ご意見をお寄せいただきありがとうございました。
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
MDXアプリのSSOとプロキシの考慮事項
Endpoint ManagementとCitrix Gatewayの統合により、ユーザーにバックエンドのすべてのHTTP/HTTPSリソースへのシングルサインオン(SSO)を提供することができます。SSO認証の要件に応じて、MDXアプリへのユーザー接続を、次のいずれかのオプションを使用するように構成できます。
- クライアントレスVPNの一種であるセキュアブラウズ(トンネル-Web SSO)
- 完全VPNトンネル(iOS向けCitrix業務用モバイルアプリでは使用できません)
重要:
iOSおよびAndroidデバイスの完全VPNトンネル展開で、Proxy Automatic Configuration(PAC)ファイルのサポートが廃止されました。詳しくは、「廃止」を参照してください。
お客様の環境においてSSOを提供する最善の方法がCitrix Gatewayでない場合は、ポリシーベースのローカルパスワードキャッシュを使用してMDXアプリをセットアップできます。この記事では、Secure Webに焦点を当てて、さまざまなSSOとプロキシのオプションについて説明します。この概念は他のMDXアプリにも適用されます。
次のフローチャートは、SSOとユーザー接続の決定フローをまとめたものです。
Citrix Gatewayの認証方法
ここでは、Citrix Gatewayでサポートされる認証方法について一般的な情報を説明します。
SAML認証
SAML(Security Assertion Markup Language)を使用するようにCitrix Gatewayを構成すると、ユーザーはシングルサインオンのSAMLプロトコルをサポートするWebアプリに接続できます。Citrix Gatewayでは、SAML Webアプリに対してIDプロバイダー(IdP)を使用したシングルサインオンがサポートされます。
必要な構成:
- Citrix GatewayのトラフィックプロファイルでSAML SSOを構成します。
- 要求されたサービスのSAML Idpを構成します。
NTLM認証
セッションプロファイルでWebアプリへのSSOが有効になっている場合、Citrix GatewayはNTLM認証を自動的に実行します。
必要な構成:
- Citrix GatewayのセッションプロファイルまたはトラフィックプロファイルでSSOを有効にします。
Kerberos偽装
Endpoint Managementでは、Secure WebについてのみKerberosをサポートします。Kerberos SSOを使用するようにCitrix Gatewayを構成すると、Citrix Gatewayではユーザーパスワードを使用できる場合に偽装が使用されます。偽装とは、Citrix Gatewayがユーザーの資格情報を使用して、Secure Webなどのサービスにアクセスするために必要なチケットを取得することです。
必要な構成:
- Citrix Gatewayの
Worxセッションポリシーを構成して、接続からKerberosレルムを識別できるようにします。 - Citrix GatewayでKerberos制約付き委任(KCD)アカウントを構成します。このアカウントをパスワードなしで構成し、Endpoint Managementゲートウェイのトラフィックポリシーにバインドします。
- 上記およびその他の構成の詳細については、Citrixブログ:WorxWeb and Kerberos Impersonation SSOを参照してください。
Kerberos制約付き委任
Endpoint Managementでは、Secure WebについてのみKerberosをサポートします。Kerberos SSOを使用するようにCitrix Gatewayを構成すると、Citrix Gatewayではユーザーパスワードを使用できない場合に制約付き委任が使用されます。
制約付き委任では、Citrix Gatewayは指定された管理者アカウントを使用して、ユーザーとサービスに代わってチケットを取得します。
必要な構成:
- 必要な権限とCitrix GatewayのKCDアカウントを使用して、Active DirectoryにKCDアカウントを構成します。
- Citrix GatewayのトラフィックプロファイルでSSOを有効にします。
- Kerberos認証用のバックエンドWebサイトを構成します。
フォーム入力認証
フォームベースのシングルサインオンを使用するようにCitrix Gatewayを構成すると、ユーザーは一度ログオンするだけで、ネットワーク内の保護されたすべてのアプリにアクセスできます。この認証方法は、トンネル - Web SSOモードまたは完全VPNモードを使用するアプリに適用されます。
必要な構成:
- Citrix GatewayのトラフィックプロファイルでフォームベースのSSOを構成します。
ダイジェストHTTP認証
セッションプロファイルでWebアプリへのSSOが有効になっている場合、Citrix GatewayはダイジェストHTTP認証を自動的に実行します。この認証方法は、トンネル - Web SSOモードまたは完全VPNモードを使用するアプリに適用されます。
必要な構成:
- Citrix GatewayのセッションプロファイルまたはトラフィックプロファイルでSSOを有効にします。
HTTP基本認証
セッションプロファイルでWebアプリへのSSOが有効になっている場合、Citrix GatewayはHTTP基本認証を自動的に実行します。この認証方法は、トンネル - Web SSOモードまたは完全VPNモードを使用するアプリに適用されます。
必要な構成:
- Citrix GatewayのセッションプロファイルまたはトラフィックプロファイルでSSOを有効にします。
