Citrix Secure Web

Citrix Secure Webは、内部サイトおよび外部サイトへのセキュアなアクセスを提供するHTML5互換のモバイルWebブラウザーです。デバイスがSecure Hubに登録されるとユーザーデバイスに自動的に公開されるようにSecure Webを構成できます。または、Endpoint Managementアプリストアからアプリを追加することもできます。

Secure Webおよび他の業務用モバイルアプリのシステム要件については、「システム要件」を参照してください。

Secure Webの統合と提供

注：

MDX Toolkit 10.7.10は、業務用モバイルアプリのラッピングをサポートする最終リリースです。業務用モバイルアプリバージョン10.7.5以降には、パブリックアプリストアからアクセスします。

Secure Webを統合して提供するには、次の一般的な手順に従います：

1. 内部ネットワークでシングルサインオン（SSO）を有効にするには、Citrix Gatewayを構成します。

   HTTPトラフィックの場合、Citrix ADCはCitrix ADCがサポートするすべてのプロキシ認証タイプに対してSSOを提供できます。HTTPSトラフィックの場合、［Webパスワードのキャッシュを有効化］ポリシーにより、MDXを介するプロキシサーバーへのSSOをSecure Webが認証して提供するようにできます。MDXは、ベーシック、ダイジェスト、NTLMプロキシ認証のみをサポートします。パスワードはMDXを使ってキャッシュされ、機密アプリデータ用のセキュアなストレージ領域であるEndpoint Managementの共有コンテナに格納されます。Citrix Gatewayの構成について詳しくは、「Citrix Gateway」を参照してください。

2. Secure Webをダウンロードします。
3. 内部ネットワークに対するユーザー接続をどのように構成するか決定します。
4. ほかのMDXアプリと同じ手順でSecure WebをEndpoint Managementに追加し、MDXポリシーを構成します。Secure Webに固有のポリシーについて詳しくは、この資料の後半にある「Secure Webポリシーについて」を参照してください。

ユーザー接続の構成

Secure Webは、ユーザー接続について次の構成をサポートします：

• セキュアブラウズ： 内部ネットワークをトンネルする接続は、さまざまなクライアントレスVPNを使用できます。これはセキュアブラウズと呼ばれています。これは、［優先VPNモード］ ポリシーに指定されるデフォルトの構成です。シングルサインオン (SSO) を必須とする接続に対しては、［セキュアブラウズ］を推奨します。
• 完全VPNトンネル： 内部ネットワークへトンネルする接続は完全VPNトンネルを使用でき、［優先VPNモード］ ポリシーにより構成されます。内部ネットワークのリソースにクライアント証明書またはエンドツーエンドのSSLを使用する接続に対しては、［完全VPNトンネル］を推奨します。ただしSecure Webは、モバイルデバイスに保存されているクライアント証明書を読み取ることができません。この機能を提供できる、ラッピングされたサードパーティ製のエンタープライズアプリがインストールされている場合があります。完全VPNトンネルは、TCP上のあらゆるプロトコルを処理し、iOSやAndroidデバイスと同様にWindowsやMacコンピューターとともに使用できます。
• ［VPNモードの切り替えを許可］ ポリシーにより、完全VPNトンネルモードとセキュアブラウズモードを必要に応じて切り替えることができます。デフォルトでは、このポリシーは無効になっています。このポリシーが有効な場合、優先VPNモードで処理できない認証要求のために失敗するネットワーク要求は、代替モードで再試行されます。たとえば、クライアント証明書に対するサーバーチャレンジは完全VPNトンネルモードでは処理できますが、セキュアブラウズモードでは処理できません。同様に、セキュアブラウズモードの使用時には、HTTP認証チャレンジでSSOが実行される可能性が高くなります。
• PACを使用した完全VPNトンネル： Proxy Automatic Configuration（PAC）ファイルをiOSおよびAndroidデバイスの完全VPNトンネル展開で使用できます。PACファイルには、指定のURLにアクセスするためにWebブラウザーがどのようにプロキシを選択するかを定義する規則が含まれます。PACファイル規則は、内部および外部の両サイトの処理を指定できます。Secure WebはPACファイル規則を解析し、プロキシサーバー情報をCitrix Gatewayに送信します。
• PACファイルが使用される場合の完全VPNトンネルのパフォーマンスは、セキュアブラウズモードと同等です。PAC構成について詳しくは、「PACを使用した完全VPNトンネル」を参照してください。

