同じ関連ドメインに起因するコンフリクトを解決するためのルートテーブル

Citrix Secure Private Accessサービスのアプリケーションドメイン機能により、お客様は、関連するアプリケーションのドメインをコネクタアプライアンスを介して外部または内部でルーティングできるようにするルーティングを決定できます。

顧客が SaaS アプリと内部 Web アプリの両方で同じ関連ドメインを設定しているとします。 たとえば、Okta が Salesforce (SaaS アプリケーション) と Jira (内部 Web アプリケーション) の両方の SAML IdP である場合、システム管理者は両方のアプリケーションの設定で*.okta.comを関連ドメインとして設定できます。これにより、競合が発生し、エンドユーザーには一貫性のない動作が発生します。このシナリオでは、管理者は要件に応じて、これらのアプリケーションをコネクタアプライアンスを介して外部または内部にルーティングするルールを定義できます。

アプリケーションドメイン機能により、管理者は、顧客のWebプロキシサーバーをバイパスして内部Webサーバーにアクセスするようにコネクタアプライアンスを構成することもできます。これらのバイパスポリシーは、以前はConnector Appliance NSCLIコマンドを実行して手動で設定されていました。

ルートテーブルの仕組み

管理者は、トラフィックフローの定義方法に応じて、アプリのルートタイプをConnector Appliance 経由で外部、内部、または外部として定義できます。

• [外部]：トラフィックはインターネットに直接流れます。
• 内部 — トラフィックはConnector Appliance スを経由して流れます。
  • Web アプリの場合、トラフィックはデータセンター内を流れます。
  • SaaS アプリケーションの場合、トラフィックはConnector Appliance 介してネットワーク外にルーティングされます。
• 内部 — プロキシをバイパスする -ドメイントラフィックは、コネクタアプライアンス上で構成されたお客様のWebプロキシをバイパスして、Citrix Cloud Connector Appliance 経由してルーティングされます。
• コネクタ経由の外部 -アプリケーションは外部ですが、トラフィックはConnector Appliance 経由して外部ネットワークに流れる必要があります。

注：

• ルートエントリは、アプリで構成されているセキュリティポリシーには影響しません。
• 管理者がルートテーブル内のエントリを使用する予定がない場合、または対応するアプリが意図したとおりに動作しない場合、管理者はエントリを削除するのではなく、単純に無効にすることができます。
• 特定のカスタマーのすべてのコネクタアプライアンスには、アプリケーションの種類に関係なく、SSO設定が適用されます。以前は、特定のアプリの SSO 設定はリソースの場所に関連付けられていました。

メインルートテーブル

メインルートテーブルには、[ Secure Private Access ] タイルからアクセスできます。

1. Citrix Cloud アカウントにログオンします。
2. 「Secure Private Access」タイルで、「 管理」をクリックします。
3. ナビゲーションペインで、[ 設定] をクリックします。[ アプリケーションドメイン ] ページが表示されます。

メインルートテーブルには、次の列が表示されます。

• FQDN/IP: トラフィックルーティングのタイプを設定するFQDNまたはIPアドレス。

• タイプ:アプリの種類。アプリの追加時に選択した内部、外部、 **または外部経由のコネクタ経由。**

  重要:

  コンフリクトがある場合、テーブル内の各行にアラートアイコンが表示されます。競合を解決するには、管理者は三角形のアイコンをクリックし、メインテーブルからアプリの種類を変更する必要があります。

• 生産資源事業所: 「 内部」タイプの工順の生産資源事業所。リソースの場所が割り当てられていない場合、それぞれのアプリの [ リソースの場所 ] 列に三角形のアイコンが表示されます。アイコンにカーソルを合わせると、次のメッセージが表示されます。

  リソースの場所が見つかりません。リソースの場所がこの FQDN に関連付けられていることを確認します。

• ステータス: [ Status ] 列のトグルスイッチを使用すると、アプリを削除せずにルートエントリのルートを無効にできます。トグルスイッチが OFF の場合、ルートエントリは有効になりません。また、完全に一致する FQDN が存在する場合、管理者は有効または無効にするルートを選択できます。
• コメント: コメントがあれば表示します。
• アクション: 編集アイコンは、リソースの場所を追加したり、ルートエントリのタイプを変更したりするために使用されます。削除アイコンは、ルートを削除するために使用されます。

FQDN を [アプリケーションドメイン] テーブルに追加する

管理者は FQDN を [アプリケーションドメイン] テーブルに追加し、適切なルーティングタイプを選択できます。

1. [アプリケーションドメイン] ページで [ 追加 ] をクリックします。
2. FQDN 名を入力し、FQDN の適切なルーティングタイプを選択します。

ミニルートテーブル

アプリケーションドメインテーブルのミニバージョンを使用して、アプリケーションの構成中にルーティングを決定できます。ミニルートテーブルは、Citrix Secure Private Accessサービスのユーザーインターフェイスの「 アプリケーション接続 」セクションにあります。

ミニルートテーブルにルートを追加するには

Citrix Secure Private Accessサービスにアプリを追加する手順は、次の2つの変更点を除いて、「 サービスとしてのソフトウェアアプリのサポート」および「エンタープライズWebアプリのサポート 」のトピックで説明されている手順と同じです。

1. 次の手順を実行します：
   • テンプレートを選択します。
   • アプリの詳細を入力します。
   • 必要に応じて、[拡張セキュリティ詳細] を選択します。
   • 必要に応じて、シングルサインオン方法を選択します。

2. [ アプリの接続] をクリックします。-アプリケーションドメインテーブルのミニバージョンを使用して、アプリケーションの構成中にルーティングを決定できます。

   

   • ドメイン: [ドメイン] 列には、特定のアプリの 1 つ以上の行が表示されます。最初の行には、管理者がアプリの詳細を追加する際に入力した実際のアプリの URL が表示されます。その他の行は、アプリの詳細を追加するときに入力されるすべての関連ドメインです。アプリの URL と関連ドメインが同じ場合は、1 行に表示されます。

   SAML SSO が選択されている場合は、1 つの行に SAML アサーション URL が表示されます。

   • タイプ: 次のいずれかのオプションを選択します。
     • [外部]：トラフィックはインターネットに直接流れます。

     • 内部 — トラフィックはConnector Appliance 経由して流れ、アプリはウェブアプリとして扱われます。

       • Web アプリの場合、トラフィックはデータセンター内を流れます。

       • SaaS アプリケーションの場合、トラフィックはConnector Appliance 介してネットワーク外にルーティングされます。

     • 内部 — プロキシをバイパスする -ドメイントラフィックは、コネクタアプライアンス上で構成されたお客様のWebプロキシをバイパスして、Citrix Cloud Connectorアプライアンスを経由してルーティングされます。
     • コネクタ経由の外部 — アプリケーションは外部ですが、トラフィックはConnector Appliance 経由して外部ネットワークに流れる必要があります。
   • リソースの場所: アプリのタイプとして [内部] を選択すると自動入力されます。別のリソースの場所が必要な場合は、これを変更します。
   • Connector Appliance ステータス: アプリの「内部」タイプを選択すると、リソースの場所とともに自動入力されます。