シトリックス ゲートウェイの構成
Citrix Gateway を使用して、StoreFront および Virtual Delivery Agent (VDA) への認証とリモートアクセスを提供します。Citrix Gateway は、ハードウェアまたはソフトウェアの NetScaler ADC 上で動作します。Citrix Gateway Service は Citrix によって管理されており、HDX ルーティングには使用できますが、StoreFront への認証やリモートアクセスには使用できません。
Gateway の構成の詳細については、NetScaler Gateway と StoreFront の統合 を参照してください。
StoreFront がそのゲートウェイ経由でのアクセスを許可する前に、StoreFront 内でゲートウェイを構成する必要があります。
ゲートウェイの表示
StoreFront 内で構成されているゲートウェイを表示するには、Citrix StoreFront 管理コンソールの左ペインで [ストア] ノードを選択し、[Citrix Gateway の管理] をクリックします。[Citrix Gateway の管理] ウィンドウが表示されます。

パワーシェル
ゲートウェイとその構成のリストを取得するには、Get-STFRoamingGateway を呼び出します。
Citrix Gateway アプライアンスの追加
-
[Citrix Gateway の管理] ウィンドウで [追加] をクリックします。
-
[全般設定] タブで設定を入力し、[次へ] を押します。
-
ユーザーが識別しやすいように、Citrix Gateway 展開の表示名を指定します。
ユーザーは Citrix Workspace アプリで指定した表示名を確認するため、ユーザーがその展開を使用するかどうかを判断するのに役立つ関連情報を名前に含めます。たとえば、Citrix Gateway 展開の表示名に地理的な場所を含めることで、ユーザーは自分の場所に最も便利な展開を簡単に識別できます。
-
[Gateway の種類] を [Citrix Gateway アプライアンス] に設定します。
-
ゲートウェイのURLを入力します。
StoreFront展開の完全修飾ドメイン名(FQDN)は、Citrix Gateway仮想サーバーのFQDNとは異なり、一意である必要があります。StoreFrontとCitrix Gateway仮想サーバーで同じFQDNを使用することはサポートされていません。ゲートウェイはURLを
X-Citrix-ViaHTTPヘッダーに追加します。StoreFrontはこのヘッダーを使用して、どのゲートウェイが使用されているかを判断します。GUIを使用すると、単一のゲートウェイURLしか追加できません。複数のURLでゲートウェイにアクセスできる場合、URL以外は同じ構成で同じゲートウェイを2回追加する必要があります。設定を簡素化するために、ゲートウェイにアクセスするためのセカンダリURLを設定できます。このオプションはGUIでは利用できないため、PowerShellを使用して設定する必要があります。PowerShellコマンドを実行する前に、管理コンソールを閉じる必要があります。例えば、グローバルサーバーロードバランサーの背後に複数のゲートウェイがある場合、通常、GSLB URLと、テストやトラブルシューティングなどの目的で各特定の地域ゲートウェイにアクセスするために使用できるURLの両方を追加すると便利です。ゲートウェイを作成したら、
Set-STFRoamingGatewayを使用して追加のURLを追加できます。その際、セカンダリURLには-GSLBurlパラメーターを使用します。パラメーターはGSLBurlと呼ばれていますが、これは2番目のURLを追加したいあらゆる状況で使用できます。例:Set-STFRoamingGateway -Name "Europe Gateway" -GSLBurl "eugateway.example.com" -GatewayUrl "gslb.example.com" <!--NeedCopy-->注:
この例では直感に反しますが、
GSLBurlパラメーターには地域URLが含まれ、GatewayUrlパラメーターにはGSLB URLが含まれています。ほとんどの目的では、URLは同じように扱われ、ストアがWebブラウザー経由でのみアクセスされる場合は、どちらの方法でも構成できます。ただし、Citrix Workspaceアプリを介してStoreFrontにアクセスする場合、StoreFrontからGatewayUrlを読み取り、それをリモートアクセスに使用するため、常にGSLB URLに接続するように構成することが望ましいです。3つ以上のURLが必要な場合は、これを別のゲートウェイとして構成する必要があります。
-
使用法または役割を選択します。
使用法または役割 説明内容 認証とHDXルーティング StoreFrontへのリモートアクセスとVDAへのアクセス両方にゲートウェイを使用します。 認証機能のみ ゲートウェイがStoreFrontへのリモートアクセスのみに使用される場合にこれを選択します。このオプションは、Citrix Workspace launcher の動作を妨げます。したがって、ハイブリッド起動を使用する必要がある場合は、ゲートウェイが認証のみに使用される場合でも、認証とHDXルーティングを選択してください。 HDXルーティングのみ ゲートウェイがVDAへのHDXアクセスを提供するためだけに使用される場合(例:StoreFrontインスタンスがないサイト)にこれを選択します。
