Secure Webの統合と提供
Secure Webを統合して提供するには、次の一般的な手順に従います:
-
内部ネットワークでシングルサインオン(SSO)を有効にするには、Citrix Gatewayを構成します。
HTTPトラフィックの場合、Citrix ADCはCitrix ADCがサポートするすべてのプロキシ認証タイプに対してSSOを提供できます。 HTTPSトラフィックの場合、「Webパスワードのキャッシュを有効化」ポリシーにより、Secure Webが認証してMDX SDKを使用したプロキシサーバーへのSSOを提供するようにできます。 MDX SDKは、基本認証、ダイジェスト認証、NTLMプロキシ認証のみをサポートします。 パスワードはMDX SDKを使ってキャッシュされ、機密アプリデータ用のセキュアなストレージ領域であるEndpoint Managementの共有コンテナに格納されます。 Citrix Gatewayの構成について詳しくは、「Citrix Gateway」を参照してください。
- Secure Webをダウンロードします。
- 内部ネットワークに対するユーザー接続をどのように構成するか決定します。
- ほかのMDXアプリと同じ手順でSecure WebをEndpoint Managementに追加し、MDX SDKポリシーを構成します。 Secure Webに固有のポリシーについて詳しくは、「Secure Webポリシーについて」を参照してください。
ユーザー接続の構成
Secure Webは、ユーザー接続について次の構成をサポートします:
-
トンネル - Web SSO: 内部ネットワークをトンネルする接続は、クライアントレスVPNの一種である「トンネル - Web SSO」を使用できます。
-
リバース分割トンネリング: リバースモードでは、イントラネットアプリケーションのトラフィックはVPNトンネルをバイパスし、他のトラフィックはVPNトンネルを通過します。 非ローカルLANトラフィックをすべてログに記録するためにこのポリシーを使用できます。
分割トンネリング
分割トンネリングモードでは、イントラネットアプリケーションのトラフィックはVPN経由でルーティングされ、他のトラフィックはVPNをバイパスします。 この機能により、VPN保護を必要としないアプリケーションのパフォーマンスが向上し、インターネットに接続しているときに内部リソースにアクセスする際のセキュリティも確保されます。
AndroidとiOSの両方で、分割トンネリングがオンになっている場合は、次の2つのオプションがあります:
-
イントラネットIPアドレス範囲を定義します:これにより、Secure Web(mVPNを使用)を開き、定義したIPアドレス(例:
https://10.8.0.8)を使用してイントラネットサイトにアクセスできるようになります。 -
ワイルドカードをサポートするイントラネットアプリケーションを定義します:これにより、Secure Web(mVPNを使用)を開き、定義したドメインアドレス(例:
https://abc.example.com)を使用してイントラネットサイトにアクセスできます。
リバース分割トンネリングの構成手順
Citrix Gatewayに分割トンネリングリバースモードを構成するには、次の手順を実行します:
- [ポリシー]>セッションポリシーに移動します。
- Secure Hubポリシーを選択し、[クライアントエクスペリエンス]>[分割トンネル]に移動します。
- [リバース] を選択します。
リバース分割トンネルモードの除外対象一覧MDXポリシー
Citrix Endpoint Managementのリバース分割トンネルモードポリシーで除外範囲を構成します。 これは、DNSサフィックスと完全修飾ドメイン名のコンマ区切り一覧に基づいた範囲です。 この一覧は、トラフィックをデバイスのLAN経由で送信し、Citrix ADCに送信しないURLを定義します。
次の表は、構成とサイトの種類に基づいて、Secure Webがユーザーに資格情報の入力を求めるかどうかを示しています。
| 接続モード | サイトの種類 | パスワードキャッシュ | Citrix Gateway用にSSOが構成されています | Secure Webは、Webサイトへの最初のアクセス時に資格情報を要求します | Secure Webは、そのWebサイトへの後続のアクセス時に資格情報を要求します | Secure Webは、パスワード変更後に資格情報を要求します |
|---|---|---|---|---|---|---|
| トンネル-Web SSO | HTTP | いいえ | はい | いいえ | いいえ | いいえ |
