セッションポリシー
セッションポリシーは、ユーザー、グループ、仮想サーバー、およびグローバルに適用される式と設定の集合です。
セッションポリシーを使用して、ユーザー接続の設定を構成します。Windows用のCitrix Secure AccessクライアントやMac用のCitrix Secure Accessクライアントなど、ユーザーのログオン時に使用するソフトウェアを構成するための設定を定義できます。また、ユーザーにCitrix Workspace アプリまたはSecure Hubでのログオンを要求する設定を構成することもできます。セッションポリシーは、ユーザーが認証された後に評価され、適用されます。
セッションポリシーは、次の規則に従って適用されます:
- セッションポリシーは、常に設定内のグローバル設定よりも優先されます。
- セッションポリシーを使用して設定されていない属性またはパラメータは、仮想サーバ用に確立されたポリシーに設定されます。
- セッションポリシーまたは仮想サーバによって設定されていないその他の属性は、グローバル構成によって設定されます。
重要:
次の手順は、セッションポリシーを作成するための一般的なガイドラインです。クライアントレスアクセスや公開アプリケーションへのアクセスなど、さまざまな構成のセッションポリシーを構成するための具体的な手順があります。手順には、特定の設定を構成するための指示が含まれている場合があります。ただし、この設定は、セッションプロファイルとポリシーに含まれる多くの設定の 1 つになる場合があります。この手順では、セッションプロファイル内に設定を作成し、そのプロファイルをセッションポリシーに適用するように指示します。セッションポリシーを作成しなくても、プロファイルとポリシー内の設定を変更できます。さらに、すべての設定をグローバルレベルで作成し、セッションポリシーを作成してグローバル設定を上書きすることもできます。
Citrix Endpoint ManagementまたはStoreFront をネットワークに展開する場合は、クイック構成ウィザードを使用してセッションポリシーとプロファイルを構成することをお勧めします。ウィザードの実行時に、展開の設定を定義します。NetScaler Gateway は、必要な認証、セッション、およびクライアントレスアクセスポリシーを作成します。
セッションポリシーを作成する
- 構成ユーティリティの [構成] タブのナビゲーションペインで、[ NetScaler Gateway] > [ポリシー ] を展開し、[セッション] をクリックします。
- 詳細ペインの [ポリシー] タブで、[ 追加] をクリックします。
- [名前] に、ポリシーの名前を入力します。
- 「リクエストプロファイル」の横にある「 新規」をクリックします。
- [名前] に、プロファイルの名前を入力します。
- セッションプロファイルの設定を完了し、[Create] をクリックします。
- [セッションプロファイルの作成] ダイアログボックスで、ポリシーの式を追加し、[作成]、[閉じる] の順にクリックします。 注:式で [ True value] を選択して、ポリシーがバインドされているレベルに常に適用されるようにします。
セッションポリシー表現の例
セッションポリシーの表現例は次のとおりです。
-
add vpn sessionPolicy sessPol1 "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\") || HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixWorkspace\")" sessAct1
-
add vpn sessionPolicy sessPol2 "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\").NOT" sessAct2
-
add vpn sessionPolicy sessPol3 true sessAct3
セッションポリシーのバインド
セッションポリシーを作成したら、ユーザー、グループ、仮想サーバー、またはグローバルにバインドします。セッションポリシーは、次の順序で階層として適用されます。
- ユーザー
- グループ
- 仮想サーバー
- グローバルに
GUI を使用してセッションポリシーを仮想サーバーにバインドする
- 「 NetScaler Gateway」>「仮想サーバー」に移動します。
- 仮想サーバを選択し、[ 編集(Edit)] をクリックします。新しい仮想サーバーを作成することもできます。
- [ Policies ] セクションまで下にスクロールし、[ + ] アイコンをクリックします。
- [ポリシーの選択] で [ セッション] を選択します。
- 「タイプの選択」で、「 要求」を選択し、「 続行」をクリックします。
- [ポリシーの選択] で、この仮想サーバーにバインドするポリシーを選択します。
- [ Priority] に、ポリシーのプライオリティ番号を入力します。
- [Bind] をクリックします。
GUI を使用して、セッションポリシーを認証、承認、および監査グループにバインドする
- NetScaler Gateway > ユーザー管理 > AAA グループに移動します。
- 既存の認証、承認、および監査グループを選択し、[ Edit] をクリックします。認証、承認、および監査グループを作成することもできます。
- [ 詳細設定] で、[ ポリシー] をクリックし、 [ + ] アイコンをクリックします。
- [ポリシーの選択] で [ セッション] を選択し、[ 続行] をクリックします。
- [ Select Policy] で、この認証、承認、および監査グループにバインドするポリシーを選択します。
- [ Priority] に、ポリシーのプライオリティ番号を入力します。
- [Bind] をクリックします。
GUI を使用して、セッションポリシーを認証、承認、および監査中のユーザーにバインドする
- NetScaler Gateway > ユーザー管理 > AAAユーザーに移動します。
