NetScaler Gateway でクライアントレスVPNアクセスを構成する
クライアントレスアクセスにより、ユーザーはCitrix Secure AccessクライアントやReceiverなどのユーザーソフトウェアをインストールしなくても、必要なアクセスが可能になります。ユーザーは Web ブラウザを使用して、Outlook Web Access などの Web アプリケーションに接続できます。
クライアントレスアクセスを設定するには、次の手順を実行します。
- グローバルに、またはユーザー、グループ、または仮想サーバーにバインドされたセッションポリシーを使用して、クライアントレスアクセスを有効にします。
- Web アドレスのエンコード方式の選択。
特定の仮想サーバに対してのみクライアントレスアクセスを有効にするには、クライアントレスアクセスをグローバルに無効にしてから、それを有効にするセッションポリシーを作成します。
NetScaler Gateway ウィザードを使用してアプライアンスを構成する場合は、ウィザード内でクライアントレスアクセスを構成するかどうかを選択できます。ウィザードの設定はグローバルに適用されます。NetScaler Gateway ウィザードでは、次のクライアント接続方法を構成できます。
- Citrix Secure Access クライアント。ユーザーは、Citrix Secure Accessクライアントのみを使用してログオンできます。
- Citrix Secure Accessクライアントを使用して、アクセスシナリオのフォールバックを許可します。ユーザーはCitrix Secure Accessクライアントを使用してNetScaler Gatewayにログオンします。ユーザデバイスがエンドポイント分析スキャンに失敗した場合、ユーザはクライアントレスアクセスを使用してログオンすることが許可されます。これが発生すると、ユーザーはネットワークリソースへのアクセスが制限されます。
- ユーザが Web ブラウザとクライアントレスアクセスを使用してログオンできるようにします。ユーザはクライアントレスアクセスを使用してのみログオンでき、ネットワークリソースへのアクセスは制限されます。
クライアントレス VPN アクセスポリシーの仕組み
Web アプリケーションへのクライアントレスアクセスを設定するには、ポリシーを作成します。クライアントレスアクセスポリシーの設定は、構成ユーティリティで構成できます。クライアントレスアクセスポリシーは、ルールとプロファイルで構成されます。NetScaler Gateway に付属する事前構成済みのクライアントレスアクセスポリシーを使用できます。また、独自のカスタムクライアントレスアクセスポリシーを作成することもできます。
NetScaler Gateway には、次の事前構成されたポリシーが用意されています。
- Outlook Web Access と Outlook Web アプリケーション
- SharePoint 2007
- その他すべての Web アプリケーション
注:
OWA 2016 および SharePoint 2016 は、高度なクライアントレスアクセスを使用する場合にのみサポートされます。
事前設定されたクライアントレスアクセスポリシーの次の特性に留意してください。
- これらは自動的に設定され、変更できません。
- 各ポリシーはグローバルレベルでバインドされます。
- クライアントレスアクセスをグローバルに有効にするか、セッションポリシーを作成しない限り、各ポリシーは適用されません。
- クライアントレスアクセスを有効にしない場合でも、グローバルバインディングを削除または変更することはできません。
他のWebアプリケーションのサポートは、NetScaler Gateway で構成する書き換えポリシーによって異なります。作成したカスタムポリシーをテストして、アプリケーションのすべてのコンポーネントが正常に書き換えられるようにすることをお勧めします。
Receiver for Android、Receiver for iOS、またはCitrix Secure Hubからの接続を許可する場合は、クライアントレスアクセスを有効にする必要があります。iOSデバイス上で動作するCitrix Secure Hubの場合は、セッションプロファイル内でSecure Browse も有効にする必要があります。Secure Browse クライアントレスアクセスが連携して、iOS デバイスからの接続を許可します。ユーザーが iOS デバイスに接続しない場合は、Secure Browse を有効にする必要はありません。
クイック設定ウィザードは、モバイルデバイスの正しいクライアントレスアクセスポリシーと設定を構成します。クイック構成ウィザードを実行して、StoreFront およびCitrix Endpoint Managementへの接続に関する正しいポリシーを構成することをお勧めします。
