クイック構成ウィザードを使用したポリシーの作成

注: Citrix Endpoint Management はサポートされなくなりました。

Citrix Gateway で、クイック構成ウィザードを使用して、Endpoint Management、StoreFront、またはWeb Interfaceとの通信を有効にする設定を構成できます。構成が完了すると、ウィザードによって、Citrix Gateway、Endpoint Management、StoreFront、またはWeb Interface間の通信に関する適切なポリシーが作成されます。これらのポリシーには、認証、セッション、およびクライアントレスアクセスポリシーが含まれます。ウィザードが完了すると、ウィザードが作成する仮想サーバにポリシーがバインドされます。

クイック構成ウィザードを完了すると、Citrix Gateway はEndpoint Management またはStoreFront と通信でき、ユーザーはWindowsベースのアプリケーション、仮想デスクトップ、Web、SaaS、およびモバイルアプリケーションにアクセスできます。ユーザーはEndpoint Management に直接接続できます。

ウィザードでは、次の設定を構成します。

  • 仮想サーバ名、IP アドレス、およびポート
  • 非セキュアポートからセキュアポートへのリダイレクション
  • 証明書
  • LDAP サーバー
  • RADIUSサーバー
  • 認証用のクライアント証明書 (2 要素認証のみ)
  • Endpoint Management、StoreFront、またはWeb Interface

簡易構成ウィザードでは、以下の方法を使用して、Citrix Gateway の証明書を構成できます。

  • アプライアンスにインストールされている証明書を選択します。
  • 証明書と秘密キーをインストールします。
  • テスト証明書を選択します。 注:テスト証明書を使用する場合は、証明書に含まれる完全修飾ドメイン名 (FQDN) を追加する必要があります。

クイック構成ウィザードは、LDAP、RADIUS、およびクライアント証明書の認証をサポートします。ウィザードで 2 要素認証を構成するには、次のガイドラインに従います。

  • プライマリ認証タイプとして LDAP を選択した場合は、セカンダリ認証タイプとして RADIUS を設定できます。
  • プライマリ認証タイプとして RADIUS を選択した場合は、セカンダリ認証タイプとして LDAP を設定できます。
  • プライマリ認証タイプとしてクライアント証明書を選択した場合は、セカンダリ認証タイプとして LDAP または RADIUS を設定できます。

クイック構成ウィザードを使用して構成できる LDAP 認証ポリシーは 1 つだけです。ウィザードでは、複数の LDAP 認証ポリシーを構成することはできません。ウィザードを複数回実行し、別の LDAP ポリシーを使用する場合は、追加のポリシーを手動で構成する必要があります。たとえば、[サーバーログオン名の属性] フィールドで sAMAccountName を使用するポリシーと、[サーバーログオン名の属性] フィールドでユーザープリンシパル名 (UPN) を使用する LDAP ポリシーを構成するとします。これらの個別のポリシーを設定するには、設定ユーティリティを使用して認証ポリシーを作成します。1つ以上のLDAPサーバーによるユーザーアクセスを認証するようにCitrix Gateway を構成する方法の詳細については、「LDAP認証の構成」を参照してください。

クイック構成ウィザードを使用して仮想サーバーを作成するときに、後で仮想サーバーを削除する場合は、Citrix ホーム]タブを使用して仮想サーバーを削除することをお勧めします。この方法を使用して仮想サーバーを削除すると、ウィザードで構成されたポリシーとプロファイルが削除されます。[構成] タブを使用して仮想サーバーを削除しても、ポリシーとプロファイルは削除されません。ウィザードでは、次の項目は削除されません。

  • ウィザードで作成された証明書キーペアは、証明書が仮想サーバーにバインドされていなくても、削除されません。
  • LDAP 認証ポリシーとプロファイルは、ポリシーが別の仮想サーバにバインドされている場合に残ります。Citrix Gateway は、ポリシーが仮想サーバーにバインドされていない場合にのみLDAPポリシーを削除します。

