Gateway

Unified Gateway

Unified Gateway を備えたNetScaler ADC:1つのURL

Unified Gateway を搭載したNetScaler ADCにより、デスクトップユーザーおよびモバイルユーザー向けに、単一のURLを介したあらゆるアプリケーションへの簡素化された安全なアクセスが可能になります。この単一の URL の背後には、アプリケーションへのリモートアクセスの構成、セキュリティ、および制御を一元的に管理できます。また、リモートユーザーは、必要なすべてのアプリケーションへのシームレスなシングルサインオンと、ログイン/ログアウトの操作性が向上しました。

これを実現するために、Gatewayを備えたNetScaler ADCは、NetScaler ADCのコンテンツスイッチング機能と広範な認証インフラストラクチャとともに、この単一のURLを通じて組織のサイトとアプリへのアクセスを提供します。また、リモートユーザーは、iOSまたはAndroidのモバイルデバイス、およびCitrix Secure Accessクライアントを搭載したLinux、PC、またはMacシステムを使用して、どこにいてもUnified Gateway URLに統一的にアクセスできます。

Unified Gateway 展開では、次のカテゴリのアプリケーションへの単一の URL アクセスを許可します。

  • イントラネットアプリケーション。
  • クライアントレスアプリケーション
  • サービスとしてのソフトウェアアプリケーション
  • NetScaler ADCによって提供される事前構成されたアプリケーション
  • Citrix Virtual Apps and Desktops 公開アプリケーション

イントラネットアプリケーションは 、セキュアなエンタープライズネットワーク内に存在する任意の Web ベースのアプリケーションです。これらは、組織のイントラネットサイト、バグ追跡アプリケーション、Wiki などの内部リソースです。

通常、 セキュアなエンタープライズネットワーク内に存在するクライアントレスアプリケーションの Unified Gateway は、Outlook Web Access と SharePoint への単一の URL アクセスを提供します。これらのアプリケーションは、リモートユーザーが使用する必要がある専用のクライアントソフトウェアを使用せずに、Exchange 電子メールおよびチームリソースへのアクセスを提供します。

SaaS アプリケーションは、一般にクラウドアプリケーションとも呼ばれ、組織が依存している ShareFile、Salesforce、NetSuite などの外部クラウドベースのアプリケーションです。SAML ベースのシングルサインオンは、それを提供する SaaS アプリケーションでサポートされています。

一部の組織では、NetScaler ADC負荷分散構成で展開されたNetScaler ADCサーバーアプリケーションを事前に構成している場合があります。多くの場合、これは「リバースプロキシ」アプリケーションとも呼ばれます。Unified Gateway は、展開用の仮想サーバーが同じNetScaler ADC Unified Gatewayインスタンスまたはアプライアンスに存在する場合、これらのアプリケーションをサポートします。これらのアプリケーションは、Unified Gateway 構成とは独立した独自の認証構成を持つ場合があります。

公開された Citrix Virtual Apps and Desktops の公開アプリケーションは、Unified Gateway URL を通じて利用可能にすることができます。SmartAccess および SmartControl ポリシーは、オプションで、これらのリソースに対する詳細なポリシーとアクセス制御に適用できます。

Unified Gateway 構成ウィザード

Unified Gateway 展開でNetScaler ADCを構成するための推奨される方法は、Unified Gateway 構成ウィザードを使用することです。ウィザードでは、構成を順を追って実行し、必要なすべての仮想サーバー、ポリシー、および式を作成し、提供された詳細に基づいて設定を適用します。初期セットアップ後、ウィザードを使用して展開を管理し、その動作を監視できます。

注:

Unified Gateway 構成ウィザードでは、システムの初期設定は実行されません。NetScaler Gateway アプライアンスまたはVPXインスタンスは、Unified Gateway を構成する前に基本インストールを完了している必要があります。基本構成を完了するには、「初回セットアップウィザードを使用したNetScaler Gatewayの構成」のインストール手順を参照してください。

ウィザードによって設定される Unified Gateway 要素は次のとおりです。

  • Unified Gateway プライマリ仮想サーバ
  • Unified Gateway 仮想サーバの SSL サーバ証明書
  • プライマリ認証およびオプションのセカンダリ認証設定
  • ポータル・テーマの選択とオプションのカスタマイズ
  • Unified Gateway ポータルを介してアクセスされるユーザアプリケーション