| トンネル-Web SSO | HTTPS | いいえ | はい | いいえ | いいえ | いいえ |
Secure Webのポリシー
Secure Webを追加する際には、Secure Webに固有の以下のMAM SDKポリシーに注意してください。 サポートされているすべてのモバイルデバイスについて、以下の点に注意してください:
許可または禁止するWebサイト
Secure Webは、通常Webリンクをフィルター処理しません。 このポリシーを使って、許可されたサイトまたは禁止されたサイトの特定の一覧を構成できます。 コンマ区切りの一覧形式でURLのパターンを入力して、WebブラウザーでアクセスできるWebサイトを制限します。 一覧内の各パターンには、プラス記号(+)またはマイナス記号(-)のプレフィックスが付いています。 一致するものが見つかるまで、一覧の順序どおりにURLがパターンと比較されます。 一致が見つかると、プレフィックスにより次のような処理が指示されます。
- マイナス(-)記号の場合、そのURLへのアクセスが禁止されます。 この場合、URLはWebサーバーアドレスを解決できないものとして扱われます。
- プラス(+)記号の場合、そのURLへのアクセスが許可されます。
- パターンの最初の文字がプラス(+)またはマイナス(-)のどちらでもない場合は、+(許可)とみなされます。
- URLが一覧のパターンのいずれとも一致しない場合、そのURLは許可されたものとなります。
いずれのパターンとも一致しないURLへのアクセスを禁止するには、一覧の最後にマイナス(-)の付いたアスタリスク(-*)を追加します。 例えば:
- ポリシーの値が「
+http://*.mycorp.com/*,-http://*,+https://*,+ftp://*,-*」の場合、mycorp.comドメイン内ではHTTP URLを許可してほかの場所ではブロックし、HTTPSおよびFTPのURLを許可してそのほかすべてのURLをブロックします。 - このポリシー値「
+http://*.training.lab/*,+https://*.training.lab/*,-*」により、ユーザーは、HTTPまたはHTTPS経由でTraining.labドメイン(イントラネット)内の任意のサイトを開くことができます。 このポリシーの値では、ユーザーはプロトコルに関係なくFacebook、Google、HotmailなどのパブリックURLは開くことができません。
デフォルト値は空です(すべてのURLが許可される)。
ポップアップをブロック
ポップアップはWebサイトがユーザーの権限なしに開く新しいタブです。 このポリシーによりSecure Webがポップアップを許可するかどうかが決まります。 [オン]にすると、Secure WebはWebサイトがポップアップを開くことを禁止します。 デフォルト値は [オフ] です。
事前ロードするブックマーク
Secure Webブラウザーに対して事前に読み込まれたブックマークのセットを定義します。 ポリシーは、フォルダー名、フレンドリ名、およびWebアドレスを含むタプルのコンマ区切りの一覧です。 各組は「フォルダー、名前、URL」形式で入力します。フォルダーと名前は必要に応じて二重引用符(”)で囲みます。
たとえば、ポリシー値"Mycorp, Inc. home page",https://www.mycorp.com, "MyCorp Links",Account logon,https://www.mycorp.com/Accounts "MyCorp Links/Investor Relations","Contact us",https://www.mycorp.com/IR/Contactus.aspxは3つのブックマークを定義します。 1つ目のブックマークは、次の名前のプライマリリンク(フォルダー名なし)です。「Mycorp, Inc. home page」。 2つ目のブックマークは「MyCorp Links」という名前のフォルダーに「Account logon」という名前で追加されます。 3つ目のブックマークは「MyCorp Links」フォルダーの「Investor Relations」サブフォルダーに「Contact us」という名前で追加されます。
デフォルト値は空です。
ホームページのURL
Secure Webの起動時に読み込むWebサイトを定義します。 デフォルト値は空です(デフォルトのスタートページ)。
サポートされているAndroidおよびiOSデバイスのみ:
ブラウザーのユーザーインターフェイス
