Product Documentation

NetScaler GatewayおよびNetScalerの統合

2018年2月21日

XenMobileと統合すると、NetScaler Gatewayを経由してMAM(Mobile Application Management:モバイルアプリケーション管理)デバイス用の内部ネットワークにアクセスできる認証メカニズムを、リモートデバイスで利用できるようになります。この統合を利用すると、XenMobile Appsはモバイルデバイス上のアプリで作成したNetScaler GatewayへのマイクロVPNを介して、イントラネット内にある社内サーバーにアクセスすることができます。

XenMobileサーバーが複数ある場合、またはXenMobileサーバーがDMZまたは内部ネットワーク内にある場合(つまり、デバイスからNetScalerへのトラフィックがXenMobileに流れる場合)は、XenMobileのすべてのデバイスモードでNetScalerの負荷分散が必要です。

XenMobile Serverモードの統合要件

NetScaler GatewayとNetScalerの統合要件は、XenMobile Serverモード(MAM、MDM(Mobile Device Management:モバイルデバイス管理)、ENT)に応じて異なります。

MAM

XenMobile ServerをMAMモードで使用する場合:

  • NetScaler Gateway は必須です。NetScaler Gatewayは、すべての企業リソースにアクセスするためのマイクロVPNパスを提供し、強力な多要素認証をサポートします。
  • 負荷分散に NetScaler をお勧めします。

MDM

XenMobile ServerをMDMモードで使用する場合:

  • NetScaler Gatewayは不要です。MDMの展開では、モバイルデバイスVPNとしてNetScaler Gatewayをお勧めします。
  • セキュリティと負荷分散のためにNetScalerをお勧めします。

    セキュリティと負荷分散のために、XenMobileサーバーの前にNetScalerアプライアンスを配置することをお勧めします。DMZ内にXenMobileサーバーを標準展開する場合は、NetScaler for XenMobileウィザードを使用し、SSLブリッジモードでのXenMobileサーバーの負荷分散をお勧めします。また、XenMobileサーバーがDMZではなく内部ネットワーク上にある環境や、セキュリティ上そのような構成が必要な環境の場合は、SSLオフロードを検討することもできます。

    XenMobileサーバーをNATや既存のサードパーティ製プロキシ、またはMDM用のロードバランサー経由で公開することを検討する場合、SSLトラフィックがXenMobileサーバー(SSL Bridge)上で終端すると潜在的なセキュリティリスクがあるため、お勧めしません。

    高度なセキュリティ環境を実現するには、NetScalerとデフォルトのXenMobile構成の組み合わせがセキュリティ要件を満たしているか、それ以上の条件を備えている必要があります。

    最高水準のセキュリティが求められるMDM環境を実現するには、SSLの終端をNetScalerにすることで、エンドツーエンドのSSL暗号化を維持しながら境界でトラフィックを検査できます。詳細については、「セキュリティ要件」を参照してください。NetScalerではオプションとしてSSL/TLS暗号とSSL FIPS NetScalerハードウェアを定義できます。

ENT(MAM+MDM)

XenMobile ServerをENTモードで使用する場合:

  • NetScaler Gatewayは必須です。NetScaler Gatewayは、すべての企業リソースにアクセスするためのマイクロVPNパスを提供し、強力な多要素認証をサポートします。

    XenMobileサーバーモードがENTの場合にユーザーがMDM登録をオプトアウトすると、デバイスは登録にNetScaler Gatewayの完全修飾ドメイン名を使用します。

  • 負荷分散にNetScalerをお勧めします。詳細については、上記「MDM」のNetScalerの箇所を参照してください。

重要:

初回の登録では、負荷分散用仮想サーバーをSSLオフロードまたはSSLブリッジのいずれで構成する場合でも、ユーザーデバイスからのトラフィックはXenMobileサーバー上で認証されることに注意してください。

設計の決定

以下のセクションでは、NetScaler GatewayとXenMobileとの統合を計画するときに検討すべき、多くの設計上の決定についてまとめています。

ライセンスとエディション

決定する事項の詳細

  • NetScalerのどのエディションを使用するか
  • NetScalerにプラットフォームライセンスを適用しているか
  • MAMの機能が必要な場合は、NetScalerユニバーサルアクセスライセンスを適用しているか

設計ガイド

NetScaler Gatewayに適切なライセンスを適用するようにしてください。XenMobile NetScaler Connectorを使用している場合、統合キャッシュが必要な場合があります。そのため、適切なNetScalerのエディションを使用していることを確認する必要があります。

