エンタープライズWebアプリのサポート

Citrix Gatewayサービスを使用したWebアプリケーションの配信により、エンタープライズ固有のアプリケーションをWebベースのサービスとしてリモートで配信できます。一般的に使用されるウェブアプリには、SharePoint、Confluence、OneBug などがあります。

Webアプリには、Citrix Gatewayサービスを使用してCitrix Workspaceを使用してアクセスできます。Citrix GatewayサービスとCitrix Workspaceを組み合わせることで、構成されたWebアプリ、SaaSアプリ、構成済みの仮想アプリ、またはその他のワークスペースリソースに対する統一されたユーザーエクスペリエンスが提供されます。

SSO と Web アプリケーションへのリモートアクセスは、次のサービスパッケージの一部として利用できます。

  • Gatewayサービス(Standard)
  • ワークスペース標準、ワークスペースプレミアム、ワークスペースプレミアムプラス

システム要件

Citrix Gateway Connector — エンタープライズWebアプリケーションへのリモートアクセスを容易にする仮想アプライアンス。Citrix Gateway Connectorは仮想アプライアンスです。仮想マシンの仕様には、少なくとも次のものが必要です。

  • 仮想 CPU の数は正確に 2 にする必要があります。
  • 最小 4 GB RAM。
  • 1 つのネットワークアダプタ (仮想 NIC)。必要に応じて、追加の仮想 NIC を追加できます。

よりクリーンなアプローチのためにエンタープライズ Web アプリを構成する前に、Gateway Connectorをインストールします。

重要:

Citrix Gateway Connectorを展開する必要があるオンプレミスのデータセンターにSSLインターセプトデバイスがある場合、これらのFQDNに対してSSLインターセプトが有効になっていると、コネクタの登録は成功しません。コネクタを正常に登録するには、これらの FQDN に対して SSL インターセプトを無効にする必要があります。 Citrix Gateway Connectorについて詳しくは、「Citrix Gateway Connector」を参照してください。

機能

Citrix Gatewayサービスは、オンプレミスにデプロイされているCitrix CloudGatewayコネクタを使用してオンプレミスのデータセンターに安全に接続します。このコネクタは、オンプレミスで展開されたエンタープライズWebアプリケーションとCitrix Gatewayサービスの間のブリッジとして機能します。これらのコネクタは HA ペアで展開でき、送信接続のみが必要です。

Gatewayコネクタとクラウド内のCitrix Gatewayサービス間のTLS接続により、クラウドサービスに列挙されたオンプレミスアプリケーションがセキュリティで保護されます。Web アプリケーションは、VPN レス接続を使用して Workspace 経由でアクセスおよび配信されます。 次の図は、Citrix Workspace を使用してWebアプリケーションにアクセスする方法を示しています。

ウェブアプリの仕組み

エンタープライズ Web アプリを構成する方法

エンタープライズ Web アプリは、次の 2 つの方法で構成および公開できます。

エンタープライズ Web アプリを手動で構成して公開する

次の構成では、アプリを手動で構成および公開するための例として SharePoint アプリを取り出しています。

  1. [Citrix Gatewayサービス] タイルで、[管理] をクリックします。

  2. シングルサインオンタイルの下にある [ Web/SaaS アプリケーションの追加 ] タブをクリックします。

  3. SharePoint アプリを手動で構成するには、[ スキップ ] をクリックします。

    テンプレートの追加をスキップする

  4. [ 社内ネットワーク内] ラジオボタンをチェックします。

    [ アプリの詳細] セクションに次の詳細を入力し 、[ 次へ] をクリックします。

    名前」— 追加するアプリケーションの名前。

    URL ー カスタマー ID を含むURLです。URLには、顧客ID(Citrix CloudカスタマーID)を含める必要があります。顧客 ID を取得するには、「Citrix Cloudにサインアップ」を参照してください。SSO が失敗した場合、または SSO を使用しない場合、ユーザーはこの URL にリダイレクトされます。

    顧客のドメイン名とカスタマードメインID -顧客のドメイン名とIDは、SAML SSOページでアプリの URL とその他の後続の URL を作成するために使用されます。

    たとえば、Salesforce アプリケーションを追加する場合、ドメイン名は salesforceformyorg 、ID が 123754 の場合、アプリケーション URL は https://salesforceformyorg.my.salesforce.com/?so=123754.です

