Citrix Gateway の構成

Citrix Gatewayを使用するCitrix ADC:1つのURL

Citrix Gatewayを搭載したCitrix ADCにより、デスクトップユーザーおよびモバイルユーザー向けの単一のURLを介して、あらゆるアプリケーションへのセキュアなアクセスを簡素化できます。この単一の URL の背後にある管理者は、アプリケーションへのリモートアクセスの構成、セキュリティ、および制御を一元管理できます。また、リモートユーザーは、必要なすべてのアプリケーションへのシームレスなシングルサインオンとログイン/ログアウトの使いやすさにより、エクスペリエンスが向上しています。

これを実現するために、Citrix ADC with Gatewayは、Citrix ADCのコンテンツスイッチング機能および広範な認証インフラストラクチャとともに、この単一のURLを介して組織のサイトやアプリケーションへのアクセスを提供します。さらに、リモートユーザーは、iOSまたはAndroidのモバイルデバイス、およびCitrix Gateway クライアントプラグインとともにLinux、PC、またはMacシステムを使用して、どこにいてもCitrix GatewayURLに統一されたアクセスが可能です。

Citrix Gateway デプロイメントでは、次のカテゴリのアプリケーションへの単一URLアクセスを許可します。

  • イントラネットアプリケーション。
  • クライアントレスアプリケーション
  • サービスとしてのソフトウェアアプリケーション
  • Citrix ADCによって提供される構成済みアプリケーション
  • Citrix Virtual Apps and Desktops の公開アプリケーション

イントラネットアプリケーションは 、セキュアなエンタープライズネットワーク内に存在する任意の Web ベースアプリケーションです。これらは、組織のイントラネットサイト、バグ追跡アプリケーション、Wiki などの内部リソースです。

通常、セキュアな企業ネットワーク内に常駐する クライアントレスアプリケーション Citrix Gateway は、Outlook Web AccessおよびSharePointへの単一のURLアクセスを提供します。これらのアプリケーションは、リモートユーザーが利用できる必要のある、専用のクライアントソフトウェアを使用せずに、Exchange メールおよびチームリソースへのアクセスを提供します。

SaaS アプリケーションは、クラウドアプリケーションとも呼ばれ、Sharefile、SalesForce、NetSuite などの組織が依存する外部のクラウドベースのアプリケーションです。SAML ベースのシングルサインオンは、これを提供する SaaS アプリケーションでサポートされています。

組織によっては、 Citrix ADC の負荷分散構成で展開された Citrix ADC のアプリケーションがあらかじめ 構成されている場合があります。多くの場合、これは「リバースプロキシ」アプリケーションとも呼ばれます。Citrix Gateway は、展開用の仮想サーバーが同じCitrix ADC Citrix Gateway インスタンスまたはアプライアンス上にある場合に、これらのアプリケーションをサポートします。これらのアプリケーションは、Citrix Gateway 構成とは独立した独自の認証構成を持つ場合があります。

公開されている Citrix Virtual Apps and Desktops の公開アプリケーションは 、Citrix Gateway のURLから利用できます。SmartAccess および SmartControl ポリシーは、必要に応じて、詳細なポリシーおよびこれらのリソースへのアクセス制御に適用できます。

Citrix Gateway 構成ウィザード

CitrixCitrix Gateway 構成ウィザードを使用してCitrix ADCを構成する場合、推奨される方法は、Citrix Gateway構成ウィザードを使用することです。ウィザードでは、構成を順を追って実行し、必要なすべての仮想サーバー、ポリシー、および式を作成し、提供された詳細に基づいて設定を適用します。初期セットアップ後、ウィザードを使用して配置を管理し、その動作を監視できます。

注: Citrix Gateway 構成ウィザードでは、システムの初期構成は実行されません。Citrix Gatewayを構成する前に、Citrix GatewayアプライアンスまたはVPXインスタンスの基本インストールが完了している必要があります。基本的な設定を完了初回セットアップウィザードを使用したCitrix Gateway の構成するには、のインストール手順を参照してください。