このポリシーでは、Secure Webブラウザーのユーザーインターフェイスコントロールの動作と表示を指定します。 通常、ユーザーはすべてのコントロールを使用できます。 Secure Webのユーザーインターフェイスには、次のページに進む、前のページに戻る、アドレスバー、更新または停止用などのコントロールがあります。 このポリシーを構成して、一部のコントロールの使用および表示を制限できます。 デフォルト値は[すべてのコントロールを表示]です。
オプション:
- すべてのコントロールを表示。 すべてのコントロールが表示され、ユーザーはそのすべてを使用できます。
- 読み取り専用アドレスバー。 すべてのコントロールが表示されますが、ユーザーはアドレスフィールドを編集できません。
- アドレスバーを隠す。 アドレスバーが非表示になり、ほかのすべてのコントロールが表示されます。
- すべてのコントロールを隠す。 ツールバー全体を非表示にして、フレームのないブラウジング環境を提供します。
Webパスワードのキャッシュを有効化
Webリソースへアクセスまたはそれを要求する場合に、Secure Webユーザーが資格情報を入力すると、このポリシーによりデバイス上でパスワードがSecure Webによりサイレントキャッシュされるかどうかが決まります。 このポリシーは、認証ダイアログに入力されたパスワードに適用され、Webフォームに入力されたパスワードには適用されません。
[オン] の場合、Webリソースの要求時にユーザーが入力するすべてのパスワードがSecure Webによりキャッシュされます。 [オフ] の場合、Secure Webはパスワードをキャッシュせずに既存のキャッシュ済みパスワードを削除します。 デフォルト値は [オフ] です。
プロキシサーバー
また、トンネル-Web SSOモードで使用される場合にSecure Webに対してプロキシサーバーを構成できます。 詳しくは、このブログ投稿を参照してください。
DNSサフィックス
Androidでは、DNSサフィックスが構成されていない場合、VPNが失敗することがあります。 DNSサフィックスの構成について詳しくは、NetScaler Gatewayドキュメントの「Supporting DNS Queries by Using DNS Suffixes for Android Devices」を参照してください。
Secure Webで使用するイントラネットサイトの準備
このセクションは、AndroidおよびiOSに対応したSecure Webで使用するイントラネットサイトの準備を担当するWebサイト開発者を対象にしています。 デスクトップブラウザー用に設計されたイントラネットサイトをAndroidデバイスやiOSデバイスで適切に動作させるには変更が必要です。
Secure WebはWeb技術のサポートを提供するために、AndroidではWebView、iOSではWkWebViewに依存しています。 Secure WebでサポートされているWeb技術にはたとえば次のようなものがあります:
- AngularJS
- ASP .NET
- JavaScript
- jQuery
- WebGL
- WebSockets(無制限モードのみ)
Secure WebでサポートされていないWeb技術にはたとえば次のようなものがあります:
- Flash
- Java
次の表は、Secure WebでサポートされているHTMLレンダリング機能と技術をまとめたものです。 「X」は、その機能をプラットフォーム、ブラウザー、またはコンポーネントの組み合わせで利用できることを示しています。
| 技術 | Secure Web for iOS | Secure Web for Android |
|---|---|---|
| JavaScriptエンジン | JavaScriptCore | V8 |
| ローカルストレージ | X | ○ |
| AppCache | × | X |
| IndexedDB | ○ | |
| SPDY | X | |
| WebP | X | |
| srcet | × | ○ |
| WebGL | ○ | |
| requestAnimationFrame API | ○ | |
| Navigation Timing API | ○ | |
| Resource Timing API | X |
さまざまなデバイスで同じ技術が機能しますが、Secure Webはデバイスごとに異なるユーザーエージェント文字列を返します。 Secure Webで使用するブラウザーのバージョンを判断するには、ユーザーエージェント文字列を表示します。 ユーザーエージェントはSecure Webログから確認できます。 Secure Webログを収集するには、[Secure Hub] > [ヘルプ] > [問題の報告]に移動します。 アプリの一覧から[Secure Web]を選択します。 圧縮されたログファイルが添付されたメールが届きます。
