Gateway

アクセスシナリオのフォールバックの設定

SmartAccessを使用すると、NetScaler Gateway は、エンドポイント分析スキャンの結果に基づいて、ユーザーデバイスに許可されるアクセス方法を自動的に判断できます。アクセスシナリオフォールバックは、ユーザーデバイスが最初のエンドポイント分析スキャンに合格しなかった場合に、Citrix Workspaceアプリを使用してCitrix Secure AccessクライアントからWeb InterfaceまたはStoreFront にフォールバックできるようにすることで、この機能をさらに拡張します。

アクセスシナリオのフォールバックを有効にするには、NetScaler Gateway へのログオン時にユーザーが別のアクセス方法を受け取るかどうかを決定する認証後ポリシーを構成します。この認証後ポリシーは、グローバルに、またはセッションプロファイルの一部として設定するクライアントセキュリティ式として定義されます。セッションプロファイルを構成すると、プロファイルはセッションポリシーに関連付けられ、ユーザー、グループ、または仮想サーバーにバインドされます。アクセスシナリオのフォールバックを有効にすると、NetScaler Gateway はユーザー認証後にエンドポイント分析スキャンを開始します。フォールバック認証後スキャンの要件を満たさないユーザーデバイスの結果は次のとおりです:

  • クライアントの選択が有効になっている場合、ユーザーはCitrix Workspace アプリのみを使用してWeb InterfaceまたはStoreFront にログオンできます。
  • クライアントレスアクセスとクライアント選択が無効になっている場合、ユーザーはWeb InterfaceまたはStoreFront にのみアクセスできるグループに隔離されます。
  • NetScaler Gateway でクライアントレスアクセスとWeb InterfaceまたはStoreFront が有効になっていて、ICAプロキシが無効になっている場合、ユーザーはクライアントレスアクセスにフォールバックします。
  • Web InterfaceまたはStoreFront が構成されておらず、クライアントレスアクセスが許可に設定されている場合、ユーザーはクライアントレスアクセスにフォールバックします。

クライアントレスアクセスが無効になっている場合は、アクセスシナリオフォールバック用に次の設定の組み合わせを設定する必要があります。

  • フォールバック認証後スキャンのクライアントセキュリティパラメータを定義します。
  • Web インターフェイスのホームページを定義します。
  • クライアントの選択肢を無効にします。
  • ユーザーデバイスがクライアントセキュリティチェックに失敗すると、ユーザーは、Web InterfaceまたはStoreFront および公開アプリケーションへのアクセスのみを許可する検疫グループに配置されます。

アクセスシナリオフォールバックのポリシーの作成

アクセスシナリオのフォールバック用にNetScaler Gateway を構成するには、次の方法でポリシーとグループを作成する必要があります。

  • エンドポイント分析スキャンが失敗した場合にユーザーが配置される検疫グループを作成します。
  • エンドポイント分析スキャンが失敗した場合に使用されるグローバルWeb InterfaceまたはStoreFront 設定を作成します。
  • グローバル設定を上書きするセッションポリシーを作成し、そのセッションポリシーをグループにバインドします。
  • エンドポイント分析が失敗した場合に適用されるグローバルクライアントセキュリティポリシーを作成します。

アクセスシナリオフォールバックを設定する場合は、次の注意事項に従ってください。

  • クライアント選択またはアクセスシナリオフォールバックを使用するには、すべてのユーザーに Endpoint Analysis プラグインが必要です。エンドポイント分析を実行できない場合、またはスキャン中にスキャンをスキップを選択した場合、ユーザーはアクセスを拒否されます。 注:スキャンをスキップするオプションは、NetScaler Gateway 10.1、ビルド120.1316.eで削除されました
  • クライアント選択を有効にすると、ユーザーデバイスがエンドポイント分析スキャンに失敗すると、ユーザーは検疫グループに配置されます。ユーザーは引き続き、Citrix Secure AccessクライアントまたはCitrix Workspaceアプリを使用して、Web InterfaceまたはStoreFront にログオンできます。 注:クライアントの選択を有効にする場合は、検疫グループを作成しないことをお勧めします。エンドポイント分析スキャンに失敗したユーザーデバイスは、エンドポイントスキャンに合格したユーザーデバイスと同様に隔離されます。
  • エンドポイント分析スキャンが失敗し、ユーザーが検疫グループに配置された場合、検疫グループにバインドされたポリシーは、検疫グループにバインドされたポリシーと同等またはそれ以下の優先度番号を持つユーザーに直接バインドされたポリシーがない場合にのみ有効です。
  • Access Interfaceと、Web InterfaceまたはStoreFront に異なるWebアドレスを使用できます。ホームページを構成すると、Citrix Secure AccessクライアントではAccess Interfaceホームページが優先され、Web InterfaceユーザーにはWeb Interfaceホームページが優先されます。StoreFront では、Citrix Workspace アプリのホームページが優先されます。

