 -SSO ON -formSSOAction SSO-Prof-1

コマンドラインインターフェイスを使用してセッションプロファイルを変更するには

コマンドプロンプトで、次のように入力します。

set tm trafficAction <name> [-appTimeout <mins>] [-SSO ( ON | OFF ) [-formSSOAction <string>]] [-persistentCookie ( ENABLED | DISABLED )] [-InitiateLogout ( ON | OFF )]

set tm trafficAction Traffic-Prof-1 –appTimeout 10 -SSO ON -formSSOAction SSO-Prof-1

コマンドラインインターフェイスを使用してセッションプロファイルを削除するには

コマンドプロンプトで、次のように入力します。

rm tm trafficAction <name>

rm tm trafficAction Traffic-Prof-1

構成ユーティリティを使用してトラフィックプロファイルを構成するには

  1. [セキュリティ] > [AAA-アプリケーショントラフィック] > [トラフィック] に移動します。
  2. [セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [トラフィック] に移動します。
  3. 詳細ウィンドウで、[プロファイル] タブをクリックします。
  4. [プロファイル] タブで、次のいずれかの操作を行います。
    • 新しいトラフィックプロファイルを作成するには、[追加]をクリックします。
    • 既存のトラフィックプロファイルを変更するには、プロファイルを選択し、[Edit] をクリックします。
  5. [トラフィックプロファイルの作成] または [トラフィックプロファイルの設定] ダイアログボックスで、パラメータの値を指定します。
    • Name*—name(以前に設定したセッションアクションでは変更できません)
    • アプリケーションタイムアウト-appTimeout
    • シングル・サインオン:SSO
    • フォーム SSO アクション — formSSOAction
    • SAML SSO アクション-samlSSOAction
    • パーシステント Cookie の有効化-persistentCookie
    • ログアウトの開始:InitiateLogout
  6. [作成] または[OK]をクリックします。作成したトラフィックプロファイルは、必要に応じて [トラフィックポリシー]、[プロファイル]、[フォーム SSO プロファイル] または [SAML SSO プロファイル] ペインに表示されます。

AAA.USER および AAA.LOGIN 式のサポート

AAA.USER 式は、既存の HTTP.REQ.USER 式を置き換えるために実装されました。AAA.USER式は、Secure Web Gateway(SWG)やロールベースアクセス(RBA)メカニズムなどの非HTTPトラフィックの処理に適用できます。AAA.USER 式は、HTTP.REQ.USER 式と同等です。

式は、さまざまなアクションまたはプロファイル構成で使用できます。

コマンドプロンプトで、次のように入力します。

add tm trafficAction <name> [SSO (ON|OFF) [-userExpression <string>]

add tm trafficAction tm_act -SSO ON -userExpression "AAA.USER.NAME"

add tm trafficPolicy tm_pol true tm_act

bind lb vserver lb1 -policyName tm_pol -priority 2

注:

HTTP.REQ.USER 式を使用すると、警告メッセージ「HTTP.REQ.USER は廃止されました。代わりに AAA.USER を使用する」とコマンドプロンプトが表示されます。

  • AAA.LOGIN Expression. LOGIN 式は、ログイン要求とも呼ばれるプレログインを表します。ログイン要求は、Citrix Gateway、SAML IdP、またはOAuth認証から行うことができます。Citrix ADCは、ポリシー構成から必要な属性を抽象化します。AAA.LOGIN 式には、次の条件に基づいて取得できる属性が含まれています。
    • AAA.LOGIN.USERNAME. ユーザー名(見つかった場合)は、現在のログイン要求から取得されます。ログイン以外の要求(認証、承認、および監査によって決定される)に適用された同じ式は、空の文字列になります。
    • AAA.LOGIN.PASSWORD. ユーザーパスワード(見つかった場合)は、現在のログイン要求から取得されます。パスワードが見つからない場合、式は空の文字列になります。
    • AAA.LOGIN.PASSWORD2. 2 番目のパスワード(見つかった場合)は、ログイン要求から取得されます。
    • AAA.LOGIN.DOMAIN. ドメイン情報は、ログイン要求からフェッチされます。
  • AAA.USER.ATTRIBUTE. これで、AAA.USER.ATTRIBUTE 式に整数が関連付けられます。属性をグループ化して、適切な名前で文字列に名前を付けることができます。認証、承認、および監査モジュールはユーザーセッション属性を検索し、 AAA.USER.ATTRIBUTE("string") はその特定の属性についてハッシュテーブルにクエリを実行します。たとえば、Attributes("samaccountname")が設定されている場合、AAA.USER.ATTRIBUTE("samaccountname")はハッシュマップを照会し、samaccountnameに対応する値を取得します 。

