Citrix Secure Web™

Citrix Secure Webは、HTML5互換のモバイルWebブラウザーであり、内部サイトおよび外部サイトへのセキュアなアクセスを提供します。Secure Webは、デバイスがSecure Hubに登録されると、ユーザーデバイスに自動的にプッシュされるように構成できます。または、Endpoint Managementアプリストアからアプリを追加することもできます。

Secure Webおよびその他のモバイル生産性アプリのシステム要件については、「システム要件」を参照してください。

Secure Webの統合と配信

注：

MDX Toolkit 10.7.10は、モバイル生産性アプリのラッピングをサポートする最終リリースです。ユーザーは、バージョン10.7.5以降のモバイル生産性アプリにパブリックアプリストアからアクセスします。

Secure Webを統合して配信するには、次の一般的な手順に従います。

1. 内部ネットワークへのシングルサインオン（SSO）を有効にするには、Citrix Gatewayを構成します。

• HTTPトラフィックの場合、Citrix ADCはCitrix ADCでサポートされているすべてのプロキシ認証タイプに対してSSOを提供できます。HTTPSトラフィックの場合、Webパスワードキャッシュポリシーにより、Secure WebはMDXを介してプロキシサーバーに対して認証を行い、SSOを提供できます。MDXは、基本、ダイジェスト、およびNTLMプロキシ認証のみをサポートします。パスワードはMDXを使用してキャッシュされ、機密性の高いアプリデータのセキュアなストレージ領域であるEndpoint Management共有ボールトに保存されます。Citrix Gatewayの構成の詳細については、「Citrix Gateway」を参照してください。
• 1. Secure Webをダウンロードします。

1. 内部ネットワークへのユーザー接続を構成する方法を決定します。
2. 他のMDXアプリと同じ手順を使用してSecure WebをEndpoint Managementに追加し、MDXポリシーを構成します。Secure Webに固有のポリシーの詳細については、この記事の後半にある「Secure Webポリシーについて」を参照してください。

ユーザー接続の構成

Secure Webは、ユーザー接続に対して次の構成をサポートしています。

• トンネル化 - Web SSO： 内部ネットワークにトンネル接続する接続では、クライアントレスVPNの一種であるトンネル化 - Web SSOを使用できます。これは、優先VPNモードポリシーで指定されているデフォルトの構成です。トンネル化 - Web SSOは、シングルサインオン（SSO）を必要とする接続に推奨されます。
• フルVPNトンネル： 内部ネットワークにトンネル接続する接続では、優先VPNモードポリシーによって構成されるフルVPNトンネルを使用できます。フルVPNトンネルは、クライアント証明書または内部ネットワーク内のリソースへのエンドツーエンドSSLを使用する接続に推奨されます。ただし、Secure Webは、モバイルデバイスに保存されているクライアント証明書を読み取ることができるアプリではありません。この機能を提供できるサードパーティのラップされたエンタープライズアプリがインストールされている場合があります。フルVPNトンネルは、TCP上の任意のプロトコルを処理し、iOSおよびAndroidデバイスに加えて、WindowsおよびMacコンピューターでも使用できます。

• VPNモード切り替えの許可ポリシーにより、必要に応じてフルVPNトンネルモードとトンネル化 - Web SSOモード間の自動切り替えが可能になります。デフォルトでは、このポリシーはオフになっています。このポリシーがオンの場合、優先VPNモードで処理できない認証要求が原因で失敗したネットワーク要求は、代替モードで再試行されます。たとえば、フルVPNトンネルモードはクライアント証明書のサーバーチャレンジに対応しますが、トンネル化 - Web SSOモードは対応しません。同様に、HTTP認証チャレンジは、トンネル化 - Web SSOモードを使用する場合、SSOで処理される可能性が高くなります。

• 次の表は、構成とサイトの種類に基づいて、Secure Webがユーザーに資格情報の入力を求めるかどうかを示しています。

• 接続モード

  サイトの種類

  パスワードキャッシュ

  Citrix Gateway用にSSOが構成されているか

  Secure WebがWebサイトへの初回アクセス時に資格情報の入力を求めるか

  Secure WebがWebサイトへのその後のアクセス時に資格情報の入力を求めるか

  パスワード変更後にSecure Webが資格情報の入力を求めるか

• トンネル化 - Web SSO

  HTTP

  いいえ

  はい

  いいえ

  いいえ

  いいえ

• トンネル化 - Web SSO

  HTTPS

  いいえ

  はい

  いいえ

  いいえ

  いいえ

• フルVPN	HTTP	いいえ	はい	いいえ	いいえ	いいえ
  フルVPN	HTTPS	はい。Secure Web MDXポリシー「Webパスワードキャッシュを有効にする」がオンの場合。	いいえ	はい。Secure Webで資格情報をキャッシュするために必要。	いいえ	はい

