SaaS アプリと Web アプリの両方の関連ドメインが同じ場合に競合を解決するためのルートテーブル

Citrix Secure Workspace Accessサービスのアプリケーションドメイン機能を使用すると、アプリケーションの関連ドメインをCitrix Gateway コネクタを介して外部または内部にルーティングできるようにルーティングを決定できます。

顧客が SaaS アプリと内部 Web アプリの両方で同じ関連ドメインを設定しているとします。 たとえば、Okta が Salesforce (SaaS アプリケーション) と Jira (内部 Web アプリケーション) の両方の SAML IdP である場合、システム管理者は両方のアプリケーションの設定で*.okta.comを関連ドメインとして設定できます。これにより、競合が発生し、エンドユーザーには一貫性のない動作が発生します。このシナリオでは、管理者は、要件に従って、これらのアプリケーションを外部またはCitrix Gateway Connectorを介して内部的にルーティングするルールを定義できます。

また、アプリケーションドメイン機能を使用すると、管理者はCitrix Gateway Connectorを構成して、顧客のWebプロキシサーバーをバイパスして内部Webサーバーに到達できます。これらのバイパスポリシーは、以前は、Citrix Gateway コネクタでNSCLIコマンドを実行して手動で構成されていました。

ルートテーブルの仕組み

管理者は、トラフィックフローの定義方法に応じて、アプリケーションのルートタイプを [外部]、[内部]、または [Gateway Connector 経由外部] として定義できます。

  • [外部 (External)]:トラフィックはインターネットに直接流れます。
  • [内部(Internal )]:トラフィックはゲートウェイコネクタを介して流れます。
    • Web アプリの場合、トラフィックはデータセンター内を流れます。
    • SaaSアプリの場合、トラフィックはCitrix Gateway Connectorを介してネットワークの外部にルーティングされます。
  • 内部-バイパスプロキシ -ドメイントラフィックは、ゲートウェイコネクタで構成された顧客のWebプロキシをバイパスして、Citrix CloudGateway Connectorを介してルーティングされます。
  • ゲートウェイコネクタ経由の外部 -アプリは外部ですが、トラフィックはCitrix Gateway Connectorを介して外部ネットワークに流れる必要があります。

注:

  • ルートエントリは、アプリで構成されている拡張セキュリティポリシーには影響しません。
  • 管理者がルートテーブル内のエントリを使用する予定がない場合、または対応するアプリが意図したとおりに動作しない場合、管理者はエントリを削除するのではなく、単純に無効にすることができます。
  • 特定の顧客のすべてのCitrix Gateway Connectorは、アプリケーションの種類に関係なく、SSO設定を取得します。以前は、特定のアプリの SSO 設定はリソースの場所に関連付けられていました。

メインルートテーブル

メインルートテーブルには、 Citrix Gateway サービスタイルからアクセスできます

  1. Citrix Cloud アカウントにログオンします。
  2. [Citrix Gateway サービス]タイルで、[ 管理]をクリックします。
  3. [Citrix Gateway サービス]ページで、[ 管理]、[ アプリケーションドメイン]の順にクリックします。

メインルートテーブル

メインルートテーブルには、次の列が表示されます。

  • FQDN: トラフィックルーティングのタイプを設定する必要のある FQDN。
  • タイプ:アプリの種類。アプリケーションの追加時に選択された内部外部、またはGateway Connector経由の外部

    重要:

    コンフリクトがある場合、テーブル内の各行にアラートアイコンが表示されます。競合を解決するには、管理者は三角形のアイコンをクリックし、メインテーブルからアプリの種類を変更する必要があります。

  • 生産資源事業所:内部」タイプの工順の生産資源事業所。リソースの場所が割り当てられていない場合、それぞれのアプリの [ リソースの場所 ] 列に三角形のアイコンが表示されます。アイコンにカーソルを合わせると、次のメッセージが表示されます。

