構成

環境の構成

Citrix Receiver for iOSはXenApp環境向けのWeb Interfaceの構成をサポートします。Web Interfaceでは、XenApp Servicesサイト(旧称「Program Neighborhoodエージェントサービスサイト」)とXenAppおよびXenDesktopサイトという2種類のWebサイトを作成できます。これらのWeb Interfaceサイトにより、クライアントデバイスがサーバーファームに接続できるようになります。Citrix ReceiverとWeb Interface間での認証は、Citrix Access GatewayやCitrix Secure Gatewayなど、さまざまな方法で実装できます。

また、StoreFrontがCitrix Receiverへの認証およびリソース配信を提供するように構成して、デスクトップ、アプリケーション、およびそのほかのリソースをユーザーに配信する一拠点のエンタープライズリソースストアを作成することもできます。

接続の構成については、http://community.citrix.comを参照してください。ビデオ、ブログ、サポートフォーラムなどを利用できます。

XenAppまたはXenDesktopの展開環境で公開されているアプリケーションにユーザーがアクセスできるようにするには、以下のコンポーネントを構成する必要があります。

  • アプリケーションを公開するときは、StoreFrontのストアを経由してアプリケーションにアクセスするユーザーのエクスペリエンスを向上させるために、次のオプションについて検討します。

    • 公開アプリケーションを簡単に識別できるように、わかりやすい説明を入力します。この説明は、ユーザーのCitrix Receiverに表示されます。
    • 管理者は、Citrix Receiverの[おすすめ]の一覧にアプリケーションを表示して、モバイルデバイスユーザー用の公開アプリケーションを強調できます。Citrix Receiverの[おすすめ]の一覧にアプリケーションを追加するには、サーバー上でその公開アプリケーションのプロパティを編集し、[説明]ボックスに文字列「KEYWORDS:Featured」を追加します。
    • アプリケーションの表示サイズをモバイルデバイスの画面サイズに合わせる機能を有効にするには、サーバー上でその公開アプリケーションのプロパティを編集し、[説明]ボックスに文字列「KEYWORDS:mobile」を追加します。このキーワードの追加により、そのアプリケーションでの自動スクロール機能も有効になります。
    • アプリケーションがストアのユーザー全員に自動的にサブスクライブされるようにするには、XenAppでそのアプリケーションを公開するときに、説明に文字列「KEYWORDS:Auto」を追加します。ユーザーがストアにログオンすると、そのアプリケーションを手動でサブスクライブしなくても自動的にプロビジョニングされます。
  • XenAppまたはXenDesktop展開環境のWeb Interfaceで、WebサイトまたはXenAppおよびXenDesktopサイトを作成します。サイト名およびその作成方法は、使用するWeb Interfaceのバージョンにより異なります。

StoreFrontの構成

重要:

  • StoreFrontを使用すると、Citrix ReceiverはCitrix Access Gateway Enterprise Edition 9.3以降およびNetScaler Gateway 12以前をサポートします。
  • Citrix Receiver for iOSでは、Web InterfaceのXenApp Servicesサイトがサポートされます。
  • Citrix Receiver for iOSは、WebブラウザーがReceiver for Webと連携している限り、セッションの開始をサポートします。セッションが開始しない場合、Citrix Receiver for iOSを介して直接アカウントを構成します。ユーザーはReceiverのブラウザーを開く機能を使って手動でICAファイルを開く必要があります。この展開方法での制限事項については、StoreFrontのドキュメントを参照してください。

StoreFrontで作成するストアは、Citrix Receiverのリソース配信インフラストラクチャと認証を提供するサービスにより構成されます。このストアにより、XenDesktopサイトおよびXenAppファームからデスクトップとアプリケーションが列挙および集約され、これらのリソースをユーザーが使用できるようになります。

