セッションポリシー
セッションポリシーは、ユーザー、グループ、仮想サーバー、およびグローバルに適用される式と設定の集合です。
セッションポリシーを使用して、ユーザー接続の設定を構成します。ソフトウェアユーザーのログオンに使用する設定を定義できます。たとえば、Windows用のNetScaler GatewayプラグインやMac用のNetScaler Gatewayプラグインなどです。また、ユーザーにCitrix Workspace アプリまたはSecure Hubでのログオンを要求する設定を構成することもできます。ユーザーが認証されると、セッションポリシーが評価され、適用されます。
セッションポリシーは、次の規則に従って適用されます:
- セッションポリシーは、常に設定内のグローバル設定よりも優先されます。
- セッションポリシーを使用して設定されていない属性またはパラメータは、仮想サーバ用に確立されたポリシーに設定されます。
- グローバル構成は、セッションポリシーまたは仮想サーバーによって設定されていない他の属性を設定します。
重要:
次の手順は、セッションポリシーを作成するための一般的なガイドラインです。クライアントレスアクセスや公開アプリケーションへのアクセスなど、さまざまな構成のセッションポリシーを構成するための具体的な手順があります。手順には、特定の設定を構成するための指示が含まれている場合があります。ただし、この設定は、セッションプロファイルとポリシーに含まれる多くの設定の 1 つになる場合があります。
Citrix Endpoint ManagementまたはStoreFront をネットワークに展開する場合は、クイック構成ウィザードを使用してセッションポリシーとプロファイルを構成することをお勧めします。ウィザードの実行時に、展開の設定を定義します。NetScaler Gateway は、必要な認証、セッション、およびクライアントレスアクセスポリシーを作成します。
セッションポリシーを作成する
- 構成ユーティリティの[構成]タブのナビゲーションペインで、[ NetScaler Gateway]>[ポリシー ]を展開し、[セッション]をクリックします。
- 詳細ペインの [ポリシー] タブで、[ 追加] をクリックします。
- [名前] に、ポリシーの名前を入力します。
- 「リクエストプロファイル」の横にある「 新規」をクリックします。
- [名前] に、プロファイルの名前を入力します。
- セッションプロファイルの設定を完了し、[Create] をクリックします。
- [セッションプロファイルの作成] ダイアログボックスで、ポリシーの式を追加し、[作成] をクリックし、[閉じる] をクリックします。 注:式で [True value] を選択すると、ポリシーがバインドされているレベルに常に適用されます。
セッションポリシー表現の例
セッションポリシーの表現例は次のとおりです。
-
add vpn sessionPolicy sessPol1 "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\") || HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixWorkspace\")" sessAct1
-
add vpn sessionPolicy sessPol2 "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\").NOT" sessAct2
-
add vpn sessionPolicy sessPol3 true sessAct3
セッションポリシーのバインド
セッションポリシーを作成したら、ユーザー、グループ、仮想サーバー、またはグローバルにバインドします。セッションポリシーは、次の順序で階層として適用されます。
- ユーザー
- グループ
- 仮想サーバー
- グローバルに
GUI を使用してセッションポリシーを仮想サーバーにバインドする
- [ NetScaler Gateway]>[仮想サーバー]に移動します。
- 仮想サーバを選択し、[ 編集(Edit)] をクリックします。新しい仮想サーバーを作成することもできます。
- [ Policies ] セクションまで下にスクロールし、[ + ] アイコンをクリックします。
- [ポリシーの選択] で [ セッション] を選択します。
- 「タイプの選択」で、「 要求」を選択し、「 続行」をクリックします。
- [ポリシーの選択] で、この仮想サーバーにバインドするポリシーを選択します。
- [ Priority] に、ポリシーのプライオリティ番号を入力します。
- [Bind] をクリックします。
GUI を使用して、セッションポリシーを認証、承認、および監査グループにバインドする
- NetScaler Gateway > ユーザー管理 > AAA グループに移動します。
- 既存の認証、承認、および監査グループを選択し、[ Edit] をクリックします。認証、承認、および監査グループを作成することもできます。
- [ 詳細設定] で、[ ポリシー] をクリックし、 [ + ] アイコンをクリックします。
- [ポリシーの選択] で [ セッション] を選択し、[ 続行] をクリックします。
- [ Select Policy] で、この認証、承認、および監査グループにバインドするポリシーを選択します。
- [ Priority] に、ポリシーのプライオリティ番号を入力します。
- [Bind] をクリックします。
GUI を使用して、セッションポリシーを認証、承認、および監査中のユーザーにバインドする
- NetScaler Gateway > ユーザー管理 > AAAユーザーに移動します。
- 既存のNetScaler ADCユーザーを選択し、[ 編集]をクリックします。認証、承認、および監査ユーザーを作成することもできます。
- [ 詳細設定] で、[ ポリシー] をクリックし、 [ + ] アイコンをクリックします。
