Citrix Secure Private Access

エンタープライズWebアプリのサポート

Secure Private Accessサービスを使用したWebアプリケーションの配信により、企業固有のアプリケーションをWebベースのサービスとしてリモート配信できます。一般的に使用されるWebアプリには、SharePoint、Confluence、OneBug などがあります。

Webアプリケーションには、Secure Private Accessサービスを使用してCitrix Workspace を使用してアクセスできます。Secure Private AccessサービスとCitrix Workspace を組み合わせることで、構成済みのWebアプリ、SaaSアプリ、構成済みの仮想アプリ、またはその他のワークスペースリソースに対して統合されたユーザーエクスペリエンスを提供します。

SSO と Web アプリケーションへのリモートアクセスは、次のサービスパッケージの一部として利用できます。

  • Secure Private Accessスタンダード
  • セキュア・プライベート・アクセスアドバンス

システム要件

コネクタアプライアンス -コネクタアプライアンスをCitrix Secure Private Accessサービスと併用すると、お客様のデータセンターのエンタープライズWebアプリケーションへのVPNレスアクセスをサポートできます。詳しくは、「Connector ApplianceによるSecure Workspace Access」を参照してください。

重要:

Citrix Gateway Connector -エンタープライズWebアプリケーションへのリモートアクセスを容易にする仮想アプライアンス。Citrix Gateway Connectorは仮想アプライアンスです。仮想マシンの仕様には、少なくとも次のものが必要です。

  • 仮想 CPU の数は正確に 2 にする必要があります。
  • 最小 4 GB RAM。
  • 1 つのネットワークアダプタ (仮想 NIC)。必要に応じて、追加の仮想 NIC を追加できます。

よりクリーンなアプローチのためにエンタープライズ Web アプリを構成する前に、Gateway Connectorをインストールします。

Citrix Gateway コネクタについて詳しくは、「 Citrix Gateway コネクタ」を参照してください。

注:

Citrix Gateway Connectorを展開する必要があるオンプレミスのデータセンターにSSLインターセプトデバイスがある場合、これらのFQDNでSSLインターセプトが有効になっていると、コネクタの登録は成功しません。コネクタを正常に登録するには、これらの FQDN に対して SSL インターセプトを無効にする必要があります。 Citrix Gatewayコネクタについて詳しくは、「 Citrix Cloud Gateway コネクタ」を参照してください。

機能

Citrix Secure Private Accessサービスは、オンプレミスに展開されているコネクタを使用して、オンプレミスのデータセンターに安全に接続します。このコネクタは、オンプレミスで展開されるエンタープライズWebアプリとCitrix Secure Private Accessサービスの間のブリッジとして機能します。これらのコネクタは HA ペアで展開でき、送信接続のみが必要です。

ゲートウェイコネクタとクラウド内のCitrix Secure Private Accessサービス間のTLS接続により、クラウドサービスに列挙されるオンプレミスアプリケーションが保護されます。Web アプリケーションは、VPN レス接続を使用して Workspace 経由でアクセスおよび配信されます。

次の図は、Citrix Workspace を使用したWebアプリケーションへのアクセスを示しています。

Webアプリの仕組み

エンタープライズ Web アプリを設定するには

  1. Secure Private Access 」タイルで、「 管理」をクリックします。

  2. Secure Private Accessのランディングページで、[ 続行 ] をクリックし、[ アプリの追加] をクリックします。

    注:

    [ 続行 ] ボタンは、ウィザードを初めて使用する場合にのみ表示されます。その後の使用方法では、[ アプリケーション ] ページに直接移動して、[ アプリの追加] をクリックします。

  3. 追加するアプリを選択し、[ スキップ] をクリックします。

  4. アプリケーションの場所はどこですか?で、場所を選択します。

  5. [ アプリの詳細] セクションに次の詳細を入力し、[ 次へ] をクリックします。

    SPAアプリの詳細

    • [アプリの種類 ] — アプリの種類を選択します。 HTTP/HTTPS または UDP/TCP アプリから選択できます。

    • アプリ名 — アプリケーションの名前。

    • アプリの説明 -アプリの簡単な説明。ここに入力するこの説明は、ワークスペースのユーザーに表示されます。

    • アプリアイコン — [ アイコンの変更 ] をクリックして、アプリアイコンを変更します。アイコンファイルのサイズは 128 x 128 ピクセルにする必要があります。アイコンを変更しない場合、デフォルトのアイコンが表示されます。

      アプリアイコンを表示しない場合は、[ アプリケーションアイコンをユーザーに表示しない] を選択します。

    • ユーザーがクライアントブラウザから直接アプリにアクセスできるようにするには、[ ダイレクトアクセス ] を選択します。詳しくは、「 エンタープライズ Web アプリへの直接アクセス」を参照してください。

    • URL — 顧客 ID を含む URL。URLには、顧客ID(Citrix CloudカスタマーID)を含める必要があります。顧客 ID を取得するには、「Citrix Cloudにサインアップ」を参照してください。SSO が失敗した場合、または SSO を使用しない場合、ユーザーはこの URL にリダイレクトされます。

      顧客のドメイン名とカスタマードメインID -顧客のドメイン名とIDは、SAML SSOページでアプリの URL とその他の後続の URL を作成するために使用されます。

