Citrix SSO の概要

Citrix SSOでは、Citrix Gatewayが提供する業界屈指のアプリケーションアクセスおよびデータ保護ソリューションを利用できます。ビジネスクリティカルなアプリケーション、仮想デスクトップ、企業データにいつでもどこからでも安全にアクセスできるようになりました。Citrix SSO は、Appleのネットワーク拡張 フレームワークを使用して構築されたCitrix Gateway のための次世代のVPNクライアントです. App Storeで従来のCitrix VPNクライアントに置き換えられます。

Citrix SSOアプリは、iOSでのモバイルデバイス管理(MDM)を完全にサポートします。管理者は、MDMサーバーを使用してデバイスレベルのVPNプロファイルやアプリごとのVPNプロファイルをリモートで構成して管理できるようになりました。

新機能

従来のCitrix VPNクライアントは、AppleのプライベートVPN APIを使用して構築されており、現在は廃止されました。Citrix SSO でのVPNサポートは、Appleのパブリックネットワーク拡張フレームワークを使用して一から書き直されました。

Citrix SSO アプリで導入された主な機能の一部を以下に示します。

パスワードトークン: パスワードトークンは、VIP、OKTAなどのセカンダリパスワードサービスに代わる6桁のコードです。このコードは、時間ベースのワンタイムパスワード (T-OTP) プロトコルを使用して、Google Authenticator、Microsoft Authenticator システムなどのサービスに似た OTP コードを生成します。ユーザーは、特定のActive Directory ユーザーのCitrix Gateway への認証中に、2つのパスワードの入力を求められます。2つ目の要因は、ユーザーがGoogleやMicrosoft Authenticator などの登録済みのサードパーティサービスからデスクトップブラウザにコピーする6桁のコードです。

ユーザーは、まずCitrix ADCアプライアンスでT-OTPに登録する必要があります。登録手順については、https://support.citrix.com/article/CTX228454を参照してください。アプリでは、Citrix ADCで生成されたQRコードを スキャンするか、TOTPシークレットを手動で入力することで、OTP機能を追加できます。一度追加したOTPトークンは、ユーザー・インタフェースのパスワード・トークン・セグメントに表示されます。 エクスペリエンスを向上させるために、OTP を追加すると、VPN プロファイルを自動的に作成するように求められます。ユーザーは、この VPN プロファイルを利用して、iOS デバイスから VPN に直接接続できます。

注:

  • Citrix SSO アプリは、ネイティブOTPサポートに登録する際に、QRコードをスキャンするために使用できます。
  • Citrix Gateway のプッシュ通知機能は、Citrix SSO アプリのユーザーだけが使用できます。
  • パスワードトークン機能は、iOS ユーザー向けCitrix SSO でのみ使用できます。

プッシュ通知: Citrix Gateway は登録済みのモバイルデバイスにプッシュ通知を送信し、2要素認証を簡素化します。Citrix SSO Oアプリを開いて、Citrix ADC ログオンページで2番目の要素OTPを入力する代わりに、登録されたデバイスのPIN/タッチID/顔IDを入力することで、身元を検証できます。

注:

  • プッシュ通知用にデバイスを登録したら、Citrix SSO Oアプリケーションを使用してネイティブOTPサポート用にデバイスを使用することもできます。 プッシュ通知の登録は、ユーザーに対して透過的です。ユーザーがTOTPを登録すると、Citrix ADCがプッシュ通知をサポートしている場合、デバイスもプッシュ通知に登録されます。
  • プッシュ通知機能は、iOS ユーザー向けの Citrix SSO でのみ使用できます。

