Citrix Secure Web

Citrix Secure Webは、内部サイトおよび外部サイトへのセキュアなアクセスを提供するモバイルWebブラウザーです。デバイスがCitrix Secure Hubに登録されたらユーザーデバイスに自動的に公開されるようにSecure Webを構成できます。または、ユーザーがEndpoint Managementアプリストアからアプリを追加できます。

Secure Webおよび他の業務用モバイルアプリのシステム要件については、「システム要件」を参照してください。

Secure Webの統合と提供

重要：

MDX Toolkit 10.7.10は、業務用モバイルアプリのラッピングをサポートする最終リリースです。業務用モバイルアプリバージョン10.7.5以降には、パブリックアプリストアからアクセスします。

Secure Webを統合して提供するには、次の一般的な手順に従います。

1. 内部ネットワークでSSOを有効にするには、NetScaler Gatewayを構成します。

   HTTPトラフィックの場合、NetScalerによりサポートされているすべてのプロキシ認証の種類に対して、NetScalerはSSOを提供できます。HTTPSトラフィックの場合、［Webパスワードのキャッシュを有効化］ポリシーにより、MDXを介するプロキシサーバーへのSSOをSecure Webが認証して提供するようにできます。MDXは、ベーシック、ダイジェスト、およびNTLMプロキシ認証のみをサポートします。パスワードはMDXを使ってキャッシュされ、機密アプリデータ用のセキュアなストレージ領域であるEndpoint Managementの共有資格情報コンテナーに格納されます。NetScaler Gatewayの構成について詳しくは、「NetScaler Gateway」を参照してください。

2. Secure Webをダウンロードします。
3. 内部ネットワークに対するユーザー接続をどのように構成するか決定します。
4. 他のMDXアプリと同じ手順でSecure WebをEndpoint Managementに追加し、MDXポリシーを構成します。Secure Webに固有のポリシーについて詳しくは、この資料で後述する「Secure Webポリシーについて」を参照してください。

ユーザー接続の構成

Secure Webは、ユーザー接続について次の構成をサポートします。

• セキュアブラウズ： 内部ネットワークをトンネルする接続は、さまざまなクライアントレスVPNを使用できます。これはセキュアブラウズと呼ばれています。これは、優先VPNモードポリシーに指定されるデフォルトの構成です。シングルサインオン (SSO) を必須とする接続に対しては、［セキュアブラウズ］ を推奨します。
• 完全VPNトンネル： 内部ネットワークへトンネルする接続は完全VPNトンネルを使用でき、優先VPNモードポリシーにより構成されます。内部ネットワークのリソースにクライアント証明書またはエンドツーエンドのSSLを使用する接続に対しては、［完全VPNトンネル］を推奨します。完全VPNトンネルは、TCP上のあらゆるプロトコルを処理し、iOSやAndroidデバイスと同様にWindowsやMacコンピューターと共に使用できます。
• VPNモードの切り替えを許可ポリシーにより、完全VPNトンネルとセキュアブラウズモードを自動的に切り替えることができます。デフォルトでは、このポリシーは無効になっています。このポリシーが有効な場合、優先VPNモードで処理できない認証要求のために失敗するネットワーク要求は、代替モードで再試行されます。たとえば、クライアント証明書に対するサーバーチャレンジは完全VPNトンネルモードでは処理できますが、セキュアブラウズモードでは処理できません。同様に、セキュアブラウズモードの使用時には、HTTP認証チャレンジでSSOが実行される可能性が高くなります。
• PACがある完全VPNトンネル： Proxy Automatic Configuration（PAC）ファイルをiOSおよびAndroidデバイスの完全VPNトンネル展開で使用できます。PACファイルには、指定のURLにアクセスするためにWebブラウザーがどのようにプロキシを選択するかを定義する規則が含まれます。PACファイル規則は、内部および外部の両サイトの処理を指定できます。Secure WebはPACファイル規則を解析し、プロキシサーバー情報をNetScaler Gatewayに送信します。
• PACファイルが使用される場合の完全VPNトンネルのパフォーマンスは、セキュアブラウズモードと同等です。PAC構成について詳しくは、「PACでの完全なVPNトンネル」を参照してください。

次の表は、構成とサイトの種類に基づいて、Secure Webがユーザーに資格情報の入力を求めるかどうかを示しています。

PACがある完全VPNトンネル

重要：

Secure WebがPACファイルで構成され、NetScalerがプロキシ操作用に構成されると、Secure Webがタイムアウトします。PACがある完全VPNトンネルを使用する前に、プロキシ用に構成されたNetScaler Gatewayトラフィックポリシーを削除する必要があります。