Secure Webポリシー

Secure Webを追加する際は、Secure Webに固有の次のMDXポリシーに注意してください。サポートされているすべてのモバイルデバイスの場合：

許可またはブロックされるWebサイト

Secure Webは通常、Webリンクをフィルターしません。このポリシーを使用して、許可またはブロックされるサイトの特定のリストを構成できます。ブラウザーが開くことができるWebサイトを制限するために、URLパターンをコンマ区切りのリストとして構成します。リスト内の各パターンの前にはプラス記号（+）またはマイナス記号（-）が付きます。ブラウザーは、一致が見つかるまで、リストに記載されている順序でURLをパターンと比較します。一致が見つかると、プレフィックスによって実行するアクションが次のように決定されます。

• マイナス（-）プレフィックスは、ブラウザーにURLをブロックするように指示します。この場合、URLはWebサーバーアドレスを解決できないかのように扱われます。
• プラス（+）プレフィックスは、URLが通常どおり処理されることを許可します。
• パターンに+も-も指定されていない場合、+（許可）が想定されます。

• URLがリスト内のどのパターンとも一致しない場合、URLは許可されます。

• 他のすべてのURLをブロックするには、リストをマイナス記号の後にアスタリスク（-*）を付けて終了します。例：

• ポリシー値+http://*.mycorp.com/*,-http://*,+https://*,+ftp://*,-*は、mycorp.comドメイン内のHTTP URLを許可しますが、それ以外の場所ではブロックし、HTTPSおよびFTP URLをどこでも許可し、他のすべてのURLをブロックします。
• ポリシー値+http://*.training.lab/*,+https://*.training.lab/*,-*は、ユーザーがHTTPまたはHTTPSを介してTraining.labドメイン（イントラネット）内の任意のサイトを開くことを許可します。ただし、プロトコルに関係なく、Facebook、Google、HotmailなどのパブリックURLを開くことはできません。

デフォルト値は空（すべてのURLが許可）です。

ポップアップのブロック

ポップアップとは、Webサイトがユーザーの許可なく開く新しいタブのことです。このポリシーは、Secure Webがポップアップを許可するかどうかを決定します。オンの場合、Secure WebはWebサイトがポップアップを開くのを防ぎます。デフォルト値はオフです。

事前読み込み済みブックマーク

• Secure Webブラウザーの事前読み込み済みブックマークのセットを定義します。このポリシーは、フォルダー名、フレンドリ名、およびWebアドレスを含むタプルのコンマ区切りリストです。各トリプレットは、folder, name, urlの形式である必要があり、folderとnameはオプションで二重引用符（”）で囲むことができます。

• たとえば、ポリシー値,"Mycorp, Inc. home page",https://www.mycorp.com, "MyCorp Links",Account logon,https://www.mycorp.com/Accounts "MyCorp Links/Investor Relations","Contact us",https://www.mycorp.com/IR/Contactus.aspxは、3つのブックマークを定義します。最初のブックマークは、「Mycorp, Inc. home page」というタイトルのプライマリリンク（フォルダー名なし）です。2番目のリンクは、「MyCorp Links」というタイトルのフォルダーに配置され、「Account logon」とラベル付けされています。3番目のリンクは、「MyCorp Links」フォルダーの「Investor Relations」サブフォルダーに配置され、「Contact us」として表示されます。

• デフォルト値は空です。

ホームページのURL

• Secure Webの起動時に読み込まれるウェブサイトを定義します。デフォルト値は空です（デフォルトのスタートページ）。

サポートされているAndroidおよびiOSデバイスのみ：

ブラウザのユーザーインターフェイス

Secure Webのブラウザユーザーインターフェイスコントロールの動作と表示を決定します。通常、すべてのブラウジングコントロールが利用可能です。これには、進む、戻る、アドレスバー、および更新/停止コントロールが含まれます。このポリシーを構成して、これらのコントロールの一部使用と表示を制限できます。デフォルト値は「すべてのコントロールを表示」です。

オプション

• すべてのコントロールを表示。すべてのコントロールが表示され、ユーザーはそれらの使用を制限されません。
• 読み取り専用アドレスバー。すべてのコントロールが表示されますが、ユーザーはブラウザのアドレスフィールドを編集できません。
  • アドレスバーを非表示。アドレスバーは非表示になりますが、他のコントロールは非表示になりません。
  • すべてのコントロールを非表示。ツールバー全体を非表示にし、フレームレスなブラウジングエクスペリエンスを提供します。