CitrixのVPNとCitrix のSSOの機能比較

重要:Citrix VPNは、iOS 12以降では使用できません。VPNを続行するには、Citrix SSO アプリを使用します。

以下は、さまざまな機能が使用可能かに関するCitrix VPNとCitrix SSOの比較表です。

機能 Citrix VPN Citrix SSO
デバイスレベルのVPN サポート対象 サポート対象
Per-App VPN(MDMのみ) サポート対象 サポート対象
Per-App分割トンネル 未サポート サポート対象
MDM構成済みVPNプロファイル サポート対象 サポート対象
オンデマンドVPN サポート対象 サポート対象
パスワードトークン(T-OTPベース) 未サポート サポート対象
プッシュ通知ベースのログイン(登録済みスマートフォンからの第2要素) 未サポート サポート対象
証明書ベースの認証 サポート対象 サポート対象
ユーザー名/パスワード認証 サポート対象 サポート対象
Citrix Endpoint Management によるネットワークアクセス制御チェック(以前のXenMobile) 未サポート サポート対象
Microsoft Intune を使用したネットワークアクセス制御のチェック サポート対象 サポート対象
DTLSサポート 未サポート サポート対象
ユーザが作成した VPN プロファイルをブロックする サポート対象 サポート対象
Citrix Cloud管理のネイティブアプリでのシングルサインオン 未サポート サポート対象
サポートされるOSバージョン iOS 9、10、11(iOS 12以降では機能しません) iOS 9+

MDM製品との互換性

Citrix SSO は、Citrix Endpoint Management(以前のXenMobile の)、Microsoft Intune などのほとんどのMDMプロバイダと互換性があります。

Citrix SSO は、ネットワークアクセス制御(NAC)と呼ばれる機能もサポートしています。NAC の詳細については、ここをクリックしてください。NACを使用すると、MDM管理者はCitrix ADCに接続する前にエンドユーザーデバイスのコンプライアンスを強制することができます。Citrix SSO の NAC には、Citrix Endpoint Managementや Intune および Citrix ADC などの MDM サーバーが必要です。

Citrix SSO 用の MDM 管理対象の VPN プロファイルを構成する

以下のセクションでは、例としてCitrix Endpoint Management(以前のXenMobile)を使用して、Citrix SSO のデバイス全体とアプリごとのVPNプロファイルの両方を設定する手順について説明します。他のMDMソリューションでは、Citrix SSO を使用する際には、このドキュメントを参照として使用できます。

:このセクションでは、基本的なデバイス全体およびアプリケーションごとの VPN プロファイルの設定手順について説明します。また、Citrix Endpoint Management(旧XenMobile)のドキュメントまたはAppleのMDM VPNペイロード構成に従って、オンデマンド、常時オン、プロキシを構成することもできます。

デバイスレベルの VPN プロファイル

デバイスレベルの VPN プロファイルは、システム全体の VPN を設定するために使用されます。すべてのアプリケーションとサービスからのトラフィックは、Citrix ADCで定義されたVPNポリシー(フルトンネル、分割トンネル、リバース分割トンネルなど)に基づいてCitrix Gatewayにトンネリングされます。

Citrix Endpoint Management でデバイスレベルのVPNを構成するには

Citrix Endpoint Management でデバイスレベルのVPNを構成するには、次の手順を実行します。

1. Citrix Endpoint Management MDMコンソールで、「 設定 」>「 デバイスポリシー 」>「 新しいポリシーの追加 」の順に選択します。

2. 左側の [ポリシープラットフォーム] ペインで [ iOS ] を選択します。右側のペインで [ VPN ] を選択します。

3. [ ポリシー情報 ] ページで、有効なポリシー名と説明を入力し、[ 次へ ] をクリックします。

4. iOS の VPN ポリシー ページで、有効な接続名を入力し、[ 接続の種類 ] で [カスタム SSL ] を選択します。

: MDM VPN ペイロードでは、接続名は UserDefinedNameキーに対応し、 VPN タイプキーVPNに設定する必要があります。

5.カスタムSSL識別子(逆DNS形式)に、「 com.citrix.NetScalerGateway.ios.app」と入力します。これは、iOS上のCitrix SSO アプリケーションのバンドル識別子です。

:MDM VPN ペイロードでは、カスタム SSL 識別子は VPNSubTypeキーに対応します。

6.プロバイダーバンドル識別子 に、「 com.citrix.NetScalerGateway.ios.app.vpnplugin 」と入力します。これは、Citrix SSO iOSアプリのバイナリに含まれるネットワーク拡張のバンドル識別子です。

: MDM VPN ペイロードでは、プロバイダーバンドル識別子は プロバイダーバンドル識別子キーに対応します。

7. [ サーバー名またはIPアドレス ] に、このCitrix Endpoint Management インスタンスに関連付けられたCitrix ADC IPアドレスまたはFQDN(完全修飾ドメイン名)を入力します。

設定ページの残りのフィールドはオプションです。これらのフィールドの設定は、Citrix Endpoint Management(以前のXenMobile の)ドキュメントに記載されています。