セキュアトンネル - Web SSO、完全VPNトンネル、またはPACがある完全VPNトンネル
以下のセクションでは、Secure Webのユーザー接続の種類について説明します。
完全VPNトンネル
内部ネットワークへトンネルする接続では完全VPNトンネルを使用できます。完全VPNトンネルを構成するには、Secure Webの[優先VPNモード]ポリシーを使用します。内部ネットワークのリソースにクライアント証明書またはエンドツーエンドのSSLを使用する接続に対しては、[完全VPNトンネル]を推奨します。完全VPNトンネルは、TCP上のあらゆるプロトコルを処理します。
WindowsおよびMacデバイスで完全VPNトンネルを使用できます。完全VPNトンネルはiOS向けCitrix業務用モバイルアプリでは使用できません。
完全VPNトンネルモードにすると、Citrix GatewayではHTTPSセッション内の状態が表示されなくなります。
トンネル - Web SSO
内部ネットワークをトンネルする接続は、さまざまなクライアントレスVPNを使用できます。これはトンネル - Web SSOと呼ばれています。トンネル - Web SSOは、Secure Webの [優先VPNモード] ポリシーに指定されるデフォルトの構成です。シングルサインオン(SSO)を必要とする接続に対しては、[トンネル-Web SSO] が推奨されます。
トンネル-Web SSOモードの場合、Citrix GatewayはHTTPSセッションを次の2つの部分に分割します:
- クライアントからCitrix Gatewayまで
- Citrix Gatewayからバックエンドリソースサーバーまで
このようにして、クライアントとサーバー間のすべてのトランザクションを把握することにより、Citrix GatewayでSSOが提供できるようになります。
また、トンネル-Web SSOモードで使用される場合にSecure Webに対してプロキシサーバーを構成できます。詳しくは、ブログ「Endpoint Management WorxWeb Traffic Through Proxy Server in Secure Browse Mode」を参照してください。
PACがある完全VPNトンネル
注:
シトリックスは、PACを使用した完全VPNトンネルの廃止を発表しました。「廃止」を参照してください。
Endpoint ManagementはCitrix Gatewayが指定するプロキシ認証をサポートします。PACファイルには、指定のURLにアクセスするためにWebブラウザーがどのようにプロキシを選択するかを定義する規則が含まれます。PACファイル規則は、内部および外部の両サイトの処理を指定できます。Secure WebはPACファイル規則を解析し、プロキシサーバー情報をCitrix Gatewayに送信します。Citrix GatewayはPACファイルまたはプロキシサーバーを認識しません。
HTTPS Webサイトへの認証の場合:Secure WebのMDXポリシーである [Webパスワードのキャッシュを有効化] により、MDXを介するプロキシサーバーへのSSOをSecure Webが認証して提供するようにできます。
Citrix Gateway分割トンネリング
SSOとプロキシの構成を計画するときは、Citrix Gateway分割トンネリングを使用するかどうかも決める必要があります。Citrix Gateway分割トンネリングは、必要な場合にのみ使用することをお勧めします。ここでは、分割トンネリングのしくみの概要を説明します:Citrix Gatewayでは、ルーティングテーブルに基づいてトラフィックパスが決定されます。Citrix Gateway分割トンネリングがオンの場合、Secure Hubは内部(保護された)ネットワークのトラフィックとインターネットのトラフィックを区別します。Secure Hubは、DNSサフィックスとイントラネットアプリケーションに基づいてこの決定を行います。次にSecure Hubは、VPNトンネルを使用して内部ネットワークのトラフィックのみをトンネル処理します。Citrix Gateway分割トンネリングがオフの場合、すべてのトラフィックがVPNトンネルを経由します。
- セキュリティ上の理由からすべてのトラフィックを監視する必要がある場合は、Citrix Gateway分割トンネリングをオフにします。これにより、すべてのトラフィックがVPNトンネルを経由します。
- PACがある完全VPNトンネルを使用する場合は、Citrix Gateway分割トンネリングをオフにする必要があります。分割トンネリングをオンにしてPACファイルを構成すると、PACファイル規則によりCitrix Gateway分割トンネリング規則はオフになります。トラフィックポリシーで構成したプロキシサーバーは、Citrix Gateway分割トンネリング規則を上書きしません。
またCitrix Gatewayには、マイクロVPNを使用したリバース分割トンネルモードもあります。この構成では、Citrix Gatewayにトンネル処理されない、除外対象のIPアドレス一覧がサポートされます。これらのアドレスは、代わりにデバイスのインターネット接続を使用して送信されます。リバース分割トンネリングについて詳しくは、Citrix Gatewayのドキュメントを参照してください。
Endpoint Managementには、リバース分割トンネルの除外対象一覧が含まれています。特定のWebサイトをCitrix Gateway経由でトンネリングしない場合:代わりにLANを使用して接続する完全修飾ドメイン名(FQDN)またはDNSサフィックスのコンマ区切りの一覧を追加します。この一覧は、Citrix Gatewayがリバース分割トンネリング用に構成された、トンネル-Web SSOモードにのみ適用されます。
ご意見をお寄せいただきありがとうございました。
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.