「ゲートウェイアプライアンスの追加」画面の一般設定タブのスクリーンショット(/ja-jp/storefront/current-release/media/integrate-with-citrix-gateway-and-citrix-adc/gateway-general-settings.png)
-
-
セキュアチケッティングオーソリティタブの設定を入力します。
セキュアチケット認証局は、接続要求に応じてセッションチケットを発行します。これらのセッションチケットは、Citrix Workspaceアプリの検出とVDAへのアクセスの認証および承認の基礎となります。
-
1つ以上のセキュアチケットオーソリティサーバーURLを入力します。
- Citrix Virtual Apps and Desktops™を使用している場合は、デリバリーコントローラーをSTAサーバーとして使用できます。
- Citrix Desktop as a Serviceを使用している場合は、クラウドコネクタをSTAサーバーとして使用できます。これらは、Citrix Cloud™ Ticketing Authorityへの要求をプロキシするか、LHCモードの場合は独自のチケットを生成します。将来的には、回復力を向上させるために常に独自のチケットを生成するように変更されます。
- 冗長性のために、少なくとも2つのSTAサーバーを使用することをお勧めします。
- クラウドコネクタをSTAサーバーとして使用する場合、少なくとも1つのリソースロケーションにすべてのクラウドコネクタを含めることをお勧めします。まず、リソースロケーション内では、Citrix Cloudは一度に1つのクラウドコネクタのみがアップグレードされるようにするため、すべてのコネクタを含めることで、常に少なくとも1つのコネクタがアップグレードされていない状態を確保できます。次に、リソースロケーションがLHCモードになった場合、”elected broker”として指定された単一のクラウドコネクタのみがSTAチケットを発行できます。どのコネクタがこれになるかを事前に知ることはできないため、リソースロケーション内のすべてのクラウドコネクタを含めてください。
- StoreFrontにリストされているすべてのSTAサーバーが、Citrix Gateway仮想サーバーにもSTAサーバーとしてリストされていることを確認してください。Citrix Gatewayからサーバーが欠落している場合、起動が失敗する可能性があります。現在、クラウドコネクタをSTAとして使用する場合、Citrix Cloud Ticking Authorityからチケットを引き換えるために任意のコネクタを使用できるため、通常の使用ではこれは明らかではないかもしれません。しかし、ローカルホストキャッシュモードではコネクタが独自のチケットを生成し、将来的にはこれがデフォルトの動作になります。
- Delivery ControllerまたはCloud Connectorは、StoreFrontがセキュリティキーを含めるように構成されている場合があります。GUIを使用してセキュリティキーを追加することはできません。PowerShellを使用して追加する方法については、後の手順を参照してください。
-
STAサーバー間で要求を分散するには、複数のSTAサーバーを負荷分散するを選択します。選択を解除すると、StoreFrontはリストされている順序でサーバーを試行します。
-
StoreFrontがSTAサーバーに到達できない場合、そのサーバーの使用を一定期間回避します。デフォルトでは1時間ですが、この値はカスタマイズできます。
-
Citrix Workspaceアプリが自動的に再接続を試行している間、Citrix Virtual Apps and Desktopsで切断されたセッションを開いたままにする場合は、セッションの信頼性を有効にするを選択します。
-
複数のSTAを構成している場合は、オプションで利用可能な場合は2つのSTAからチケットを要求するを選択します。
利用可能な場合は2つのSTAからチケットを要求するが選択されている場合、StoreFrontは2つの異なるSTAからセッションチケットを取得するため、セッション中にいずれかのSTAが利用できなくなってもユーザーセッションは中断されません。何らかの理由でStoreFrontが2つのSTAに接続できない場合、単一のSTAの使用にフォールバックします。

設定の入力が完了したら、次へを押します。
-
-
認証設定タブで設定を入力します。
-
NetScaler®のバージョンを選択します。
-
同じURLを持つ複数のゲートウェイがある場合(通常、グローバルサーバーロードバランサーを使用している場合)で、コールバックURLを入力した場合は、ゲートウェイのVIPを入力する必要があります。これにより、StoreFrontは要求がどのゲートウェイから来たのか、したがってコールバックURLを使用してどのサーバーに接続すべきかを判断できます。それ以外の場合は、このフィールドを空白のままにできます。
-
ログオンの種類リストから、Citrix Workspaceアプリユーザー向けにアプライアンスで構成した認証方法を選択します。
Citrix Gatewayアプライアンスの構成に関して提供する情報は、ストアのプロビジョニングファイルに追加されます。これにより、Citrix Workspaceアプリは、アプライアンスに初めて接続する際に適切な接続要求を送信できるようになります。
- LDAP認証の場合は、ドメインを選択します。
- ネイティブOTP認証の場合は、セキュリティトークンを選択します。
- LDAPとOTP認証の場合は、ドメインとセキュリティトークンを選択します。