次の表は、構成とサイトの種類に基づいて、Secure Webがユーザーに資格情報の入力を求めるかどうかを示しています。

PACを使用した完全VPNトンネル

重要：

Secure WebがPACファイルで構成され、Citrix ADCがプロキシ操作用に構成されると、Secure Webがタイムアウトします。PACを使用した完全VPNトンネルを使用する前に、プロキシ用に構成されたCitrix Gatewayトラフィックポリシーを削除してください。

PACを使用した完全VPNトンネルまたはプロキシサーバー用にSecure Webを構成すると、Secure WebはCitrix Gatewayを介してすべてのトラフィックをプロキシに送信します。Citrix Gatewayはその後、プロキシの構成規則に従ってトラフィックをルーティングします。この構成では、Citrix GatewayがPACファイルまたはプロキシサーバーを認識しません。トラフィックのフローはPACがない完全VPNトンネルと同じになります。

次の図は、Secure WebユーザーがWebサイトにアクセスする場合のトラフィックフローを示しています：

この例では、トラフィック規則は次のようになっています：

• Citrix Gatewayはイントラネットサイトexample1.netに直接接続します。
• イントラネットサイトexample2.netへのトラフィックは、内部プロキシサーバーを介してプロキシ接続されます。
• 外部トラフィックは内部プロキシサーバーを介してプロキシ接続されます。プロキシ規則によって、次のURLへの外部トラフィックがブロックされます： Facebook.com.

PACを使用した完全VPNトンネルを構成するには

1. PACファイルの検証とテスト

   注：

   PACファイルの作成と使用について詳しくは、https://findproxyforurl.com/を参照してください。

   PacparserなどのPAC検証ツールを使ってPACファイルを検証します。PACファイルを読み取る場合、Pacparserの結果が予想道理だったか確認します。PACファイルに構文エラーがある場合、モバイルデバイスはPACファイルを警告なしに無視します（PACファイルはモバイルデバイスのメモリ内にのみ格納されます）。

   PACファイルは、上から順番に処理され、規則が現在のクエリと一致したら停止します。

   WebブラウザーでPACファイルURLをテストしてから、Endpoint ManagementのPAC/Proxyフィールドに入力します。PACファイルがあるネットワークにコンピューターがアクセスできるか確認します。

   https://webserver.local/GenericPAC.pac https://webserver.local/GenericPAC.pac

   テストされたPACファイルの拡張子は.txtまたは.pacです。

   PACファイルはWebブラウザー内にコンテンツを表示します。

   重要：

   Secure Webで使用されるPACファイルを更新する度に、Secure Webをいったん閉じてから再度開く必要があることをユーザーに知らせます。

2. Citrix Gatewayを構成します。

   • Citrix Gateway分割トンネリングを無効にします。分割トンネリングが有効でPACファイルが構成されていると、PACファイル規則によりCitrix ADC分割トンネリング規則は無効になります。プロキシはCitrix ADC分割トンネリング規則を上書きしません。
   • プロキシ用に構成したCitrix Gatewayトラフィックポリシーを削除します。これは、Secure Webが正常に機能するために必要です。下の図は、削除するポリシー規則の例を示しています。

3. Secure Webポリシーを構成します。

   • ［優先VPNモード］ポリシーを ［完全VPNトンネル］ に設定します。
   • ［VPNモードの切り替えを許可］ポリシーを ［オフ］ に設定します。

   • ［PACファイルのURL、またはプロキシサーバー］ポリシーを構成します。Secure Webは、デフォルトおよび非デフォルトのポートに加えて、HTTPおよびHTTPSをサポートします。HTTPSについては、証明書が自己署名または信頼されていない場合は、デバイスにルート証明機関をインストールする必要があります。

     ポリシーを構成する前に、WebブラウザーでURLまたはプロキシサーバーアドレスをテストしてください。

     PACファイルURLの例：

     http[s]://example.com/proxy.pac http[s]://10.10.0.100/proxy.txt

     プロキシサーバーの例（ポートが必要）：

     myhost.example.com:port

     10.10.0.100:port

     注：

     PACファイルまたはプロキシサーバーを構成する場合、Wi-Fiのシステムプロキシ設定でPACを構成しないでください。

   • ［Webパスワードのキャッシュを有効化］ポリシーを ［オン］ に設定します。WebパスワードキャッシュがHTTPSサイトのSSOを処理します。

     プロキシが同じ認証インフラストラクチャをサポートする場合、Citrix ADCは内部プロキシに対してSSOを実行できます。

PACファイルサポートの制限

Secure Webは、次のことをサポートしません：

• あるプロキシサーバーから別のプロキシサーバーへのフェールオーバー。PACファイル検証は単一のホスト名に対して複数のプロキシサーバーを返すことができます。Secure Webは最初に返されたプロキシサーバーのみを使用します。
• PACファイルのFTPやgopherなどのプロトコル。
• PACファイルのSOCKSプロキシサーバー。
• Web Proxy AutoDiscovery Protocol（WPAD）。