    リソースの場所が見つかりません。リソースの場所がこの FQDN に関連付けられていることを確認します。

  • ステータス: [ Status ] 列のトグルスイッチを使用すると、アプリを削除せずにルートエントリのルートを無効にできます。トグルスイッチが OFF の場合、ルートエントリは有効になりません。また、完全に一致する FQDN が存在する場合、管理者は有効または無効にするルートを選択できます。
  • コメント: コメントがあれば表示します。
  • アクション: 編集アイコンは、リソースの場所を追加したり、ルートエントリのタイプを変更したりするために使用されます。削除アイコンは、ルートを削除するために使用されます。

FQDN を [アプリケーションドメイン] テーブルに追加する

管理者は FQDN を [アプリケーションドメイン] テーブルに追加し、適切なルーティングタイプを選択できます。

  1. [アプリケーションドメイン] ページで [ 追加 ] をクリックします。
  2. FQDN 名を入力し、FQDN の適切なルーティングタイプを選択します。

ルートエントリの追加

ミニルートテーブル

アプリケーションドメインテーブルのミニバージョンを使用して、アプリケーションの構成中にルーティングを決定できます。Citrix Gateway Serviceユーザーインターフェイスの[ アプリの接続 ]セクションで使用できるミニルートテーブル。

ミニルートテーブルにルートを追加するには

Citrix Gateway Service UIでアプリを追加する手順は、次の2つの変更点を除いて、「 サービスとしてのソフトウェアアプリのサポート」および「エンタープライズWebアプリのサポート 」のトピックで説明されている手順と同じです。

  1. 次の手順を実行します:
    • テンプレートを選択します。
    • アプリの詳細を入力します。
    • 必要に応じて、[拡張セキュリティ詳細] を選択します。
    • 必要に応じて、シングルサインオン方法を選択します。
  2. [ アプリの接続] をクリックします。-アプリケーションドメインテーブルのミニバージョンを使用して、アプリケーションの構成中にルーティングを決定できます。

    ミニルートテーブル

    • ドメイン: [ドメイン] 列には、特定のアプリの 1 つ以上の行が表示されます。最初の行には、管理者がアプリの詳細を追加する際に入力した実際のアプリの URL が表示されます。その他の行は、アプリの詳細を追加するときに入力されるすべての関連ドメインです。アプリの URL と関連ドメインが同じ場合は、1 行に表示されます。

    SAML SSO が選択されている場合は、1 つの行に SAML アサーション URL が表示されます。

    • タイプ: 次のいずれかのオプションを選択します。
      • [外部 (External)]:トラフィックはインターネットに直接流れます。
      • 内部 — トラフィックは Gateway Connector 経由で流れ、アプリは Web アプリとして扱われます。

        • Web アプリの場合、トラフィックはデータセンター内を流れます。

        • SaaSアプリの場合、トラフィックはCitrix Gateway Connectorを介してネットワークの外部にルーティングされます。

      • 内部-バイパスプロキシ -ドメイントラフィックはCitrix Cloud Gateway Connectorを介してルーティングされ、Gateway Connectorで構成された顧客のWebプロキシをバイパスします。
      • Gateway Connector経由の外部 -アプリは外部ですが、トラフィックはCitrix Gateway Connectorを介して外部ネットワークに流れる必要があります。
    • リソースの場所: アプリのタイプとして [内部] を選択すると自動入力されます。別のリソースの場所が必要な場合は、これを変更します。
    • Gateway Connector Status: アプリのタイプとして [内部] を選択すると、リソースの場所とともに自動入力されます。

注:

「Install Gateway Connector」リンクを使用して、新しいリソースの場所にGateway Connectorを追加し、登録用のアクティベーションコードを取得することもできます。詳しくは、「 Citrix Gateway Connectorをインストールする方法」を参照してください。

SaaS アプリと Web アプリの両方の関連ドメインが同じ場合に競合を解決するためのルートテーブル