PACがある完全VPNトンネルまたはプロキシサーバー用にSecure Webを構成すると、Secure WebはNetScaler Gatewayを介してすべてのトラフィックをプロキシに送信し、その後でプロキシの構成規則に従ってトラフィックが送信されます。この構成では、NetScaler GatewayがPACファイルまたはプロキシサーバーを認識しません。トラフィックのフローはPACがない完全VPNトンネルと同じになります。

次の図は、Secure WebユーザーがWebサイトにアクセスする場合のトラフィックフローを示しています。

この例では、トラフィック規則は次のようになっています：

• NetScaler Gatewayはイントラネットサイトexample1.netに直接接続します。
• イントラネットサイトexample2.netへのトラフィックは、内部プロキシサーバーを介してプロキシ接続されます。
• 外部トラフィックは内部プロキシサーバーを介してプロキシ接続されます。プロキシ規則によって、次のURLへの外部トラフィックがブロックされます： Facebook.com.

PACがある完全VPNトンネルを構成するには

1. PACファイルの検証とテスト

   注：

   PACファイルの作成と使用について詳しくは、https://findproxyforurl.com/を参照してください。

   PacparserなどのPAC検証ツールを使ってPACファイルを検証します。PACファイルを読み取る場合、Pacparserの結果が予想道理だったか確認します。PACファイルに構文エラーがある場合、モバイルデバイスはPACファイルを警告なしに無視します（PACファイルはモバイルデバイスのメモリ内にのみ格納されます）。

   PACファイルは、上から順番に処理され、規則が現在のクエリと一致したら停止します。

   WebブラウザーでPACファイルURLをテストしてから、Endpoint ManagementのPAC/Proxyフィールドに入力します。PACファイルがあるネットワークにコンピューターがアクセスできるか確認します。

   https://webserver.local/GenericPAC.pac https://webserver.local/GenericPAC.pac

   テストされたPACファイルの拡張子は.txtまたは.pacです。

   PACファイルはWebブラウザー内にコンテンツを表示します。

   重要：

   Secure Webで使用されるPACファイルを更新する度に、Secure Webをいったん閉じてから再度開く必要があることをユーザーに知らせます。

2. NetScaler Gatewayの構成：

   • NetScaler Gatewayスプリットトンネルを無効にします。スプリットトンネルが有効でPACファイルが構成されていると、PACファイル規則によりNetScalerスプリットトンネル規則は無効になります。プロキシはNetScalerスプリットトンネル規則を上書きしません。
   • プロキシ用に構成したNetScaler Gatewayトラフィックポリシーを削除します。これは、Secure Webが正常に機能するために必要です。下の図は、削除するポリシー規則の例を示しています。

   

3. Secure Webポリシーを構成します。

   • ［優先VPNモード］ポリシーを ［完全VPNトンネル］ に設定します。
   • ［VPNモードの切り替えを許可］ポリシーを ［オフ］ に設定します。

   • PAC file URL or proxy serverポリシーを構成します。Secure Webは、デフォルトおよび非デフォルトのポート同様に、HTTPおよびHTTPSをサポートします。HTTPSについては、証明書が自己署名または信頼されていない場合は、デバイスにルート証明機関をインストールする必要があります。

     ポリシーを構成する前に、WebブラウザーでURLまたはプロキシサーバーアドレスをテストしてください。

     PACファイルURLの例：

     http[s]://example.com/proxy.pac http[s]://10.10.0.100/proxy.txt

     プロキシサーバーの例（ポートが必要）：

     myhost.example.com:port

     10.10.0.100:port

     注：

     PACファイルまたはプロキシサーバーを構成する場合、WiFiのシステムプロキシ設定でPACを構成しないでください。

   • ［Webパスワードのキャッシュを有効化］ポリシーを ［オン］ に設定します。WebパスワードキャッシュがHTTPSサイトのSSOを処理します。

     プロキシが同じ認証インフラストラクチャをサポートする場合、NetScalerは内部プロキシに対してSSOを実行できます。

PACファイルサポートの制限

Secure Webは、次のことをサポートしません：

• あるプロキシサーバーから別のプロキシサーバーへのフェイルオーバー。PACファイル検証は単一のホスト名に対して複数のプロキシサーバーを返すことができます。Secure Webは最初に返されたプロキシサーバーのみを使用します。
• PACファイルのftpやgopherなどのプロトコル。
• PACファイルのSOCKSプロキシサーバー。
• Web Proxy Autodiscovery Protocol（WPAD）。