Secure Webは、PACファイル関数のalertを無視するため、Secure Webは呼び出しを含まないPACファイルを解析できます。

Secure Webのポリシー

Secure Webを追加する際には、Secure Webに固有の以下のMDXポリシーに注意してください。サポートされているすべてのモバイルデバイスについて、以下の点に注意してください：

許可または禁止するWebサイト

Secure Webは、通常Webリンクをフィルター処理しません。このポリシーを使って、許可されたサイトまたは禁止されたサイトの特定の一覧を構成できます。コンマ区切りの一覧形式でURLのパターンを入力して、WebブラウザーでアクセスできるWebサイトを制限します。一覧内の各パターンには、プラス記号（+）またはマイナス記号（-）のプレフィックスが付いています。一致するものが見つかるまで、一覧の順序どおりにURLがパターンと比較されます。一致が見つかると、プレフィックスにより次のような処理が指示されます：

• マイナス（-）記号の場合、そのURLへのアクセスが禁止されます。この場合、解決できないWebサーバーアドレスとしてURLが処理されます。
• プラス（+）記号の場合、そのURLへのアクセスが許可されます。
• パターンの最初の文字がプラス（+）またはマイナス（-）のどちらでもない場合は、+（許可）とみなされます。
• URLが一覧のパターンのいずれとも一致しない場合、そのURLは許可されたものとなります。

いずれのパターンとも一致しないURLへのアクセスを禁止するには、一覧の最後にマイナス（-）の付いたアスタリスク（-*）を追加します。例：

• ポリシーの値が「+http://*.mycorp.com/*,-http://*,+https://*,+ftp://*,-*」の場合、mycorp.comドメイン内ではHTTP URLを許可してほかの場所ではHTTP URLをブロックし、すべての場所でHTTPSおよびFTPのURLを許可し、そのほかすべてのURLをブロックします。
• このポリシー値+http://*.training.lab/*,+https://*.training.lab/*,-*により、ユーザーは、HTTPまたはHTTPS経由でTraining.labドメイン（イントラネット）内の任意のサイトを開くことができます。ただし、プロトコルに関係なくFacebook、Google、HotmailなどのパブリックURLを開くことはできません。

デフォルト値は空です（すべてのURLが許可される）。

ポップアップをブロック

ポップアップはWebサイトがユーザーの権限なしに開く新しいタブです。このポリシーによりSecure Webがポップアップを許可するかどうかが決まります。［オン］にすると、Secure WebはWebサイトがポップアップを開くことを禁止します。デフォルト値は ［オフ］ です。

事前ロードするブックマーク

Secure Webブラウザーに対して事前に読み込まれたブックマークのセットを定義します。ポリシーは、フォルダー名、フレンドリ名、およびWebアドレスを含むタプルのコンマ区切りの一覧です。各組は「フォルダー、名前、URL」形式で入力します。フォルダーと名前は必要に応じて二重引用符（”）で囲みます。

たとえば、ポリシー値「,"Mycorp, Inc. home page",https://www.mycorp.com, "MyCorp Links",Account logon,https://www.mycorp.com/Accounts "MyCorp Links/Investor Relations","Contact us",https://www.mycorp.com/IR/Contactus.aspx」は3つのブックマークを定義します。1つ目のブックマークは「Mycorp, Inc. home page」という名前のプライマリリンク (フォルダー名なし) です。2つ目のブックマークは「MyCorp Links」という名前のフォルダーに「Account logon」という名前で追加されます。3つ目のブックマークは「MyCorp Links」フォルダーの「Investor Relations」サブフォルダーに「Contact us」という名前で追加されます。

デフォルト値は空です。

ホームページのURL

Secure Webの起動時に読み込むWebサイトを定義します。デフォルト値は空です（デフォルトのスタートページ）。

サポートされているAndroidおよびiOSデバイスのみ：

Webブラウザーのユーザーインターフェイス

このポリシーでは、Secure Webブラウザーのユーザーインターフェイスコントロールの動作と表示を指定します。通常、ユーザーはすべてのコントロールを使用できます。Secure Webのユーザーインターフェイスには、次のページに進む、前のページに戻る、アドレスバー、更新または停止用などのコントロールがあります。このポリシーを構成して、一部のコントロールの使用および表示を制限できます。デフォルト値は［すべてのコントロールを表示］です。