  1. StoreFrontをインストールして構成します。詳しくは、製品ドキュメントの「StoreFront」(「テクノロジ」>「StoreFront」)のトピックを参照してください。独自のCitrix Receiver for iOSダウンロードサイトを作成する管理者用に、テンプレートが提供されています。
  2. XenAppおよびXenDesktopアプリケーションと同様の手順で、StoreFront用にストアを構成します。ユーザーのモバイルデバイス側で特別な構成を行う必要はありません。詳しくは、製品ドキュメントの「StoreFront」のセクションで、「ユーザーアクセスオプション」を参照してください。以下のいずれかの方法を使用します:
    • プロビジョニングファイル。管理者は、ストアに接続するための詳細が定義されたプロビジョニングファイル(CRファイル)をユーザーに提供します。デバイスにCitrix Receiverをインストールした後で、提供されたCRファイルをユーザーが開くとReceiverが自動的に構成されます。Receiver for Webサイトのデフォルトでは、そのサイトの単一ストア用のプロビジョニングファイルがユーザーに提供されます。または、管理者がCitrix StoreFront管理コンソールで単一または複数のストア用のプロビジョニングファイルを生成して、それらをユーザーにメールなどで配布することもできます。
    • ユーザーによる構成。デスクトップやアプリケーションにアクセスするには、Access GatewayまたはストアURLが必要であることをユーザーに直接知らせることができます。Access Gatewayを経由する接続の場合、ユーザーは製品のエディションと必要な認証方法についても把握する必要があります。インストール後、Citrix Receiverに詳細を入力します。接続が検証され成功すると、ログオンを求められます。
    • 自動構成ようこそ画面で [アカウントの追加] をタップして、アドレスフィールドにStoreFrontサーバーのURLを入力します。追加中、アカウントは自動的に構成されます。

Access GatewayおよびNetScaler Gatewayを構成するには

外部から接続するユーザー(遠隔地からまたはインターネット経由で接続するユーザーなど)にアクセスを提供するには、NetScaler GatewayまたはAccess Gatewayを使用した認証を構成します。

  • StoreFrontを使用すると、Citrix ReceiverはCitrix Access Gateway Enterprise Edition 9.3以降およびNetScaler Gateway 12以前をサポートします。
  • 詳しくは、使用するバージョンのAccess GatewayまたはNetScaler Gatewayの製品ドキュメントを参照してください。

Citrix Receiverでのアプリへのアクセスを構成するには

  1. アプリケーションへ自動的にアクセスするようCitrix Receiverを構成する場合、新しいアカウントを作成する時に[アドレス]フィールドにストアの一致URLを入力します(例:storefront.organization.com)。
  2. スマートカードを使って認証している場合は、[スマートカードの使用]オプションを選択します。
  3. 手動で構成する場合([オプション]>[手動セットアップ]の順にタップ)、そのほかの必要な情報を入力し、セキュリティトークンを有効にしたり認証の種類を選択したりするなど、Access Gateway(またはNetScaler Gateway)の認証方法を選択して設定を保存します。

注:

ストアへのログオンは約1時間有効です。これを超過した場合、再ログオンするまでアプリケーション一覧を更新したりほかのアプリケーションを起動したりできなくなります。

クライアント証明書認証の構成

重要:

  • StoreFrontを使用すると、ReceiverはCitrix Access Gateway Enterprise Edition 9.3以降およびNetScaler Gateway 11以降をサポートします。
  • クライアント証明書による認証は、Receiver for iOS 5.5以降でサポートされます。
  • クライアント証明書による認証は、Access Gateway Enterprise Edition 9.xおよび10.x以降でのみサポートされます。
  • 2要素認証の種類は、CertとLDAPである必要があります。
  • Citrix Receiverでは、クライアント証明書による認証をオプション(選択自由)として設定することもできます。
  • この認証では、P12形式の証明書のみがサポートされます。

Access Gateway(またはNetScaler Gateway)仮想サーバーにログオンするユーザーを、クライアント証明書の属性に基づいて認証することもできます。クライアント証明書による認証は、LDAPを使用した2要素認証でも使用できます。

クライアント側の証明書の属性でユーザーを認証するには、仮想サーバー上のクライアント認証が有効になっており、クライアント証明書を要求するように構成されている必要があります。さらに、Access Gateway上でルート証明書をその仮想サーバーにバインドする必要があります。

Access Gatewayサーバーにログオンしたユーザーの認証後、そのユーザー名およびドメインの情報が証明書の特定フィールドから抽出されます。この情報は、証明書のSubjectAltName:OtherName:MicrosoftUniversalPrincipalNameフィールドにあります。形式は、「username@domain」です。ユーザー名とドメインが問題なく抽出されたら、ユーザーはそのほかの必須情報(パスワードなど)を提供して、その後ユーザーが認証されます。有効な証明書や資格情報が提供されなかったり、ユーザー名とドメインの抽出に失敗したりすると、認証に失敗します。

クライアント証明書に基づいて認証するには、既定の認証の種類としてクライアント証明書を指定します。また、「証明書アクション」を作成して、クライアントのSSL証明書に基づいた認証時の動作を定義することもできます。

XenApp Servicesサイトを構成するには

XenApp Servicesサイトを作成していない場合は、インストールしたXenAppのバージョンにより、XenAppの管理コンソールまたはWeb Interface管理コンソールを使ってモバイルデバイス用のXenApp Servicesサイトを作成します。