トラフィックポリシー

1 つ以上のフォーム SSO およびトラフィックプロファイルを作成したら、トラフィックポリシーを作成し、グローバルまたはトラフィック管理仮想サーバにポリシーをバインドして有効にします。

コマンドラインインターフェイスを使用してトラフィックポリシーを作成するには

コマンドプロンプトで、次のように入力します。

add tm trafficPolicy <name> <rule> <action>

add tm trafficPolicy Traffic-Pol-1 "HTTP.REQ.HEADER("Cookie").CONTAINS("login=true")" Traffic-Prof-1

コマンドラインインターフェイスを使用してトラフィックポリシーを変更するには

コマンドプロンプトで、次のように入力します。

set tm trafficPolicy <name> <rule> <action>

set tm trafficPolicy Traffic-Pol-1 "HTTP.REQ.HEADER("Cookie").CONTAINS("login=true")" Traffic-Prof-1

コマンドラインインターフェイスを使用してトラフィックポリシーをグローバルにバインドするには

コマンドプロンプトで、次のように入力します。

bind tm global -policyName <string> [-priority <priority>]

bind tm global -policyName Traffic-Pol-1

コマンドラインインターフェイスを使用してトラフィックポリシーを負荷分散またはコンテンツスイッチング仮想サーバーにバインドするには

コマンドプロンプトで、次のコマンドのいずれかを入力します。

bind lb vserver <name> -policy <policyName> [-priority <priority>]

bind cs vserver <name> -policy <policyName> [-priority <priority>]

bind authentication vserver auth-vserver-1 -policyName Traffic-Pol-1 -priority 1000

コマンドラインインターフェイスを使用してグローバルにバインドされたトラフィックポリシーをバインド解除するには

コマンドプロンプトで、次のように入力します。

unbind tm global -policyName <policyname>

unbind tm global -policyName Traffic-Pol-1

コマンドラインインターフェイスを使用して、負荷分散またはコンテンツスイッチング仮想サーバーからトラフィックポリシーをバインド解除するには

コマンドプロンプトで、次のコマンドのいずれかを入力します。

unbind lb vserver <name> -policy <policyname>

unbind cs vserver <name> -policy <policyname>

unbind authentication vserver auth-vserver-1 -policyName Traffic-Pol-1

コマンドラインインターフェイスを使用してトラフィックポリシーを削除するには

最初に global からセッションポリシーをバインド解除し、コマンドプロンプトで次のように入力します。

rm tm trafficPolicy <name>

rm tm trafficPolicy Traffic-Pol-1

構成ユーティリティを使用してトラフィックポリシーを構成およびバインドするには

  1. [セキュリティ] > [AAA-アプリケーショントラフィック] > [トラフィック] に移動します。
  2. [セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [トラフィック] に移動します。
  3. 詳細ウィンドウで、次のいずれかの操作を行います。
    • 新しいセッションポリシーを作成するには、[Add] をクリックします。
    • 既存のセッションポリシーを変更するには、ポリシーを選択し、[Edit] をクリックします。
  4. [トラフィックポリシーの作成] または [トラフィックポリシーの設定] ダイアログで、パラメータの値を指定します。
    • Name*:policyName(以前に設定されたセッションポリシーでは変更できません)
    • プロファイル*—actionName
    • 式-規則 (式を入力するには、まず [式] テキスト領域の下の左端のドロップダウンリストで式のタイプを選択し、式テキスト領域に直接式を入力するか、[追加] をクリックして [式の追加] ダイアログボックスを開き、その中のドロップダウンリストを使用して式を構築します)。
  5. [作成] または[OK]をクリックします。作成したポリシーが、[セッションポリシー および プロファイル] ページの詳細ペインに表示されます。