オプション

• すべてのコントロールを表示。すべてのコントロールが表示され、ユーザーはそのすべてを使用できます。
• 読み取り専用アドレスバー。すべてのコントロールが表示されますが、ユーザーはアドレスフィールドを編集できません。
• アドレスバーを隠す。アドレスバーが非表示になり、ほかのすべてのコントロールが表示されます。
• すべてのコントロールを隠す。ツールバー全体を非表示にして、フレームのないブラウジング環境を提供します。

Webパスワードのキャッシュを有効化

Webリソースへアクセスまたはそれを要求する場合に、Secure Webユーザーが資格情報を入力すると、このポリシーによりデバイス上でパスワードがSecure Webによりサイレントキャッシュされるかどうかが決まります。このポリシーは、認証ダイアログに入力されたパスワードに適用され、Webフォームに入力されたパスワードには適用されません。

［オン］ の場合、Webリソースの要求時にユーザーが入力するすべてのパスワードがSecure Webによりキャッシュされます。［オフ］ の場合、Secure Webはパスワードをキャッシュせずに既存のキャッシュ済みパスワードを削除します。デフォルト値は ［オフ］ です。

このポリシーは、このアプリで優先VPNポリシーを［完全VPNトンネル］に設定した場合にのみ有効になります。

プロキシサーバー

また、セキュアブラウズモードで使用される場合にSecure Webに対してプロキシサーバーを構成できます。詳しくは、ブログ記事を参照してください。

DNSサフィックス

Androidでは、DNSサフィックスが構成されていない場合、VPNが失敗することがあります。DNSサフィックスの構成について詳しくは、「AndroidデバイスでDNSサフィックスを使用したDNSクエリのサポート」を参照してください。

Secure Webで使用するイントラネットサイトの準備

このセクションは、AndroidおよびiOSに対応したSecure Webで使用するイントラネットサイトの準備を担当するWebサイト開発者を対象にしています。デスクトップブラウザー用に設計されたイントラネットサイトをAndroidデバイスやiOSデバイスで適切に動作させるには変更が必要です。

Secure WebはWeb技術のサポートを提供するために、AndroidではWebView、iOSではWkWebViewに依存しています。Secure WebでサポートされているWeb技術にはたとえば次のようなものがあります：

• AngularJS
• ASP .NET
• JavaScript
• jQuery
• WebGL

Secure WebでサポートされていないWeb技術にはたとえば次のようなものがあります：

• Flash
• Java

次の表は、Secure WebでサポートされているHTMLレンダリング機能と技術をまとめたものです。○は、その機能をプラットフォーム、ブラウザー、またはコンポーネントの組み合わせで利用できることを示しています。

さまざまなデバイスで同じ技術が機能しますが、Secure Webはデバイスごとに異なるユーザーエージェント文字列を返します。Secure Webで使用するブラウザーのバージョンを判断するには、ユーザーエージェント文字列を表示します。Secure Webから、https://whatsmyuseragent.com/にアクセスします。

イントラネットサイトのトラブルシューティング

イントラネットサイトをSecure Webで表示したときのレンダリングの問題を解決するには、そのWebサイトがSecure Webと、互換性のあるサードパーティのブラウザーでどのようにレンダリングされるかを比較してください。

iOSの場合、テスト用に互換性のあるサードパーティのブラウザーはChromeとDolphinです。

Androidの場合、テスト用に互換性のあるサードパーティのブラウザーはDolphinです。

注：

ChromeはAndroidのネイティブブラウザーです。これを比較には使用しないでください。

iOSでは、ブラウザーがデバイスレベルでのVPNサポートが有効か確認してください。VPNは、デバイスで ［設定］>［VPN］>［VPN構成を追加］ の順に選択して構成できます。

またApp Storeでは、Citrix VPN、Cisco AnyConnect、またはPulse SecureなどのVPNクライアントアプリを利用できます。

• 2つのブラウザーでWebページのレンダリングが同じであれば、問題はWebサイトにあります。サイトを更新して、目的のOSで正しく動作することを確認してください。
• Secure WebでのみWebページに問題が現れる場合は、シトリックスサポートに連絡して、サポートチケットを開いてください。その際、トラブルシューティングの手順、およびテストに使用したブラウザーとOSの種類を報告します。Secure Web for iOSにレンダリングの問題がある場合は、以下で説明する手順に従ってページのWebアーカイブを含めます。これは、シトリックスが問題をより早く解決するのに役立ちます。

Webアーカイブファイルを作成するには

macOS 10.9以降でSafariを使用すると、（リーディングリストとして参照される）WebアーカイブファイルとしてWebページを保存できます。Webアーカイブファイルには画像、CSS、JavaScriptなどのすべてのリンク設定されたファイルが含まれます。

