Citrix Gateway

SameSite クッキー属性の構成サポート

SameSite属性は、Cookie をクロスサイトコンテキストに使用するか、同一サイトコンテキストにのみ使用できるかをブラウザに示します。アプリケーションがクロスサイトコンテキストでアクセスされる場合は、HTTPS 接続を介してのみアクセスできます。詳細については、RFC6265 を参照してください。

2020年2月まで、SameSite属性はCitrix ADCアプライアンスで明示的に設定されていませんでした。ブラウザはデフォルト値 (None) を使用しました。SameSite属性の設定なしは、Citrix Gateway および Citrix ADC AAA 展開には影響しませんでした。

Google Chrome 80 などの特定のブラウザのアップグレードでは、Cookie のデフォルトのクロスドメイン動作に変更があります。 SameSite この属性は、次のいずれかの値に設定できます。Google Chromeのデフォルト値はLaxに設定されています。他のブラウザーの特定のバージョンでは、SameSite属性のデフォルト値がまだ None に設定されている場合があります。

  • なし:ブラウザーが安全な接続でのみクロスサイトコンテキストで Cookie を使用することを示します。
  • Lax: ブラウザが同一サイトコンテキストのリクエストに Cookie を使用することを示します。クロスサイトコンテキストでは、GETリクエストなどの安全なHTTPメソッドのみがCookieを使用できます。
  • 厳格:Cookie は同じサイトコンテキストでのみ使用します。

クッキーにSameSite属性がない場合、Google Chrome は SameSite = Lax の機能性を前提としています。 その結果、ブラウザーによって Cookie を挿入する必要があるクロスサイトコンテキストを持つ iframe 内のデプロイメントでは、Google Chrome はクロスサイト Cookie を共有しません。その結果、Web サイト内の iframe が読み込まれないことがあります。

SameSite Cookie属性を設定する

SameSite という名前の新しいクッキー属性が、VPN および Citrix ADC AAA 仮想サーバに追加されます。この属性は、グローバルレベルおよび仮想サーバレベルで設定できます。

SameSite属性を設定するには、次の手順を実行する必要があります。

  1. 仮想サーバのSameSite属性を設定する
  2. クッキーをにpatsetバインドする(ブラウザがクロスサイトクッキーをドロップした場合、ブラウザによってドロップされる)

CLIを使用したSameSite属性の設定

仮想サーバレベルでSameSite属性を設定するには、次のコマンドを使用します。

set vpn vserver VP1 -SameSite  [ STRICT | LAX | None ]
set aaa vserver VP1 -SameSite  [ STRICT | LAX | None ]
<!--NeedCopy-->

グローバルレベルでSameSite属性を設定するには、次のコマンドを使用します。

set vpn param VP1 -SameSite  [ STRICT | LAX | None ]
set aaa param VP1 -SameSite  [ STRICT | LAX | None ]
<!--NeedCopy-->

:仮想サーバーレベルの設定は、グローバルレベル設定よりも優先されます。SameSiteCookie属性を仮想サーバーレベルで設定することをお勧めします。

ブラウザーがクロスサイト Cookie をドロップした場合、その Cookie 文字列を既存のns_cookies_SameSite patsetにバインドして、SameSite属性が Cookieに追加されるようにすることができます。

例:

bind patset ns_cookies_SameSite "NSC_TASS"
bind patset ns_cookies_SameSite "NSC_TMAS"
<!--NeedCopy-->

GUI を使用して sameSite 属性を設定する

仮想サーバレベルでSameSite属性を設定するには、次の手順を実行します。

  1. Citrix Gateway]>[仮想サーバー]に移動します。
  2. 仮想サーバを選択し、[ 編集(Edit)] をクリックします。
  3. [ 基本設定 ] セクションで編集アイコンを選択し、[ 詳細] をクリックします。

    基本設定の [詳細] をクリックします。

  4. SameSiteで、必要に応じてオプションを選択します。

    ![ SameSite チェックボックスを設定] (/en-us/citrix-gateway/media/samesite-gateway-virtualserver.png)

グローバルレベルでSameSite属性を設定するには、次の手順を実行します。

  1. Citrix Gateway]>[グローバル設定]>[グローバル設定の変更]に移動します。
  2. [セキュリティ] タブをクリックします。
  3. SameSiteで、必要に応じてオプションを選択します。

    ![ SameSite チェックボックスを選択] (/en-us/citrix-gateway/media/samesite-gateway-global-setting.png)

SameSite クッキー属性の構成サポート