- 既存のNetScaler ADCユーザーを選択し、[ 編集]をクリックします。認証、承認、および監査ユーザーを作成することもできます。
- [ 詳細設定] で、[ ポリシー] をクリックし、 [ + ] アイコンをクリックします。
- [ポリシーの選択] で [ セッション] を選択し、[ 続行] をクリックします。
- [ Select Policy] で、この認証、承認、および監査ユーザーにバインドするポリシーを選択します。
- [ Priority] に、ポリシーのプライオリティ番号を入力します。
- [Bind] をクリックします。
注:優先度の詳細については、https://support.citrix.com/article/CTX214588を参照してください。
セッションプロファイルを作成する
セッションプロファイルには、ユーザー接続の設定が含まれています。
セッションプロファイルは、ユーザーデバイスがポリシー式の条件を満たす場合にユーザーセッションに適用されるアクションを指定します。プロファイルは、セッションポリシーで使用されます。構成ユーティリティを使用して、セッションポリシーとは別にセッションプロファイルを作成し、そのプロファイルを複数のポリシーに使用できます。1 つのポリシーで使用できるプロファイルは 1 つだけです。
セッションプロファイルでユーザー接続のネットワーク設定を構成する
セッションプロファイルの [ ネットワーク構成 ] タブを使用して、ユーザー接続の次のネットワーク設定を構成できます:
- DNS サーバー
- WINS サーバの IP アドレス
- イントラネット IP アドレスとして使用できるマップされた IP アドレス
- アドレスプール (イントラネット IP アドレス) のスピルオーバー設定
- イントラネット IP DNS サフィックス
- HTTP ポート
- 強制タイムアウト設定
セッションプロファイルで接続設定を構成する
セッションプロファイルの「 クライアントエクスペリエンス 」タブを使用して、次の接続設定を構成できます:
- Access Interfaceまたはカスタマイズされたホームページ
- Web ベースの電子メールの Web アドレス (Outlook Web Access など)
- プラグインタイプ(Windows 用Citrix Secure Access クライアント、または macOS X 用Citrix Secure Access クライアント)
- 分割トンネリング
- セッションおよびアイドルタイムアウトの設定
- クライアントレスアクセス
- クライアントレスアクセス URL エンコーディング
- プラグインタイプ (Windows または Mac)
- Web アプリケーションへのシングルサインオン
- 認証用のクレデンシャルインデックス
- Windows でのシングルサインオン
- クライアントのクリーンアップ動作
- ログオンスクリプト
- クライアントデバッグ設定
- 分割DNS
- プライベートネットワーク IP アドレスとローカル LAN アクセスへのアクセス
- クライアントの選択肢
- プロキシ設定
ユーザー接続の設定について詳しくは、「 Citrix Secure Accessクライアントの接続の構成」を参照してください。
セッションプロファイルでセキュリティ設定を構成する
セッションプロファイルの [ セキュリティ ] タブを使用して、次のセキュリティ設定を構成できます:
- デフォルトの承認アクション (許可または拒否)
- iOS デバイスからの接続のSecure Browse
- 検疫グループ
- オーソリゼーショングループ
NetScaler Gateway での承認の構成について詳しくは、「 承認の構成」を参照してください。
セッションプロファイルでのCitrix Virtual Apps and Desktops の設定の構成
セッションプロファイルの[ 公開アプリケーション ]タブを使用して、Citrix Virtual Apps and Desktopsを実行しているサーバーへの接続に関する次の設定を構成できます:
- ICAプロキシ:Citrix Workspace アプリを使用したクライアント接続
- Web インターフェイスアドレス
- Web インターフェイスポータルモード
- サーバーファームドメインへのシングルサインオン
- Citrix Workspace アプリのホームページ
- アカウントサービスアドレス
サーバーファーム内の公開アプリケーションに接続するための設定の構成について詳しくは、「 Web Interface を介した公開アプリケーションおよび仮想デスクトップへのアクセスの提供」を参照してください。
セッションプロファイルは、セッションポリシーとは別に作成できます。ポリシーを作成するときに、ポリシーにアタッチするプロファイルを選択できます。
GUI を使用してセッションプロファイルを作成するには
- 構成ユーティリティの[構成]タブのナビゲーションペインで、[ NetScaler Gateway]>[ポリシー]を展開し、 [セッション]をクリックします。
- 詳細ウィンドウで、[ プロファイル ] タブをクリックし、[ 追加] をクリックします。
- プロファイルの設定を行い、[ 作成] をクリックし、[ 閉じる] をクリックします。
プロファイルを作成したら、そのプロファイルをセッションポリシーに含めることができます。
GUI を使用してセッションポリシーにプロファイルを追加するには
- 構成ユーティリティのナビゲーションペインで、「 Access Gateway」>「ポリシー 」を展開し、「 セッション」をクリックします。
- 「 ポリシー 」タブで、次のいずれかを実行します。
- [ Add ] をクリックしてセッションポリシーを作成します。
- ポリシーを選択し、[ 開く] をクリックします。
- 「 リクエスト・プロファイル」で、リストからプロファイルを選択します。
- セッションポリシーの構成を完了し、次のいずれかを実行します。
- [ 作成] をクリックし、 [ 閉じる ] をクリックしてポリシーを作成します。
- [ OK]をクリックし、 [ 閉じる ]をクリックしてポリシーを変更します。