XenMobile Server

MDXアプリのSSOとプロキシの考慮事項

XenMobileとCitrix ADCの統合により、ユーザーにバックエンドのすべてのHTTP/HTTPSリソースへのシングルサインオン(SSO)を提供することができます。SSO認証の要件に応じて、MDXアプリへのユーザー接続を、次のいずれかのオプションを使用するように構成できます。

  • クライアントレスVPNの一種であるセキュアブラウズ
  • 完全VPNトンネル

お客様の環境においてSSOを提供する最善の方法がCitrix ADCでない場合は、ポリシーベースのローカルパスワードキャッシュを使用してMDXアプリをセットアップできます。この記事では、Secure Webに焦点を当てて、さまざまなSSOとプロキシのオプションについて説明します。この概念は他のMDXアプリにも適用されます。

次のフローチャートは、SSOとユーザー接続の決定フローをまとめたものです。

SSOとユーザー接続の決定フロー図

Citrix ADCの認証方法

ここでは、Citrix ADCでサポートされる認証方法について一般的な情報を説明します。

SAML認証

SAML(Security Assertion Markup Language)を使用するようにCitrix ADCを構成すると、ユーザーはシングルサインオンのSAMLプロトコルをサポートするWebアプリに接続できます。Citrix Gatewayでは、SAML Webアプリに対してIDプロバイダー(IdP)を使用したシングルサインオンがサポートされます。

必要な構成:

  • Citrix ADCのトラフィックプロファイルでSAML SSOを構成します。
  • 要求されたサービスのSAML Idpを構成します。

NTLM認証

セッションプロファイルでWebアプリへのSSOが有効になっている場合、Citrix ADCはNTLM認証を自動的に実行します。

必要な構成:

  • Citrix ADCのセッションプロファイルまたはトラフィックプロファイルでSSOを有効にします。

Kerberos偽装

XenMobileでは、Secure WebについてのみKerberosをサポートします。Kerberos SSOを使用するようにCitrix ADCを構成すると、Citrix ADCでユーザーパスワードを使用できる場合に偽装が使用されます。偽装とは、Citrix ADCがユーザーの資格情報を使用して、Secure Webなどのサービスにアクセスするために必要なチケットを取得することです。

必要な構成:

  • Citrix ADCの「Worx」セッションポリシーを構成して、接続からKerberosレルムを識別できるようにします。
  • Citrix ADCでKerberos制約付き委任(KCD)アカウントを構成します。このアカウントをパスワードなしで構成し、XenMobileゲートウェイのトラフィックポリシーにバインドします。
  • 上記およびその他の構成の詳細については、Citrixブログ:WorxWeb and Kerberos Impersonation SSO を参照してください。

Kerberosの制約付き委任

XenMobileでは、Secure WebについてのみKerberosをサポートします。Kerberos SSOを使用するようにCitrix ADCを構成すると、Citrix ADCでユーザーパスワードを使用できない場合に制約付き委任が使用されます。

制約付き委任では、Citrix ADCは指定された管理者アカウントを使用して、ユーザーとサービスに代わってチケットを取得します。

必要な構成:

  • 必要な権限とCitrix ADCのKCDアカウントを使用して、Active DirectoryにKCDアカウントを構成します。
  • Citrix ADCのトラフィックプロファイルでSSOを有効にします。
  • Kerberos認証用のバックエンドWebサイトを構成します。

フォーム入力認証

フォームベースのシングルサインオンを使用するようにCitrix ADCを構成すると、ユーザーは一度ログオンするだけで、ネットワーク内の保護されたすべてのアプリにアクセスできます。この認証方法は、セキュアブラウズモードまたは完全VPNモードを使用するアプリに適用されます。

必要な構成:

  • Citrix ADCのトラフィックプロファイルでフォームベースのSSOを構成します。

ダイジェストHTTP認証

セッションプロファイルでWebアプリへのSSOが有効になっている場合、Citrix ADCはダイジェストHTTP認証を自動的に実行します。この認証方法は、セキュアブラウズモードまたは完全VPNモードを使用するアプリに適用されます。

必要な構成:

  • Citrix ADCのセッションプロファイルまたはトラフィックプロファイルでSSOを有効にします。

HTTP基本認証

セッションプロファイルでWebアプリへのSSOが有効になっている場合、Citrix ADCはHTTP基本認証を自動的に実行します。この認証方法は、セキュアブラウズモードまたは完全VPNモードを使用するアプリに適用されます。

必要な構成:

  • Citrix ADCのセッションプロファイルまたはトラフィックプロファイルでSSOを有効にします。

セキュアブラウズ、完全VPNトンネル、またはPACがある完全VPNトンネル

以下のセクションでは、Secure Webのユーザー接続の種類について説明します。詳しくは、Citrixドキュメント「Secure Web」の記事の「ユーザー接続の構成」を参照してください。