NetScalerの機能を有効にするためのライセンス要件は次のとおりです。

  • XenMobile MDMの負荷分散では、NetScalerの標準プラットフォームライセンスが最低限必要となります。
  • StorageZones Controllerを使用したShareFileの負荷分散には、NetScalerの標準プラットフォームライセンスが最低限必要となります。
  • XenMobile Enterprise Editionには、MAMに必要なNetScaler Gateway Universalライセンスが含まれています。
  • Exchangeの負荷分散には、NetScaler PlatinumプラットフォームライセンスまたはNetScaler Enterpriseプラットフォームライセンスに、Integrated Cachingライセンスを追加する必要があります。

XenMobile用のNetScalerのバージョン

決定する事項の詳細

  • XenMobile環境で実行されているNetScalerのバージョンは何か
  • 別のインスタンスが必要か

設計ガイド

NetScaler Gateway仮想サーバーに専用のNetScalerインスタンスを使用することをお勧めします。最低限必要となるNetScalerのバージョンおよびビルドを、XenMobile環境で使用していることを確認してください。通常、XenMobileと互換性のある最新のNetScalerバージョンおよびビルドを使用するのが最適です。NetScaler Gatewayのアップグレードが既存の環境に影響する場合は、XenMobileの2つ目の専用インスタンスが適切な場合があります。

VPN接続を使用するXenMobileおよびその他のアプリケーション用にNetScalerインスタンスを共有する場合は、両方で使用するVPNライセンスの数が足りていることを確認してください。XenMobileのテスト環境および実稼働環境では、NetScalerインスタンスを共有できないことに留意してください。

証明書

決定する事項の詳細

  • 登録やXenMobile環境へのアクセスに高度なセキュリティが必要か
  • LDAPは選択しないか

設計ガイド

XenMobileのデフォルト構成は、ユーザー名とパスワードによる認証です。登録およびXenMobile環境へのアクセスのセキュリティを強化するには、証明書ベースの認証の使用を考慮してください。LDAPで2要素認証の証明書を使用すると、RSAサーバーを必要とせずに高度なセキュリティを提供できます。

LDAPやスマートカードの使用または同様の方法を許可しない場合、証明書を構成するとXenMobileにスマートカードを提示できます。ユーザーはそれにより、XenMobileが生成する一意のPINを使用して登録できます。ユーザーがアクセス権を獲得すると、XenMobileは、それ以降XenMobile環境に認証するために使用される証明書を作成して展開します。

XenMobileは、サードパーティ証明機関でのみ証明書失効一覧(CRL)をサポートします。Microsoft CAが構成されている場合、XenMobileはNetScalerを使用して失効を管理します。クライアント証明書ベースの認証を構成する場合、NetScaler証明書失効一覧(CRL)設定を構成する必要があるかどうか検討します。[Enable CRL Auto Refresh]。この手順を使用すると、MAM-onlyモードのデバイスのユーザーがデバイス上の既存の証明書を使用して認証することができなくなります。ユーザー証明書が失効してもユーザーによる生成が制限されるわけではないので、XenMobileは新しい証明書を再発行します。この設定は、CRLが期限切れのPKIエンティティを確認する場合、PKIエンティティのセキュリティを強化します。

ネットワークトポロジ

決定する事項の詳細

  • どのようなNetScalerトポロジが必要か

設計ガイド

XenMobileにはNetScalerインスタンスを使用することをお勧めします。ただし、内部ネットワークからDMZにトラフィックが流れないようにするには、NetScalerインスタンスを1つ追加して、内部ユーザー用と外部ユーザー用に1つずつNetScalerインスタンスを使用することを検討してください。ユーザーが内部ネットワークと外部ネットワークを切り替えると、DNSレコードのキャッシュによってSecure Hubのログオンプロンプトの回数が増える場合があることに注意してください。

XenMobileは現在、NetScaler Gatewayのダブルホップをサポートしていません。

専用または共有のNetScaler Gateway VIPアドレス

決定する事項の詳細

  • 現在XenAppおよびXenDesktopでNetScaler Gatewayを使用しているか
  • XenAppおよびXenDesktopと同じNetScaler GatewayをXenMobileで利用するか
  • 両方のトラフィックフローの認証要件は何か

