StoreFront のNetScaler Gateway セッションポリシーを構成する

この記事では、Citrix WorkspaceアプリまたはWebブラウザーを使用しているユーザーのために、StoreFront でNetScaler Gateway ドメインのみの認証を構成する方法について説明します。

最小要件

• Citrix StoreFront 2.xまたは3.0

• NetScaler 10.5以上

• Windows向けCitrix Workspaceアプリ4.x

• Mac向けCitrix Workspaceアプリ11.8

• Webブラウザー（Web向けCitrix Workspaceアプリ）

• CTX108876-NetScaler ADCアプライアンスでLDAP認証を構成する方法で説明されているように、NetScaler ADCアプライアンスで構成された認証

• StoreFront サーバーおよびNetScaler Gateway 用に構成されたSSL証明書。次のトピックについて詳しくは、 StoreFront のドキュメントを参照してください。

  ​- StoreFront 2.6のインストールとセットアップ

  • Windows Server 2012証明書

  • SSL バインドをサイトに追加するには

  • NetScaler ADCアプライアンス10.5の証明書のインストールと管理

StoreFront でNetScaler Gateway を構成する

Webブラウザーベースのアクセス用のセッションポリシーを作成する

1. ［NetScaler Gateway］>［ ポリシー］>［セッション］ に移動します。

2. ［セッションポリシー］ タブで ［追加］ をクリックします。

3. ［名前］ に、セッションポリシーの名前を入力します。たとえば、Web_Browser_Policy のようにします。

4. ［プロファイル］ で、［追加］ をクリックします。 ［Citrix Gateway セッションポリシーの作成 ］ページが表示されます。

5. 必須フィールドを更新し、「 作成」をクリックします。

   

6. Citrix Gateway のセッションポリシーとプロファイルページで 、セッションポリシーを選択します。

7. セッションプロファイルを追加するには、「プロファイル」フィールドに移動し、「追加」をクリックします。 ［Citrix Gateway セッションプロファイルの作成 ］ページが表示されます。

   セッションプロファイルに名前を割り当てます。すべてのタブの［ グローバル上書き ］チェックボックスをオンにすると、NetScaler Gatewayのグローバルパラメーターから継承された値を上書きできます。 次の設定例では、必須パラメータについて説明しています。

8. [ ネットワーク構成 ] タブで、次の設定を行います。

   • 接続の強制終了：ユーザーがNetScaler Gatewayにログオンする前に存在していた接続を切断し、ユーザーが接続されていてスプリットトンネリングが無効になっているときに接続が受信されないようにする必要があるかどうかを指定します。

     

9. 「 クライアントエクスペリエンス 」タブで、次の設定を行います。

   • スプリットトンネル:NetScaler Gatewayで定義されているイントラネットアプリケーションのトラフィックのみをトンネリングします。他のすべてのトラフィックをインターネットに直接ルーティングします。

   • クライアントレスアクセス：［ 許可］に設定すると、Citrix Secure Accessクライアントをインストールしなくてもアプリケーションにアクセスできます。

   • クライアントレスアクセス URL エンコーディング:クライアントレスアクセスが有効になっている場合は、内部 Web アプリケーションのアドレスをエンコードするか、アドレスをプレーンテキストのままにすることができます。

   • クライアントレスアクセスパーシステント Cookie: これを [ 許可 ] に設定すると、クライアントレスアクセスモードでのパーシステント Cookie の状態が表示されます。永続的な Cookie はユーザーデバイス上に残り、HTTP 要求ごとに送信されます。

   • 高度なクライアントレス VPN モード:高度なクライアントレス VPN モードを有効または無効にします。STRICT オプションを使用すると、アドバンスドクライアントレスモードを使用する際に、従来のクライアントレス VPN モードがブロックされます。

   • プラグインタイプ:単一の IP アドレスとサブネットマスク、または一定範囲の IP アドレスを使用して、ネットワークリソースにアクセスできます。無効にすると、NetScaler Gatewayはモードをプロキシに設定します。このモードで、送信元と宛先のIPアドレス、およびポート番号を構成します。

