Citrix Cloud

コネクタアプライアンスを使用したSecure Private Access

Citrix Secure Private Accessを使用して、シングルサインオン、リモートアクセス、コンテンツ検査を単一のソリューションに統合したエクスペリエンスを提供し、エンドツーエンドのアクセス制御を行うことができます。

コネクタアプライアンスを使用してSecure Private Accessを構成するには、次の手順を実行します:

  1. リソースの場所に、コネクタアプライアンスを2つ以上インストールします。

    コネクタアプライアンスの設定について詳しくは、「クラウドサービス用のコネクタアプライアンス」を参照してください。

  2. Kerberosの制約付き委任を使用してオンプレミスのWebアプリに接続するようにSecure Private Accessを構成する必要がある場合は、次の手順を実行してKerberosの制約付き委任を構成します:

    1. コネクタアプライアンスをActive Directoryドメインに参加させます。

      Active Directoryフォレストに参加すると、Secure Private Accessを構成するときにKerberosの制約付き委任を使用できますが、コネクタアプライアンスを使用するためのID要求または認証は有効になりません。

      1. コネクタアプライアンスコンソールで提供されるIPアドレスを使用して、Webブラウザーでコネクタアプライアンスの管理Webページに接続します。

      2. [Active Directoryドメイン] セクションで、[+ Active Directoryドメインの追加] をクリックします。

        管理ページに [Active Directoryドメイン] セクションがない場合は、Citrixに連絡してプレビューへの登録を依頼してください。

      3. [ドメイン名] フィールドにドメイン名を入力します。[追加] をクリックします。

      4. コネクタアプライアンスはドメインをチェックします。チェックで問題がなければ、[Active Directoryに参加] ダイアログボックスが開きます。

      5. このドメインへの参加権限を持つActive Directoryユーザーのユーザー名とパスワードを入力します。

      6. コネクタアプライアンスからマシン名が提案されます。提案された名前を上書きして、独自のマシン名(最大15文字)を指定することもできます。マシンアカウント名をメモします。

        このマシン名は、コネクタアプライアンスが参加したときにActive Directoryドメインに作成されます。

      7. [参加] をクリックします。

    2. Active Directoryコントローラーで、手順2から開始し、「Citrix Gateway ConnectorでKerberosの制約付き委任を構成する前にデータセンターでKerberosの制約付き委任をセットアップするための前提条件」の指示に従います。

      新しいユーザーアカウントを作成する代わりに、マシンアカウント名を使用します。

  3. Citrix Secure Private Accessのドキュメントに従って、Citrix Secure Private Accessサービスをセットアップします。セットアップ中に、Citrix Cloudはコネクタアプライアンスの存在を認識し、それらを使用してリソースの場所に接続します。

    詳しくは、次のWebページを参照してください:

    1. Citrix Secure Private Accessの使用を開始する
    2. 簡単なオンボードとセットアップの管理者向けガイドワークフロー

      この記事でCloud Connectorに関する情報に言及している箇所(前提条件4番)では、代わりに、コネクタアプライアンスのドキュメントを参照してください:

    3. エンタープライズWebアプリのサポート

Kerberos構成の検証

シングルサインオンにKerberosを使用する場合は、コネクタアプライアンスの管理ページからActive Directoryコントローラーの構成が正しいことを確認できます。[Kerberos検証] 機能を使用すると、Kerberos領域のみのモード構成またはKerberosの制約付き委任構成を検証できます。

  1. コネクタアプライアンスの管理ページに移動します。
    1. ハイパーバイザーのコネクタアプライアンスコンソールから、IPアドレスをWebブラウザーのアドレスバーにコピーします。
    2. コネクタアプライアンスの登録時に設定したパスワードを入力します。
  2. 右上の[管理]メニューから、[Kerberos検証] を選択します。
  3. [Kerberos検証] ダイアログボックスで、[Kerberos検証モード] を選択します。
  4. [Active Directoryドメイン] を指定または選択します。
    • Kerberos領域のみのモード構成を検証する場合は、任意のActive Directoryドメインを指定できます。
    • Kerberosの制約付き委任構成を検証する場合は、結合されたフォレスト内のドメインのリストから選択する必要があります。
  5. [サービスFQDN] を指定します。デフォルトのサービス名は「http」であると想定されています。「computer.example.com」を指定した場合、これは「http/computer.example.com」と同じと見なされます。
  6. [ユーザー名] を指定します。
  7. Kerberos領域のみのモード構成を検証する場合は、そのユーザー名の [パスワード] を指定します。
  8. [Kerberosをテストする] をクリックします。

Kerberosの構成が正しい場合は、「Kerberosのセットアップが正常に検証されました」というメッセージが表示されます。Kerberosの構成が正しくない場合は、検証がどのように失敗したかという情報を示すエラーメッセージが表示されます。

コネクタアプライアンスを使用したSecure Private Access