      たとえば、Salesforce アプリケーションを追加する場合、ドメイン名は salesforceformyorg 、ID が 123754 の場合、アプリケーション URL は https://salesforceformyorg.my.salesforce.com/?so=123754.です

      顧客のドメイン名と顧客 ID フィールドは、特定のアプリに固有です。

    • 関連ドメイン — 指定したURLに基づいて、関連ドメインが自動的に入力されます。関連ドメインは、サービスが、アプリの一部としてURLを識別し、それに応じてトラフィックをルーティングするのに役立ちます。複数の関連ドメインを追加できます。

  6. [ 次へ] をクリックします。

  7. アプリケーションに使用するシングルサインオンタイプを選択し、[ 保存] をクリックします。次のシングルサインオンタイプを使用できます。

    SPA シングルサインオン

    • 基本 — バックエンドサーバーから basic-401 チャレンジを提示する場合は、[ Basic SSO] を選択します。基本 SSO タイプの構成の詳細を指定する必要はありません。
    • Kerberos — バックエンドサーバーがネゴシエート-401 チャレンジを提示する場合は、 Kerberosを選択します。Kerberos SSO タイプの構成の詳細を指定する必要はありません。
    • フォームベース — バックエンドサーバーが認証用の HTML フォームを提示する場合は、[ フォームベース] を選択します。フォームベースの SSO タイプの設定の詳細を入力します。
    • SAML-Webアプリケーションへの SAML ベースの SSO 用の SAML を選択します。SAML SSO タイプの構成の詳細を入力します。
    • [SSO を使用しない ] — バックエンドサーバーでユーザーを認証する必要がない場合は、[ Don’t use SSO ] オプションを使用します。[ SSO を使用しない ] オプションを選択すると、ユーザーは [ アプリの詳細 ] セクションで構成された URL にリダイレクトされます。

    フォームベースの詳細:「シングルサインオン」セクションに次のフォームベースの構成の詳細を入力し、「保存」をクリックします。

    config1を保存する

    • アクション URL 」-完成したフォームの送信先の URL を入力します。
    • [ログオンフォームの URL] — ログオンフォームが表示されている URL を入力します。
    • ユーザー名フォームフィールド」 — ユーザー名属性を入力します。
    • パスワードフォームフィールド」 — パスワード属性を入力します。

    SAML: [サインオン] セクションに次の詳細を入力し、[保存] をクリックします。

    config2を保存する

    • 署名アサーション -署名アサーションまたは応答は、応答またはアサーションが証明書利用者 (SP) に配信されたときにメッセージの整合性を確保します。[ アサーション]、[応答]、[両方]、[なし]を選択できます。
    • アサーション URL — アサーション URL は、アプリケーションベンダーによって提供されます。SAML アサーションは、この URL に送信されます。
    • Relay State — Relay State パラメーターは、ユーザーがサインインして証明書利用者のフェデレーションサーバーに送信された後にアクセスする特定のリソースを識別するために使用されます。リレー状態は、ユーザの 1 つの URL を生成します。ユーザーは、この URL をクリックして、ターゲットアプリケーションにログオンできます。
    • 対象ユーザー — 対象者は、アプリケーションベンダーによって提供されます。この値は、SAML アサーションが正しいアプリケーションに対して生成されていることを確認します。
    • 名前 ID 形式 」— サポートされている名前識別子の形式を選択します。

    • 名前 ID 」— サポートされている名前 ID を選択します。
  8. [ 詳細属性 (オプション)] に、アクセス制御の決定のためにアプリケーションに送信されるユーザーに関する追加情報を追加します。

  9. SAML Metadata の下のリンクをクリックして、メタデータファイルをダウンロードします。ダウンロードしたメタデータファイルを使用して、SaaS アプリサーバーで SSO を構成します。

    注:

    • 「ログイン URL」の下の SSO ログイン URL をコピーし、この URL を SaaS アプリケーションサーバーで SSO を構成するときに使用できます。
    • 証明書の一覧から証明書をダウンロードし、SaaS アプリケーションサーバーで SSO を構成するときに証明書を使用することもできます。
  10. [ 次へ] をクリックします。

  11. ドメインがCitrix Gateway コネクタを介して外部または内部にルーティングされる必要がある場合は、[ アプリケーションの接続 ]セクションで、アプリケーションの関連ドメインのルーティングを定義します。詳しくは、「 SaaS と Web アプリの両方の関連ドメインが同じ場合に競合を解決するためのルーティングテーブル」を参照してください。

    SPA アプリケーション接続

  12. [完了] をクリックします。

    [ 完了] をクリックすると、アプリケーションが [アプリケーション] ページに追加されます。アプリケーションを構成した後で、アプリケーションページからアプリケーションを編集または削除できます。そのためには、アプリの省略記号ボタンをクリックし、それに応じてアクションを選択します。

    • [アプリケーションを編集]
    • Delete

注:

ユーザーにアプリへのアクセスを許可するには、管理者がアクセスポリシーを作成する必要があります。アクセスポリシーでは、管理者がアプリの利用者を追加し、セキュリティコントロールを設定します。詳細については、「 アクセスポリシーの作成」を参照してください。

エンタープライズWebアプリのサポート