設計ガイド

Citrix環境にXenMobileと、XenAppおよびXenDesktopが含まれている場合は、両方で同じNetScalerインスタンスとNetScaler Gateway仮想サーバーを使用できます。バージョンによる競合が起きたり環境が孤立したりする可能性があるため、NetScalerインスタンスとNetScaler Gatewayは、それぞれのXenMobile環境専用にすることをお勧めします。ただし、専用のNetScalerインスタンスを選択しない場合は、XenMobileとXenAppおよびXenDesktopとの間で共有されるvServerではなく、専用のNetScaler Gateway vServerを使用して、Secure Hubのトラフィックフローを分離することをお勧めします。

LDAP認証を使用する場合、Citrix ReceiverとSecure Hubは問題なく同じNetScaler Gatewayと認証できます。証明書ベースの認証を使用する場合、XenMobileはMDXコンテナ内の証明書をプッシュし、Secure Hubはその証明書を使用してNetScaler Gatewayで認証します。Citrix ReceiverはSecure Hubとは異なり、Secure Hubと同じ証明書を使用して同じNetScaler Gatewayと認証することはできません。

2台のNetScaler Gateway VIPで同じFQDNを使用できる、以下の回避策を検討することもできます。同じIPアドレスを持つ2つのNetScaler Gateway VIPを作成できますが、Secure Hub用のIPには標準の443ポートを使用し、XenAppおよびXenDesktop(Citrix Receiverを展開)用のIPにはポート444を使用します。こうすることで、1つのFQDNが同じIPアドレスに解決されます。この方法ではデフォルトのポート443ではなく、ポート444にICAファイルを返すようStoreFrontを構成する必要がある場合があります。この回避策では、ユーザーはポート番号を入力する必要はありません。

NetScaler Gatewayのタイムアウト

決定する事項の詳細

  • XenMobileのトラフィックに対するNetScaler Gatewayのタイムアウトをどのように構成するか

設計ガイド

NetScaler Gatewayには、セッションタイムアウトと強制タイムアウトの設定があります。詳細については、「推奨構成」を参照してください。バックグラウンドサービス、NetScaler、およびオフラインでのアプリケーションへのアクセスでは、タイムアウト値が異なることに留意してください。

MAM用のXenMobileロードバランサーIPアドレス

決定する事項の詳細

  • VIPアドレスに内部IPアドレスまたは外部IPアドレスを使用しているか

設計ガイド

NetScaler GatewayのVIPアドレスにパブリックIPアドレスを使用できる環境では、その方法でXenMobileの負荷分散VIPアドレスを割り当てると、登録のエラーにつながります。

そのシナリオでは負荷分散VIPアドレスに内部IPを使用し、登録のエラーが起こらないようにしてください。このVIPアドレスは、RFC 1918標準のプライベートIPアドレスに準拠する必要があります。この仮想サーバーに非プライベートIPアドレスを使用すると、NetScalerは認証プロセスでXenMobileサーバーに正常に接続できなくなります。詳しくは、http://support.citrix.com/article/CTX200430を参照してください。

MDMの負荷分散の仕組み

決定する事項の詳細

  • NetScaler GatewayでどのようにXenMobileサーバーの負荷分散を行うか

設計ガイド

XenMobileがDMZ内にある場合は、SSLブリッジを使用します。XenMobileサーバーが内部ネットワークにあり、セキュリティの標準を満たす必要がある場合には、SSLオフロードを使用します。

  • NetScalerVIPアドレスを設定したXenMobileサーバーをSSLブリッジモードで負荷分散すると、インターネットのトラフィックは接続が終端するXenMobileサーバーに直接流れます。SSLブリッジモードはセットアップとトラブルシューティングが最も簡単なモードです。
  • NetScalerVIPアドレスを設定したXenMobileサーバーをSSLオフロードモードで負荷分散すると、インターネットのトラフィックは接続が終端するNetScalerに直接流れます。その場合NetScalerは、XenMobileサーバーに対して新しいセッションを確立します。SSLオフロードモードでのセットアップとトラブルシューティングはさらに複雑です。

SSLオフロードを使用するMDM負荷分散用のサービスポート

決定する事項の詳細

  • 負荷分散にSSLオフロードモードを使用する場合、バックエンドサービスはどのポートを使用するか

設計ガイド

SSLオフロードでは、次のようにポート80またはポート8443を選択します。

  • オフロードの効果を得るには、XenMobileサーバーへのポートとしてポート80を利用します。
  • エンドツーエンドの暗号化、つまりトラフィックの再暗号化はサポートされていません。詳細については、Citrixのサポート記事「NetScalerとXenMobile Server間でサポートされているアーキテクチャ」を参照してください。