モバイルデバイス用のCitrix Receiverでは、そのユーザーがアクセスできるアプリケーションの情報をXenApp Servicesサイト(Program Neighborhoodエージェントサービスサイト)から取得して、モバイルデバイス上のReceiverに表示します。これは、Web Interfaceを使用して、従来のSSLベースのXenApp接続のためにAccess Gatewayを設定する方法に似ています。

Access Gateway経由の接続をサポートするReceiver for Mobile Devices用のXenApp Servicesサイトを構成します。

  1. XenApp Servicesサイトで[セキュリティ保護されたクライアントアクセスの管理]、[セキュリティ保護されたクライアントアクセスの変更](XenAppの管理コンソール)、または[セキュアなクライアントアクセス]、[セキュアアクセス設定の編集](Web Interface管理コンソール)の順に選択します。
  2. [アクセス方法]を[ゲートウェイ直接]に変更します。
  3. Access Gatewayアプライアンスの完全修飾ドメイン名(FQDN)を入力します。
  4. Secure Ticket Authority(STA)の情報を入力します。

Access Gatewayアプライアンスを構成するには

クライアント証明書による認証を使用するには、Access GatewayでCertとLDAPによる2要素認証を構成する必要があります。これを行う方法については、製品ドキュメントのAccess Gateway Enterprise Edition(9.xのみ)またはAccess Gateway 10のトピックを参照してください(「クライアント証明書認証の構成」を検索します)。

  1. Access Gatewayでセッションポリシーを作成し、ReceiverからのXenApp接続を受け付けるように設定し、新しく作成したXenApp Servicesサイトの場所を指定します。
    • モバイルデバイス用のReceiverからの接続を識別するセッションポリシーを作成します。セッションポリシーを作成したら、次の式を設定し、式の演算子として[Match All Expressions]を選択します:

      CitrixReceiverはREQ.HTTP.HEADERユーザーエージェントに含まれます。

    • セッションポリシーのプロファイル設定で、[Security]タブの[Default Authorization]を[Allow]に設定します。

      [Published Applications]タブで、これがグローバル設定でない([Override Global]チェックボックスをオンにする)場合は[ICA Proxy]が[ON]であることを確認します。

      Web Interfaceのアドレスとして、モバイルデバイスユーザー用に作成したXenApp ServicesサイトのURLを、「config.xml」を含めて入力します(//XenAppServerName/Citrix/PNAgent/config.xmlまたは/XenAppServerName/CustomPath/config.xmlなど)。

    • このセッションポリシーを、仮想サーバーにバインドします。

    • CertとLDAP用の認証ポリシーを作成します。

    • これらの認証ポリシーを、仮想サーバーにバインドします。

    • TLSハンドシェイク時にクライアント証明書を要求するように仮想サーバーを構成します。これを行うには、[Certificate]タブの[SSL Parameters]を開き、[Client Authentication]の[Client Certificate]で[Mandatory]を設定します。 重要: Access Gatewayで使用するサーバー証明書が(中間証明書を伴う)証明書チェーンの一部である場合は、中間証明書も正しくAccess Gatewayにインストールしてください。証明書のインストールについては、Access Gatewayのドキュメントを参照してください。

モバイルデバイス用のCitrix Receiverを構成するには

Access Gatewayでクライアント証明書による認証を有効にすると、クライアント証明書の属性に基づいてユーザーが認証されます。認証が問題なく完了すると、ユーザー名とドメインが証明書から抽出され、そのユーザーに対して指定されたポリシーが適用されます。

  1. Citrix Receiverで、[アカウント]の[サーバー]ボックスに、Access GatewayサーバーのFQDNをGatewayClientCertificateServer.organization.comのように入力します。Receiverにより、クライアント証明書が必要であることが自動的に検出されます。
  2. ユーザーは、新しい証明書をインストールするか、インストール済みのものを一覧から選択できます。iOSのクライアント証明書認証では、証明書のダウンロードおよびインストールをReceiverを使用して行う必要があります。
  3. 有効な証明書を選択した後、ログオン画面にその証明書の情報に基づいてユーザー名とドメインが自動的に入力され、ユーザーはパスワードを含むそのほかの情報を自分で入力します。
  4. クライアント証明書による認証をオプションとして設定した場合、ユーザーは証明書ページの[戻る]をクリックすることで証明書の選択をスキップすることができます。この場合、Receiverはそのまま接続を続行し、ユーザーにログオン画面を表示します。
  5. ユーザーが初回ログオンを完了すると、証明書を提示しなくてもアプリケーションを起動できるようになります。ユーザーのアカウントで使用された証明書はReceiverに格納され、次回以降のログオン時に自動的に使用されるようになります。