- テキストメッセージによるOTPの場合は、SMS認証を選択します。
- 証明書認証の場合は、スマートカードを選択します。
- SAML認証の場合は、ドメインを選択します。
- OIDC認証の場合は、ドメインを選択します。
スマートカードに問題が発生した場合にユーザーがフォールバックできるセカンダリ認証方法でスマートカード認証を構成する場合は、スマートカードフォールバックリストからセカンダリ認証方法を選択します。
- オプションで、ゲートウェイの内部からアクセス可能なURLをCallback URLボックスに入力します。これにより、StoreFrontはCitrix Gateway認証サービスに接続し、Citrix Gatewayから受信したリクエストがそのアプライアンスから発信されたものであることを確認できます。これはスマートアクセスや、スマートカードやSAMLのようなパスワードレス認証シナリオに必要です。それ以外の場合は空白のままで構いません。同じURLを持つ複数のCitrix Gatewayがある場合、このURLは特定のゲートウェイサーバーのものである必要があります。
ゲートウェイアプライアンスの追加画面の認証設定タブのスクリーンショット(/ja-jp/storefront/current-release/media/integrate-with-citrix-gateway-and-citrix-adc/gateway-authentication.png)
設定の入力が完了したら、次へを押します。
-
-
作成をクリックして構成を適用します。
ゲートウェイアプライアンスの追加概要画面のスクリーンショット(/ja-jp/storefront/current-release/media/integrate-with-citrix-gateway-and-citrix-adc/gateway-summary.png)
-
展開が適用されたら、完了をクリックします。
-
セキュリティキーを構成している場合(推奨)、管理コンソールを閉じてPowerShellを使用して構成する必要があります。例:
$gateway = Get-STFRoamingGateway -Name [Gateway name] $sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret] $sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret] Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2 <!--NeedCopy--> -
ユーザーがゲートウェイを介してストアにアクセスできるようにするには、リモートユーザーアクセスを構成します。
-
デフォルトでは、StoreFrontはユーザーを認証したゲートウェイを、リソースへのHDXルーティングに使用します。オプションで、最適なHDXルーティングを使用して特定のゲートウェイにアクセスする際に、StoreFrontがそのゲートウェイを使用するように構成できます。
パワーシェル
パワーシェルを使用してゲートウェイを追加するには、cmdlet New-STFRoamingGateway を実行します。
シトリックス ゲートウェイ サービスを追加
シトリックス クラウド で Citrix Gateway Service for StoreFront を有効にしている場合は、StoreFront 内でゲートウェイとして構成する必要があります。
-
Citrix Gatewayの管理ウィンドウで、追加をクリックします。
-
全般設定タブで設定を入力し、次へを押します。
-
ユーザーが識別しやすいように、Citrix Gateway展開の表示名を指定します。
ユーザーはCitrix Workspaceアプリで指定した表示名を確認するため、ユーザーがその展開を使用するかどうかを判断するのに役立つ関連情報を名前に含めてください。たとえば、Citrix Gateway展開の表示名に地理的な場所を含めることで、ユーザーは自分の場所に最も便利な展開を簡単に識別できます。
-
ゲートウェイの種類をCitrix Gateway Serviceに設定します。これにより、使用法または役割がHDX™ルーティングのみに設定され、Citrix Gateway URLが無効になります。
-
必要に応じて、Citrix Gateway Service URLを入力します。URLが空白の場合、デフォルトの商用URL
https://global.g.nssvc.netが使用され、ユーザーの場所にとって最適なPoPが選択されます。特定のゲートウェイリージョンを使用したい場合(たとえば、特定のリージョン向け)は、ここにそのURLを入力できます。利用可能なゲートウェイサービスURLのリストについては、Citrix Gateway Service documentationを参照してください。 -
Citrix Gateway Service URLを入力した場合は、対応するCitrix Gateway Service URL (STA Connector Mode)も入力する必要があります。これは、クラウドコネクタがCitrix Cloudに到達できない場合に、独自のSTAチケットを発行するために使用するゲートウェイサービスURLを指定します。URLが空白の場合、デフォルトのURL
https://global-s.g.nssvc.netが使用されます。