イントラネットサイトのトラブルシューティング
イントラネットサイトをSecure Webで表示したときのレンダリングの問題を解決するには、そのWebサイトがSecure Webと、互換性のあるサードパーティのブラウザーでどのようにレンダリングされるかを比較してください。
iOSの場合、テスト用に互換性のあるサードパーティのブラウザーはChromeとDolphinです。
Androidの場合、テスト用に互換性のあるサードパーティのブラウザーはDolphinです。
注
ChromeはAndroidのネイティブブラウザーです。 これを比較には使用しないでください。
iOSでは、ブラウザーがデバイスレベルでのVPNサポートが有効か確認してください。 このサポートは、デバイスで[設定]>[VPN]>[VPN構成を追加]の順に選択して構成できます。
また、Citrix Secure Access、Cisco AnyConnect、Pulse SecureなどのApp Storeで入手可能なVPNクライアントアプリを使用することもできます。
- 2つのブラウザーでWebページのレンダリングが同じであれば、問題はWebサイトにあります。 サイトを更新して、目的のOSで正しく動作することを確認してください。
- Secure WebでのみWebページに問題が現れる場合は、Citrixサポートに連絡して、サポートチケットを開いてください。 その際、トラブルシューティングの手順、およびテストに使用したブラウザーとOSの種類をお知らせください。 Secure Web for iOSにレンダリングの問題がある場合は、以下で説明する手順に従ってページのWebアーカイブを含めることができます。 これは、シトリックスが問題をより早く解決するのに役立ちます。
SSL接続の確認
SSL証明書チェーンが適切に構成されていることを確認してください。 SSL証明書チェッカーを使用して、モバイルデバイスにリンクされていない、またはインストールされていないルートCAまたは中間CAの欠落がないかどうかを確認できます。
多くのサーバー証明書は、複数の階層的な証明機関(CA)によって署名されています。つまり、証明書はチェーンを形成しています。 これらの証明書をリンクする必要があります。 証明書のインストールまたはリンクについては、「証明書のインストール、リンク、および更新」を参照してください。
Webアーカイブファイルを作成するには
macOS 10.9以降でSafariを使用すると、(リーディングリストとして参照される)WebアーカイブファイルとしてWebページを保存できます。 Webアーカイブファイルには画像、CSS、JavaScriptなどのすべてのリンク設定されたファイルが含まれます。
-
Safariから、リーディングリストのフォルダーを空にします:Finderでメニューバーの [移動] メニューをクリックし、[フォルダへ移動] を選択してパス名「~/Library/Safari/ReadingListArchives/」を入力します。 次にこの場所にあるフォルダーをすべて削除します。
-
メニューバーで[Safari]>[環境設定]>[詳細]の順に選択し、[メニューバーに“開発”メニューを表示]チェックボックスをオンにします。
-
メニューバーで、[開発]>[ユーザーエージェント]に移動し、Secure Webユーザーエージェントを入力します:Mozilla/5.0 (iPad; CPU OS 8_3 like macOS) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12F69 Secure Web/ 10.1.0(build 1.4.0) Safari/8536.25)。
-
Safariでリーディングリスト(Webアーカイブファイル)として保存するWebサイトを開きます。
-
メニューバーで、[ブックマーク]>[リーディングリストに追加]に移動します。 この処理には数分かかることがあります。 バックグラウンドでアーカイブ化が実行されます。
-
アーカイブされたリーディングリストを見つけます。メニューバーで、 [表示]>[リーディングリスト・サイドバーを表示]に移動します。
-
アーカイブファイルの確認:
- Macへのネットワーク接続を切断します。
-
リーディングリストからWebサイトを開きます。
Webサイトは完全にレンダリングされます。
-