フォーム SSO プロファイル

フォームベースの SSO を有効にして構成するには、最初に SSO プロファイルを作成します。

  • フォームが Javascript を含むようにカスタマイズされている場合、フォームベースのシングルサインオンは機能しません。
  • この機能では、「プロファイル」と「アクション」という用語は同じことを意味します。

コマンドラインインターフェイスを使用してフォーム SSO プロファイルを作成するには

コマンドプロンプトで、次のように入力します。

add tm formSSOAction <name> -actionURL <URL> -userField <string> -passwdField <string> -ssoSuccessRule <expression> [-nameValuePair <string>] [-responsesize <positive_integer>][-nvtype ( STATIC | DYNAMIC )][-submitMethod ( GET | POST )]

show tm formSSOAction [<name>]

add tm formSSOAction SSO-Prof-1 -actionURL "/logon.php"
-userField "loginID" -passwdField "passwd"
-nameValuePair "loginID passwd" -responsesize "9096"
-ssoSuccessRule "HTTP.RES.HEADER("Set-Cookie").CONTAINS("LogonID")"
-nvtype STATIC -submitMethod GET
–sessTimeout 10 -defaultAuthorizationAction ALLOW

コマンドラインインターフェイスを使用してフォーム SSO を変更するには

コマンドプロンプトで、次のように入力します。

set tm formSSOAction <name> -actionURL <URL> -userField <string> -passwdField <string> -ssoSuccessRule <expression> [-nameValuePair <string>] [-responsesize <positive_integer>][-nvtype ( STATIC | DYNAMIC )][-submitMethod ( GET | POST )]

set tm formSSOAction SSO-Prof-1 -actionURL "/logon.php"
-userField "loginID" -passwdField "passwd"
-ssoSuccessRule "HTTP.RES.HEADER("Set-Cookie").CONTAINS("LogonID")"
-nameValuePair "loginID passwd" -responsesize "9096"
-nvtype STATIC -submitMethod GET
–sessTimeout 10 -defaultAuthorizationAction ALLOW

コマンドラインインターフェイスを使用してフォーム SSO プロファイルを削除するには

コマンドプロンプトで、次のように入力します。

rm tm formSSOAction <name>

rm tm sessionAction SSO-Prof-1

構成ユーティリティを使用してフォーム SSO プロファイルを構成するには

  1. Security > AAA - Application Traffic > Policies > Trafficに移動します。
  2. 詳細ウィンドウで、[フォーム SSO プロファイル] タブをクリックします。
  3. [フォーム SSO プロファイル] タブで、次のいずれかの操作を行います。
    • 新しいフォーム SSO プロファイルを作成するには、[追加] をクリックします。
    • 既存のフォーム SSO プロファイルを変更するには、プロファイルを選択し、[編集] をクリックします。
  4. 作成フォームSSOプロファイル または 構成フォームSSOプロファイル] ダイアログボックスで、パラメータの値を指定します。
    • Name*—name(以前に設定したセッションアクションでは変更できません)
    • アクション URL * — actionURL
    • ユーザー名フィールド*:userField
    • パスワードフィールド*—passField
    • 式*—ssoSuccessRule
    • 名前値のペア-nameValuePair
    • 応答サイズ:responsesize
    • 抽出-nvtype
    • 送信方法-submitMethod</span>
  5. [作成] または [OK]をクリックし、[閉じる] をクリックします。作成したフォーム SSO プロファイルが、[トラフィックポリシー]プロファイル、および [フォーム SSO プロファイル] ペインに表示されます。

SAML SSO プロファイル

SAML ベースの SSO を有効にして設定するには、最初に SAML SSO プロファイルを作成します。

コマンドラインインターフェイスを使用して SAML SSO プロファイルを作成するには

コマンドプロンプトで、次のように入力します。

add tm samlSSOProfile <name> -samlSigningCertName <string> -assertionConsumerServiceURL <URL> -relaystateRule <expression> -sendPassword (ON | OFF) [-samlIssuerName <string>]

add tm samlSSOProfile saml-SSO-Prof-1 -samlSigningCertName "Example, Inc."  -assertionConsumerServiceURL "https://service.example.com" -relaystateRule "true"  -sendPassword "ON" -samlIssuerName "Example, Inc."