Secure Webは、PACファイル関数のalertを無視するため、Secure Webは呼び出しを含まないPACファイルを解析できます。

Secure Webのポリシー

Secure Webを追加する際には、Secure Webに固有の以下のMDXポリシーに注意してください。サポートされているすべてのモバイルデバイスについて、以下の点に注意してください。

許可または禁止するWebサイト

Secure Webは、通常Webリンクをフィルター処理しません。このポリシーを使って、許可されたサイトまたは禁止されたサイトの特定の一覧を構成できます。コンマ区切りの一覧形式でURLのパターンを入力して、WebブラウザーでアクセスできるWebサイトを制限します。一覧内の各パターンは、プラス記号（+）またはマイナス記号（-）で始まります。一致するものが見つかるまで、一覧の順序どおりにURLがパターンと比較されます。一致が見つかると、パターン冒頭のプラスまたはマイナス記号に応じて以下の処理が実行されます。

• マイナス（-）記号の場合、そのURLへのアクセスが禁止されます。この場合、解決できないWebサーバーアドレスとしてURLが処理されます。
• プラス（+）記号の場合、そのURLへのアクセスが許可されます。
• パターンの最初の文字がプラス（+）またはマイナス（-）のどちらでもない場合は、+（許可）とみなされます。
• URLが一覧のパターンのいずれとも一致しない場合、そのURLは許可されたものとなります。

いずれのパターンとも一致しないURLへのアクセスを禁止するには、一覧の最後にマイナス（-）の付いたアスタリスク（-*）を追加します。次に例を示します。

• ポリシーの値が「+http://*.mycorp.com/*,-http://*,+https://*,+ftp://*,-*」の場合、mycorp.comドメイン内ではHTTP URLを許可してほかの場所ではHTTP URLをブロックし、すべての場所でHTTPSおよびFTPのURLを許可し、そのほかすべてのURLをブロックします。
• ポリシーの値が「+http://*.training.lab/*,+https://*.training.lab/*,-*」の場合、HTTPまたはHTTPSを介したTraining.labドメイン（イントラネット）の任意のサイトをユーザーは開くことができますが、プロトコルに関係なくFacebook、Google、HotmailなどのパブリックURLは開くことができません。

デフォルト値は空です（すべてのURLが許可される）。

ポップアップをブロック

ポップアップはWebサイトがユーザーの権限なしに開く新しいタブです。このポリシーによりSecure Webがポップアップを許可するかどうかが決まります。［オン］にすると、Secure WebはWebサイトがポップアップを開くことを禁止します。デフォルトの値は、［オフ］です。

事前ロードするブックマーク

Secure Webブラウザーに対して事前に読み込まれたブックマークのセットを定義します。ポリシーは、フォルダー名、フレンドリ名、およびWebアドレスを含むタプルのコンマ区切りの一覧です。フォルダー名、ブックマーク名、およびURLの各組は「<フォルダー名>,<ブックマーク名>,<URL>」形式で入力します。フォルダー名とブックマーク名は必要に応じて二重引用符（”）で囲みます。

たとえば、ポリシー値「,"Mycorp, Inc. home page",https://www.mycorp.com, "MyCorp Links",Account logon,https://www.mycorp.com/Accounts "MyCorp Links/Investor Relations","Contact us",https://www.mycorp.com/IR/Contactus.aspx」は3つのブックマークを定義します。1つ目のブックマークは「Mycorp, Inc. home page」という名前のプライマリリンク (フォルダー名なし) です。2つ目のブックマークは「MyCorp Links」という名前のフォルダーに「Account logon」という名前で追加されます。3つ目のブックマークは「MyCorp Links」フォルダーの「Investor Relations」サブフォルダーに「Contact us」という名前で追加されます。

デフォルト値は空です。

ホームページのURL

Secure Webの起動時に読み込むWebサイトを定義します。デフォルト値は空です（デフォルトのスタートページ）。

サポートされているAndroidおよびiOSデバイスのみ：

ブラウザーのユーザーインターフェイス

このポリシーでは、Secure Webブラウザーのユーザーインターフェイスコントロールの動作と表示を指定します。通常、ユーザーはすべてのコントロールを使用できます。Secure Webのユーザーインターフェイスには、次のページに進む、前のページに戻る、アドレスバー、更新または停止用などのコントロールがあります。このポリシーを構成して、一部のコントロールの使用および表示を制限できます。デフォルト値は、［すべてのコントロールを表示］です。

オプション：

• すべてのコントロールを表示。すべてのコントロールが表示され、ユーザーはそのすべてを使用できます。
• 読み取り専用アドレスバー。すべてのコントロールが表示されますが、ユーザーはアドレスフィールドを編集できません。
• アドレスバーを隠す。アドレスバーが非表示になり、ほかのすべてのコントロールが表示されます。
• すべてのコントロールを隠す。ツールバー全体を非表示にして、フレームのないブラウジング環境を提供します。