    顧客のドメイン名と顧客 ID フィールドは、特定のアプリに固有です。

    関連ドメイン — 指定したURLに基づいて、関連ドメインが自動的に入力されます。関連ドメインは、サービスが、アプリの一部としてURLを識別し、それに応じてトラフィックをルーティングするのに役立ちます。複数の関連ドメインを追加できます。

    アイコン — [ アイコンの変更 ] をクリックして、アプリアイコンを変更します。アイコンファイルのサイズは 128 x 128 ピクセルにする必要があります。アイコンを変更しない場合、デフォルトのアイコンが表示されます。

    説明 」(Description) — ここで入力したこの説明は、ワークスペースのユーザに表示されます。

    ウェブアプリの詳細

  5. [セキュリティの強化] セクションで、[ セキュリティ強化を有効にする ] を選択して、アプリケーションに適用するセキュリティオプションを選択します。

    重要:

    セキュリティの強化 」セクションは、Secure Workspace Access サービスの資格がある場合にのみ使用できます。詳しくは、「https://www.citrix.com/products/citrix-cloud/」を参照してください。

    • アプリケーションに対して、次の強化されたセキュリティオプションを有効にできます。

      • クリップボードへのアクセスを制限: アプリとシステムのクリップボード間の切り取り、コピー、貼り付け操作を無効にします。
      • 印刷を制限: Citrix Workspaceアプリブラウザーから印刷する機能を無効にします
      • ナビゲーションを制限: 次/戻るアプリのブラウザボタンを無効にします
      • ダウンロードを制限: アプリ内からダウンロードするユーザーの機能を無効にします
      • ウォーターマークの表示: ユーザーのマシンのユーザー名とIPアドレスを表示するウォーターマークをユーザーの画面に表示

      強化されたセキュリティオプション

    • アプリケーションに対して、次の高度なアプリ保護ポリシーを有効にできます。

      キーロギングを制限する: キーロガーから保護します。ユーザーがユーザー名とパスワードを使用してアプリにログオンしようとすると、すべてのキーがキーロガーで暗号化されます。また、ユーザーがアプリで実行するすべてのアクティビティは、キーログから保護されます。たとえば、Office 365 でアプリ保護ポリシーが有効になっていて、ユーザーが Office365 Word 文書を編集すると、キーロガーですべてのキーストロークが暗号化されます。

      画面キャプチャを制限: いずれかのスクリーンキャプチャプログラムまたはアプリを使用して画面をキャプチャする機能を無効にします。ユーザーが画面をキャプチャしようとすると、空白の画面がキャプチャされます。

      重要:

      • 高度なアプリ保護ポリシーは、[ セキュリティ強化を有効にする ]オプションを有効にした後にのみ有効にできます。
      • すべてのアプリがこれらの制限を必要とするわけではないため、アプリ保護ポリシーはアプリごとに有効になります。
      • アプリ保護ポリシーは、アプリがCitrix組み込みブラウザ経由で配信される場合にのみ機能します。
    • [Citrix Secure Browserサービスでアプリケーションを常に起動する ]を選択して、他の強化されたセキュリティ設定に関係なく、Secure Browserサービスでアプリケーションを常に起動します。

      Citrix Secure Browserサービスでアプリケーションを常に起動するオプションは、プライベート技術プレビューの下にあります。

      注:

      • その他の強化されたセキュリティオプションは、セキュアブラウザ内でアプリが起動された後も適用されます。

      • Citrix WorkspaceアプリまたはCitrix Workspace for Webからアプリにアクセスする場合は、モバイルデバイスでポリシーが適用されるまで、組み込みブラウザーまたはネイティブブラウザーでアプリが起動されます。

    • [ モバイルデバイスにポリシーを適用する] を選択して、モバイルデバイスで前述の拡張セキュリティオプションを有効にします。

      :

      [ **セキュリティ強化を有効にする ] とともに [モバイルデバイスにポリシーを適用する**] を選択すると、デスクトップユーザーとモバイルユーザーのアプリケーションアクセスのユーザーエクスペリエンスが悪影響を受けます。

