ShareConnect

ShareConnectを使用すると、ユーザーはiPad、Androidタブレット、Androidスマートフォンから自分のコンピューターに安全に接続して、ファイルやアプリケーションにアクセスできます。次のことを実行できます。

  • ユーザーのコンピューター上のファイルだけでなく、そのコンピューターで接続済みのネットワークドライブ上のファイルを操作する
  • ShareConnect内で、ターゲットマシンからアプリを実行する
  • ほかの業務用モバイルアプリをラップせずに、モバイルアプリにアクセスする
  • モバイルに最適化したアクセスのため、ShareConnectをCitrix Virtual Desktopsで実行する

ShareConnectのMDXバージョンは Endpoint Managementのダウンロードページからダウンロードできます。

ShareConnectのインストール方法および使い方については、 Citrix Knowledge Centerを参照してください。

アーキテクチャの概要

ShareConnectコンポーネントには、次の図で示すようにCitrixのShareConnect BrokerやShareConnect Communication Serversがあります。ShareConnect Brokerは、ユーザーをコンピューターにマップしてホストコンピューターがオンラインかオフラインかをユーザーに知らせるアプリケーションサーバーおよびデスクトップです。ShareConnect Communication Serversは、ホストコンピューターとクライアントコンピューター間でデータを交換するために使用されます。データは、Endpoint Management設定をベースとしたホストコンピューターとクライアントコンピューター間でセキュアなマイクロVPNトンネルを介してやり取りできます。

WorxDesktopのアーキテクチャ

またCitrix Filesは、Endpoint ManagementまたはActive Directory Federation Services(ADFS)などのSAML IDプロバイダー(IdP)でシングルサインオン(SSO)を介したユーザー認証を提供できます。Endpoint Managementでの展開においては、NetScaler Gatewayを介してネットワーク外のリソースへアクセスします。

ShareConnectでの接続

ShareConnectでは、直接または間接のいずれかによる接続が確立されます。

  • 直接接続。ShareConnectは、クライアントコンピューターとホストコンピューターが同じLANまたはWiFiネットワークにある場合、その間に直接接続を確立します。この場合、クライアントコンピューターまたはモバイルデバイスとホストコンピューター間のアクセスにおいてデータが直接やり取りされます。パフォーマンスを最適化した結果、データはShareConnect Communication Serversを通ってはフローしません。直接接続の場合、Endpoint ManagementはNetScaler Gatewayを使ってローカルネットワークの外にあるリソースへの安全なアクセスを提供します。
  • 間接接続。ShareConnectは、クライアントコンピューターとホストコンピューターに直接到達できない場合、関節接続を確立します。この場合、データはShareConnect Communication Serversを通ってフローします。

次の図は、ユーザーが直接接続を使ってShareConnectが動作するコンピューターまたはモバイルデバイスからホストコンピューターにアクセスする場合に使用される接続を示しています。接続手順については、別の図で説明しています。

接続フローチャートの画像

① このシナリオでは、Endpoint ManagementがCitrix FilesのSAML IdPとして機能し、Worx HomeからSSOを提供するように構成します。ShareConnectがWorx HomeにSAMLトークンを要求し、次にNetScaler Gatewayを介して要求がEndpoint Managementに渡されます。その後、Endpoint ManagementはSAMLトークンをShareConnectに送信します。

② ShareConnectはSAMLトークンを検証し、SAMLトークンとOAuthトークンを取り換えるためにCitrix Filesに送信します。

③ ShareConnectはOAuthトークンをShareConnect Brokerに送信し、これによりセッショントークンがShareConnectに送信されます。

④ ShareConnectはShareConnect Brokerからホストコンピューターの一覧を取得し、ホストコンピューターの資格情報が要求されます。その後、ShareConnectはShareConnect Communication Serverとの直接接続を確立します。ホストコンピューターが資格情報を検証した後、ShareConnectはそのホストコンピューターからファイルとアプリの一覧を取得します。ユーザーがファイルまたはアプリを開いた後、ShareConnectとホストコンピューター間での直接接続が実行されます。

⑤ ホストコンピューター上のShareConnectエージェントは、状態メッセージをShareConnect Poll Serverに送信して、それがオンラインかオフラインかを示します。

⑥ ShareConnect Poll Serverは、ShareConnectエージェントからの負荷分散された要求をShareConnect Brokerに送信し、またホスト状態の更新をShareConnect Brokerに送信します。