「ゲートウェイアプライアンスの追加」画面の「一般設定」タブのスクリーンショット(/ja-jp/storefront/current-release/media/integrate-with-citrix-gateway-and-citrix-adc/gateway-general-settings-cgs.png)
-
-
Cloud Connectorsタブの設定を入力します。
クラウドコネクタを使用すると、StoreFrontはCitrix CloudにアクセスしてGateway構成を検索し、クラウドチケット発行機関にアクセスしてセッションチケットを要求できます。
-
少なくとも1つのCloud ConnectorサーバーURLを入力します。
StoreFrontはこれらのクラウドコネクタを呼び出して、Citrix Workspaceアプリがを介した要求を認証するために使用できるSTAチケットを取得します。通常の操作では、Cloud ConnectorsはCitrix Cloud Ticketing Authorityへの要求をプロキシするか、LHCモードの場合は独自のチケットを生成します。将来的には、回復力を向上させるために常に独自のチケットを生成するように変更されます。
- 各リソースロケーションでは一度に1つのCloud Connectorのみがアップグレードされ、常に少なくとも1つのCloud Connectorが利用可能であることが保証されるため、同じリソースロケーションに複数のクラウドコネクタを含めることをお勧めします。さらなる冗長性のために、複数のリソースロケーションにCloud Connectorを追加してください。
- リソースロケーション内の各Cloud Connectorを個別にリストする代わりに、そのロケーション内のCloud Connector間で要求を分散するロードバランサーを追加できます。ただし、 VServer構成では、各コネクタを個別にリストする必要があります。
- Citrix DaaSは、StoreFrontがセキュリティキーを含めるように構成されている場合があります。GUIを使用してセキュリティキーを追加することはできません。PowerShellを使用して追加する方法については、後の手順を参照してください。
-
サーバー間で要求を分散するには、複数のサーバーを負荷分散するを選択します。クリアされている場合、StoreFrontはリストされている順序でサーバーを試行します。
-
StoreFrontがサーバーに到達できない場合、そのサーバーの使用を一定期間回避します。デフォルトでは1時間ですが、この値はカスタマイズできます。
-
オプションでセッションの信頼性を有効にするを選択します。
-
オプションで利用可能な場合は、2つのクラウドコネクタからチケットを要求するを選択します。
ゲートウェイアプライアンスの追加画面のクラウドコネクタタブのスクリーンショット(/ja-jp/storefront/current-release/media/integrate-with-citrix-gateway-and-citrix-adc/gateway-cloud-connectors.png)
設定の入力が完了したら、次へを選択します。
-
-
構成を適用するには、作成を選択します。
ゲートウェイアプライアンスの追加概要画面のスクリーンショット(/ja-jp/storefront/current-release/media/integrate-with-citrix-gateway-and-citrix-adc/gateway-summary.png)
-
展開が適用されたら、完了を選択します。
-
セキュリティキーを設定している場合(推奨)、管理コンソールを閉じてPowerShellを使用して設定する必要があります。例:
$gateway = Get-STFRoamingGateway -Name [Gateway name] $sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret] $sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret] Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2 <!--NeedCopy--> -
デフォルトでは、StoreFrontは認証に使用されたものと同じゲートウェイを使用してリソースにアクセスするため、Citrix Gatewayサービスは使用されません。StoreFrontがCitrix Gatewayサービスを使用するタイミングを設定するには、最適なHDXルーティングを使用する必要があります。
パワーシェル
PowerShellを使用してゲートウェイを追加するには、コマンドレットNew-STFRoamingGatewayを実行し、-IsCloudGateway $trueを設定します。
シトリックス ゲートウェイの編集
-
Citrix Gatewayの管理ウィンドウで、変更したいゲートウェイをクリックし、編集を押します。
パラメータの説明については、Citrix Gatewayアプライアンスの追加を参照してください。
-
変更を保存するには、保存を押します。
パワーシェル
PowerShell を使用してゲートウェイ構成を変更するには、コマンドレット Set-STFRoamingGateway を実行します。
シトリックス ゲートウェイを削除
-
Citrix Gateway の管理ウィンドウで、変更したいゲートウェイをクリックし、削除を押します。
-
確認ウィンドウではいを押します。
パワーシェル
ゲートウェイを削除するには、PowerShell を使用して、コマンドレット Remove-STFRoamingGateway を実行します。