Citrix Gatewayの構成
Citrix Gatewayを使用して、StoreFrontおよびVirtual Delivery Agent(VDA)への認証とリモートアクセスを提供します。Citrix Gatewayは、ハードウェアまたはソフトウェアのNetScaler ADC上で実行されます。Citrix GatewayサービスはCitrixによって管理されており、HDXルーティングには使用できますが、StoreFrontへの認証やリモートアクセスには使用できません。
Gatewayの構成について詳しくは、「NetScaler GatewayとStoreFrontの統合」を参照してください。
StoreFrontがゲートウェイ経由のアクセスを許可する前に、StoreFront内でゲートウェイを構成する必要があります。
Gatewayの表示
StoreFront内で構成されたゲートウェイを表示するには、Citrix StoreFront管理コンソールの左ペインで[ストア]ノードを選択して、[Citrix Gatewayの管理] をクリックします。これによって、[Citrix Gatewayの管理] ウィンドウが開きます。
PowerShell
ゲートウェイとその構成の一覧を取得するには、Get-STFRoamingGatewayを呼び出します。
Citrix Gatewayアプライアンスの追加
-
[Citrix Gatewayの管理] ウィンドウで、[追加]をクリックします。
-
[全般設定]タブで設定を入力し、[次へ]を押します。
-
Citrix Gateway展開環境にユーザーにとってわかりやすい表示名を指定します。
ここで指定する表示名がユーザーのCitrix Workspaceアプリに表示されます。そのため、ユーザーが使用する展開環境を判断しやすいように、名前に関連情報を含める必要があります。たとえば、ユーザーが自分のいる場所に最も便利なCitrix Gatewayを簡単に特定できるように、表示名に地理情報を含めることができます。
-
[ゲートウェイの種類] を [Citrix Gatewayアプライアンス] に設定します。
-
ゲートウェイのURLを入力します。
StoreFront展開環境のFQDN(Fully Qualified Domain Name:完全修飾ドメイン名)は一意で、Citrix Gateway仮想サーバーのFQDNと異なるものである必要があります。StoreFrontとCitrix Gateway仮想サーバーに同じFQDNを使用することはサポートされていません。ゲートウェイはURLを
X-Citrix-Via
HTTPヘッダーに追加します。StoreFrontはこのヘッダーを使用して、どのゲートウェイが使用されているか特定します。GUIでは、ゲートウェイURLを1つだけ追加できます。ゲートウェイに複数のURLからアクセスできる場合は、URL以外が同一の構成である同じゲートウェイを2回追加する必要があります。簡単な構成のために、ゲートウェイへのアクセスに使用されるセカンダリURLを構成できます。このオプションはGUIでは使用できないため、PowerShellを使用して構成する必要があります。PowerShellコマンドを実行する前に、管理コンソールを閉じる必要があります。たとえば、グローバルサーバー負荷分散の背後に複数のゲートウェイがある場合、通常は、テストやトラブルシューティングの目的で、GSLB URLと、特定のリージョナルゲートウェイそれぞれにアクセスするために使用できるURLの両方を追加すると便利です。 ゲートウェイを作成したら、
Set-STFRoamingGateway
を使用し、セカンダリURLに-GSLBurl
パラメーターを使用して、URLを追加できます。このパラメーターはGSLBurl
と呼ばれますが、これは2番目のURLを追加するあらゆる状況に使用できます。例:Set-STFRoamingGateway -Name "Europe Gateway" -GSLBurl "eugateway.example.com" -GatewayUrl "gslb.example.com" <!--NeedCopy-->
注:
この例では直観に反して、
GSLBurl
パラメーターにはリージョナルURLが含まれていますが、GatewayUrl
パラメーターに含まれているのはGSLBのURLです。ほとんどの目的において、これらのURLは同じように扱われ、ストアにWebブラウザーのみを介してアクセスする場合は、どちらの方法でも構成できます。ただし、Citrix Workspaceアプリを介してStoreFrontにアクセスする場合は、StoreFrontからGatewayUrl
を読み取って、それを以降のリモートアクセスで使用します。このため、常にGSLBのURLに接続するように構成することが望ましいです。3つ以上のURLが必要な場合は、これを別個のゲートウェイとして構成する必要があります。
-
使用状況または役割を選択します:
使用状況または役割 説明 認証およびHDXルーティング StoreFrontへのリモートアクセスの提供とVDAへのアクセスの両方のために、ゲートウェイを使用します。 認証のみ ゲートウェイがStoreFrontへのリモートアクセスのためにのみ使用される場合は、これを選択します。このオプションにより、Citrix Workspace Launcherが動作しなくなります。したがって、ハイブリッド起動を使用する必要がある場合は、ゲートウェイが認証にのみ使用される場合でも、[認証およびHDXルーティング] を選択してください。 HDXルーティングのみ StoreFrontインスタンスがないサイトなど、VDAへのHDXのアクセスを提供するためにのみゲートウェイが使用される場合は、これを選択します。
-
-
[Secure Ticketing Authority] タブで設定を入力します。