   • Webアプリケーションへのシングル・サインオン:このオプションを有効にすると、セッションのシングル・サインオン (SSO) を設定できます。ユーザーがサーバーにアクセスすると、ユーザーのログイン資格情報は認証のためにサーバーにリダイレクトされます。

   • 資格情報インデックス:サーバーへのシングルサインオンに、一次認証資格情報と二次認証資格情報のどちらを使用するかを指定します。

   • Windowsでのシングルサインオン:セッションの Windows自動ログオンを有効または無効にします。この設定を有効にした後に VPN セッションが確立されると、ユーザーはシステムの再起動後に Windows 資格情報を使用して自動的にログオンします。

   • クライアントクリーンアッププロンプト:クライアントが開始したセッションが終了したときに、NetScaler Gatewayがクライアント側のキャッシュクリーンアップを要求するようにするには、このオプションを設定します。

   

   

10. [ セキュリティ ] タブで、次の設定を行います。

    • デフォルト認証アクション:ユーザーが内部ネットワークにログオンするときにアクセスできるネットワークリソースを指定します。ALLOW に設定すると、ユーザーは iOS および Android モバイルデバイスからネットワークリソースに接続できます。ユーザーは、セキュアネットワーク内のリソースにアクセスするために完全な VPN トンネルを確立する必要はありません。

    • Secure Browse: ユーザーがモバイルデバイスからネットワークリソースに接続できるようにします。

    

11. [ 公開アプリケーション ] タブで、次の設定を有効にします。

    • ICAプロキシ:オンに設定されています。

    • Webインターフェイスアドレス:StoreFStoreFront サーバーのFQDNの後にWeb用のストアへのパスが続きます。

    • ウェブインターフェースタイプ:ウェブインターフェースのタイプ (IPv4/v6)。

    • シングル・サインオン・ドメイン:ドメインのNetBIOS名。

    

12. ［作成］ をクリックします。

13. 式を追加します。

    1. ［高度なポリシー］ をクリックし、［式エディター］ をクリックします。

    2. 式エディターで、次の項目を順番に選択します。[HTTP] > [REQ] > [HEADER] の順に選択し、**CitrixReceiver**などのパラメータを入力します。

       HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver").NOT

       このポリシーは、NetScalerがWebブラウザーベースの接続とCitrix Workspaceアプリベースの接続を区別するために必要です。このポリシーは、Webブラウザーベースの接続に適用されます。

Citrix Workspaceアプリベースのアクセス用のセッションポリシーを作成する

1. ［NetScaler Gateway］>［ ポリシー］>［セッション］ に移動します。

2. ［セッションポリシー］ タブで ［追加］ をクリックします。

3. ［名前］ に、セッションポリシーの名前を入力します。たとえば、Workspace_app_Policy などです。

4. ［プロファイル］ で、［追加］ をクリックします。

5. ［NetScaler Gateway セッションプロファイルの作成］ ウィンドウで、セッションプロファイルに名前を追加します。

   すべてのタブの［ グローバル上書き ］チェックボックスをオンにすると、NetScaler Gatewayのグローバルパラメーターから継承された値を上書きできます。 設定例では、必須パラメーターに関する詳細のみが含まれています。

6. ［クライアントエクスペリエンス］ タブで、次の設定を有効にします：

   • ホームページ: ［なし］ に設定する

   • スプリットトンネル: ［オフ］ に設定

   • クライアントレスアクセス:[オン] に設定

   • プラグインタイプ:Javaに設定

   • Web アプリケーションへのシングルサインオン: チェックボックスを選択します

7. [ 詳細設定 ] をクリックし、[ クライアント選択 ] チェックボックスをオフにします。

8. ［セキュリティ］ タブで、［デフォルトの承認アクション］ を有効にし、［許可］ に設定します。

9. ［公開アプリケーション］ タブで、次の設定を有効にします：

   • ICAプロキシ: ONに設定します。

   • ウェブインターフェイスアドレス: StoreFStoreFront サーバーのFQDNとそれに続くウェブ用ストアへのパス

   • シングルサインオンドメイン-ドメインの NetBIOS 名

   • アカウントサービス所在地: アカウント・サービスの所在地を入力します。最後のバックスラッシュは重要です。例：https://sfcitrix.com/。

   

