Citrix Secure Private Access

エンタープライズWebアプリのサポート

Secure Private Access サービスを使用した Web アプリケーション配信により、企業固有のアプリケーションを Web ベースのサービスとしてリモートで配信できます。一般的に使用されるWebアプリには、SharePoint、Confluence、OneBug などがあります。

Webアプリケーションには、Secure Private Accessサービスを使用してCitrix Workspace を使用してアクセスできます。Secure Private AccessサービスとCitrix Workspace を組み合わせることで、構成済みのWebアプリ、SaaSアプリ、構成済みの仮想アプリ、またはその他のワークスペースリソースに対して統合されたユーザーエクスペリエンスを提供します。

SSO と Web アプリケーションへのリモートアクセスは、次のサービスパッケージの一部として利用できます。

  • Secure Private Accessスタンダード
  • Secure Private Accessアドバンス

システム要件

Connector Appliance -Connector ApplianceをCitrix Secure Private Accessサービスと併用すると、お客様のデータセンターのエンタープライズWebアプリケーションへのVPNレスアクセスをサポートできます。詳しくは、「Connector ApplianceによるSecure Workspace Access」を参照してください。

機能

Citrix Secure Private Accessサービスは、オンプレミスに展開されているコネクタを使用して、オンプレミスのデータセンターに安全に接続します。このコネクタは、オンプレミスで展開されるエンタープライズWebアプリとCitrix Secure Private Accessサービスの間のブリッジとして機能します。これらのコネクタは HA ペアで展開でき、送信接続のみが必要です。

Connector Appliance クラウド内のCitrix Secure Private Accessサービス間のTLS接続により、クラウドサービスに列挙されたオンプレミスアプリケーションが保護されます。Web アプリケーションは、VPN レス接続を使用して Workspace 経由でアクセスおよび配信されます。

次の図は、Citrix Workspace を使用したWebアプリケーションへのアクセスを示しています。

Webアプリの仕組み

Web アプリを設定する

Web アプリの設定には、以下の大まかな手順が含まれます。

  1. アプリケーションの詳細を設定
  2. 希望するサインオン方法を設定する
  3. アプリケーションルーティングの定義

アプリケーションの詳細を設定

  1. Secure Private Access 」タイルで、「 管理」をクリックします。

  2. Secure Private Accessのランディングページで、[ 続行 ] をクリックし、[ アプリの追加] をクリックします。

    注:

    [ 続行 ] ボタンは、ウィザードを初めて使用する場合にのみ表示されます。その後の使用では、[ アプリケーション ] ページに直接移動して、[ アプリを追加] をクリックできます。

  3. 追加するアプリを選択し、[ スキップ] をクリックします。

  4. アプリケーションの場所はどこですか?で、場所を選択します。

  5. [ アプリの詳細] セクションに次の詳細を入力し 、[ 次へ] をクリックします。

    SPAアプリの詳細

    • [アプリの種類 ] — アプリの種類を選択します。 HTTP/HTTPS または UDP/TCP アプリから選択できます。

    • アプリ名 — アプリケーションの名前。

    • アプリの説明 -アプリの簡単な説明。ここに入力するこの説明は、ワークスペースのユーザーに表示されます。

    • アプリカテゴリ -公開するアプリがCitrix Workspace UIに表示される必要があるカテゴリとサブカテゴリ名(該当する場合)を追加します。アプリごとに新しいカテゴリを追加するか、Citrix Workspace UIから既存のカテゴリを使用できます。Web アプリまたは SaaS アプリのカテゴリを指定すると、そのアプリは Workspace UI の特定のカテゴリの下に表示されます。

      • カテゴリ/サブカテゴリは管理者が設定可能で、管理者はすべてのアプリに新しいカテゴリを追加できます。
      • アプリカテゴリフィールドは HTTP/HTTPS アプリに適用され、TCP/UDP アプリには表示されません。
      • カテゴリ/サブカテゴリの名前はバックスラッシュで区切る必要があります。たとえば、「 ビジネスと生産性\ エンジニアリング」などです。また、このフィールドは大文字と小文字が区別されます。管理者は、正しいカテゴリを定義していることを確認する必要があります。Citrix Workspace UIの名前と[ アプリカテゴリ ]フィールドに入力されたカテゴリ名が一致しない場合、そのカテゴリは新しいカテゴリとして表示されます。