カスタムクライアントレスアクセスポリシーは、グローバルにバインドすることも、仮想サーバにバインドすることもできます。クライアントレスアクセスポリシーを仮想サーバにバインドする場合は、カスタムポリシーを作成してバインドする必要があります。クライアントレスアクセスに対してグローバルまたは仮想サーバに対して異なるポリシーを適用するには、カスタムポリシーのプライオリティ番号を変更して、カスタムポリシーのプライオリティ番号を事前設定されたポリシーよりも小さくします。これにより、カスタムポリシーのプライオリティが高くなります。仮想サーバに他のクライアントレスアクセスポリシーがバインドされていない場合は、事前設定されたグローバルポリシーが優先されます。
注:
事前設定されたクライアントレスアクセスポリシーのプライオリティ番号は変更できません。
クライアントレス VPN アクセスを有効にする
グローバルレベルでクライアントレスアクセスを有効にすると、すべてのユーザがクライアントレスアクセスの設定を受け取ります。NetScaler Gateway ウィザード、グローバルポリシー、またはセッションポリシーを使用して、クライアントレスアクセスを有効にすることができます。
グローバル設定またはセッションプロファイルでは、クライアントレスアクセスには次の設定があります。
- オン。クライアントレスアクセスを有効にします。クライアントの選択を無効にし、StoreFront を構成または無効にしない場合、ユーザーはクライアントレスアクセスを使用してログオンします。
- オフ。クライアントレスアクセスは、デフォルトでは有効になっていません。クライアントレスアクセスは、ユーザーがCitrix Secure Accessクライアントでログオンした後に有効になります。クライアントの選択を無効にし、StoreFront を構成または無効にしない場合、ユーザーはCitrix Secure Accessクライアントでログオンします。ユーザがログオンしたときにエンドポイント分析が失敗した場合、ユーザにはクライアントレスアクセスが可能な選択肢ページが表示されます。
- 無効。クライアントレスアクセスは無効です。[ 無効(Disabled)] を選択すると、ユーザはクライアントレスアクセスを使用してログオンできず、クライアントレスアクセスのアイコンは選択ページに表示されません。
NetScaler Gateway ウィザードを使用してクライアントレスアクセスを有効にしない場合は、グローバルに、または構成ユーティリティを使用してセッションポリシーで有効にすることができます。
クライアントレスアクセスをグローバルに有効にするには
- 構成ユーティリティの[構成]タブのナビゲーションペインで、[NetScaler Gateway]を展開し、[ グローバル設定]をクリックします。
- 詳細ペインの [ 設定] で、[ グローバル設定の変更] をクリックします。
- [ クライアントエクスペリエンス ]タブで、[ クライアントレスアクセス]の横にある[ オン]を選択し、 [ OK]をクリックします。
セッションポリシーを使用してクライアントレスアクセスを有効にするには
選択したユーザ、グループ、または仮想サーバのグループだけにクライアントレスアクセスを使用する場合は、クライアントレスアクセスをグローバルに無効またはクリアします。次に、セッションポリシーを使用して、クライアントレスアクセスを有効にし、ユーザー、グループ、または仮想サーバーにバインドします。
- 構成ユーティリティの[構成]タブのナビゲーションペインで、[ NetScaler Gateway]>[ポリシー]>[セッション]の順に展開します。
- 詳細ペインの [ポリシー] タブで、[ 追加] をクリックします。
- [名前] に、ポリシーの名前を入力します。
- 「 リクエストプロファイル」の横にある「 新規」をクリックします。
- [名前] に、プロファイルの名前を入力します。
- [ クライアントエクスペリエンス ] タブの [クライアントレスアクセス] の横にある [ グローバル上書き] をクリックし、[ オン ] を選択して **[ **作成] をクリックします。
- [ セッションポリシーの作成 ] ダイアログボックスで、[ 名前付き式] の横にある [一般] を選択し、[True value] を選択し、[式の追加] をクリックして [ 作成] をクリックし、 [ 閉じる] をクリックします。
- [ 作成] をクリックし、 [ 閉じる] をクリックします。
クライアントレスアクセスを有効にするセッションポリシーを作成したら、ユーザー、グループ、または仮想サーバーにバインドします。
Web アドレスをエンコードする
クライアントレスアクセスを有効にすると、内部 Web アプリケーションのアドレスをエンコードするか、アドレスをクリアテキストのままにしておくかを選択できます。設定は次のとおりです。
- あいまい。これは、標準のエンコーディングメカニズムを使用して、リソースのドメインとプロトコル部分を隠します。
- [クリア]。Web アドレスはエンコードされず、ユーザーに表示されます。