アーカイブファイルを圧縮します:Finderでメニューバーの [移動] をクリックし、[フォルダへ移動] を選択してパス名「~/Library/Safari/ReadingListArchives/」を入力します。 次に、ランダムな16進数文字列のファイル名を持つフォルダーを圧縮します。 これは、サポートチケットを開くときにCitrixサポートに送信できるファイルです。
Secure Webの機能
Secure Webでは、モバイルデータ交換技術を使用した専用のVPNトンネリングが作成され、内部サイトや外部のWebサイトにアクセスできるようになります。 これらのサイトには、組織のセキュリティポリシーで保護された環境で機密情報を含むサイトがあります。
Secure MailおよびCitrix Filesとの連携により、Secure WebではセキュアなEndpoint Managementコンテナ内のシームレスなユーザーエクスペリエンスが提供されます。 連携機能の例をいくつか示します:
- ユーザーがMailtoリンクをタップすると、Secure Mailで新規メールメッセージ画面が開きます。資格情報を入力する必要はありません。
-
Secure Webでリンクを開いてデータをセキュアな状態で保護する: Secure Web for Androidでは、ユーザーは専用のVPNトンネルによって機密情報があるサイトに安全にアクセスできます。 Secure Mailから、Secure Web内から、またはサードパーティ製アプリからリンクをクリックできます。 リンクはSecure Webでリンクを開かれるため、データはセキュアな状態のままです。 ユーザーは、Secure Webでctxmobilebrowserスキームを使用した内部リンクを開きます。 このとき、先頭の「
ctxmobilebrowser://」が「http://」に変換されてHTTPSリンクが開かれます。 HTTPSリンクを開く場合、「ctxmobilebrowsers://」は「https://」に変換されます。Secure Web for iOSのこの機能は、受信ドキュメント交換と呼ばれるアプリとMDXポリシーとの相互作用によるものです。 デフォルトでは、このポリシーは [制限なし] に設定されています。 この設定では、URLをSecure Webで開くことができます。 許可リストに登録されたアプリのみがSecure Webと機能できるように、ポリシー設定を変更できます。
-
また、メールメッセージ内のイントラネットリンクをクリックするとSecure Webがサイトに移動して、資格情報を入力せずにイントラネットサイトにアクセスできます。
- ユーザーは、Secure Webを使用してWebからダウンロードしたデータをCitrix Filesにアップロードできます。
また、Secure Webユーザーは以下の操作も実行できます:
-
ポップアップをブロックする。
注意:
Secure Webのメモリの大部分は、ポップアップのレンダリングで消費されます。そのため、通常、[設定]でポップアップをブロックすることで、パフォーマンスが向上します。
- お気に入りサイトをブックマークとして登録する。
- ファイルをダウンロードする。
- オフライン用にページを保存する。
- パスワードを自動保存する。
- キャッシュ、履歴、およびCookieを削除する。
- CookieおよびHTML5のローカルストレージの無効化。
- 他のユーザーとデバイスを安全に共有する。
- アドレスバー内で検索する。
- Secure Webで実行するWebアプリによる位置情報へのアクセスを許可します。
- 設定のエクスポートおよびインポート。
- ファイルをダウンロードすることなくCitrix Filesでファイルを直接開く。 この機能を有効にするには、Endpoint Managementの「許可するURL」ポリシーに「ctx-sf:」を追加します。
- iOSで、3Dタッチ操作でホーム画面から直接新しいタブを開いて、オフラインページ、お気に入りサイト、およびダウンロードにアクセスする。
-
iOSで、あらゆるサイズのファイルをダウンロードし、Citrix Filesやその他のアプリで開く。
注意:
Secure Webをバックグラウンドに置くと、ダウンロードが停止します。
-
現在のページビュー内で [ページ内の検索] を使用して用語を見つけます。
動的テキストサポートによって、デバイスで設定するフォント設定がSecure Webに表示されます。
注意:
- Citrix Files for XenMobileは、2023年7月1日に製品終了(EOL)になりました。 詳しくは、「EOLと廃止予定のアプリ」を参照してください。