        たとえば、「 ビジネスと生産性 」カテゴリを「 アプリカテゴリ 」フィールドに「 ビジネスと生産性 」として誤って入力すると、「 ビジネスと生産性 」カテゴリに加えて、Citrix Workspace UIに「 ビジネスと生産性 」という名前の新しいカテゴリ表示されます。

      アプリカテゴリ

    • アプリアイコン — [ アイコンの変更 ] をクリックして、アプリアイコンを変更します。アイコンファイルのサイズは 128 x 128 ピクセルにする必要があります。アイコンを変更しない場合、デフォルトのアイコンが表示されます。

      アプリアイコンを表示したくない場合は、「 ユーザーにアプリケーションアイコンを表示しない」を選択します。

    • ユーザーがクライアントブラウザから直接アプリにアクセスできるようにするには、[ ダイレクトアクセス ] を選択します。詳しくは、「 エンタープライズ Web アプリへの直接アクセス」を参照してください。

    • URL — 顧客 ID を含む URL。URLには、顧客ID(Citrix CloudカスタマーID)を含める必要があります。顧客 ID を取得するには、「Citrix Cloudにサインアップ」を参照してください。SSO が失敗した場合、または SSO を使用しない場合、ユーザーはこの URL にリダイレクトされます。

      顧客のドメイン名とカスタマードメインID -顧客のドメイン名とIDは、SAML SSOページでアプリの URL とその他の後続の URL を作成するために使用されます。

      たとえば、Salesforce アプリケーションを追加する場合、ドメイン名が salesforceformyorg、IDが123754 で、アプリケーション URL はhttps://salesforceformyorg.my.salesforce.com/?so=123754.になります

      顧客のドメイン名と顧客 ID フィールドは、特定のアプリに固有です。

    • 関連ドメイン — 関連ドメインは、指定した URL に基づいて自動入力されます。関連ドメインは、サービスが、アプリの一部としてURLを識別し、それに応じてトラフィックをルーティングするのに役立ちます。複数の関連ドメインを追加できます。

    • アプリケーションをお気に入りに自動的に追加 ]をクリックすると、このアプリがCitrix Workspaceアプリのお気に入りアプリとして追加されます。

      • ユーザーにお気に入りからの削除を許可 ]をクリックすると、アプリ利用者はCitrix Workspaceアプリのお気に入りアプリリストからアプリを削除できます。このオプションを選択すると、Citrix Workspaceアプリのアプリの左上隅に黄色の星のアイコンが表示されます。
      • 利用者がCitrix Workspaceアプリのお気に入りアプリリストからアプリを削除できないようにするには、[ユーザーにお気に入りからの削除を許可しない ]をクリックします。このオプションを選択すると、Citrix Workspaceアプリのアプリの左上隅に南京錠の付いた星のアイコンが表示されます。

        お気に入りアプリ

        お気に入りとしてマークされたアプリをSecure Private Accessサービスコンソールから削除する場合、それらのアプリをCitrix Workspaceのお気に入りリストから手動で削除する必要があります。Secure Private Access サービスコンソールからアプリを削除しても、Workspace アプリからは自動削除されません。

  6. [次へ] をクリックします

重要:

  • アプリへのゼロトラストベースのアクセスを有効にするために、アプリはデフォルトでアクセスを拒否されます。アプリへのアクセスは、アクセスポリシーがアプリケーションに関連付けられている場合にのみ有効になります。詳細については、「 デフォルトでアプリへのアクセスが拒否される」を参照してください。
  • 複数のアプリが同じ FQDN またはワイルドカード FQDN のバリエーションで構成されている場合、構成が競合する可能性があります。詳しくは、「 アプリアクセスの問題を引き起こす可能性のある競合する構成」を参照してください。

希望するサインオン方法を設定する

  1. シングル・サインオン」セクションで、アプリケーションに使用したいシングル・サインオンの種類を選択し、「保存」をクリックします。次のシングルサインオンタイプを使用できます。

    SPA シングルサインオン

    • 基本 — バックエンドサーバーから basic-401 チャレンジを提示する場合は、[ Basic SSO] を選択します。基本 SSO タイプの構成の詳細を指定する必要はありません。
    • Kerberos — バックエンドサーバーがネゴシエート-401 チャレンジを提示する場合は、 Kerberosを選択します。Kerberos SSO タイプの構成の詳細を指定する必要はありません。
    • フォームベース — バックエンドサーバーが認証用の HTML フォームを提示する場合は、[ フォームベース] を選択します。フォームベースの SSO タイプの設定の詳細を入力します。
    • SAML-Webアプリケーションへの SAML ベースの SSO 用の SAML を選択します。SAML SSO タイプの設定の詳細を入力します。
    • [SSO を使用しない ] — バックエンドサーバーでユーザーを認証する必要がない場合は、[ Don’t use SSO ] オプションを使用します。[ SSO を使用しない ] オプションを選択すると、ユーザーは [ アプリの詳細 ] セクションで構成された URL にリダイレクトされます。