10. ［作成］ をクリックします。

11. 式を追加します。

    1. ［高度なポリシー］ をクリックし、［式エディター］ をクリックします。
    2. エクスプレッションエディタで、[ HTTP] > [REQ] > [HEADER ] を選択し、パラメータ (**CitrixReceiver**など) を入力します。たとえば、次のようにします。

    HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver")

    このポリシーは、NetScalerがCitrix Workspaceアプリベースの接続とWebブラウザーベースの接続を区別するために必要です。このポリシーは、Citrix Workspaceアプリベースの接続に適用されます。

WindowsまたはMac用のCitrix Workspace アプリ、およびNetScaler Gateway 上のモバイルデバイス用のセッションポリシーを作成する

1. ［NetScaler Gateway］>［ ポリシー］>［セッション］ に移動します。

2. [ セッションポリシー ] フィールドで、[ 追加] をクリックします。

3. [ Name ] フィールドに、セッションポリシーの名前を入力します。たとえば、Receiver_Policy のようにします。

   

4. ［NetScaler Gateway セッションプロファイルの構成］ウィンドウで、新しいセッションプロファイルの名前を入力します 。

   

5. ［クライアントエクスペリエンス］ タブで、次の設定を有効にします：

   • ホームページ:[ なし]に設定

   • スプリットトンネル: OFFに設定

   • クライアントレスアクセス:On に設定

   • Web アプリケーションへのシングル・サインオン:チェックボックスを選択

   • プラグインタイプ: Javaに設定

   

6. [ セキュリティ ] タブで、[ 既定の承認アクション ] を [ 許可] に設定します。

   

7. ［公開アプリケーション］ タブで、次の設定を有効にします：

   • ICAプロキシ:オンに設定されています。

   • Webインターフェイスアドレス： StoreFrontサーバーのFQDNの後にストアへのパスが続きます。

   • シングルサインオンドメイン:ドメインの NetBIOS 名

   • アカウント・サービス所在地:アカウント・サービスの所在地を入力します。最後のバックスラッシュは重要です。例：https://accounts.example.com/Citrix/Roaming/Accounts

   

8. ［作成］ をクリックします。

9. 従来のポリシー式を使用している場合は、「式」フィールドに次の情報を追加し、「作成」をクリックします。

   `REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver`
   

   

10. 高度なポリシー式を使用している場合は、「式」フィールドに次の情報を追加し、「作成」をクリックします。

    `HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver")`
    

    

    このポリシーは、NetScalerがWebブラウザーベースの接続とCitrix Workspaceアプリベースの接続を区別するために必要です。このポリシーは、Citrix Workspaceアプリベースの接続に適用されます。

NetScaler ADCアプライアンスで認証を構成する

NetScaler ADCアプライアンスでのLDAP認証の構成について詳しくは、 LDAP認証の構成を参照してください。

NetScaler Gateway 仮想サーバーを作成し、セッションポリシーをバインドする

1. ［NetScaler Gateway］>［仮想サーバー］ に移動し、［追加］ をクリックして新しい仮想サーバーを追加します。

2. 仮想サーバーを作成したら、会社の要件に基づいて、特定のセッションポリシーを仮想サーバーにバインドします。

StoreFront の認証を構成する

1. StoreFrontでNetScaler Gateway からのパススルー認証を有効にします。詳しくは、「認証サービスの構成」を参照してください。

   StoreFront は、認証コールバックサービスのNetScaler Gateway 仮想サーバーのバインド証明書（ルート証明書および中間証明書）の発行元を信頼する必要があります。

2. NetScaler Gateway をStoreFront に追加します。詳しくは、「NetScaler Gateway 接続の追加」を参照してください。

   ゲートウェイ URL は、ユーザーが Web ブラウザのアドレスバーに入力しているものと正確に一致する必要があります。

3. StoreFront ストアでリモートアクセスを有効にします。詳しくは、「NetScaler Gateway を介したストアへのリモートアクセスの管理」を参照してください。

参照ドキュメント

• タイムアウト設定を構成する