8. [ 次へ] をクリックします。

ローカライズされた画像

9.[保存] をクリックします。

アプリケーションごとの VPN プロファイル

アプリケーションごとの VPN プロファイルは、特定のアプリケーションの VPN を設定するために使用されます。特定のアプリケーションからのトラフィックのみがCitrix Gateway にトンネリングされます。アプリケーションごとの VPN ペイロードは、デバイス全体の VPN のすべてのキーに加えて、いくつかの追加キーをサポートします。

Citrix Endpoint Management でアプリケーションレベルごとのVPNを構成するには

アプリケーションごとの VPN を設定するには、次の手順を実行します。

1. Citrix Endpoint Management でデバイスレベルのVPN構成を完了します。

2. [アプリケーション ごとの VPN] セクションで、[アプリケーションごとの VPN を有効にする ] スイッチをONにします。

3.マッチアプリの起動時にCitrix SSO を自動的に起動する必要がある場合は、[オンデマンドマッチアプリ有効]スイッチをONにします 。これは、ほとんどのアプリごとのケースで推奨されます。

:MDM VPN ペイロードでは、このフィールドは OnDemandMatchAppEnabledキーに対応します。

4. [ プロバイダタイプ] で、[ パケットトンネル] を選択します。

: MDM VPN ペイロードでは、このフィールドはキー プロバイダータイプに対応します。

5. Safari ドメインの設定はオプションです。Safariドメインが設定されている場合、ユーザーがSafariを起動し、[ ドメイン ]フィールドのURLと一致するURLに移動すると、Citrix SSO が自動的に起動します。特定のアプリで VPN を制限する場合は、これはお勧めできません。

: MDM VPN ペイロードでは、このフィールドはキー SafariDomainsに対応します。

設定ページの残りのフィールドはオプションです。これらのフィールドの設定は、Citrix Endpoint Management(以前のXenMobile の)ドキュメントに記載されています。

ローカライズされた画像

14. [ 次へ] をクリックします。

15.[保存] をクリックします。

この VPN プロファイルをデバイス上の特定のアプリに関連付けるには、このガイド(https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/)に従ってApp Inventory ポリシーと認証情報プロバイダーポリシーを作成する必要があります。

クライアント認証のために証明書をCitrix SSO にインポートする

iOSのCitrix SSOは、Citrix Gatewayでのクライアント証明書認証をサポートしています。iOSでは、証明書は次のいずれかの方法でCitrix SSO アプリケーションに配信できます。

  • MDMサーバ-これは、MDMのお客様にとって好ましいアプローチです。証明書は、MDM 管理対象 VPN プロファイルに直接設定されます。デバイスがMDMサーバーに登録されると、VPNプロファイルと証明書の両方が登録済みデバイスにプッシュされます。この方法については、MDM ベンダー固有のドキュメントに従ってください。

  • メール - MDM以外をご使用のお客様の唯一のアプローチです。この方法では、管理者は PCKS #12 ファイルとして添付されたユーザー証明書ID (証明書と秘密鍵) を電子メールでユーザーに送信します。添付ファイル付きの電子メールを受信するには、iOS デバイスで電子メールアカウントを設定する必要があります。このファイルは、iOSのCitrix SSO アプリケーションにインポートされます。次のセクションでは、このアプローチの設定手順について説明します。

前提条件

  • ユーザー証明書-特定のユーザーの拡張子が.pfx または.p12 の PKCS #12 ID ファイル。このファイルには、証明書と秘密キーの両方が含まれています。

  • iOSデバイス上で設定された電子メールアカウント。

  • iOSデバイスにインストールされているCitrix SSO アプリ。

構成の手順

1. ユーザー証明書の拡張子/MIMEタイプの名前を変更します。

ユーザー証明書で最も一般的に使用されるファイル拡張子は「.pfx」、「.p12」などです。これらのファイル拡張子は、.pdf、.docなどの形式とは異なり、iOSプラットフォームでは非標準です。「.pfx」と「.p12」はいずれもiOSシステムによって請求され、Citrix SSO などのサードパーティ製アプリでは請求できません。したがって、Citrix SSO では、「.citrixsso-pfx」と「.citrixsso-p12」という新しい拡張/MIMEタイプが定義されています。管理者は、ユーザー証明書の拡張子/MIMEタイプを標準の「.pfx」または「.p12」から「.citrixsso-pfx」または「.citrixsso-p12」 に変更する必要があります。拡張機能の名前を変更するには、管理者はコマンドプロンプトまたはターミナルで次のコマンドを実行できます。