Secure Gatewayの構成

XenApp Servicesサイトを構成するには

重要:

  • Receiver for iOSでXenApp Servicesサイトを使用する場合、Secure Gateway 3.xがサポートされます。
  • Citrix Receiver for iOSでXenApp Webサイトを使用する場合、Secure Gateway 3.xがサポートされます。
  • XenApp Servicesサイトでは1要素認証のみがサポートされ、XenApp Webサイトでは1要素認証および2要素認証がサポートされます。
  • デバイスに組み込まれているすべてのWebブラウザーでサポートされている、Web Interface 5.4を使用する必要があります。

この設定を実行する前に、Secure GatewayをインストールしてWeb Interfaceと連動するように設定します。これらの手順は運用環境に合わせて適宜変更できます。

Secure Gateway接続を使用する環境では、Receiver上のCitrix Access Gatewayオプションを設定しないでください。

Receiver for Mobile Devicesでは、そのユーザーがアクセスできるアプリケーションの情報をXenApp Servicesサイト(Program Neighborhoodエージェントサービスサイト)から取得して、モバイルデバイス上のReceiverに表示します。これは、Web Interfaceを使用して、従来のSSLベースのXenApp接続のためにAccess Gatewayを設定する方法に似ています。Web Interface 5.x上で動作するXenApp Servicesサイトには、この構成機能が組み込まれています。

Secure Gatewayからの接続をサポートするようにXenApp Servicesサイトを設定します:

  1. XenApp Servicesサイトで[セキュリティ保護されたクライアントアクセスの管理]、[セキュリティ保護されたクライアントアクセスの変更](XenAppの管理コンソール)、または[セキュアなクライアントアクセス]、[セキュアアクセス設定の編集](Web Interface管理コンソール)の順に選択します。
  2. [アクセス方法]を[ゲートウェイ直接]に変更します。
  3. Secure Gatewayの完全修飾ドメイン名(FQDN)を入力します。
  4. Secure Ticket Authority(STA)の情報を入力します。

注:

Secure Gatewayの場合、このサイトに対してCitrix定義のデフォルトのパス(//XenAppServerName/Citrix/PNAgent)を使用することをお勧めします。デフォルトのパスを使用すると、ユーザーはXenApp Servicesサイト内のconfig.xmlファイルのフルパス(//XenAppServerName/CustomPath/config.xmlなど)の代わりに、接続するSecure GatewayのFQDNを指定できるようになります。

Secure Gatewayを構成するには

  1. Secure Gatewayで、Secure Gateway構成ウィザードを使ってXenApp Serviceサイトをホストするセキュアなネットワーク内のサーバーと連動するようにSecure Gatewayを設定します。[間接]オプションを選択した後、Secure GatewayサーバーのFQDNパスを入力し、ウィザードを進めます。
  2. ユーザーデバイスからの接続をテストして、Secure Gatewayのネットワークと証明書の割り当てが正しく設定されていることを確認します。

モバイルデバイスをReceiver用に構成するには

  1. Secure Gatewayアカウントを追加する場合、[アドレス] フィールドに一致するSecure GatewayサーバーのFQDNを入力します:
    • デフォルトのパス(/Citrix/PNAgent)を使ってXenApp Servicesサイトを作成した場合は、Secure GatewayのFQDNを「FQDNofSecureGateway.companyName.com」のように入力します。
    • 既定のパスを使わずXenApp Servicesサイトのパスをカスタマイズした場合は、config.xmlファイルへのパスを「FQDNofSecureGateway.companyName.com/CustomPath/config.xml」のように入力します。
  2. アカウントを手動で構成している場合は、Access Gatewayオプションの [新規アカウント] ダイアログをオフにします。