ShareConnectのセキュリティ

ShareConnectでは組み込みの128ビットAES暗号化が使用され、ShareConnectクライアントとShareConnectエージェントを実行するホストコンピューター間で送信されるすべてのデータはエンドツーエンドで完全に暗号化されます。暗号化キーは各接続に一意なものです。最高性能の装置でも、重要データを傍受して暗号を解読することは不可能です。

通常はShareConnectを構成して、データがShareConnectクライアントとホストコンピューター間で直接やり取りされるようにします。無制限アクセスに対するネットワークアクセスポリシーを構成しない限り、データはShareConnect Communication Serverを経由しません。ポリシーについて詳しくは、「Endpoint ManagementにShareConnectを追加するには」を参照してください。

直接または間接接続の場合、接続の確立に必要なIPアドレスやポートといった暗号化されたメタデータは、ShareConnectサーバーに送信されます。

さらに、ShareConnectのMDXラッピングによりMDX Vaultを介したデータ暗号化が提供され、OpenSSLで提供されるFIPS認定暗号化モジュールを使用して、iOS(iOS 9より前)およびAndroidの両方のデバイスでMDXラップしたアプリと関連する格納データが暗号化されます。

セキュリティ設定および管理コントロールに関する情報については、後述のリンクからセキュリティホワイトペーパーを参照してください。

ShareConnectセキュリティホワイトペーパー

ShareConnect管理ガイド

ShareConnectのポート要件

ShareConnect通信を許可するには、次のポートを開く必要があります。ポート要件は、直接接続(クライアントとホストコンピューターが同じLANまたはWiFiネットワーク上にある場合)または間接接続(クライアントとホストコンピューターが相互に直接到達できない場合)といった接続の種類により異なります。

直接接続の場合

TCPポート80 - NetScaler Gatewayからapp.shareconnect.comへの発信接続のために使用されます。

接続元 - NetScaler Gateway

接続先 - app.shareconnect.com

TCPポート80、443、8200 - NetScaler GatewayからShareConnect Communication Serverへの発信接続のため、これらの1つ以上のポートが必要です。

接続元 - NetScaler Gateway

接続先 - ShareConnect Communication Server

TCPポート80、443、8200 - ShareConnectホストコンピューターからCitrixサーバーへの発信接続のため使用されます。

接続元 - ShareConnectホストコンピューター

接続先 - poll.shareconnect.com、ShareConnect Communication Server

TCPポート443 - NetScaler Gatewayから必要なサイトへの発信接続のために使用されます。

接続元 - NetScaler Gateway

接続先 - crashlytics.com、secure.sharefile.com、ShareFile_sub-domain.sharefile.com

TCPポート53000~53010 - NetScaler GatewayからShareConnectホストコンピューターへの発信接続のために使用されます。

接続元 - NetScaler Gateway

接続先 - LANベースのShareConnectホストコンピューター

TCPポート53000~53010 - NetScaler GatewayからShareConnectホストコンピューターへの受信接続のために使用されます。

接続元 - NetScaler Gateway

接続先 - LANベースのShareConnectホストコンピューター

間接接続の場合

TCPポート80 - ShareConnectエージェントからapp.shareconnect.comへの発信接続のために使用されます。

接続元 - ShareConnectエージェント

接続先 - app.shareconnect.com

TCPポート80、443、8200 - ShareConnectエージェントからShareConnect Communication Serverへの発信接続のため、これらの1つ以上のポートが必要です。

接続元 - ShareConnectエージェント

接続先 - ShareConnect Communication Server

TCPポート80、443、8200 - ShareConnectホストコンピューターからCitrixサーバーへの発信接続のため使用されます。

接続元 - ShareConnectホストコンピューター

接続先 - poll.shareconnect.com、ShareConnect Communication Server

TCPポート443 - ShareConnectエージェントから必要なサイトへの発信接続のために使用されます。

接続元 - ShareConnectエージェント

接続先 - crashlytics.com、secure.sharefile.com、ShareFile_sub-domain.sharefile.com

ShareConnectの統合と提供

ShareConnectをEndpoint Managementと統合して提供するには、次の一般的な手順に従います:

  1. オプションとして、Worx HomeからSSOを有効にできます。これを行うには、Endpoint ManagementでCitrix Filesアカウント情報を設定して、Citrix FilesのSAML IdPとしてEndpoint Managementを有効にします。