Windows 10

cd <DIRECTORY_PATH_TO_CERTIFICATE_FILE>
rename <CERTIFICATE_FILE_NAME>.pfx <CERTIFICATE_FILE_NAME>.citrixsso-pfx

macOS

cd <DIRECTORY_PATH_TO_CERTIFICATE_FILE>
mv <CERTIFICATE_FILE_NAME>.pfx <CERTIFICATE_FILE_NAME>.citrixsso-pfx

2. ファイルを電子メールの添付ファイルとして送信します。

新しい拡張子のユーザー証明書ファイルを、電子メールの添付ファイルとしてユーザーに送信できるようになりました。

3. Citrix SSO アプリでメールを開きます。

  • メールを受信すると、ユーザーは添付ファイルをタップして、システム「OpenIn」メニューを表示する必要があります。

  • Citrix SSOにコピーをタップします。

sso-ios-email

4. Citrix SSO アプリケーションに証明書をインストールします。

  • これでアプリケーションが起動し、証明書パスフレーズのプロンプトがユーザーに表示されます。ユーザーは、アプリのキーチェーンにインストールする証明書の正しいパスフレーズを入力する必要があります。

— 検証に成功すると、証明書がインポートされます。

sso-ios-install

5. VPN での証明書ベースの認証の使用。

  • VPN認証に証明書を使用するには、まずCitrix SSO でVPN構成/プロファイルを作成する必要があります。[VPN 接続] ビューに移動し、[VPN 設定の追加] をタップします。

  • VPN プロファイルの設定ビューで、ユーザーは [証明書の設定] セクションでインポートされた証明書を選択できます。

sso-ios-certificate1

  • [保存] をタップして証明書をインポートします。証明書は正常にインポートされました。

sso-ios-certificate2

6. 証明書の管理。 Citrix SSO にインポートされた証明書は、[アプリケーション設定]>[証明書]の順に選択して管理できます。

アプリケーション単位の VPN での分割トンネルの設定

MDM のお客様は、Citrix SSO 用にアプリケーションごとの VPN で分割トンネルを設定できます。これを行うには、MDM サーバーで作成された VPN プロファイルのベンダー設定セクションに、次のキーと値のペアを追加する必要があります。

-  キー =「アプリケーションごとの分割トンネル」
-  値 =「真または1またははい」

キーは大文字と小文字を区別し、完全に一致する必要があります。value は大文字と小文字を区別しません。

: ベンダー構成を構成するためのユーザーインターフェイスは、MDM ベンダー間で標準ではありません。MDM ユーザーコンソールでベンダーの構成セクションを検索するのには、MDM の製造元に問い合わせる必要があります。

以下は、Citrix Endpoint Management の構成(ベンダー固有の設定)のサンプルスクリーンショットです。

split-tunnel-per-app-CEM

以下は、Microsoft Intune の構成 (ベンダー固有の設定) のサンプルスクリーンショットです。

split-tunnel-per-app-Intune

ユーザが作成した VPN プロファイルの無効化

MDMのお客様は、ユーザーがCitrix SSO アプリケーション内からVPNプロファイルを手動で作成できないようにすることができます。これを行うには、MDM サーバーで作成された VPN プロファイルのベンダー設定セクションに、次のキーと値のペアを追加する必要があります。

-  キー =「ユーザープロファイルの無効化」
-  値 =「真または1またははい」

キーは大文字と小文字を区別し、完全に一致する必要があります。value は大文字と小文字を区別しません。

: ベンダー構成を構成するためのユーザーインターフェイスは、MDM ベンダー間で標準ではありません。MDM ユーザーコンソールでベンダーの構成セクションを検索するのには、MDM の製造元に問い合わせる必要があります。