Webパスワードのキャッシュを有効化

Webリソースへアクセスまたはそれを要求する場合に、Secure Webユーザーが資格情報を入力すると、このポリシーによりデバイス上でパスワードがSecure Webによりサイレントキャッシュされるかどうかが決まります。このポリシーは、認証ダイアログに入力されたパスワードに適用され、Webフォームに入力されたパスワードには適用されません。

［オン］ の場合、Webリソースの要求時にユーザーが入力するすべてのパスワードがSecure Webによりキャッシュされます。［オフ］ の場合、Secure Webはパスワードをキャッシュせずに既存のキャッシュ済みパスワードを削除します。デフォルトの値は、［オフ］ です。

このポリシーは、このアプリで優先VPNポリシーを［完全VPNトンネル］に設定した場合にのみ有効になります。

プロキシサーバー

また、セキュアブラウズモードで使用される場合にSecure Webに対してプロキシサーバーを構成できます。詳しくは、このブログ投稿を参照してください。

DNSサフィックス

Androidでは、DNSサフィックスが構成されていない場合、VPNが失敗することがあります。DNSサフィックスの構成について詳しくは、「Supporting DNS Queries by Using DNS Suffixes for Android Devices」を参照してください。

Secure Webで使用するイントラネットサイトの準備

このセクションは、AndroidおよびiOSに対応したSecure Webで使用するイントラネットサイトの準備を担当するWebサイト開発者を対象にしています。デスクトップブラウザー用に設計されたイントラネットサイトをAndroidデバイスやiOSデバイスで適切に動作させるには変更が必要です。

Secure WebはWeb技術のサポートを提供するために、AndroidではWebView、iOSではUIWebViewに依存しています。Secure WebでサポートされているWeb技術にはたとえば次のようなものがあります。

• AngularJS
• ASP .NET
• JavaScript
• JQuery
• WebGL
• WebSocket

Secure WebでサポートされていないWeb技術にはたとえば次のようなものがあります。

• Flash
• Java

次の表は、Secure WebでサポートされているHTMLレンダリング機能と技術をまとめたものです。○は、その機能をプラットフォーム、ブラウザー、またはコンポーネントの組み合わせで利用できることを示しています。

さまざまなデバイスで同じテクノロジーが機能しますが、Secure Webはデバイスごとに異なるユーザーエージェント文字列を返します。Secure Webで使用するブラウザーのバージョンを判断するには、ユーザーエージェント文字列を表示します。Secure Webから、https://whatsmyuseragent.com/にアクセスします。

イントラネットサイトのトラブルシューティング

イントラネットサイトをSecure Webで表示したときのレンダリングの問題を解決するには、そのWebサイトがSecure Webと、互換性のあるサードパーティのブラウザーでどのようにレンダリングされるかを比較してください。

iOSの場合、テスト用に互換性のあるサードパーティのブラウザーはChromeとDolphinです。

Androidの場合、テスト用に互換性のあるサードパーティのブラウザーはDolphinです。

注：

ChromeはAndroidのネイティブブラウザーです。これを比較には使用しないでください。

iOSでは、ブラウザーがデバイスレベルでのVPNサポートが有効か確認してください。これは、デバイスで ［設定］>［VPN］>［VPN構成を追加］ の順に選択して構成できます。

またApp Storeでは、Citrix VPN、Cisco AnyConnect、Pulse SecureなどのVPNクライアントアプリを利用できます。

• 2つのブラウザーでWebページのレンダリングが同じであれば、問題はWebサイトにあります。サイトを更新して、目的のOSで正しく動作することを確認してください。
• Secure WebでのみWebページに問題が現れる場合は、Citrixサポートに連絡して、サポートチケットをオープンしてください。その際、トラブルシューティングの手順、およびテストに使用したブラウザーとOSの種類をお知らせください。Secure Web for iOSにレンダリングの問題がある場合は、以下で説明する手順に従ってページのWebアーカイブを含めてください。これは、Citrixが問題をより早く解決するのに役立ちます。

Webアーカイブファイルを作成するには

macOS 10.9以降でSafariを使用すると、イメージ、CSS、およびJavaScriptなどのすべてのリンク設定されたファイルを含む（リーディングリストとして参照される）WebアーカイブファイルとしてWebページを保存できます。