    フォームベースの詳細:「シングルサインオン」セクションに次のフォームベースの構成の詳細を入力し、「保存」をクリックします。

    config1を保存する

    • アクション URL 」-完成したフォームの送信先の URL を入力します。
    • [ログオンフォームの URL] — ログオンフォームが表示されている URL を入力します。
    • ユーザー名の形式」: ユーザー名の形式を選択します。
    • ユーザー名フォームフィールド」 — ユーザー名属性を入力します。
    • パスワードフォームフィールド」 — パスワード属性を入力します。

    SAML: [サインオン] セクションに次の詳細を入力し、[保存] をクリックします。

    config2を保存する

    • 署名アサーション -署名アサーションまたは応答は、応答またはアサーションが証明書利用者 (SP) に配信されたときにメッセージの整合性を確保します。[ アサーション]、[応答]、[両方]、[なし]を選択できます。
    • アサーション URL — アサーション URL は、アプリケーションベンダーによって提供されます。SAML アサーションは、この URL に送信されます。
    • Relay State — Relay State パラメーターは、ユーザーがサインインして依存パーティのフェデレーションサーバーに誘導された後にアクセスする特定のリソースを識別するために使用されます。リレー状態は、ユーザの 1 つの URL を生成します。ユーザーは、この URL をクリックして、ターゲットアプリケーションにログオンできます。
    • 対象ユーザー — 対象者は、アプリケーションベンダーによって提供されます。この値は、SAML アサーションが正しいアプリケーションに対して生成されていることを確認します。
    • 名前 ID 形式 」— サポートされている名前識別子の形式を選択します。

    • 名前 ID 」— サポートされている名前 ID を選択します。
  2. [ 詳細属性 (オプション)] に、アクセス制御の決定のためにアプリケーションに送信されるユーザーに関する追加情報を追加します。

  3. [ SAML メタデータ] の下のリンクをクリックして、メタデータファイルをダウンロードします。ダウンロードしたメタデータファイルを使用して、SaaS アプリサーバーで SSO を構成します。

    注:

    • 「ログイン URL」の下の SSO ログイン URL をコピーし、この URL を SaaS アプリケーションサーバーで SSO を構成するときに使用できます。
    • 証明書の一覧から証明書をダウンロードし、SaaS アプリケーションサーバーで SSO を構成するときに証明書を使用することもできます。
  4. [次へ] をクリックします

アプリケーションルーティングの定義

  1. アプリケーション接続セクションでは 、アプリケーションの関連ドメインのルーティングを定義します(ドメインをCitrix ConConnector Appliance 介して外部または内部的にルーティングする必要がある場合)。詳しくは、「 SaaS と Web アプリの両方の関連ドメインが同じ場合に競合を解決するためのルーティングテーブル」を参照してください。

    SPA アプリケーション接続

  2. 完了」をクリックします。

    [ 完了] をクリックすると、アプリケーションが [アプリケーション] ページに追加されます。アプリケーションを設定した後、アプリケーションページからアプリを編集または削除できます。そのためには、アプリの省略記号ボタンをクリックし、それに応じてアクションを選択します。

    • [アプリケーションを編集]
    • 削除

Secure Private AccessサービスからWebアプリまたはSaaSアプリを公開し、そのアプリが非表示になっていない場合、Citrix Enterprise Browserアプリが自動的にCitrix Workspace UIに表示されます。さらに、Citrix Enterprise Browserもデフォルトでお気に入りアプリとして追加されます。エンドユーザーは URL なしでワークスペースブラウザーを起動し、ワークスペースブラウザーを使用して社内 Web サイトにアクセスできます。

Enterprise-browser-app

重要:

  • ユーザーにアプリへのアクセスを許可するには、管理者がアクセスポリシーを作成する必要があります。アクセスポリシーでは、管理者がアプリの利用者を追加し、セキュリティコントロールを設定します。詳細については、「 アクセスポリシーの作成」を参照してください。
エンタープライズWebアプリのサポート