Citrix Gateway

Citrix Gateway について

Citrix Gateway は導入が簡単で、管理も簡単です。最も一般的な展開構成は、DMZにCitrix Gateway アプライアンスを配置することです。より複雑な展開のために、複数のCitrix Gateway アプライアンスをネットワークにインストールできます。

Citrix Gateway を初めて起動するときに、シリアルコンソール、構成ユーティリティのセットアップウィザード、または動的ホスト構成プロトコル(DHCP)を使用して初期構成を実行できます。MPX アプライアンスでは、アプライアンスの前面パネルにある LCD キーパッドを使用して初期設定を実行できます。IP アドレス、サブネットマスク、デフォルトゲートウェイ IP アドレス、ドメインネームシステム (DNS) アドレスなど、内部ネットワークに固有の基本設定を構成できます。基本的なネットワーク設定を構成したら、認証、承認、ネットワークリソース、仮想サーバー、セッションポリシー、エンドポイントポリシーのオプションなど、Citrix Gateway 操作に固有の設定を構成します。

Citrix Gateway をインストールして構成する前に、このセクションのトピックで展開の計画に関する情報を確認してください。展開計画には、アプライアンスを設置する場所の決定、DMZ への複数のアプライアンスのインストール方法の理解、およびライセンス要件が含まれます。Citrix Gateway は、セキュリティで保護されたネットワークで実行されている既存のハードウェアまたはソフトウェアを変更することなく、任意のネットワークインフラストラクチャにインストールできます。Citrix Gateway は、サーバーロードバランサー、キャッシュエンジン、ファイアウォール、ルーター、IEEE 802.11ワイヤレスデバイスなどの他のネットワーク製品をサポートしています。

Citrix Gateway を構成する前に、インストール前チェックリストに設定を書いて、手元に置くことができます。

   
Citrix Gateway アプライアンス Citrix Gateway アプライアンスおよびアプライアンスのインストール手順について説明します。
インストール前のチェックリスト 確認する計画情報と、Citrix Gateway をネットワークにインストールする前に完了する必要があるタスクの一覧を示します。
一般的なデプロイ ネットワークDMZ、DMZのない安全なネットワーク、および負荷分散とフェイルオーバーをサポートするための他のアプライアンスとのCitrix Gateway の展開に関する情報を提供します。また、Citrix Virtual Apps and Desktopsを使用したCitrix Gateway の展開に関する情報も記載されています。
ライセンス アプライアンスにライセンスをインストールする方法について説明します。また、複数のCitrix Gateway アプライアンスにライセンスをインストールする方法についても説明しています。

Citrix Gateway アーキテクチャ

Citrix Gateway のコアコンポーネントは次のとおりです。

  • 仮想サーバー。Citrix Gateway 仮想サーバーは、ユーザーが利用できるすべての構成済みサービスを代表する内部エンティティです。仮想サーバは、ユーザがこれらのサービスにアクセスするためのアクセスポイントでもあります。1つのアプライアンスに複数の仮想サーバーを構成できるため、1つのCitrix Gateway アプライアンスが異なる認証およびリソースアクセスの要件を持つ複数のユーザーコミュニティにサービスを提供できます。

  • 認証、認可、アカウンティング。認証、承認、およびアカウンティングを構成して、ユーザーがCitrix Gateway またはセキュリティで保護されたネットワークに配置された認証サーバー(LDAPやRADIUSなど)で認識する資格情報を使用してCitrix Gateway にログオンできるようにすることができます。承認ポリシーは、ユーザーのアクセス許可を定義し、特定のユーザーがアクセスを許可されるリソースを決定します。認証と認可の詳細については、「 認証と認可の設定」を参照してください。アカウンティングサーバーは、ユーザーログオンイベント、リソースアクセスインスタンス、操作エラーなど、Citrix Gateway アクティビティに関するデータを保持します。この情報は、Citrix Gateway または外部サーバーに保存されます。アカウンティングの詳細については、「 Citrix Gateway での監査の構成」を参照してください。
  • ユーザー接続。ユーザーは、次のアクセス方法を使用してCitrix Gateway にログオンできます。

    • Windows向けCitrix Secure Accessエージェントは、Windowsベースのコンピューターにインストールされるソフトウェアです。ユーザーは、Windows ベースのコンピューターの通知領域のアイコンを右クリックしてログオンします。ユーザーがCitrix Secure Accessエージェントがインストールされていないコンピューターを使用している場合、Webブラウザーを使用してログオンし、プラグインをダウンロードしてインストールできます。ユーザーがCitrix Workspace アプリをインストールしている場合、ユーザーはCitrix WorkspCitrix Workspace アプリからCitrix Secure Accessエージェントを使用してログオンします。Citrix Workspace アプリとCitrix Secure Accessエージェントがユーザーデバイスにインストールされると、Citrix Workspace アプリはCitrix Secure Accessエージェントを自動的に追加します。