登録FQDN

決定する事項の詳細

  • 登録用のFQDNとXenMobileインスタンスまたは負荷分散VIPアドレス用のFQDNはどのようになるか

設計ガイド

クラスター内の最初のXenMobileサーバーの初期設定では、XenMobileサーバーのFQDNを入力する必要があります。そのFQDNは、MDMのVIPアドレスURLと内部MAMの負荷分散VIPアドレスURLと一致する必要があります。(NetScalerの内部アドレスレコードにより、MAM負荷分散VIPアドレスが解決されます)。詳細については、この記事の後半の「展開タイプごとの登録FQDN」を参照してください。

また、XenMobile SSLリスナー証明書、MAM用の内部負荷分散VIPアドレス証明書、およびMDM用のVIPアドレス証明書(MDM用のVIPアドレスにSSLオフロードを使用する場合)と同じ証明書を使用する必要があります。

重要:

登録FQDNを構成すると、変更はできません。新しい登録FQDNを使用するには、新しいSQL ServerデータベースとXenMobileサーバーの再構築が必要です。

Secure Webのトラフィック

決定する事項の詳細

  • Secure Webを内部のWebブラウジングのみに制限するか
  • 内部と外部両方のWebブラウジングでSecure Webを有効にするか

設計ガイド

Secure Webを内部のWebブラウジング専用で使用する場合で、Secure Webがデフォルトですべての内部サイトに到達できる場合には、NetScaler Gatewayの設定は簡単です。つまりファイアウォールとプロキシサーバーの構成が必要になる場合があります。

内部および外部のブラウジングにSecure Webを使用する場合は、サブネットIPアドレスに送信方向のインターネットアクセスを許可する必要があります。一般的に、ITは登録済みデバイス(MDXコンテナを使用)を社内ネットワークの延長として見ているため、Secure Web接続はNetScalerに戻り、プロキシサーバーを経由してインターネットに接続する必要があります。デフォルトでは、Secure Webアクセスは内部ネットワークにトンネルされます。つまり、Secure Webではすべてのネットワークアクセスにおいて、アプリケーションごとのVPNトンネルを使用して内部ネットワークに戻ってくるということであり、NetScalerでは分割トンネリング設定を使用します。

Secure Web接続の詳細については、「ユーザー接続の構成」を参照してください。

Secure Mailのプッシュ通知

決定する事項の詳細

  • プッシュ通知を使用するか

iOS向け設計ガイド

NetScaler Gateway構成にSecure Ticket Authority(STA)が含まれていて、分割トンネリングがオフの場合、NetScaler GatewayはSecure Mailから、iOS向けSecure Mailにプッシュ通知で指定されているCitrixリスナーサービスURLへのトラフィックを許可する必要があります。

Android向け設計ガイド

Active poll period MDXポリシーの代わりにGoogle Cloud Messaging(GCM)を使用して、AndroidデバイスがXenMobileに接続するタイミングと方法を制御することもできます。GCM構成では、セキュリティアクションや展開コマンドによって、ユーザーにXenMobiileサーバーへの再接続を求めるプッシュ通知がSecure Hubに送信されます。

HDXのSTA

決定する事項の詳細

  • HDXアプリケーションのアクセスを統合する場合にどんなSTAを使用するか

設計ガイド

HDXのSTAはStoreFrontのSTAと一致する必要があり、XenApp/XenDesktopファームで有効である必要があります。

ShareFile

決定する事項の詳細

  • 利用環境でShareFile StorageZone Controllerを使用するか
  • どのShareFile VIPアドレスURLを使用するか

設計ガイド

利用環境にShareFile StorageZone Controllerを含める場合、ShareFile Content Switch VIPアドレス(ShareFileコントロールプレーンがStorageZones Controllerサーバーとの通信に使用)、ShareFile負荷分散VIPアドレス、および必要なすべてのポリシーとプロファイルが正しく構成されていることを確認してください。詳細については、Citrix ShareFile StorageZones Controllerドキュメントを参照してください。

SAML IDプロバイダー

決定する事項の詳細

  • ShareFileにSAMLが必要な場合、XenMobileをSAML IDプロバイダーとして使用するか

設計ガイド

ベストプラクティスとして、ShareFileをCitrix XenMobile Advanced EditionまたはXenMobile Enterprise Editionと統合することをお勧めします。この方法は、SAMLベースのフェデレーションを構成するより簡単です。ShareFileをXenMobileの上記エディションと組み合わせることで、XenMobile Appsユーザーのシングルサインオン認証、Active Directoryに基づくユーザーアカウントのプロビジョニング、および包括的なアクセス制御ポリシーをShareFileで使用できるようになります。XenMobileコンソールを使用してShareFileを構成したり、サービスレベルやライセンスの使用状況を監視したりできます。