  6. ここで、リソースの場所に接続する必要があります。既存のリソースの場所を選択するか、作成することができます。既存のリソースの場所を選択するには、リソースの場所のリストからリソースの場所の 1 つ ([My Resource Location] など) をクリックし、[ 次へ] をクリックします。リソースの場所の追加に関するガイダンスについては、https://docs.citrix.com/en-us/citrix-gateway-service/gateway-connector.htmlをクリックします。

    新しいリソースの場所を追加

  7. アプリケーションで使用するシングルサインオンの種類を選択し、 [保存] をクリックします。次のシングルサインオンタイプを使用できます。

    • 基本 — バックエンドサーバーから basic-401 チャレンジを提示する場合は、[ Basic SSO] を選択します。基本 SSO タイプの構成の詳細を指定する必要はありません。
    • Kerberos — バックエンドサーバーがネゴシエート-401 チャレンジを提示する場合は、 Kerberosを選択します。Kerberos SSO タイプの構成の詳細を指定する必要はありません。
    • フォームベース — バックエンドサーバーが認証用の HTML フォームを提示する場合は、[ フォームベース] を選択します。フォームベースの SSO タイプの設定の詳細を入力します。
    • SAML-ウェブアプリケーションへの SAML ベースの SSO 用の SAML を選択します。SAML SSO タイプの構成の詳細を入力します。
    • [ SSO を使用しない] — バックエンドサーバーでユーザーを認証する必要がないときは、[Don’o use SSO ] オプションを使用します。[ SSO を使用しない ] オプションを選択すると、ユーザーは [ アプリの詳細 ] セクションで構成された URL にリダイレクトされます。

    フォームベースの詳細:[シングルサインオン] セクションに次のフォームベースの構成の詳細を入力し、[保存] をクリックします

    config1を保存する

    • アクション URL 」-完成したフォームの送信先の URL を入力します。
    • [ログオンフォームの URL] — ログオンフォームが表示されている URL を入力します。
    • [ユーザー名の形式 ]: ユーザー名の形式を選択します。
    • ユーザー名フォームフィールド」 — ユーザー名属性を入力します。
    • パスワードフォームフィールド」 — パスワード属性を入力します。

    SAML: [サインオン] セクションに次の詳細を入力し、[保存] をクリックします

    config2を保存する

    • 署名アサーション -署名アサーションまたは応答は、応答またはアサーションが証明書利用者 (SP) に配信されたときにメッセージの整合性を確保します。[ アサーション]、[応答]、[両方]、[なし]を選択できます。
    • アサーション URL — アサーション URL は、アプリケーションベンダーによって提供されます。SAML アサーションは、この URL に送信されます。
    • [リレー状態 ] — [Relay State] パラメーターは、ユーザーがサインインして証明書利用者のフェデレーションサーバーに送信された後にアクセスする特定のリソースを識別するために使用されます。リレー状態は、ユーザの 1 つの URL を生成します。ユーザーは、この URL をクリックして、ターゲットアプリケーションにログオンできます。
    • 対象ユーザー — 対象者は、アプリケーションベンダーによって提供されます。この値は、SAML アサーションが正しいアプリケーションに対して生成されることを確認します。
    • 名前 ID 形式 」— サポートされている名前識別子の形式を選択します。

    • 名前 ID 」— サポートされている名前 ID を選択します。
  8. [完了] をクリックします。

    [ 完了] をクリックすると、アプリがライブラリに追加され、次の 3 つのオプションが表示されます。

    • 別のアプリケーションの追加
    • アプリを編集
    • ライブラリに移動

公開アプリケーションのユーザーまたはユーザーグループの割り当て

アプリの公開後、ユーザーまたはグループをアプリに割り当てることができます。

  1. Citrix Cloud画面で 、[ ライブラリに移動]をクリックします。または、左上のメニューの [ライブラリ] をクリックすることもできます。

    ライブラリに新しく追加されたアプリの機能に注目してください。

    ライブラリ

  2. アプリのユーザーを割り当てるには、右側の省略記号の上にポインタを置き、[ 登録者を管理] をクリックします。

    利用者の管理

  3. [ ドメインリストの選択 ] をクリックし、ドメインを選択します。[ グループまたはユーザーを選択してユーザーを割り当てる ] をクリックします。

    ユーザーまたはグループの割り当て

    注:購読しているユーザーは、そのユーザーを選択して [ Status] の横にある削除アイコンをクリックすると、サブスクライブ解除できます。

  4. アプリユーザーと共有するワークスペースURLを取得するには、 Citrix Cloudでメニューアイコンをクリックし、[ ワークスペースの構成]に移動します。