次の表に、クイック構成ウィザードで作成されるポリシーとプロファイルを示します。表で説明されているように、構成されるポリシーとプロファイルは、ユーザーがCitrix Gatewayプラグイン、Citrix Workspace アプリ、またはSecure Hub を使用して接続する方法によって異なります。適用されるポリシーは、ユーザーの接続時に使用されるCitrix Endpoint Management ユニバーサルライセンスまたはプラットフォームライセンスによって異なります。Citrix Gateway を購入した場合は、設定された数のユニバーサルライセンス(100など)も購入しました。ユーザーがCitrix Gateway プラグインを使用して接続する場合、セッションでは1つのユニバーサルライセンスが使用されます。ユーザーがCitrix Workspace アプリに接続してWindowsベースのアプリケーションおよびデスクトップにアクセスする場合、セッションではプラットフォームライセンスが使用されます。ユーザーがマイクロVPNを使用してモバイルデバイスから接続し、Secure Hub に接続するか、WorxMailやWorxWebなどのアプリケーションを起動すると、セッションにはユニバーサルライセンスが使用されます。

ユニバーサルライセンスのセッションポリシー、式、およびプロファイル

クイック構成ウィザードは、セッションでユニバーサルライセンスを使用する場合に適用される次のセッションポリシーと式を作成します。

ポリシーの種類
セッション-Worx HomeまたはCitrix Workspace アプリ REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver && REQ.HTTP.HEADER X-Citrix-Gateway EXISTS
セッション-Web向けCitrix Workspace アプリ REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver
セッション-Citrix Gateway REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver && REQ.HTTP.HEADER Referer NOTEXISTS

次の表に、クイック構成ウィザードが前述の表の各セッションポリシータイプに対して作成するセッションプロファイル設定を示します。最初の列は、設定ユーティリティのセッションプロファイルのプロファイル設定またはタブの場所を示します。

入力したStoreFront URLは、ユーザーの接続方法によって異なります。ユーザーがWeb向けCitrix Workspace アプリまたはWebブラウザーを使用して接続する場合は、URLフォームhttps://SF-FQDN/Citrix/StoreWebを使用します。ユーザーがWindows、Mac、またはモバイルデバイスでCitrix Workspace アプリを使用して接続する場合は、URLフォームhttps://SF-FQDN/Citrix/Storeを使用します。

プロファイルの場所 プロファイル設定 Citrix Workspaceアプリ Web向けCitrix Workspaceアプリ Citrix Gateway
[リソース] > [イントラネットアプリケーション] 透過型インターセプション - 無効 有効
[セッション] > [クライアントエクスペリエンス] タブ クライアントレスアクセス 有効 有効 無効
「セッション」>「公開アプリケーション」タブ ICA プロキシ 無効 無効 無効
[セッション] > [クライアントエクスペリエンス] タブ Webアプリケーションへのシングル・サインオン 有効 有効 有効
「セッション」>「公開アプリケーション」タブ シングルサインオンドメイン Endpoint Management ストアのWeb URL Endpoint Management ストアのWeb URL Endpoint Management ストアのWeb URL
「セッション」>「公開アプリケーション」タブ Web Interfaceアドレス Endpoint Management ストアのWeb URL Endpoint Management ストアのWeb URL Endpoint Management ストアのWeb URL
「セッション」>「公開アプリケーション」タブ アカウントサービスアドレス StoreFront URL - StoreFront URL
セッション > クライアントエクスペリエンスタブ 分割トンネル 無効 - 無効
セッション > クライアントエクスペリエンスタブ クライアントレスアクセス URL エンコーディング クリア - クリア
セッション > クライアントエクスペリエンスタブ ホームページ - Endpoint Management ストアのWeb URL Endpoint Management ストアのWeb URL
[セッション] > [クライアントエクスペリエンス] タブをクリックし、[詳細設定] > [全般] タブをクリックします。 お客様の選択肢 無効 無効 無効
「セッション」>「セキュリティ」タブ デフォルトの承認アクション 許可 許可 許可
セッション > クライアントエクスペリエンスタブ セッションタイムアウト (分) 24 時間 - -
セッション > クライアントエクスペリエンスタブ クライアントアイドルタイムアウト (分) (0) 無効 - -
[セッション] > [ネットワーク構成] タブ、[詳細設定] の順にクリックします。 強制タイムアウト (分) 24 時間 - -