- 暗号化。ドメインとプロトコルは、セッションキーを使用して暗号化されます。Web アドレスが暗号化されている場合、同じ Web リソースのユーザセッションごとに URL が異なります。ユーザがエンコードされた Web アドレスをブックマークし、Web ブラウザに保存してからログオフすると、ユーザがログオンし、ブックマークを使用して再度 Web アドレスに接続しようとすると、Web アドレスに接続できなくなります。 注:ユーザーがセッション中に暗号化されたブックマークをAccess Interfaceに保存すると、ユーザーがログオンするたびにブックマークが機能します。
この設定は、グローバルに構成することも、セッションポリシーの一部として構成することもできます。セッションポリシーの一部としてエンコーディングを構成する場合は、ユーザー、グループ、または仮想サーバーにバインドできます。
Web アドレスエンコーディングをグローバルに構成する
- 構成ユーティリティの[ 構成 ]タブのナビゲーションペインで、[NetScaler Gateway]を展開し、[ グローバル設定]をクリックします。
- 詳細ペインの [ 設定] で、[グローバル設定の変更] をクリックします。
- [クライアントエクスペリエンス]タブで、[クライアントレスアクセス URL エンコーディング]の横にあるエンコーディングレベルを選択し、[OK]をクリックします。
セッションポリシーを作成して Web アドレスエンコーディングを構成する
- 構成ユーティリティの[構成]タブのナビゲーションペインで、[ NetScaler Gateway]>[ポリシー ]を展開し、[セッション]をクリックします。
- 詳細ペインの [ポリシー] タブで、[ 追加] をクリックします。
- [名前] に、ポリシーの名前を入力します。
- 「リクエストプロファイル」の横にある「 新規」をクリックします。
- [名前] に、プロファイルの名前を入力します。
- 「 クライアントエクスペリエンス 」タブで、「 クライアントレスアクセス URL エンコーディング」の横にある「 グローバルオーバーライド」をクリックし、エンコードレベルを選択して「 OK」をクリックします。
- [ セッションポリシーの作成 ] ダイアログボックスで、[名前付き式] の横にある [ 一般] を選択し、[ True value] を選択し、[ 式の追加] をクリックして [ 作成] をクリックし、 [ 閉じる] をクリックします。
クライアントレスアクセスポリシーの作成
デフォルトのクライアントレスアクセスポリシーと同じ設定を使用したいが、ポリシーを仮想サーバにバインドする場合は、デフォルトのポリシーをコピーして、ポリシーの新しい名前を指定できます。構成ユーティリティを使用して、デフォルトポリシーをコピーできます。
新しいポリシーを仮想サーバーにバインドした後、ユーザーがログオンしたときに最初に実行されるように、ポリシーの優先順位を設定できます。
デフォルト設定を使用してクライアントレスアクセスポリシーを作成する
- 構成ユーティリティのナビゲーションペインで、[ NetScaler Gateway] >[ポリシー ]の順に展開し、[クライアントレスアクセス]をクリックします。
- 詳細ウィンドウの [ポリシー] タブで、既定のポリシーをクリックし、[追加] をクリックします。
- [名前] にポリシーの新しい名前を入力し、[作成]、[閉じる] の順にクリックします。
クライアントレスアクセスポリシーを仮想サーバにバインドする
ポリシーを作成したら、そのポリシーを仮想サーバーにバインドします。
- 構成ユーティリティの[構成]タブのナビゲーションペインで、[ NetScaler Gateway ]を展開し、[ 仮想サーバー]をクリックします。
- 詳細ペインで仮想サーバーを選択し、[ 開く] をクリックします。
- [NetScaler Gateway 仮想サーバーの構成]ダイアログボックスで、[ポリシー]タブをクリックし、[クライアントレス]をクリックします。
- 「ポリシーの挿入」をクリックし、リストからポリシーを選択して、「OK」をクリックします。
クライアントレスアクセスポリシー式の作成と評価
クライアントレスアクセス用のポリシーを作成する場合、ポリシーの独自の式を作成できます。エクスプレッションの作成が完了したら、エクスプレッションの精度を評価できます。
- 構成ユーティリティのナビゲーションペインで、[ NetScaler Gateway] >[ポリシー ]の順に展開し、[クライアントレスアクセス]をクリックします。
- 詳細ウィンドウの [ポリシー] タブで、既定のポリシーをクリックし、[追加] をクリックします。
- [名前] に、ポリシーの名前を入力します。
- [プロファイル] の横にある [ 新規] をクリックします。
- [名前] に、プロファイルの名前を入力します。
- 書き換え設定を構成し、[作成] をクリックします。
- [クライアントレスアクセスポリシーの作成] ダイアログボックスの [式] で、[追加] をクリックします。
- 「式の追加」ダイアログ・ボックスで、式を作成し、「OK」をクリックします。
- [クライアントレスアクセスポリシーの作成] ダイアログボックスで、[評価] をクリックし、式が正しいとテストされたら、[作成] をクリックします。