Webパスワードキャッシュの有効化

Secure WebユーザーがWebリソースにアクセスまたは要求する際に資格情報を入力すると、このポリシーはSecure Webがデバイスにパスワードをサイレントキャッシュするかどうかを決定します。このポリシーは、認証ダイアログで入力されたパスワードに適用され、Webフォームで入力されたパスワードには適用されません。

オンの場合、Secure WebはユーザーがWebリソースを要求する際に入力するすべてのパスワードをキャッシュします。オフの場合、Secure Webはパスワードをキャッシュせず、既存のキャッシュされたパスワードを削除します。デフォルト値はオフです。

このポリシーは、優先VPNポリシーをこのアプリの「フルVPNトンネル」に設定した場合にのみ有効になります。

プロキシサーバー

• トンネル化されたWeb SSOモードで使用する場合、Secure Webのプロキシサーバーを構成することもできます。詳細については、このブログ投稿を参照してください。

DNSサフィックス

Androidでは、DNSサフィックスが構成されていない場合、VPNが失敗する可能性があります。DNSサフィックスの構成の詳細については、「AndroidデバイスのDNSサフィックスを使用したDNSクエリのサポート」を参照してください。

Secure Web向けイントラネットサイトの準備

このセクションは、AndroidおよびiOS版Secure Webで使用するイントラネットサイトを準備する必要があるWebサイト開発者向けです。デスクトップブラウザ向けに設計されたイントラネットサイトは、AndroidおよびiOSデバイスで適切に動作するために変更が必要です。

Secure Webは、Webテクノロジーサポートを提供するためにAndroid WebViewおよびiOS WkWebViewに依存しています。Secure WebでサポートされているWebテクノロジーの一部は次のとおりです。

• AngularJS
• ASP .NET
• JavaScript
• jQuery
• WebGL

• WebSockets

• Secure WebでサポートされていないWebテクノロジーの一部は次のとおりです。

• Flash
• Java

次の表は、Secure WebでサポートされているHTMLレンダリング機能とテクノロジーを示しています。Xは、プラットフォーム、ブラウザ、およびコンポーネントの組み合わせで機能が利用可能であることを示します。

• | – | – | – |

• JavaScriptエンジン

  JavaScriptCore

  V8

• ローカルストレージ

  X

  X

• AppCache

  X

  X

• IndexedDB

  X

• SPDY

  X

• WebP

  X

• srcet

  X

  X

• WebGL

  X

• requestAnimationFrame API

  X

• Navigation Timing API

  X

• Resource Timing API

  X

テクノロジーはデバイス間で同じように動作しますが、Secure Webはデバイスごとに異なるユーザーエージェント文字列を返します。Secure Webで使用されているブラウザのバージョンを特定するには、そのユーザーエージェント文字列を表示できます。Secure Webから、https://whatsmyuseragent.com/に移動します。

イントラネットサイトのトラブルシューティング

Secure Webでイントラネットサイトを表示したときのレンダリングの問題をトラブルシューティングするには、Secure Webと互換性のあるサードパーティ製ブラウザでWebサイトがどのようにレンダリングされるかを比較します。

iOSの場合、テスト用の互換性のあるサードパーティ製ブラウザはChromeとDolphinです。

Androidの場合、テスト用の互換性のあるサードパーティ製ブラウザはDolphinです。

注:

ChromeはAndroidのネイティブブラウザです。比較には使用しないでください。

iOSでは、ブラウザがデバイスレベルのVPNをサポートしていることを確認してください。デバイスでVPNを構成するには、[設定] > [VPN] > [VPN構成を追加] の順に移動します。

App Storeで入手可能なVPNクライアントアプリ（Citrix VPN、Cisco AnyConnect、Pulse Secureなど）を使用することもできます。

• ウェブページが2つのブラウザで同じようにレンダリングされる場合、問題はウェブサイトにあります。サイトを更新し、OSで適切に動作することを確認してください。
• ウェブページの問題がSecure Webでのみ発生する場合は、Citrixサポートに連絡してサポートチケットを開いてください。テストしたブラウザとOSの種類を含むトラブルシューティング手順を提供してください。iOS版Secure Webでレンダリングの問題がある場合は、以下の手順で説明されているページのWebアーカイブを含めてください。これにより、Citrixは問題をより迅速に解決します。

Webアーカイブファイルの作成

macOS 10.9以降のSafariを使用すると、ウェブページをWebアーカイブファイル（リーディングリストとも呼ばれます）として保存できます。Webアーカイブファイルには、画像、CSS、JavaScriptなどのすべてのリンクされたファイルが含まれます。