Secure Ticket Authorityは、接続の要求に応じてセッションチケットを発行します。これらのセッションチケットは、Citrix Workspaceアプリの検出およびVDAへのアクセスを認証および承認するための基本機能です。
-
Secure Ticket AuthorityのサーバーURLを1つ以上入力します。Citrix Virtual Apps and Desktopsを使用している場合は、Delivery ControllerをSTAとして使用できます。Citrix Desktop as a Serviceを使用している場合は、Citrix Cloudのチケット発行機関への要求をプロキシするCloud Connectorを入力できます。この一覧のエントリは、Citrix Gatewayで構成されたリストと正確に一致する必要があります。GUIを使用してセキュリティキーを追加することはできません。PowerShellを使用してセキュリティキーを追加する方法については、後述の手順を参照してください。
-
[複数のSTAサーバーを負荷分散する] にチェックを入れると、STAサーバー間で要求を分散します。チェックを外すと、StoreFrontは一覧の順番どおりにサーバーを試行します。
-
StoreFrontがSTAサーバーにアクセスできない場合、一定期間そのサーバーの使用を回避します。デフォルトではこの期間は1時間ですが、この値をカスタマイズすることができます。
-
Citrix Virtual Apps and Desktopsが自動的に再接続を実行する間に、切断したセッションをCitrix Workspaceアプリで開いたままにするには、[セッション画面の保持を有効にする] を選択します。
-
複数のSTAを構成した環境でセッション画面の保持機能を常に使用できるようにするには、[可能な場合は2つのSTAにチケットを要求する] を選択します。
[可能な場合は2つのSTAにチケットを要求する] を選択すると、セッションの途中で1つのSTAが使用できなくなってもユーザーセッションが中断されないように、StoreFrontにより2つの異なるSTAからセッションチケットが取得されます。StoreFrontがどちらのSTAにもアクセスできない場合は、単一のSTAを使用するようにフォールバックされます。
設定の入力が完了したら、[次へ]を押します
-
-
[作成] をクリックしてこの構成を適用します。
-
展開環境が適用されたら、[完了] をクリックします。
-
セキュリティキーを構成している場合(推奨)、管理コンソールを閉じ、PowerShellを使用してキーを追加する必要があります。例:
$gateway = Get-STFRoamingGateway -Name [Gateway name] $sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret] $sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret] Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2 <!--NeedCopy-->
-
ユーザーがGatewayを介してストアにアクセスできるようにするには、リモートユーザーアクセスを構成します。
-
デフォルトでは、StoreFrontは、リソースへのHDXルーティングにユーザーを認証したゲートウェイを使用します。オプションで、最適なHDXルーティングを使用して、特定のリソースにアクセスするときにゲートウェイを使用するようにStoreFrontを構成することもできます。
PowerShell SDK
PowerShell SDKを使用してゲートウェイを追加するには、コマンドレットNew-STFRoamingGatewayを呼び出します。
Citrix Gatewayサービスの追加
Citrix CloudでStoreFront向けCitrix Gatewayサービスを有効にしている場合は、それをStoreFront内でゲートウェイとして構成する必要があります。
-
[Citrix Gatewayの管理] ウィンドウで、[追加]をクリックします。
-
[全般設定]タブで設定を入力し、[次へ]を押します。
-
Citrix Gateway展開環境にユーザーにとってわかりやすい表示名を指定します。
ここで指定する表示名がユーザーのCitrix Workspaceアプリに表示されます。そのため、ユーザーが使用する展開環境を判断しやすいように、名前に関連情報を含める必要があります。たとえば、ユーザーが自分のいる場所に最も便利なCitrix Gatewayを簡単に特定できるように、表示名に地理情報を含めることができます。
-
[ゲートウェイの種類] を [Citrix Gatewayサービス] に設定します。これにより、[使用状況または役割] が [HDXルーティングのみ] に設定され、Citrix Gateway URLが無効になります。
-
-
[Cloud Connector] タブで設定を入力します。
Cloud Connectorを使用すると、StoreFrontはCitrix CloudにアクセスしてGateway構成を検索し、クラウドのチケット発行機関にアクセスしてセッションチケットを要求できます。
-
少なくとも1つのCloud ConnectorサーバーURLを入力します。GUIを使用してセキュリティキーを追加することはできません。PowerShellを使用してセキュリティキーを追加する方法については、後述の手順を参照してください。
-
[複数のサーバーを負荷分散する] にチェックを入れて、サーバー間で要求を分散します。チェックを外すと、StoreFrontは一覧の順番どおりにサーバーを試行します。