    Endpoint ManagementでのCitrix Filesアカウント情報の設定は、すべての業務用モバイルアプリクライアント、Citrix Files Worxクライアント、および非MDX Citrix Filesクライアントで使用される1回だけの設定です。

  2. ShareConnectをダウンロードしてラップします。詳しくは、「MDX Toolkitについて」を参照してください。

  3. ShareConnectをEndpoint Managementに追加して、MDXポリシーを構成します。

  4. ホストコンピューターへのShareConnectエージェントのインストール。ShareConnectエージェントはMSIパッケージなので、既存のソフトウェア展開方式により配信およびインストールできます。インストールしてから1時間以内に、ユーザーはCitrix Files資格情報を使ってエージェントに署名してホストコンピューターを登録する必要があります。

    または、ShareConnectで接続するコンピューターにShareConnectエージェントをインストールできます。詳しくは、「コンピューターにShareConnectエージェントをインストールするには」を参照してください。

Endpoint ManagementにShareConnectを追加する

ほかのMDXアプリの場合と同じ手順を使用して、ShareConnectをEndpoint Managementに追加します。詳しくは、「MDXアプリの追加」を参照してください。ShareConnectを追加する場合、MDXポリシーを次の表で示すように構成します。

ポリシー 結果
ネットワークアクセス 内部ネットワークへトンネルまたは制限なし [内部ネットワークへトンネル]は、すべてのネットワークアクセスに内部ネットワークへのアプリケーションごとのVPNトンネルを使用します。この構成により、ShareConnectとホストコンピューター間に直接接続が提供されます。[制限なし]は、CitrixのCommunication Serverを使ってホストコンピューターとShareConnect間で暗号化されたデータをやり取りします。ネットワークアクセスに[内部ネットワークへトンネル]を使おうとする場合でも、制限されていないアクセスでセットアップをテストしてすべてが機能するか確認してください。
優先VPNモード セキュア ブラウズ SSOを必要とする接続に対して初期接続モードを適切に設定します。
暗号化を有効化 オン タブレットに格納されているデータが暗号化されます。
切り取りおよびコピー 制限なし ShareConnectで切り取りとコピー操作が有効になります。
貼り付け 制限なし ShareConnectで貼り付け操作が有効になります。
Document exchange (Open In) 制限なし ユーザーは、ShareConnectから接続しているコンピューターまたは接続しているネットワークドライブ上のファイルを開くことができます。
パスワードの保存 オフ ユーザーは、ShareConnectにサインオンするたびに、コンピューターのユーザー名とパスワードを入力するよう要求されます。

コンピューターにShareConnectエージェントをインストールするには

次の手順では、ユーザーがサポートされているモバイルデバイスから接続する物理または仮想コンピューターごとに、ShareConnectエージェントをインストールする方法について説明します。

この手順を実行する前に、ユーザーは最初にWorx Homeをインストールし、プロンプトに従ってサポートされているモバイルデバイスに業務用モバイルアプリをインストールするのを許可する必要があります。

  1. タブレットでWorx Homeにサインオンします。

  2. ShareConnectを開き、

  3. [Email download link]をタップします。

    ユーザーに対して、Citrixのno-reply@shareconnect.comからメールが送信されます。

  4. ShareConnectからアクセスするホストコンピューターで、メールを開きます。

  5. メール内の[Set up this computer]をクリックします。

  6. ShareConnect_Installer.exeをダブルクリックしてインストールを開始します。

    ホストコンピューターにShareConnectエージェントがインストールされます。インストールの間に、ShareConnectによってメールアドレス(Citrix Files SSOが構成されている場合)またはCitrix Files資格情報(Citrix Files SSOが構成されていない場合)が求められます。

  7. 表示される手順に従って処理を実行します。

次にShareConnectエージェントはホストコンピューターを登録し、これによりホストコンピューターの電源がオンになっていて、1つ以上の公開ポート(80、443、または8200)でpoll.shareconnect.comに到達できるShareConnectクライアントから接続できます。

ShareConnectの機能

  • ホストコンピューターの追加。ユーザーはShareConnectを使ってサポートされているモバイルデバイスからリモートホストコンピューターを追加して接続できます。