1. Safariからリーディングリストフォルダを空にします。Finderで、メニューバーの[移動] メニューをクリックし、[フォルダへ移動] を選択し、パス名 ~/Library/Safari/ReadingListArchives/ を入力して、その場所にあるすべてのフォルダを削除します。

2. メニューバーで、[Safari] > [環境設定] > [詳細] の順に移動し、メニューバーの[開発メニューを表示] を有効にします。

3. メニューバーで、[開発] > [ユーザーエージェント] の順に移動し、Secure Webのユーザーエージェント (Mozilla/5.0 (iPad; CPU OS 8_3 like macOS) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12F69 Secure Web/ 10.1.0(build 1.4.0) Safari/8536.25) を入力します。

4. Safariで、リーディングリスト（Webアーカイブファイル）として保存したいウェブサイトを開きます。

5. メニューバーで、[ブックマーク] > [リーディングリストに追加] の順に移動します。アーカイブはバックグラウンドで実行され、数分かかる場合があります。

6. アーカイブされたリーディングリストを見つけます。メニューバーで、[表示] > [リーディングリストサイドバーを表示] の順に移動します。

7. アーカイブファイルを確認します。

   • Macへのネットワーク接続をオフにします。

   • リーディングリストからウェブサイトを開きます。

     ウェブサイトが完全にレンダリングされます。

8. アーカイブファイルを圧縮します。Finderで、メニューバーの[移動] メニューをクリックし、[フォルダへ移動] を選択し、パス名 ~/Library/Safari/ReadingListArchives/ を入力します。次に、ランダムな16進数文字列をファイル名とするフォルダを圧縮します。サポートチケットを開く際に、このファイルをCitrixサポートに送信できます。

Secure Webの機能

Secure Webは、モバイルデータ交換テクノロジーを使用して、ユーザーが内部および外部のウェブサイト、およびその他すべてのウェブサイトにアクセスするための専用VPNトンネルを作成します。これには、組織のポリシーによって保護された環境で、機密情報を含むサイトも含まれます。

Secure WebとSecure MailおよびCitrix Filesの統合により、セキュアなEndpoint Managementコンテナ内でシームレスなユーザーエクスペリエンスが提供されます。統合機能の例を次に示します。

• ユーザーがMailtoリンクをタップすると、Citrix Secure Mail™で新しいメールメッセージが開き、追加の認証は不要です。
• iOSでは、ユーザーはURLの前に ctxmobilebrowser:// を挿入することで、ネイティブメールアプリからSecure Webでリンクを開くことができます。たとえば、ネイティブメールアプリから example.com を開くには、URL ctxmobilebrowser://example.com を使用します。
• ユーザーがメールメッセージ内のイントラネットリンクをクリックすると、Secure Webはそのサイトに移動し、追加の認証は不要です。
• ユーザーは、Secure WebでウェブからダウンロードしたファイルをCitrix Filesにアップロードできます。

Secure Webユーザーは、次のアクションも実行できます。

• ポップアップをブロックします。

  注:

  Secure Webのメモリの多くはポップアップのレンダリングに使用されるため、設定でポップアップをブロックするとパフォーマンスが向上することがよくあります。

• お気に入りのサイトをブックマークします。
• ファイルをダウンロードします。
• ページをオフラインで保存します。
• パスワードを自動保存します。
• キャッシュ/履歴/Cookieをクリアします。
• CookieとHTML5ローカルストレージを無効にします。
• 他のユーザーとデバイスを安全に共有します。
• アドレスバー内で検索します。
• Secure Webで実行するWebアプリが自分の位置情報にアクセスすることを許可します。
• 設定をエクスポートおよびインポートします。
• ファイルをダウンロードせずにCitrix Filesで直接ファイルを開きます。この機能を有効にするには、Endpoint Managementの許可されたURLポリシーに ctx-sf: を追加します。
• iOSでは、3D Touchアクションを使用して、ホーム画面から直接新しいタブを開き、オフラインページ、お気に入りのサイト、およびダウンロードにアクセスします。
• iOSでは、任意のサイズのファイルをダウンロードし、Citrix Filesまたは他のアプリで開きます。

  注:

  Secure Webをバックグラウンドにすると、ダウンロードが停止します。

• [ページ内検索] を使用して、現在のページビュー内で用語を検索します。

Secure Webは動的テキストもサポートしています。アプリは、ユーザーがデバイスで設定したフォントを表示します。

注:

• XenMobile向けCitrix Filesは、2023年7月1日にEOLに達しました。詳細については、EOLおよび非推奨のアプリを参照してください。