- [ポリシーの選択] で [ セッション] を選択し、[ 続行] をクリックします。
- [ Select Policy] で、この認証、承認、および監査ユーザーにバインドするポリシーを選択します。
- [ Priority] に、ポリシーのプライオリティ番号を入力します。
- [Bind] をクリックします。
注:優先度の詳細については、https://support.citrix.com/article/CTX214588を参照してください。
セッションプロファイルを作成する
セッションプロファイルには、ユーザー接続の設定が含まれています。
セッションプロファイルは、ユーザーデバイスがポリシー表現条件を満たしたときにユーザーセッションに適用されるアクションを指定します。プロファイルは、セッションポリシーで使用されます。構成ユーティリティを使用して、セッションポリシーとは別にセッションプロファイルを作成し、そのプロファイルを複数のポリシーに使用できます。1 つのポリシーで使用できるプロファイルは 1 つだけです。
セッションプロファイルでユーザー接続のネットワーク設定を構成する
セッションプロファイルの [ ネットワーク構成 ] タブを使用して、ユーザー接続の次のネットワーク設定を構成できます:
- DNS サーバー
- WINS サーバの IP アドレス
- イントラネット IP アドレスとして使用できるマップされた IP アドレス
- アドレスプール (イントラネット IP アドレス) のスピルオーバー設定
- イントラネット IP DNS サフィックス
- HTTP ポート
- 強制タイムアウト設定
セッションプロファイルで接続設定を構成する
セッションプロファイルの「 クライアントエクスペリエンス 」タブを使用して、次の接続設定を構成できます:
- Access Interfaceまたはカスタマイズされたホームページ
- Web ベースの電子メールの Web アドレス (Outlook Web Access など)
- プラグインの種類(Windowsの場合はNetScaler Gatewayプラグイン、macOS Xの場合はNetScaler Gatewayプラグイン、Javaの場合はNetScaler Gatewayプラグイン)
- 分割トンネリング
- セッションおよびアイドルタイムアウトの設定
- クライアントレスアクセス
- クライアントレスアクセス URL エンコーディング
- プラグインの種類 (Windows、Mac、または Java)
- Web アプリケーションへのシングルサインオン
- 認証用のクレデンシャルインデックス
- Windows でのシングルサインオン
- クライアントのクリーンアップ動作
- ログオンスクリプト
- クライアントデバッグ設定
- 分割DNS
- プライベートネットワーク IP アドレスとローカル LAN アクセスへのアクセス
- クライアントの選択肢
- プロキシ設定
ユーザー接続の設定の構成について詳しくは、「 NetScaler Gateway プラグインの接続の構成」を参照してください。
セッションプロファイルでセキュリティ設定を構成する
セッションプロファイルの [ セキュリティ ] タブを使用して、次のセキュリティ設定を構成できます:
- デフォルトの承認アクション (許可または拒否)
- iOS デバイスからの接続のSecure Browse
- 検疫グループ
- オーソリゼーショングループ
NetScaler Gateway での承認の構成について詳しくは、「 承認の構成」を参照してください。
セッションプロファイルでのCitrix Virtual Apps and Desktops の設定の構成
セッションプロファイルの[ 公開アプリケーション ]タブを使用して、Citrix Virtual Apps and Desktopsを実行しているサーバーへの接続に関する次の設定を構成できます:
- ICAプロキシ:Citrix Workspace アプリを使用したクライアント接続
- Web インターフェイスアドレス
- Web インターフェイスポータルモード
- サーバーファームドメインへのシングルサインオン
- Citrix Workspace アプリのホームページ
-
アカウントサービスアドレス
詳細については、「 Web Interfaceを介した公開アプリケーションおよび仮想デスクトップへのアクセスの提供」を参照してください。
セッションプロファイルは、セッションポリシーとは別に作成できます。ポリシーを作成するときに、ポリシーにアタッチするプロファイルを選択できます。
GUI を使用してセッションプロファイルを作成するには
- 構成ユーティリティの[構成]タブのナビゲーションペインで、[ NetScaler Gateway]>[ポリシー]を展開し、 [ セッション]をクリックします。
- 詳細ウィンドウで、[ プロファイル ] タブをクリックし、[ 追加] をクリックします。
- プロファイルの設定を行います。
- [ 作成] をクリックし、[ 閉じる] をクリックします。
プロファイルを作成したら、そのプロファイルをセッションポリシーに含めることができます。
GUI を使用してセッションポリシーにプロファイルを追加するには
- 構成ユーティリティのナビゲーションペインで、「 Access Gateway」>「ポリシー 」を展開し、「 セッション」をクリックします。
- 「 ポリシー 」タブで、次のいずれかを実行します。
- [ Add ] をクリックしてセッションポリシーを作成します。
- ポリシーを選択し、[ 開く] をクリックします。
- 「 リクエスト・プロファイル」で、リストからプロファイルを選択します。
- セッションポリシーの構成を完了し、次のいずれかを実行します。
- [ 作成] をクリックし、 [ 閉じる ] をクリックしてポリシーを作成します。
- [ OK]をクリックし、 [ 閉じる ]をクリックしてポリシーを変更します。