Web Interfaceの構成

Web Interfaceサイトを構成するには

iPhoneおよびiPadのユーザーは、デバイスのSafariブラウザーでWeb Interfaceサイトに接続してアプリケーションを起動します。管理者は、ほかのXenAppアプリケーションと同じ方法でWeb Interfaceサイトを設定できます。モバイルデバイス用のXenApp Servicesサイトが設定されていない場合、Citrix Receiverは自動的にWeb Interfaceサイトに接続されます。ユーザーのモバイルデバイス側で特別な構成を行う必要はありません。

iPhoneおよびiPadのSafariでは、Web Interface 5.xがサポートされています。

iOSデバイス上でアプリケーションを起動するには

ユーザーデバイスで、通常の資格情報を入力してWeb Interfaceサイトにログオンします。

モバイルデバイスの自動構成

StoreFrontで、ストアで使用されるNetScaler Gateway環境やビーコンポイントなどの詳細情報が定義されたプロビジョニングファイルを生成するには、[複数ストアのプロビジョニングファイルのエクスポート]および[プロビジョニングファイルのエクスポート]タスクを使用します。ユーザーにプロビジョニングを提供すると、ユーザーがCitrix Receiverを簡単に構成できるようになります。Citrix Receiverプロビジョニングファイルは、Receiver for Webサイトから入手できるようにすることもできます。

重要:複数サーバーによる展開環境では、複数のサーバー上で同時にサーバーグループの構成を変更しないでください。展開内のほかのサーバー上でCitrix StoreFront管理コンソールを同時に実行していないことを確認してください。変更が完了したら、構成の変更をサーバーグループに反映させて、展開内のほかのサーバーを更新します。

  1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルをクリックします。Citrix StoreFront管理コンソールの左ペインで[ストア]ノードを選択します。
  2. 複数のストアの詳細情報が定義されたプロビジョニングファイルを生成するには、[操作]ペインの[複数ストアのプロビジョニングファイルのエクスポート]をクリックして、対象のサイトを選択します。
  3. [エクスポート]をクリックして、拡張子が.crのプロビジョニングファイルをネットワーク上の適切な場所に保存します。

アカウントの手作業での構成

通常、ReceiverでAccess Gatewayに接続すると、認証の後でXenApp ServicesサイトまたはXenApp Webサイトが検出されます。いずれのサイトも検出されない場合、Receiverによりエラーが表示されます。この問題を避けるには、Receiverが正しくAccess Gatewayに接続されるように、手作業でアカウントを構成します。

  1. 画面右上の[アカウント]アイコンをタップして、[アカウント]画面のプラス記号(+)をタップします。[新規アカウント]画面が開きます。
  2. 画面左下の[オプション]の左側のアイコンをタップして、[手動セットアップ]をタップします。画面に追加のフィールドが表示されます。
  3. [アドレス]フィールドに、接続先のサイトまたはAccess GatewayのURL(agee.mycompany.comなど)を入力します。
  4. 次のいずれかの接続オプションを選択します。選択するオプションにより、異なるフィールドが表示されます。
    • Web Interface - ReceiverでXenApp Webサイトを表示する場合は、このオプションを選択します。Webブラウザーでの表示に似ており、「Webビュー」とも呼ばれます。
    • XenApp Services - Access Gateway経由の認証が構成されていない特定のXenApp Servicesサイトを指定する場合は、このオプションを選択します。追加されるフィールドに、ログオン用の資格情報を入力します。
      • :複数のストアがある場合は一覧が表示され、追加するストアをユーザーが選択できます。
      • <StoreFront FQDN>/citrix/<Store Name>:<Store Name>に指定するStoreFrontのストアが追加されます。ここで、<Store Name>はストア名です。
      • /citrix/PnAgent/config.xml:従来の既定のPNAgentストアが追加されます。
      • <StoreFront FQDN>/citrix/<Store Name>/PnAgent/config.xml:<Store Name>に関連付けられている従来のPNAgentストアが追加されます。ここで、<Store Name>はストア名です。
    • Access Gateway - 特定のAccess Gateway経由でXenApp Servicesサイトに接続する場合は、このオプションを選択します。追加されるオプションでサーバーのエディションを選択し、ログオン用の資格情報、セキュリティトークンを使用するかどうかなどを指定します。
  5. [証明書の警告を無視]で、無効、自己署名、または期限切れの証明書を無視してサーバーに接続するかどうかを指定します。デフォルトでは、[オフ]になっています。 重要:このオプションをオンにする場合は、常に接続先のサーバーが正しいかどうかを確認してください。ユーザーのデバイスを不正な攻撃から守るため、すべてのサーバー上に有効な証明書をインストールしておくことを強くお勧めします。証明機関から入手したSSL証明書を使用すると、サーバーのセキュリティが向上します。自己署名入りの証明書を使用したり、証明書を使用しなかったりすることは推奨されません。
  6. [保存]をタップします。
  7. ユーザー名およびパスワード(2要素認証を選択した場合はトークン)を入力し、[ログオン]をタップします。Citrix Receiverの画面が開き、デスクトップにアクセスしたり、アプリケーションを追加および実行したりできます。