    • macOS X を実行しているユーザーがログオンできるようにする macOS X 用の Citrix Secure Access Agent。Windows向けCitrix Secure Accessエージェントと同じ特徴と機能を備えています。このプラグインバージョンのエンドポイント分析サポートを提供するには、Citrix ADC Gateway 10.1、ビルド120.1316.eをインストールします。

    • Web InterfaceまたはCitrix StoreFront を使用して、サーバーファーム内の公開アプリケーションおよび仮想デスクトップへのユーザー接続を可能にするCitrix Workspaceアプリ。

    • Citrix Workspace アプリ、Secure Hub、WorxMail、およびWorxWeb。ユーザーは、Citrix Endpoint ManagementでホストされているWebおよびSaaSアプリケーション、iOSおよびAndroidモバイルアプリ、およびShareFileデータにアクセスできます。

    • ユーザーは、Citrix Gateway Webアドレスを使用するAndroidデバイスから接続できます。ユーザーがアプリを起動すると、接続はMicro VPNを使用してネットワークトラフィックを内部ネットワークにルーティングします。ユーザーがAndroidデバイスから接続する場合は、Citrix Gateway でDNS設定を構成する必要があります。詳細については、「 Android デバイスの DNS サフィックスを使用した DNS クエリのサポート」を参照してください。

    • ユーザーは、Citrix Gateway Webアドレスを使用するiOSデバイスから接続できます。Secure Browse は、グローバルに、またはセッションプロファイルで構成します。ユーザーがiOSデバイスでアプリを起動すると、VPN接続が開始され、接続がCitrix Gateway 経由でルーティングされます。

    • クライアントレスアクセス。ユーザーデバイスにソフトウェアをインストールしなくても、必要なアクセスをユーザーに提供します。

      Citrix Gateway を構成するときに、ユーザーのログオン方法を構成するポリシーを作成できます。また、セッションおよびエンドポイントの分析ポリシーを作成して、ユーザーのログオンを制限することもできます。

  • ネットワークリソース。これには、ファイルサーバー、アプリケーション、Webサイトなど、ユーザーがCitrix Gateway を介してアクセスするすべてのネットワークサービスが含まれます。

  • 仮想アダプタ。Citrix Gateway 仮想アダプターは、IPスプーフィングを必要とするアプリケーションをサポートします。仮想アダプターは、Citrix Secure Accessエージェントのインストール時にユーザーデバイスにインストールされます。ユーザーが内部ネットワークに接続すると、Citrix Gateway と内部サーバー間の送信接続では、イントラネットIPアドレスが送信元IPアドレスとして使用されます。Citrix Secure Accessエージェントは、このIPアドレスを構成の一部としてサーバーから受信します。

    Citrix Gateway でスプリットトンネリングを有効にすると、すべてのイントラネットトラフィックが仮想アダプタを介してルーティングされます。イントラネットにバインドされたトラフィックをインターセプトする場合、仮想アダプタは A および AAAA レコードタイプの DNS クエリをインターセプトし、他のすべての DNS クエリはそのまま残します。内部ネットワークにバインドされていないネットワークトラフィックは、ユーザーデバイスにインストールされているネットワークアダプタを介してルーティングされます。インターネットとプライベート LAN (LAN) 接続はオープンで接続されたままです。スプリットトンネリングを無効にすると、すべての接続が仮想アダプタを介してルーティングされます。既存の接続はすべて切断され、ユーザーはセッションを再確立する必要があります。

    イントラネット IP アドレスを構成すると、内部ネットワークへのトラフィックは、仮想アダプタを介してイントラネット IP アドレスでスプーフィングされます。

ユーザー接続の仕組み

ユーザーは、電子メール、ファイル共有、およびその他のネットワークリソースにリモートの場所から接続できます。ユーザーは、次のソフトウェアを使用して内部ネットワークリソースに接続できます。

  • Citrix Secure Access Agent
  • Citrix Workspaceアプリ
  • WorxMailとWorxWeb
  • Android と iOS のモバイルデバイス