完全VPNトンネル

内部ネットワークへトンネルする接続では完全VPNトンネルを使用できます。完全VPNトンネルを構成するには、Secure Webの[優先VPNモード]ポリシーを使用します。内部ネットワークのリソースにクライアント証明書またはエンドツーエンドのSSLを使用する接続に対しては、[完全VPNトンネル]を推奨します。完全VPNトンネルは、TCP上のあらゆるプロトコルを処理します。Windows、Mac、iOS、およびAndroidデバイスで完全VPNトンネルを使用できます。

完全VPNトンネルモードにすると、Citrix ADCではHTTPSセッション内の状態が表示されなくなります。

セキュアブラウズ

内部ネットワークをトンネルする接続は、さまざまなクライアントレスVPNを使用できます。これはセキュアブラウズと呼ばれています。セキュアブラウズは、Secure Webの [優先VPNモード] ポリシーに指定されるデフォルトの構成です。シングルサインオン(SSO)を必要とする接続に対しては、セキュアブラウズが推薦されます。

セキュアブラウズモードの場合、Citrix ADCはHTTPSセッションを次の2つの部分に分割します:

  • クライアントからCitrix ADCまで
  • Citrix ADCからバックエンドリソースサーバーまで

このようにして、クライアントとサーバー間のすべてのトランザクションを把握することにより、Citrix ADCでSSOが提供できるようになります。

また、セキュアブラウズモードで使用される場合にSecure Webに対してプロキシサーバーを構成できます。詳しくは、ブログ「XenMobile WorxWeb Traffic Through Proxy Server in Secure Browse Mode」を参照してください。

PACがある完全VPNトンネル

iOSおよびAndroidデバイスのSecure Webに対して、Proxy Automatic Configuration(PAC)ファイルを完全VPNトンネル展開で使用できます。XenMobileはCitrix ADCが指定するプロキシ認証をサポートします。PACファイルには、指定のURLにアクセスするためにWebブラウザーがどのようにプロキシを選択するかを定義する規則が含まれます。PACファイル規則は、内部および外部の両サイトの処理を指定できます。Secure WebはPACファイル規則を解析し、プロキシサーバー情報をCitrix Gatewayに送信します。Citrix GatewayはPACファイルまたはプロキシサーバーを認識しません。

HTTPS Webサイトへの認証の場合:Secure WebのMDXポリシーである [Webパスワードのキャッシュを有効化] により、MDXを介するプロキシサーバーへのSSOをSecure Webが認証して提供するようにできます。

Citrix ADC分割トンネリング

SSOとプロキシの構成を計画するときは、Citrix ADC分割トンネリングを使用するかどうかも決める必要があります。Citrix ADC分割トンネリングは、必要な場合にのみ使用することをお勧めします。ここでは、分割トンネリングのしくみの概要を説明します:Citrix ADCでは、ルーティングテーブルに基づいてトラフィックパスが決定されます。Citrix ADC分割トンネリングがオンの場合、Secure Hubは内部(保護された)ネットワークのトラフィックとインターネットのトラフィックを区別します。Secure Hubは、DNSサフィックスとイントラネットアプリケーションに基づいてこの決定を行います。次にSecure Hubは、VPNトンネルを使用して内部ネットワークのトラフィックのみをトンネル処理します。Citrix ADC分割トンネリングがオフの場合、すべてのトラフィックがVPNトンネルを経由します。

  • セキュリティ上の理由からすべてのトラフィックを監視する必要がある場合は、Citrix ADC分割トンネリングをオフにします。これにより、すべてのトラフィックがVPNトンネルを経由します。
  • PACがある完全VPNトンネルを使用する場合は、Citrix Gateway分割トンネリングをオフにする必要があります。分割トンネリングをオンにしてPACファイルを構成すると、PACファイル規則によりCitrix ADC分割トンネリング規則はオフになります。トラフィックポリシーで構成したプロキシサーバーは、Citrix ADC分割トンネリング規則を上書きしません。

Secure Webでは、[ネットワークアクセス] ポリシーはデフォルトで [内部ネットワークへトンネル] に設定されています。この構成では、MDXアプリはCitrix ADC分割トンネル設定を使用します。[ネットワークアクセス] ポリシーのデフォルト設定は、業務用モバイルアプリによって異なる場合があります。

またCitrix Gatewayには、マイクロVPNを使用したリバース分割トンネルモードもあります。この構成では、Citrix ADCにトンネル処理されない、除外対象のIPアドレス一覧がサポートされます。これらのアドレスは、代わりにデバイスのインターネット接続を使用して送信されます。リバース分割トンネリングについて詳しくは、Citrix Gatewayのドキュメントを参照してください。

XenMobileには、リバース分割トンネルの除外対象一覧 が含まれています。特定のWebサイトをCitrix Gateway経由でトンネリングしない場合:代わりにLANを使用して接続する完全修飾ドメイン名(FQDN)またはDNSサフィックスのコンマ区切りの一覧を追加します。この一覧は、Citrix Gatewayがリバース分割トンネリング用に構成された、Secure Browseモードにのみ適用されます。

MDXアプリのSSOとプロキシの考慮事項