ウィザードによって構成されるCitrix Gateway の要素は次のとおりです。

  • Citrix Gateway のプライマリ仮想サーバー
  • Citrix Gateway 仮想サーバーのSSLサーバー証明書
  • プライマリ認証および任意のオプションのセカンダリ認証設定
  • ポータル・テーマの選択とオプションのカスタマイズ
  • Citrix Gateway ポータルからアクセスされるユーザーアプリケーション

これらの要素ごとに、設定情報を指定する必要があります。Citrix Gateway の基本的な展開では、次の情報が必要です。

  • プライマリCitrix Gateway 仮想サーバーの場合、展開環境のパブリックIPアドレスとIPポート番号。これは、DNSでCitrix Gateway のURLのホスト名に解決されるIPアドレスです。たとえば、Citrix Gateway デプロイメントのURLがhttps://mycompany.com/の場合、IPアドレスはmycompany.comに解決する必要があります。
  • デプロイメント用の署名付き SSL サーバー証明書。Citrix Gateway は、PEMまたはPFX形式の証明書をサポートしています。
  • プライマリ認証サーバ情報。この認証構成でサポートされる認証システムは、LDAP/Active Directory、RADIUS、および証明書ベースです。セカンダリ LDAP または RADIUS 認証設定を作成することもできます。認証サーバの IP アドレスは、関連する管理者の資格情報またはディレクトリ属性とともに提供する必要があります。証明書認証では、デバイス証明書アトリビュートと CA 証明書を指定する必要があります。
  • ポータル・テーマを選択できます。カスタマイズまたはブランド化されたポータル・デザインが必要な場合は、ウィザードを使用してカスタム・グラフィックをシステムにアップロードできます。
  • Web ベースのユーザアプリケーションの場合、個々のアプリケーションの URL を指定する必要があります。SAML シングルサインオン認証を利用する Web アプリケーションの場合、ユーティリティはアサーションコンシューマーサービス URL を他のオプションの SAML パラメータとともに収集します。SAML 認証システムを使用するアプリケーションの構成の詳細を事前に収集します。
  • Citrix Gateway 展開でCitrix Virtual Apps and Desktops の公開リソースを利用できるようにするには、統合ポイント(StoreFront、Web Interface、またはCitrix ADC上のWeb Interface)を指定する必要があります。ユーティリティには、統合ポイントの完全修飾ドメイン名、サイトパス、シングルサインオンドメイン、Secure Ticket Authority (STA) サーバー URL、および統合ポイントの種類に応じてその他のものが必要です。

追加の構成管理

代替SSL設定やセッションポリシーなど、Citrix Gateway 構成ユーティリティでは利用できないサイト固有の設定については、Citrix Gateway構成ユーティリティで必要な設定を管理できます。Citrix Gateway 構成ユーティリティによって作成されたコンテンツスイッチングまたはVPN仮想サーバーでこれらの設定を変更できます。

コンテンツスイッチング仮想サーバ

これは、展開のメインIPアドレスとURLの背後にあるCitrix ADC構成エンティティです。SSL サーバーの証明書とパラメーターは、この仮想サーバー上で管理されます。この仮想サーバは展開の応答ネットワークホストであるため、必要に応じて ICMP サーバの応答と RHI の状態をこの仮想サーバ上で変更できます。コンテンツスイッチング仮想サーバーは、[ トラフィック管理 ] > [ コンテンツスイッチング ] > [ 仮想サーバー ] の [設定] タブにあります。

VPN 仮想サーバー

Citrix Gateway 構成の他のVPNパラメータ、プロファイル、ポリシーバインディングはすべて、メイン認証構成を含め、この仮想サーバー上で管理されます。このエンティティは、Citrix Gateway >仮想サーバーの「構成」タブで管理されます。関連するVPN仮想サーバーの名前には、Citrix Gateway の初期構成時にコンテンツスイッチング仮想サーバーに与えられた名前が含まれます。

注: Citrix Gateway 展開用に作成されたVPN仮想サーバーはアドレス指定できず、0.0.0.0のIPアドレスが割り当てられます。