Citrix Secure Access Agentと接続する

Citrix Secure Accessエージェントを使用すると、ユーザーは次の手順で内部ネットワーク内のリソースにアクセスできます。

  1. ユーザーは、WebブラウザーにWebアドレスを入力して、Citrix Gateway に初めて接続します。ログオンページが表示され、ユーザーはユーザー名とパスワードの入力を求められます。外部認証サーバーが構成されている場合、Citrix Gateway はサーバーに接続し、認証サーバーはユーザーの資格情報を確認します。ローカル認証が構成されている場合、Citrix Gateway はユーザー認証を実行します。
  2. 事前認証ポリシーを構成する場合、ユーザーがWindowsベースのコンピューターまたはmacOS XコンピューターのWebブラウザーにCitrix Gateway Webアドレスを入力すると、Citrix Gateway は、ログオンページが表示される前にクライアントベースのセキュリティポリシーが適用されているかどうかを確認します。セキュリティチェックは、ユーザーデバイスがオペレーティングシステムの更新、ウイルス対策保護、適切に構成されたファイアウォールなどのセキュリティ関連の条件を満たしていることを確認します。ユーザーデバイスがセキュリティチェックに失敗すると、Citrix Gateway はユーザーのログオンをブロックします。ログオンできないユーザーは、必要な更新プログラムまたはパッケージをダウンロードし、ユーザーデバイスにインストールする必要があります。ユーザーデバイスが事前認証ポリシーを通過すると、ログオンページが表示され、ユーザーはログオン資格情報を入力できます。Citrix Gateway 10.1、ビルド120.1316.eをインストールすると、macOS Xコンピューターで高度なエンドポイント分析を使用できます。
  3. Citrix Gateway がユーザーを正常に認証すると、Citrix Gateway はVPNトンネルを開始します。Citrix Gateway は、Windows用のCitrix Secure AccessエージェントまたはmacOS X用のCitrix Secure Accessエージェントをダウンロードしてインストールするようにユーザーに求めます。Java用のネットワークゲートウェイプラグインを使用している場合、ユーザーデバイスも事前構成されたリソースIPアドレスとポート番号のリストで初期化されます。
  4. 認証後スキャンを構成すると、ユーザーが正常にログオンした後、Citrix Gateway はユーザーデバイス上で必要なクライアントセキュリティポリシーをスキャンします。事前認証ポリシーと同じセキュリティ関連条件を要求できます。ユーザーデバイスがスキャンに失敗すると、ポリシーが適用されないか、ユーザーが検疫グループに配置され、ネットワークリソースへのユーザーのアクセスが制限されます。
  5. セッションが確立されると、ユーザーはCitrix Gateway ホームページにリダイレクトされ、ユーザーはアクセスするリソースを選択できます。Citrix Gateway に含まれているホームページは、アクセスインターフェイスと呼ばれます。ユーザーがWindows向けCitrix Secure Accessエージェントを使用してログオンすると、Windowsデスクトップの通知領域のアイコンにユーザーデバイスが接続されたことが示され、ユーザーは接続が確立されたことを示すメッセージを受信します。ユーザーは、Microsoft Outlook を開いて電子メールを取得するなど、アクセスインターフェイスを使用せずにネットワーク内のリソースにアクセスすることもできます。
  6. ユーザー要求が事前認証と認証後の両方のセキュリティチェックに合格すると、Citrix Gateway は要求されたリソースに接続し、ユーザーデバイスとそのリソース間の安全な接続を開始します。
  7. ユーザーは、Windowsベースのコンピューターの通知領域にあるCitrix Gateway アイコンを右クリックし、[ログオフ]をクリックすることで、アクティブなセッションを閉じることができます。また、非アクティブが原因でセッションがタイムアウトすることもあります。セッションが閉じられると、トンネルはシャットダウンされ、ユーザは内部リソースにアクセスできなくなります。ユーザーは、ブラウザーにCitrix Gateway Webアドレスを入力することもできます。ユーザーが Enter キーを押すと、アクセスインターフェイスが表示され、そこからログオフできます。

注: Citrix Endpoint Managementを内部ネットワークに展開する場合、内部ネットワークの外部から接続するユーザーは、最初にCitrix Gateway に接続する必要があります。ユーザーが接続を確立すると、ユーザーはCitrix Endpoint ManagementでホストされているWebアプリケーション、SaaSアプリケーション、AndroidおよびiOSモバイルアプリ、およびShareFileデータにアクセスできます。ユーザーは、クライアントレスアクセス、またはCitrix WorkspaceアプリまたはSecure Hubを使用して、Citrix Secure Accessエージェントに接続できます。

Citrix Workspace アプリとの接続

ユーザーはCitrix Workspace アプリに接続して、Windowsベースのアプリケーションと仮想デスクトップにアクセスできます。ユーザーは、Endpoint Managementからアプリケーションにアクセスすることもできます。また、リモートの場所から接続するには、Citrix Secure Accessエージェントをデバイスにインストールします。Citrix Workspace アプリは、Citrix Secure Accessエージェントをプラグインの一覧に自動的に追加します。ユーザーがCitrix Workspace アプリにログオンすると、Citrix Secure Accessエージェントにもログオンできます。また、ユーザーがCitrix Workspaceアプリにログオンしたときに、Citrix Secure Accessエージェントへのシングルサインオンを実行するようにCitrix Gateway を構成することもできます。

iOS および Android デバイスと接続する

ユーザーは、Secure Hubを使用して、iOSまたはAndroidデバイスから接続できます。ユーザーはSecure Mailを使用して電子メールにアクセスし、WorxWebでWebサイトに接続できます。

ユーザーがモバイルデバイスから接続すると、接続はCitrix Gateway を介して内部リソースにアクセスします。ユーザーが iOS に接続する場合は、セッションプロファイルの一部としてSecure Browse を有効にします。ユーザーが Android で接続する場合、接続はマイクロ VPN を自動的に使用します。さらに、 Secure MailとWorxWebは、マイクロVPNを使用して、Citrix Gateway を介した接続を確立します。Citrix Gateway でマイクロVPNを構成する必要はありません。

Citrix Gateway について