    ワークスペースの URL を取得する

公開済みアプリを管理する

公開済みアプリを編集または削除したり、公開済みのアプリにさらに登録者を追加することができます。

公開済みアプリを編集する

公開済みアプリを編集するには、次の手順に従います。

  1. [ ライブラリ] に移動して、編集するアプリを特定します。

  2. 右側の省略記号の上にポインタを置き、[ 編集] をクリックします。

  3. [ App Details ] セクションのエントリを編集し、[ 保存] をクリックします。

  4. [ シングルサインオン ] セクションのエントリを編集し、[ 保存] をクリックし、[ 完了] をクリックします。

公開済みアプリを削除する

公開済みアプリを削除するには、次の手順に従います。

  1. [ ライブラリ] に移動して、削除するアプリを特定します。
  2. 右側のドットアイコンをクリックし、[ 削除] をクリックします。

公開済みアプリの購読者を管理する

ユーザをさらに追加するには、次の手順を実行します。

  1. [ ライブラリ] に移動して、変更するアプリを特定します。
  2. 右側の省略記号の上にポインタを置き、[ 登録者を管理] をクリックします。

設定済みのアプリを起動する — エンドユーザーフロー

構成済みのアプリを起動するには、次の手順に従います。

  1. ADユーザーの資格情報を使用してCitrix Workspaceにログオンします。 管理者が構成したSaaSアプリが表示されます。
  2. アプリをクリックしてアプリを起動します。 アプリが起動し、ユーザーがアプリにサインインします。

ローカルブラウザを介したエンタープライズ Web アプリケーションへの VPN レスアクセスを有効にする

Citrix Secure Workspace Access ブラウザー拡張機能を使用すると、ローカルブラウザーからエンタープライズWebアプリケーションへのVPNレスアクセスを有効にできます。Citrix Secure Workspace Access ブラウザー拡張機能は、Google ChromeとMicrosoft Edgeブラウザの両方でサポートされています。

Citrix Secure Workspace Access ブラウザー拡張機能をインストールする方法

  1. Google ChromeストアからCitrix Secure Workspace Access ブラウザー拡張機能をダウンロードします。
  2. [登録] をクリックして、サーバーの FQDN を登録します。
  3. サーバーの FQDN を入力し、[次へ] をクリックします。 ブラウザ拡張機能の登録
  4. Citrix Workspace のURLを入力します。
  5. [次へ] をクリックします。
  6. ユーザ名とパスワードを入力します。
    • 正しいユーザー資格情報を入力すると、ユーザーは Workspace Web ポータルとブラウザー拡張機能にサインインします。
    • ブラウザ拡張アイコンが青に変わり、内部アプリへのアクセスが有効になったことを示します。
    • サインインが成功すると、ブラウザ拡張ウィンドウが自動的に閉じます。 ブラウザ拡張機能の登録後
  7. 承認された内部 Web アプリのリンクへのアクセスは、ブラウザーで直接有効になりました。Web アプリが SSO 用に構成されている場合、ユーザーはアプリにサインインします。

注:

  • 内部ネットワークにアクセスしていて、これらの URL へのアクセスを有効にするブラウザー拡張機能が不要な場合は、[内部アプリケーションアクセス] スライダーを [オフ] に設定し、その URL にアクセスできます。
  • ローカルブラウザーからの内部 Web アプリアクセスを無効にする場合は、ブラウザー拡張機能からサインアウトできます
  • また、[削除] ボタンをクリックしてアカウント登録を削除し、拡張機能を元の状態にリセットすることもできます。アカウントの登録を解除すると、ネイティブブラウザからエンタープライズ Web アプリケーションにアクセスできなくなります。

セッションタイムアウトの設定

管理者は、Citrix Secure Workspace Access essブラウザー拡張のセッションタイムアウトを構成できます。

  1. Citrix Gatewayサービスのタイルで、[ 管理]をクリックします。
  2. [管理] タブをクリックします。
  3. ブラウザ拡張動作の非アクティブタイムアウト」で、要件に従ってタイムアウトを選択します。

重要:

ルーティングルールはブラウザ拡張機能に一時的に送信できません。