検疫グループを作成する

  1. 構成ユーティリティの[構成]タブのナビゲーションペインで、[ NetScaler Gateway]>[ユーザー管理]の順に展開し、[ AAAグループ]をクリックします。
  2. 詳細ペインで、[ 追加] をクリックします。
  3. [ グループ名] にグループの名前を入力し、[ 作成] をクリックし、 [ 閉じる] をクリックします。 重要:検疫グループの名前は、ユーザーが所属する可能性のあるドメイングループの名前と一致してはなりません。検疫グループが Active Directory グループ名と一致する場合、ユーザーデバイスがエンドポイント分析セキュリティスキャンに合格しても、ユーザーは隔離されます。

グループを作成した後、ユーザーデバイスがエンドポイント分析スキャンに失敗した場合にWeb InterfaceにフォールバックするようにNetScaler Gateway を構成します。

ユーザー接続を検疫するための設定を構成する

  1. 構成ユーティリティの[構成]タブのナビゲーションペインで、[NetScaler Gateway]を展開し、[ グローバル設定]をクリックします。
  2. 詳細ペインの [ 設定] で、[ グローバル設定の変更] をクリックします。
  3. グローバルNetScaler Gateway 設定 ]ダイアログボックスの[ 公開アプリケーション ]タブで、[ ICAプロキシ]の横にある[ オフ]を選択します。
  4. Web Interfaceアドレス]の横に、StoreFront またはWeb InterfaceのWebアドレスを入力します。
  5. シングルサインオンドメイン]の横に、Active Directory ドメインの名前を入力し、[ OK]をクリックします。

グローバル設定を構成したら、グローバルICAプロキシ設定を上書きするセッションポリシーを作成し、セッションポリシーを検疫グループにバインドします。

アクセスシナリオフォールバックのセッションポリシーを作成する

  1. 構成ユーティリティの [構成] タブのナビゲーションペインで、[ NetScaler Gateway] > [ポリシー ] を展開し、[セッション] をクリックします。
  2. 詳細ペインで、[ 追加] をクリックします。
  3. [名前] に、ポリシーの名前を入力します。
  4. リクエストプロファイル」の横にある「 新規」をクリックします。
  5. [ 公開アプリケーション ] タブで、[ ICAプロキシ] の横にある [ グローバル上書き] をクリックし、[ オン] を選択して、 [ 作成] をクリックします。
  6. [ セッションポリシーの作成 ] ダイアログボックスで、[ 名前付き式] の横にある [ 一般] を選択し、[ True value] を選択し、[ 式の追加] をクリックして [ 作成] をクリックし、 [ 閉じる] をクリックします。

セッションポリシーを作成したら、ポリシーを検疫グループにバインドします。

セッションポリシーを検疫グループにバインドします

  1. 構成ユーティリティの[構成]タブのナビゲーションペインで、[ NetScaler Gateway]>[ユーザー管理]の順に展開し、[ AAAグループ]をクリックします。
  2. 詳細ウィンドウで、グループを選択し、[ 開く] をクリックします。
  3. [セッション] をクリックします。
  4. [ ポリシー ] タブで、[ セッション] を選択し、[ ポリシーの挿入] をクリックします。
  5. ポリシー名」でポリシーを選択し、 「OK」をクリックします。

NetScaler Gateway でWeb InterfaceまたはStoreFront を有効にするセッションポリシーとプロファイルを作成したら、グローバルクライアントセキュリティポリシーを作成します。

グローバルクライアントセキュリティポリシーを作成する

  1. 構成ユーティリティの[構成]タブのナビゲーションペインで、[NetScaler Gateway]を展開し、[ グローバル設定]をクリックします。
  2. 詳細ペインの [ 設定] で、[ グローバル設定の変更] をクリックします。
  3. [ セキュリティ ] タブの [ 詳細設定] をクリックします。
  4. [ クライアントセキュリティ] に式を入力します。システム式の構成の詳細については、「システム式の設定」および「 [複合クライアントセキュリティ式の構成](/ja-jp/netscaler-gateway/13-1/vpn-user-config/endpoint-policies/ng-endpoint-expressions-compound-con.html)」を参照してください
  5. 検疫グループ」で、グループ手順で設定したグループを選択し、 「OK」をクリックします。
アクセスシナリオのフォールバックの設定