以下は、Citrix Endpoint Management の構成(ベンダー固有の設定)のサンプルスクリーンショットです。

disable-VPN-CEM

以下は、Microsoft Intune の構成 (ベンダー固有の設定) のサンプルスクリーンショットです。

disable_VPN_Intune

既知の問題

問題の説明: アプリケーションごとの VPN またはオンデマンド VPN 設定で「.local」ドメインを含む FQDN アドレスのトンネリング。Appleのネットワーク拡張フレームワークには、ドメイン部分に.local を含む FQDN アドレス(たとえば、http://wwww.abc.local)がシステムの TUN インターフェイスを介してトンネリングされないようにするバグがあります。このアドレスのトラフィックは、代わりにデバイスの物理インターフェイスを介して送信されます。この問題は、アプリケーションごとの VPN 設定またはオンデマンド VPN 設定でのみ発生し、システム全体の VPN 設定では発生しません。Citrix はAppleにレーダーバグ報告を提出しており、AppleはRFC-6762:https://tools.ietf.org/html/rfc6762によると、.localはマルチキャストDNS(mDNS) クエリであるため、バグではないと指摘していました。しかし、Appleはまだバグを終了しておらず、今後のiOSリリースで問題が解決されるかどうかは不明です。

回避策:回避策などのアドレスには、.local 以外のドメイン名を割り当てます。

制限事項

  • FQDN ベースの分割トンネリングは、まだ完全にはサポートされていません。
  • エンドポイント分析(EPA)は、iOS ではサポートされていません。
  • ポート/プロトコルに基づく分割トンネリングはサポートされていません。

よくあるご質問

このセクションでは、Citrix SSO アプリに関するよく寄せられる質問について説明します。

Citrix SSO アプリとCitrixのVPNアプリとの違いは何ですか? Citrix SSO は、Citrix ADC 用の次世代の SSL VPN クライアントです。このアプリは、Appleのネットワーク拡張フレームワークを使用して、iOSおよびmacOSデバイス上のVPN接続を作成および管理します。Citrix VPNは、AppleのプライベートVPN APIを使用したレガシーVPNクライアントであり、現在は廃止されています。Citrix VPNのサポートは、今後数ヶ月以内にApp Storeから削除されます。

NEとは何ですか? Appleのネットワーク拡張(NE)フレームワークは、iOSとmacOSのコアネットワーク機能をカスタマイズして拡張するために使用できるAPIを含む最新のライブラリです。SSL VPN をサポートするネットワーク 拡張機能は、iOS 9 以降および macOS 10.11 以降を実行しているデバイスで使用できます。

Citrix SSOと互換性があるのはどのバージョンのCitrix ADCですか? Citrix SSOのVPN機能は、Citrix ADCバージョン10.5以降でサポートされています。TOTPは、Citrix ADCバージョン12.0以降で使用できます。Citrix ADCでのプッシュ通知は、まだ 公表されていません。アプリには、iOS 9以降とmacOS 10.11以降のバージョンが必要です。

MDM 以外のお客様に対する証明書ベースの認証はどのように機能しますか? Citrix VPNでクライアント証明書認証を実行するために電子メールまたはブラウザ経由で証明書を配布していたお客様は、Citrix SSO を使用するときにこの変更に注意する必要があります。これは、MDM サーバーを使用してユーザー証明書を配布しない非 MDM のお客様に ほとんど当てはまります。証明書を 配布するには、「電子メールによるCitrix SSO への証明書のインポート」を参照してください。

ネットワークアクセスコントロール(NAC)とは何ですか。Citrix SSO および Citrix Gateway を使用して NAC を設定するにはどうすればよいですか。 Microsoft Intune および Citrix Endpoint Management (以前のXenMobile) MDM のお客様は、Citrix SSO のネットワークアクセス制御 (NAC) 機能を利用できます。NAC を使用すると、 管理者は MDM サーバによって管理されるモバイルデバイスの認証レイヤを追加することで、企業の内部ネットワークを保護できます。管理者は、Citrix SSO で認証時にデバイスの コンプライアンスチェックを強制することができます。

Citrix SSO で NAC を使用するには、Citrix Gateway と MDM サーバーの両方で NAC を有効にする必要があります。

  • Citrix ADC で NAC を有効にするには、これリンクを参照してください。
  • MDM ベンダーが Intune の場合は、これリンクを参照してください。
  • MDMベンダーがCitrix Endpoint Management(以前のXenMobile の)である場合は、これリンクを参照してください。

:サポートされるCitrix SSO の最小バージョンは1.1.6です。