ShareFile for XenMobileクライアント(別名、ラップされたShareFile)とShareFileモバイルクライアント(別名、ラップされていないShareFile)の2種類のShareFileクライアントがあります。両者の違いについては、「ShareFile for XenMobileクライアントとShareFileモバイルクライアントの相違点」を参照してください。

XenMobileとShareFileを構成し、SAMLを使用することで、MDX ServiceでラップされたShareFile Mobileアプリはもちろん、Webサイト、Outlookプラグイン、同期クライアントなどのラップされていないShareFileクライアントへのシングルサインオンアクセスを提供することができます。

XenMobileをShareFile用のSAML IDプロバイダーとして使用する場合は、設定が適切であることを確認してください。詳細については、「ShareFileでのSAMLによるシングルサインオン」を参照してください。

ShareConnectでの直接接続

決定する事項の詳細

  • ユーザーが直接接続を利用して、ShareConnectが動作するコンピューターまたはモバイルデバイスからホストコンピューターにアクセスするか

設計ガイド

ShareConnectを使用すると、ユーザーはiPad、Androidタブレット、Androidスマートフォンから自分のコンピューターに安全に接続して、ファイルやアプリケーションにアクセスできます。直接接続の場合、XenMobileはNetScaler Gatewayを使ってローカルネットワークの外にあるリソースへの安全なアクセスを提供します。構成の詳細については、「ShareConnect」を参照してください。

展開タイプごとの登録FQDN

   
展開の種類 登録FQDN
エンタープライズ(MDM+MAM)と必須のMDM登録 XenMobile ServerのFQDN
エンタープライズ(MDM+MAM)とオプションのMDM登録 XenMobileサーバーのFQDNまたはNetScaler GatewayのFQDN
MDMのみ XenMobileサーバーのFQDN
MAMのみ(レガシー) NetScaler GatewayのFQDN
MAMのみ XenMobileサーバーのFQDN

環境のまとめ

NetScaler for XenMobileウィザードを使用して適切な設定を行うことをお勧めしています。ウィザードを使用できるのは1度限りです。テスト環境、開発環境、および実稼働環境などの複数のXenMobileインスタンスがある場合は、追加の環境用に手動でNetScalerを構成する必要があります。作業環境がある場合は、XenMobile用に手動でNetScalerを構成する前に、設定を書き留めておいてください。

ウィザードの使用時に決定する事項の中で重要となるのは、XenMobileサーバーとの通信にHTTPSを使用するか、あるいはHTTPを使用するかという点です。HTTPSの場合はNetScalerとXenMobileとの間のトラフィックが暗号化されるため、安全なバックエンド通信が可能ですが、再暗号化はXenMobileサーバーのパフォーマンスに影響します。HTTPの場合はXenMobileサーバーのパフォーマンスは向上しますが、 NetScalerとXenMobileとの間のトラフィックは暗号化されません。以下の表に、NetScalerおよびXenMobileサーバーのHTTPおよびHTTPSポートの要件を示します。

HTTPS

Citrixでは通常、NetScaler MDM仮想サーバー構成用のSSLブリッジをお勧めしています。MDM仮想サーバーでNetScaler SSLオフロードを使用する場合、XenMobileはバックエンドサービスとしてポート80のみをサポートします。

       
展開の種類 NetScalerの負荷分散手法 SSL再暗号化 XenMobileサーバーポート
MDM SSLブリッジ - 443、8443
MAM SSLオフロード 有効 8443
エンタープライズ MDM:SSLブリッジ - 443、8443
エンタープライズ MAM:SSLオフロード 有効 8443

HTTP

       
展開の種類 NetScalerの負荷分散手法 SSL再暗号化 XenMobileサーバーポート
MDM SSLオフロード 未サポート 80
MAM SSLオフロード 有効 8443
エンタープライズ MDM:SSLオフロード 未サポート 80
エンタープライズ MAM:SSLオフロード 有効 8443

XenMobile環境でのNetScaler Gatewayの図については、「アーキテクチャ」を参照してください。

NetScaler GatewayおよびNetScalerの統合