-
StoreFrontがサーバーにアクセスできない場合、一定期間そのサーバーの使用を回避します。デフォルトではこの期間は1時間ですが、この値をカスタマイズすることができます。
-
常に [セッション画面の保持を有効にする] を選択します。
現在、Citrix Gatewayサービスではセッション画面の保持が必要です。これは将来のリリースで変更される可能性があります。
-
[可能な場合は2つのCloud Connectorにチケットを要求する] を選択しないでください。
すべてのコネクタが同じクラウドチケット発行機関に接続するため、現時点では [可能な場合は2つのCloud Connectorにチケットを要求する] を選択するメリットはありません。これは将来的には変更される可能性があります。
設定の入力が完了したら、[次へ]を押します
-
-
[認証設定] タブで設定を入力します。
-
NetScalerのバージョンを選択します。
-
同じURLを持つ複数のゲートウェイがあるとき(一般的にはグローバルサーバーのロードバランサーを使用している場合)に、コールバックURLを入力した場合は、ゲートウェイの仮想IPアドレスを入力する必要があります。これにより、StoreFrontは要求がどのゲートウェイからのものであるかを識別できるようになり、その結果、コールバックURLを使用してどのサーバーと通信するかを判断できます。それ以外の場合は、空白のままで構いません。
-
[ログオンの種類] の一覧から、Citrix Workspaceアプリユーザー向けにアプライアンス上で構成した認証方法を選択します。
Citrix Gatewayアプライアンスに関する構成情報は、ストアのプロビジョニングファイルに追加されます。これにより、Citrix Workspaceアプリは、アプライアンスへの初回接続時に適切な接続要求を送信できるようになります。
- ユーザーのMicrosoft Active Directoryドメインの資格情報を入力させる場合は、[ドメイン]を選択します。
- セキュリティトークンから取得するトークンコードを入力させる場合は、[セキュリティトークン]を選択します。
- ユーザーのドメイン資格情報とセキュリティトークンから取得するトークンコードの両方を入力させる場合は、[ドメインおよびセキュリティトークン]を選択します。
- テキストメッセージで送信されるワンタイムパスワードを入力させる場合は、[SMS認証]を選択します。
- スマートカードを挿入してPINを入力させる場合は、[スマートカード]を選択します。
スマートカードでの認証に問題が生じた場合に代替の認証方法を使用できるようにするには、[スマートカードフォールバック]の一覧から代替の認証方法を選択します。
- 必要に応じて、内部的にアクセス可能なゲートウェイのURLを[コールバックURL]ボックスに入力します。これによりStoreFrontはCitrix Gateway認証サービスに接続して、Citrix Gatewayからの要求の送信元がそのアプライアンスであることを確認できます。これは、スマートアクセスまたは、スマートカードやSAMLなどのパスワードレス認証のシナリオに必要です。それ以外の場合は、空白のままで構いません。同じURLを持つ複数のCitrix Gatewayがある場合、このURLは特定のゲートウェイサーバー用のものとなります。
設定の入力が完了したら、[次へ]を押します
-
-
[作成] をクリックしてこの構成を適用します。
-
展開環境が適用されたら、[完了] をクリックします。
-
セキュリティキーを構成している場合(推奨)、管理コンソールを閉じ、PowerShellを使用してキーを追加する必要があります。例:
$gateway = Get-STFRoamingGateway -Name [Gateway name] $sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret] $sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret] Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2 <!--NeedCopy-->
-
デフォルトでは、StoreFrontは認証に使用されたのと同じゲートウェイを使用してリソースにアクセスするため、Citrix Gatewayサービスは使用されません。StoreFrontがCitrix Gatewayサービスを使用するタイミングを構成するには、[最適なHDXルーティング] を使用する必要があります。
PowerShell SDK
PowerShell SDKを使用してゲートウェイを追加するには、コマンドレットNew-STFRoamingGatewayを呼び出し、-IsCloudGateway $true
を設定します。
Citrix Gatewayの編集
-
[Citrix Gatewayの管理] ウィンドウで、変更するゲートウェイをクリックし、[編集] を押します。
パラメーターの説明については、「Citrix Gatewayアプライアンスの追加」を参照してください
-
[保存] を押して変更を保存します。
PowerShell SDK
PowerShell SDKを使用してゲートウェイ構成を変更するには、コマンドレットSet-STFRoamingGatewayを呼び出します。
Citrix Gatewayの削除
-
[Citrix Gatewayの管理] ウィンドウで、変更するゲートウェイをクリックし、[削除] を押します。
-
確認のウィンドウで [はい] を押します。
PowerShell SDK
PowerShell SDKを使用してゲートウェイを削除するには、Remove-STFRoamingGatewayを呼び出します。