  • ファイルのアクセス。ユーザーが最近使用したファイルの一覧が表示されるので、ホストコンピューターおよび接続されているドライブ上のファイルに簡単にアクセスできます。

  • ファイルの編集。ユーザーは、タブレットから自分のコンピューター上のデスクトップアプリケーションを使用してファイルを編集できます。また、ユーザーは、アプリケーションを全画面表示で操作できます。

  • 画面共有。単一のファイルやアプリを表示する代わりに画面共有機能を使って、ホストコンピューターのデスクトップを表示できます。

  • Citrix Filesの統合。ユーザーは、ホストコンピューターとCitrix Filesの間で、ファイルを移動または共有できます。

  • キーボードとマウス。ShareConnectでは、BluetoothキーボードとCitrix XI Prototype Mouseを同時に使用できます。

  • ポート制限。ShareConnectで使用されるポートは53000から53010のみです。

  • 各サインオン時のパスワード入力の強制。セキュリティを強化するため、ShareConnectへの各サインオン時にコンピューターパスワードの入力を必須にすることができます。次の図に示しているように、Save passwordポリシーが無効の場合は、接続するたびにサインオン資格情報の入力が必要となります。

    パスワードの保存

  • アプリの追加と削除。ユーザーは、各アプリの横のスイッチをオンまたはオフにして、ShareConnect内のアプリトレイからアプリを追加または削除できます。

    アプリの追加と削除

  • プレビュー済みファイルのキャッシュ。ShareConnectでは、ユーザーがアクセスしたファイルがキャッシュされます。ユーザーがほかのファイルをプレビューした後で元のファイルにアクセスしたときに再ダウンロードは行われません。これにより、ファイルのロード時間が改善されます。

ShareConnectのトラブルシューティング

ShareConnectエージェントのインストールの問題

問題 説明と解決策
ユーザーがShareConnectエージェントをダウンロードしてから1時間以上インストールを開始しない場合は、Citrix Filesアカウント名とパスワードを入力してShareConnectエージェントを登録する必要があります。 ShareConnectエージェントのインストーラーには、ダウンロード後1時間有効なトークンが含まれています。このトークンの有効期限が切れる前にインストールを開始しない場合、Citrix Filesアカウントに2回サインオンする必要があります。最初にShareConnectエージェントを登録するためにサインオンし、次にインストールが完了した後にエージェントにサインオンします。ShareConnectエージェントをダウンロードして1時間以内にインストールする場合は、サインオンは1度だけで済みます。
ShareConnectエージェントを登録する間、エージェントは接続を実行せず、「接続を確認してからもう一度実行してください。」といったエラーメッセージが表示されます。 poll.shareconnect.comへのポートがブロックされていないか確認します。詳しくは、このアーティクルの「システム要件」を参照してください。

ShareConnectの接続に関する問題

重要:

ShareConnectをテストするため、ネットワークアクセスポリシーを [制限なし] に設定してポートとネットワーク設定の問題を除外することをお勧めします。無制限アクセスではShareConnectがShareConnect Communication Serverを介して接続し、通常はこれによって、ShareConnectモバイルデバイスおよびホストコンピューターでインターネットアクセスが有効な場合に接続をテストできるようになります。

問題 説明と解決策
ShareConnectが開始するが、ホストコンピューターに接続せず、資格情報を求めるプロンプトが表示されない。 このアーティクルの「システム要件」で説明しているポート要件を満たしているか確認してください。
Citrix Filesアカウントの資格情報を使ってShareConnectにサインオンできない。 ShareConnectへのシングルサインオン(SSO)では、Citrix FilesアカウントをSAML IDPで構成する必要があります。Endpoint ManagementをSAML IdPとして使用する方法について詳しくは、「Citrix Files for Endpoint Management」を参照してください。その他のIdPの構成について詳しくは、Knowledge Centerの記事を参照してください。アカウントでSSOが構成されていない場合は、ShareConnect for iOSによりユーザーのCitrix Filesユーザー名とパスワードを求めるプロンプトが表示されます。
ユーザーがShareConnectにサインオンした後、ShareConnectがホストコンピューターに接続できない。 ShareConnectを直接接続用に構成する(つまり、ネットワークアクセスポリシーを[内部ネットワークへトンネル]に設定する)と、ファイアウォールブロックやプロキシサーバー構成のようなネットワーク設定に制限があると、接続障害が起こります。