1. Safariから、リーディングリストのフォルダーを空にします：Finderでメニューバーの “移動” メニューをクリックし、“フォルダへ移動” を選択してパス名「~/Library/Safari/ReadingListArchives/」を入力してからこの場所にあるフォルダーをすべて削除します。

2. メニューバーで ［Safari］>［環境設定］>［詳細］ の順に選択し、［メニューバーに“開発”メニューを表示］ チェックボックスをオンにします。

3. メニューバーで、［開発］>［ユーザーエージェント］ の順に選択し、Secure Webユーザーエージェントを入力します：(Mozilla/5.0 (iPad; CPUOS 8_3 like macOS) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12F69 Secure Web/ 10.1.0(build 1.4.0) Safari/8536.25)。

4. Safariでリーディングリスト（Webアーカイブファイル）として保存するWebサイトを開きます。

5. メニューバーで、［ブックマーク］>「リーディングリストに追加］ の順に選択します。この処理には数分かかることがあります。バックグラウンドでアーカイブ化が実行されます。

6. アーカイブ化されたリーディングリストを検索します：メニューバーで、［表示］>［リーディングリストサイドバーを表示］ の順に選択します。

7. アーカイブファイルの確認：

   • Macへのネットワーク接続を切断します。

   • リーディングリストからWebサイトを開きます。

     Webサイトは完全にレンダーする必要があります。

8. アーカイブファイルを圧縮します：Finderでメニューバーの “移動” をクリックし、“フォルダへ移動” を選択してパス名「~/Library/Safari/ReadingListArchives/」を入力してから、ランダムな16進数文字列のファイル名を持つフォルダーを圧縮します。これは、サポートチケットを開く時にCitrixサポートに送信できるファイルです。

Secure Webの機能

Secure Webでは、モバイルデータ交換技術を使用した専用のVPNトンネルが作成されます。これにより、機密情報を含んでいる内部サイトやネットワーク外部のWebサイトに組織のセキュリティポリシーで保護された安全な環境からアクセスできるようになります。

Secure MailおよびCitrix Filesとの連携により、Secure WebではセキュアなEndpoint Managementコンテナ内のシームレスなユーザーエクスペリエンスが提供されます。連携機能の例をいくつか示します。

• ユーザーがmailtoリンクをタップすると、Citrix Secure Mailで新規メールメッセージ画面が開きます。資格情報を入力する必要はありません。
• iOSでは、URLの前に ctxmobilebrowser:// を付けることで、ユーザーはネイティブのメールアプリからSecure Web 内のリンクを開くことができます。たとえば、ネイティブのメールアプリでexample.comを開くには、ctxmobilebrowser://example.comというURLを使用します。
• また、メールメッセージ内のイントラネットリンクをクリックするとSecure Webがサイトに移動して、資格情報を入力せずにイントラネットサイトにアクセスできます。
• ユーザーは、Secure Webを使用してWebからダウンロードしたデータをCitrix Filesにアップロードできます。

また、Secure Webユーザーは以下の操作も実行できます。

• ポップアップをブロックする。

  注：

  Secure Webのメモリの大部分は、ポップアップのレンダリングが原因です。この場合は、通常、［設定］でポップアップをブロックすることで、パフォーマンスが向上します。

• お気に入りサイトをブックマークとして登録する。
• ファイルをダウンロードする。
• オフライン用にページを保存する。
• パスワードを自動保存する。
• キャッシュ、履歴、およびCookieを削除する。
• CookieおよびHTML5のローカルストレージの無効化。
• 他のユーザーとデバイスを安全に共有する。
• アドレスバー内で検索する。
• Secure Webで実行するWebアプリによる位置情報へのアクセスを許可します。
• 設定のエクスポートおよびインポート。
• ファイルをダウンロードすることなくCitrix Filesでファイルを直接開く。この機能を有効にするには、Endpoint Managementの［許可するURL］ポリシーに ctx-sf: を追加します。
• iOSでは、3Dタッチ操作でホーム画面から直接新しいタブを開いて、オフラインページ、お気に入りサイト、およびダウンロードにアクセスできます。
• iOSでは、どんなサイズのファイルも、ダウンロードしてCitrix Filesやその他のアプリで開くことができます。

  注：

  Secure Webをバックグラウンドに置くと、ダウンロードが停止します。

• 現在のページビュー内で［ページ内の検索］を使用して用語を見つけます。

  

動的テキストサポートによって、デバイスで設定するフォント設定がSecure Webに表示されます。

サポートされるファイル形式

注：

Secure Webは、どのプラットフォームのビデオ再生もサポートしていません。

iOSでは、次のファイル形式がサポートされています。

Androidでは、次のファイル形式がサポートされています。