Product Documentation

NetScaler GatewayとXenMobile

Oct 25, 2016

XenMobileを使用してNetScaler Gatewayを構成すると、リモートデバイスで内部ネットワークにアクセスするための認証メカニズムが確立されます。 この機能を利用すると、モバイルデバイス上のアプリケーションからNetScaler GatewayへのマイクロVPNを作成し、イントラネット内にある社内サーバーにアクセスすることができます。 NetScaler Gatewayの構成はXenMobileコンソールで行います。

XenMobileでサポートされるNetScaler Gatewayのバージョンについては、「XenMobileの互換性」を参照してください。 NetScalerでXenMobile用にNetScaler Gatewayを設定する方法について詳しくは、「Configuring Settings for Your XenMobile Environment」を参照してください。

認証

XenMobile操作中の認証には、次のコンポーネントが関係します。

  • XenMobileサーバー:登録に関わるセキュリティおよび登録操作の定義は、XenMobileサーバーで行います。 ユーザー登録オプションにより、登録をすべてのユーザーと招待されたユーザーのみのどちらに対して有効にするか、また2要素認証または3要素認証を必須にするかどうかなどを設定できます。 XenMobileのクライアントプロパティを使用して、Worx PIN認証を有効にしたり、PINの複雑度や有効期限を設定したりすることもできます。 
  • NetScaler:NetScalerはマイクロVPN SSLセッションの中断機能とネットワークの転送中保護機能を備えており、アプリへのユーザーアクセス時の毎回の認証動作を定義できます。
  • Worx Home:Worx Homeは、XenMobileサーバーと連携して登録を処理します。 Worx Homeは、デバイス上でNetScalerと通信するエンティティです。セッションの有効期限が切れると、Worx HomeはNetScalerから認証チケットを取得してMDXアプリに渡します。 中間者攻撃を防止する証明書ピン留め機能を使用することをお勧めします。 詳しくは、「Worx Home」の「証明書ピン留め」を参照してください。

    また、Worx Homeではポリシーのプッシュ、アプリのタイムアウト時のNetScalerでの新規セッションの作成、MDXのタイムアウトおよび認証動作の定義を行うことができるため、MDXセキュリティコンテナーの使いやすさが向上します。 ほかにも、Worx Homeではジェイルブレイクの検出、地理位置情報のチェック、適用するポリシーの管理も行います。
  • MDXポリシー:MDXポリシーにより、デバイス上にデータの格納場所が作成されます。 各種MDXポリシーで、NetScalerへのマイクロVPN接続のリダイレクト、オフラインモード制限の適用、各種クライアントポリシー(タイムアウトなど)の適用を行います。

認証について詳しくは、「認証」を参照してください。1要素認証と2要素認証、認証に関係するポリシー、設定、およびクライアントプロパティ、セキュリティが最低のものから最高のものまでの3種類のXenMobile構成例などについて説明されています。

構成について詳しくは、以下の記事を参照してください。

ドメインおよびセキュリティトークン認証の構成

クライアント証明書認証の構成

証明書認証およびセキュリティトークン認証のためのXenMobileの構成

XenMobileおよびShareFileアプリでのSAMLを使用するシングルサインオンの構成

NetScaler Gatewayを構成するには

1. XenMobile Webコンソールで、右上の歯車アイコンをクリックします。 [Settings]ページが開きます。

2. [Server]の下の[NetScaler Gateway]をクリックします。 [NetScaler Gateway]ページが開きます。

localized image

次の設定を構成します。

  • Authentication:暗号化を有効にするかどうかを選択します。 デフォルトは[ON]です。
  • Deliver user certificate for authentication:XenMobileでWorx Homeと認証証明書を共有し、NetScaler Gatewayでクライアント証明書認証を処理できるようにするかどうかを選択します。 デフォルトは[OFF]です。
  • Credential Provider:ボックスの一覧で、使用する資格情報プロバイダーを選択します。 詳しくは、「資格情報プロバイダー」を参照してください。

3. [Save]をクリックします。

新しいNetScaler Gatewayインスタンスを追加するには

1. XenMobileコンソールで、右上の歯車アイコンをクリックします。 [Settings]ページが開きます。

2. [Server]の下の[NetScaler Gateway]をクリックします。 [NetScaler Gateway]ページが開きます。

3.[Add]をクリックします。 [Add New NetScaler Gateway]ページが開きます。

localized image

4. 次の設定を構成します。

  • [Name]:NetScaler Gatewayインスタンスの名前を入力します。
  • [Alias]:任意で、エイリアスを入力します。
  • External URL:NetScaler Gatewayの、パブリックにアクセスできるURLを入力します。 たとえば、https://receiver.comなどです。
  • Logon type:一覧から、ログオンの種類を選択します。 種類には、[Domain only][Security token only][Domain and security token][Certificate][Certificate and domain][Certificate and security token]があります。 デフォルトは[Domain only]です。

    複数のドメインを使用している場合、[Domain only]は無効です。[Certificate and domain]を使用する必要があります。 [Domain only]など一部のオプションでは、[Password]フィールドを変更できません。

    このログオンの種類の場合、このフィールドは常に[ON]です。 また、[Password Required]フィールドのデフォルト値は、選択した[Logon Type]に基づいて変化します。 

    [Certificate and security token]を使用する場合、NetScaler GatewayでWorx Homeがサポートされるようにするには、追加の設定が必要となります。 詳しくは、「証明書認証およびセキュリティトークン認証のためのXenMobileの構成」を参照してください。
  • Password Required:パスワード認証を必須にするかどうかを選択します。 デフォルトは[ON]です。
  • Set as Default:このNetScaler Gatewayをデフォルトとして使用するかどうかを選択します。 デフォルトは[OFF]です。

5. [Save]をクリックします。 新しいNetScaler Gatewayが追加され、表に表示されます。 表で名前をクリックして、インスタンスを編集または削除できます。

NetScaler Gatewayインスタンスを追加した後、コールバックURLを追加したり、NetScaler Gateway VPN仮想IPアドレスを指定したりすることができます。 :この設定はオプションですが、特にXenMobileサーバーがDMZに配置されている場合に、セキュリティ強化のために構成できます。

1. [NetScaler Gateway]画面の表でNetScaler Gatewayを選択し、[Add]をクリックします。 [Add New NetScaler Gateway]ページが開きます。

2. コールバックURLが一覧表示されている表で、[Add]をクリックします。

3. コールバックURLを指定します。 このフィールドは完全修飾ドメイン名(FQDN)を表し、要求元がNetScaler Gatewayであることを検証します。

4. NetScaler Gateway仮想IPアドレスを入力してから[Save]をクリックします。