Citrix Gateway とCitrix Endpoint Management 構成

ユーザーデバイスからセキュリティで保護されたネットワークへの通信を有効にするには、Citrix Gateway およびEndpoint Management で設定を行う必要があります。クイック構成ウィザードを実行して、Endpoint Management とStoreFront の設定を含むこれらの設定を構成することをお勧めします。

ウィザードを実行すると、Citrix Gateway によって、Endpoint Management へのユーザー接続に必要な仮想サーバーとポリシーが作成されます。クイック構成ウィザードの実行の詳細については、Configuring Settings with the Quick Configuration Wizardを参照してください。 クイック構成ウィザードでは、次のポリシーが自動的に構成されます。

  • 仮想サーバ。仮想サーバーを構成するときは、SmartAccess モードを有効にします。SmartAccess モードを有効にすると(デフォルト設定)、この設定によってクライアントレスアクセスも有効になります。ユーザーがReceiver for Webを使用して接続する場合は、Citrix Gateway にユニバーサルライセンスをインストールする必要があります。ユニバーサルライセンスをインストールしない場合、ユーザーはReceiver for WebまたはSecure Hub からWindowsベース、Web、SaaS、またはモバイルアプリケーションにアクセスできません。
  • 仮想サーバにバインドされたセッション・ポリシー。セッションポリシーは、Citrix Gateway で作成します。次の 4 つのセッションポリシーを作成できます。
    • 2つのセッションポリシーにより、Receiver接続とSecure Hub 接続、およびReceiver for WebとのWebブラウザ接続を管理します。Receiverのセッションポリシーを構成し、ユーザーがSecure Hub for iOSに接続できるようにする場合は、セッションプロファイルの「セキュリティ」タブでSecure Browse を有効にできます。
    • オプションで、StoreFront を展開する場合は、Receiver for AndroidおよびReceiver for iOSからの従来のPNAサービス接続を管理する3番目のセッションポリシーを構成できます。PNAサービスのセッションポリシーを有効にした場合、ユーザーはReceiver for Windowsからこの接続方法を使用できません。
    • 4番目のセッションポリシーは、Citrix Gateway プラグインを使用してアプリケーションおよび仮想デスクトップへの接続を管理します。StoreFront またはCitrix Gateway のWebアドレスを電子メールで検出できるようにするアカウントサービスを構成することもできます。
  • 仮想サーバにバインドされた認証ポリシー。Citrix Gateway では、LDAPおよびRADIUSの認証ポリシーを構成できます。2要素認証を使用する場合は、プライマリ認証ポリシーとしてLDAPを、セカンダリポリシーとしてRADIUSを使用することをお勧めします。
  • 式。各セッションポリシーでは、User-Agent ヘッダーを使用する式または規則を設定します。
  • カスタムのクライアントレスアクセスポリシー。カスタムクライアントレスアクセスポリシーを作成して、URLの書き換えや、Citrix Gateway を介したCookieのプロキシ方法を制御します。
  • AndroidのWorxアプリのためのイントラネットアプリケーション. Citrix Gateway で分割トンネリングを有効にした場合、Android WorxアプリケーションのIPアドレスルートを構成するときに、Endpoint Management IPアドレス、Exchangeサーバー(WorxMailを使用している場合)、ユーザーがWorxWebからアクセスする内部アプリケーションWebサイトのすべてのIPアドレスを含めます。これらの設定をCitrix Gateway 上の仮想サーバーにバインドします。

Endpoint Management 設定の構成

Citrix Gateway を介してセキュアなネットワーク内のEndpoint Management アプリケーションへの接続を許可するには、2つの手順があります。Endpoint Management では、次の操作を行います。

  • Citrix Gateway の信頼設定を構成します。
  • リモートユーザーからの接続を受け入れるアプリケーションを指定します。

Citrix Gateway 経由でユーザー接続をルーティングするには、以下の情報を指定します。

  • アプライアンスの名前。これは、任意の名前を選択できます。
  • ユーザーが接続する完全修飾ドメイン名 (FQDN) (https://NetScalerGatewayFQDNなど)。
  • リクエストがCitrix Gateway から送信されたことを確認するコールバックURLのFQDNです。ユーザーが接続する同じ FQDN を使用します。Endpoint Management は、FQDN に認証サービス URL を自動的に追加します。たとえば、URL はhttps://NetScalerGatewayFQDN/CitrixAuthService/AuthService.asmxと表示されます。

Citrix Gateway 経由のリモートユーザー接続を必要とするWebアプリケーションを選択できます。Endpoint Management でアプリケーションを設定する場合は、Web アプリケーションが内部ネットワークでホストされていることを示すチェックボックスをオンにします。これにより、アプリケーションに VPN キーワードが追加され、Citrix Gateway 経由の接続要求が許可されます。

StoreFront 設定の構成

ユーザーのすべてのアクセス方法をサポートするには、StoreFront で次の設定を構成する必要があります。

  1. 認証方法。次の設定が含まれます。
    • ユーザー名とパスワード
    • ドメインパススルー
    • Citrix Gatewayからのパススルー
  2. [レガシサポートを有効にする] 設定。
  3. Citrix Gateway の設定には、以下が含まれます。
    • Citrix Gateway のウェブアドレス
    • 展開モード
    • Citrix Gateway のマッピングまたはサブネットのIPアドレス
    • ドメインとしてのログオンの種類
    • URLhttps://\<NetScalerGatewayFQDN\>/CitrixAuthService/AuthService.asmxを使用したサイレント認証。NetScalerGatewayFQDN は、仮想サーバーにバインドされた証明書に含まれる FQDN です。

Citrix Gateway で2要素認証を構成する場合、StoreFront で設定を構成し、ログオンの種類を構成するときに、[ドメインとセキュリティトークン]を選択します。

Citrix Gateway とCitrix Endpoint Management 構成