1. Safariから、リーディングリストのフォルダーを空にします：Finderでメニューバーの ［移動］ メニューをクリックし、［フォルダへ移動］ を選択してパス名「~/Library/Safari/ReadingListArchives/」を入力してからこの場所にあるフォルダーをすべて削除します。

2. メニューバーで ［Safari］>［環境設定］>［詳細］ の順に選択し、［メニューバーに“開発”メニューを表示］ チェックボックスをオンにします。

3. メニューバーで、［開発］>［ユーザーエージェント］ の順に選択し、Secure Webユーザーエージェントを入力します：(Mozilla/5.0 (iPad; CPUOS 8_3 like macOS) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12F69 Secure Web/ 10.1.0(build 1.4.0) Safari/8536.25)。

4. Safariでリーディングリスト（Webアーカイブファイル）として保存するWebサイトを開きます。

5. メニューバーで、［ブックマーク］>［リーディングリストに追加］ の順に選択します。バックグラウンドでアーカイブ化が実行されます。これには数分かかることがあります。

6. アーカイブ化されたリーディングリストを検索します：メニューバーで、［表示］>［リーディングリストサイドバーを表示］ の順に選択します。

7. アーカイブファイルの確認：

   • Macへのネットワーク接続を切断します。

   • リーディングリストからWebサイトを開きます。

     Webサイトは完全にレンダリングされます。

8. アーカイブファイルを圧縮します：Finderでメニューバーの ［移動］ をクリックし、［フォルダへ移動］ を選択してパス名「~/Library/Safari/ReadingListArchives/」を入力します。次に、ランダムな16進数文字列のファイル名を持つフォルダーを圧縮します。サポートチケットを開く時にシトリックスサポートにこのファイルを送信できます。

Secure Webの機能

Secure Webでは、モバイルデータ交換技術を使用した専用のVPNトンネルが作成され、内部サイトや外部のWebサイトにアクセスできるようになります。これらのサイトには、組織のセキュリティポリシーで保護された環境で機密情報を含むサイトがあります。

Secure MailおよびCitrix Filesとの連携により、Secure WebではセキュアなEndpoint Managementコンテナ内のシームレスなユーザーエクスペリエンスが提供されます。連携機能の例をいくつか示します：

• ユーザーがMailtoリンクをタップすると、Citrix Secure Mailで新規メールメッセージ画面が開きます。資格情報を入力する必要はありません。
• iOSでは、URLの前に ctxmobilebrowser:// を付けることで、ユーザーはネイティブのメールアプリからSecure Web内のリンクを開くことができます。たとえば、ネイティブのメールアプリでexample.comを開くには、ctxmobilebrowser://example.comというURLを使用します。
• また、メールメッセージ内のイントラネットリンクをクリックするとSecure Webがサイトに移動して、資格情報を入力せずにイントラネットサイトにアクセスできます。
• ユーザーは、Secure Webを使用してWebからダウンロードしたデータをCitrix Filesにアップロードできます。

また、Secure Webユーザーは以下の操作も実行できます：

• ポップアップをブロックする。

  注：

  Secure Webのメモリの大部分は、ポップアップのレンダリングで消費されます。そのため、通常、［設定］でポップアップをブロックすることで、パフォーマンスが向上します。

• お気に入りサイトをブックマークとして登録する。
• ファイルをダウンロードする。
• オフライン用にページを保存する。
• パスワードを自動保存する。
• キャッシュ、履歴、およびCookieを削除する。
• CookieおよびHTML5のローカルストレージの無効化。
• 他のユーザーとデバイスを安全に共有する。
• アドレスバー内で検索する。
• Secure Webで実行するWebアプリによる位置情報へのアクセスを許可します。
• 設定のエクスポートおよびインポート。
• ファイルをダウンロードすることなくCitrix Filesでファイルを直接開く。この機能を有効にするには、Endpoint Managementの「許可するURL」ポリシーに「ctx-sf:」を追加します。
• iOSで、3Dタッチ操作でホーム画面から直接新しいタブを開いて、オフラインページ、お気に入りサイト、およびダウンロードにアクセスする。
• iOSで、あらゆるサイズのファイルをダウンロードし、Citrix Filesやその他のアプリで開く。

  注：

  Secure Webをバックグラウンドに置くと、ダウンロードが停止します。

• 現在のページビュー内で ［ページ内の検索］ を使用して用語を見つけます。

Secure Webの動的テキストサポートによって、デバイスで設定するフォント設定がSecure Webに表示されます。