ユニバーサルライセンスのクライアントレスアクセスプロファイル設定

Quick Configuration ウィザードは、ユニバーサルライセンスの次のクライアントレスアクセスプロファイル設定を作成します。

  • クライアントレスアクセス用のドメインを設定して、アクセスを許可します。パターンセットns_cvpn_default_inet_domains <App Controller FQDN>を構成します。たとえば、ns_cvpn_default_inet_domainsAppController_domain_comのようになります。
  • アプリケーションコントローラの URL。パターンセットns_cvpn_default_inet_domains <App Controller FQDN>を構成します。たとえば、ns_cvpn_default_inet_domainsAppController_domain_comのようになります。
  • ShareFile。最大 5 つのバインディングを許可します。パターンセット ns_cvpn_default_inet_domainsを構成します <App Controller FQDN>。たとえば、ns_cvpn_default_inet_domainsAppController_domain_comのようになります。

ユニバーサルライセンスのクライアントレスアクセス設定と規則

次の表に、セッションでユニバーサルライセンスを使用する場合に適用されるクライアントレスアクセスポリシー設定を示します。

ポリシー名 規則 プロファイル URL 書き換えラベル Javascript書き換えラベル パターンセット コメント
CLT_LESS_VIP Receiver_NoRewrite NO_RW_VIP デフォルト デフォルト デフォルト Receiver_NoRewrite
CLT_LESS_RF_VIPCLT_LESS_RF_VIP True ST_WB_RW_VIP ns_cvpn_default_inet_url_label デフォルト STORE_WEB_COOKIES<VIP> RfWeb_Rewrite

次の図に示すように、Web用Citrix Workspace アプリ用のパターンセットSTORE_WEB_COOKIESによって、Citrix Gateway の仮想IPアドレスが名前に追加されます。

図1:Web向けCitrix Workspace アプリのパターンセット

クッキーパターンセット。

プラットフォームライセンスのセッションポリシー、規則、およびプロファイル

Citrix Gateway のプラットフォームライセンスでは、Citrix Virtual Apps and Desktops アプリケーションおよびデスクトップがホストするWindowsベースのアプリケーションおよびデスクトップへの無制限のICA接続が可能です。次の表に、Citrix Workspace アプリで接続するユーザーのセッションルールとセッションポリシー設定を示します。

| ポリシーの種類 | 規則 | | ———————————————— | ————————————————————————————— | | Session - Operating System and Citrix Gateway | REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver || REQ.HTTP.HEADER Referer NOTEXISTS | | Session - Receiver for Web | ns_true |

|プロファイルの場所|プロファイル設定|オペレーティングシステム/Citrix Gateway|Web| |— |— |— |— | |[リソース] > [イントラネットアプリケーション]|透過型インターセプション|-|無効| |[セッション] > [クライアントエクスペリエンス] タブ|クライアントレス アクセス|無効|無効| |「セッション」>「公開アプリケーション」タブ|ICA プロキシ|有効|有効| |[セッション] > [クライアントエクスペリエンス] タブ|Webアプリケーションへのシングル・サインオン|有効|有効| |「セッション」>「公開アプリケーション」タブ|シングルサインオンドメイン|設定|設定| |Session >Published Applications tab|Web Interface Address|config.xml if Web Interface StoreFront URL with StoreWeb|StoreFront URL| |Session >Published Applications tab|Account Services Address|StoreFront URL with StoreWeb|N/A| |Session >Client Experiences tab|Split Tunnel|Off|N/A| |Session >Client Experiences tab|Clientless Access URL Encoding|N/A|N/A| |Session >Client Experiences tab|Home Page|N/A|N/A| |Session >Client Experiences tab and then click the Advanced Settings > General tab|Client Choices|Off|Off| |Session >Security tab|Default Authorization Action|Allow|Allow| |Session >Client Experiences tab|Session Time-out (mins)|N/A|N/A| |Session >Client Experiences tab|Client Idle Time-out (mins)|N/A|N/A| |Session >Network Configuration tab and then click Advanced Settings|Forced Time-out (mins)|N/A|N/A|