これらの各要素について、構成情報を提供する必要があります。基本的な Unified Gateway 展開では、次の情報が必要です。

  • プライマリ Unified Gateway 仮想サーバの場合、展開のパブリック IP アドレスと IP ポート番号。これは、DNS でUnified Gateway URL のホスト名に解決される IP アドレスです。たとえば、Unified Gateway 展開の URL がhttps://mycompany.com/の場合、IP アドレスは mycompany.com に解決される必要があります。
  • 展開用の署名付き SSL サーバ証明書。NetScaler Gateway は、PEMまたはPFX形式の証明書をサポートしています。
  • プライマリ認証サーバ情報。この認証構成でサポートされている認証システムは、LDAP/Active Directory、RADIUS、および証明書ベースです。セカンダリ LDAP または RADIUS 認証設定も作成される場合があります。認証サーバの IP アドレスは、関連する管理者クレデンシャルまたはディレクトリ属性とともに指定する必要があります。証明書認証の場合、デバイス証明書属性と CA 証明書を指定する必要があります。
  • ポータル・テーマが選択されている場合があります。カスタマイズまたはブランド化されたポータル設計が必要な場合は、ウィザードを使用してカスタムグラフィックをシステムにアップロードできます。
  • Web ベースのユーザアプリケーションでは、個々のアプリケーションの URL を指定する必要があります。SAML シングルサインオン認証を使用する Web アプリケーションの場合、ユーティリティは、他のオプションの SAML パラメータとともにアサーションコンシューマサービス URL を収集します。SAML 認証システムを使用するアプリケーションの構成の詳細を事前に収集します。
  • Citrix Virtual Apps and Desktops の公開リソースをUnified Gateway展開環境で使用できるようにするには、統合ポイント(StoreFront、Web Interface、またはNetScaler ADC上のWeb Interface)を指定する必要があります。このユーティリティには、統合ポイントの完全修飾ドメイン名、サイトパス、シングルサインオンドメイン、Secure Ticket Authority (STA) サーバーの URL、および統合ポイントのタイプに応じてその他が必要です。

追加の構成管理

代替SSL設定やセッションポリシーなど、Unified Gateway構成ユーティリティでは利用できないサイト固有の設定については、NetScaler Gateway 構成ユーティリティで必要な設定を管理できます。これらの設定は、Unified Gateway 構成ユーティリティによって作成されたコンテンツスイッチングまたは VPN 仮想サーバで変更できます。

コンテンツスイッチング仮想サーバー

これは、展開のメインIPアドレスとURLの背後にあるNetScaler ADC構成エンティティです。SSL サーバ証明書とパラメータは、この仮想サーバで管理されます。この仮想サーバーは展開の応答ネットワークホストであるため、必要に応じて ICMP サーバーの応答と RHI の状態をこの仮想サーバーで変更できます。コンテンツスイッチ仮想サーバーは、[ トラフィック管理 ] > [ コンテンツスイッチング ] > [ 仮想サーバー ] の [ 構成] タブにあります。

重要:

Unified Gateway 環境をリリース 13.0 ビルド 58.x 以降にアップグレードすると、ゲートウェイまたは VPN 仮想サーバーの前に構成されているコンテンツスイッチング仮想サーバーで DTLS ノブが無効になります。アップグレード後、コンテンツスイッチング仮想サーバーで DTLS ノブを手動で有効にします。設定にウィザードを使用している場合は、DTLS ノブを有効にしないでください。

VPN 仮想サーバー

Unified Gateway 構成のその他すべての VPN パラメータ、プロファイル、およびポリシーバインディングは、メイン認証構成を含め、この仮想サーバで管理されます。このエンティティは、[ NetScaler Gateway ]>[ 仮想サーバー ]の[ 構成]タブで管理されます。関連する VPN 仮想サーバーの名前には、Unified Gateway の初期構成時にコンテンツスイッチング仮想サーバーに付けられた名前が含まれます。

注:

Unified Gateway 展開用に作成された VPN 仮想サーバはアドレス指定できず、0.0.0.0 IP アドレスが割り当てられます。

Unified Gateway