コマンドラインインターフェイスを使用して SAML SSO を変更するには

コマンドプロンプトで、次のように入力します。

set tm samlSSOProfile <name> -samlSigningCertName <string> -assertionConsumerServiceURL <URL> -relaystateRule <expression> -sendPassword (ON | OFF) [-samlIssuerName <string>]

set tm samlSSOProfile saml-SSO-Prof-1 -samlSigningCertName "Example, Inc."  -assertionConsumerServiceURL "https://service.example.com" -relaystateRule "true"  -sendPassword "ON" -samlIssuerName "Example, Inc."

コマンドラインインターフェイスを使用して SAML SSO プロファイルを削除するには

コマンドプロンプトで、次のように入力します。

rm tm samlSSOProfile <name>

rm tm sessionAction saml-SSO-Prof-1

構成ユーティリティを使用して SAML SSO プロファイルを構成するには

  1. [セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [トラフィック] に移動します。
  2. 詳細ペインで、[SAML SSO プロファイル] タブをクリックします。
  3. [SAML SSO プロファイル] タブで、次のいずれかの操作を行います。
    • 新しいSAML SSOプロファイルを作成するには、[追加]をクリックします。
    • 既存の SAML SSO プロファイルを変更するには、プロファイルを選択し、[OpenEdit] をクリックします。
  4. [SAML SSO プロファイルの作成] ダイアログボックスまたは [SAML SSO プロファイルの構成] ダイアログボックスで、次のパラメータを設定します。
    • 名前*
    • 署名証明書名*
    • ACS URL*
    • リレー状態ルール*
    • パスワードを送信
    • 発行者名
  5. [作成] または[OK]をクリックし、[閉じる]をクリックします。作成した SAML SSO プロファイルが、[トラフィックポリシー、プロファイル、および SAML SSO プロファイル] ペインに表示されます。

OWA 2010 のセッションタイムアウト

非アクティブの指定された期間後にタイムアウトに OWA 2010 接続を強制できるようになりました。OWA は、タイムアウトを防ぐために、繰り返しキープアライブ要求をサーバーに送信します。接続を開いたままにしておくと、シングルサインオンが妨げられることがあります。

コマンドラインインターフェイスを使用して、OWA2010を指定された期間後に強制的にタイムアウトさせるには

コマンドプロンプトで、次のコマンドを入力します。

add tm trafficAction <actname> [-forcedTimeout <forcedTimeout> -forcedTimeoutVal <mins>]

<actname>では、トラフィックポリシーの名前に置き換えます。<mins>には、強制タイムアウトを開始するまでの時間(分単位)を代入します。<forcedTimeout>には、次のいずれかの値を置き換えます。

–START —タイマーがまだ開始されていない場合、強制タイムアウトのためにタイマーを開始します。実行中のタイマーが存在する場合、効果はありません。 –STOP —実行中のタイマーを停止します。実行中のタイマーが見つからない場合、は効果がありません。 –RESET —実行中のタイマーを再起動します。実行中のタイマーが見つからない場合は、STARTオプションが使用されたかのようにタイマーを開始します。

add tm trafficPolicy <polname> <rule> <actname>

<polname>では、トラフィックポリシーの名前に置き換えます。<rule>の場合は、Citrix ADC デフォルト構文でルールを置き換えます。

bind lb vserver <vservername> –policyName <name> -priority <number>

<vservername>には、認証、認可、および監査トラフィック管理仮想サーバの名前を置き換えます。<priority>には、ポリシーのプライオリティを指定する整数を代入します。

add tm trafficAction act-owa2010timeout -forcedTimeout RESET -forcedTimeoutVal 10
add tm trafficPolicy pol-owa2010timeout true act-owa2010timeout
bind lb vserver vs-owa2010 -policyName pol-owa2010timeout -priority 10