トラフィックポリシー
トラフィックポリシーを使用すると、ユーザー接続の次の設定を構成できます:
- 信頼できないネットワークからアクセスされる機密性の高いアプリケーションのタイムアウトを短縮します。
- 一部のアプリケーションで TCP を使用するようにネットワークトラフィックを切り替えます。[TCP] を選択した場合は、特定のアプリケーションのシングルサインオンを有効または無効にする必要があります。
- Citrix Secure Accessクライアントトラフィックに他のHTTP機能を使用したい状況を特定します。
- ファイルタイプの関連付けで使用されるファイル名拡張子の定義。
トラフィックポリシーを作成する
トラフィックポリシーを設定するには、プロファイルを作成し、次のパラメータを設定します:
- プロトコル (HTTP または TCP)
- アプリケーションのタイムアウト
- Web アプリケーションへのシングルサインオン
- フォームシングルサインオン
- ファイルタイプの関連付け
- リピータプラグイン
- Kerberos 制約付き委任 (KCD) アカウント
トラフィックポリシーを作成したら、ポリシーを仮想サーバ、ユーザ、グループ、またはグローバルにバインドできます。
たとえば、Web アプリケーション PeopleSoft Human Resources が内部ネットワークのサーバーにインストールされているとします。このアプリケーションのトラフィックポリシーを作成して、宛先 IP アドレス、宛先ポートを定義し、ユーザーがアプリケーションにログオンしたままにできる時間(15 分など)を設定できます。
アプリケーションに対する HTTP 圧縮などの他の機能を設定する場合は、トラフィックポリシーを使用して設定を構成できます。ポリシーを作成するときは、アクションに HTTP パラメータを使用します。式で、アプリケーションを実行しているサーバーの宛先アドレスを作成します。
トラフィックポリシー表現の例
トラフィックポリシーの表現例を次に示します。
-
add vpn trafficPolicy trafPol1 "HTTP.REQ.URL.CONTAINS(\"/Citrix/\") || HTTP.REQ.URL.CONTAINS(\"10.102.\")")" trafAct1
-
add vpn trafficPolicy trafPol2 "HTTP.REQ.HOSTNAME.CONTAINS(\"portal-srv\") || HTTP.REQ.URL.CONTAINS(\"homePage\"))" trafAct2
-
add vpn trafficPolicy trafPol3 true trafAct3
GUI を使用したトラフィックポリシーの設定
-
[NetScaler Gateway] >[ポリシー ]の順に展開し、[ トラ
-
詳細ペインの [ ポリシー ] タブで、[ 追加] をクリックします。
-
[ トラフィックポリシーの作成 ] ダイアログボックスの [ 名前] に、ポリシーの名前を入力します。
-
「 リクエストプロファイル」の横にある「 新規」をクリックします。
-
[名前] に、プロファイルの名前を入力します。
-
[ プロトコル] で、[ HTTP ] または [ TCP] を選択します。
注: プロトコルとして [TCP] を選択した場合、シングルサインオンを構成できず、この設定はプロファイルダイアログボックスで無効になります。
-
[ AppTimeout (分)] に、分数を入力します。この設定では、ユーザーが Web アプリケーションにログオンしたままにできる時間を制限します。
-
Web アプリケーションへのシングルサインオンを有効にするには、[ シングルサインオン] で [ オン] を選択します。
注:フォームベースのシングルサインオンを使用する場合は、トラフィックプロファイル内で設定を構成できます。詳細については、「 フォームベースのシングルサインオンの設定」を参照してください。
-
ファイルの種類の関連付けを指定するには、[ ファイルの種類の関連付け] で [ オン] を選択します。
-
リピータプラグインを使用してネットワークトラフィックを最適化するには、Citrix SD-WAN で[ オン]を選択し、[ 作成]、[ 閉じる]の順にクリックします。
-
アプライアンスで KCD を設定する場合は、[KCD アカウント] でアカウントを選択します。
アプライアンスでのKCDの構成について詳しくは、「 NetScalerアプライアンスでのKerberos制約付き委任の構成」を参照してください。
-
[トラフィックポリシーの作成(Create Traffic Policy)] ダイアログボックスで、式を作成または追加し、[ 作成(Create)] をクリックし、 [閉じる( Close)] をクリックします。
フォームベースのシングルサインオンの設定
フォームベースのシングルサインオンを使用すると、ユーザーはネットワーク内のすべての保護されたアプリケーションに 1 回ログオンできます。NetScaler Gateway でフォームベースのシングルサインオンを構成すると、ユーザーはパスワードをもう一度入力しなくても、HTMLフォームベースのログオンを必要とするWebアプリケーションにアクセスできます。シングルサインオンを使用しない場合、ユーザーは各アプリケーションにアクセスするために個別にログオンする必要があります。
フォームシングルサインオンプロファイルを作成したら、フォームシングルサインオンプロファイルを含むトラフィックプロファイルとポリシーを作成します。詳細については、 トラフィックポリシーの作成を参照してください。
フォームベースのシングルサインオンの設定
-
[ NetScaler Gateway] > [ポリシー] を展開し、 [トラフィック] をクリックします。
-
詳細ペインで、[ Form SSO プロファイル ] タブをクリックし、[ 追加] をクリックします。
-
[名前] に、プロファイルの名前を入力します。
-
[ アクション URL] に、完了したフォームの送信先の URL を入力します。
注: URL はルート相対 URL です。
-
[ ユーザー名] に、ユーザー名フィールドの属性の名前を入力します。
-
[ パスワード] に、パスワードフィールドの属性の名前を入力します。
-
SSO 成功ルールで、ポリシーによって呼び出されたときにこのプロファイルが実行するアクションを説明する式を作成します。このフィールドの下にある [プレフィックス]、[追加]、および [演算子] ボタンを使用して、エクスプレッションを作成することもできます。
このルールは、シングルサインオンが成功したかどうかをチェックします。
-
[ 名前と値のペア] に、ユーザー名フィールドの値、アンパサンド (&)、パスワードフィールドの値を入力します。
値の名前は、名前1=値1&名前2=値2 のようにアンパサンド (&) で区切ります。
-
[ レスポンスサイズ] に、完全なレスポンスサイズに許容するバイト数を入力します。フォームを抽出するために解析する応答のバイト数を入力します。
-
「 抽出」で、名前/値のペアが静的か動的かを選択します。既定の設定は [動的] です。
-
[ 送信方法] で、ログオン資格情報をログオンサーバーに送信するためにシングルサインオンフォームで使用される HTTP メソッドを選択します。デフォルトは Get です。
-
[ 作成] をクリックし、 [ 閉じる] をクリックします。
SAML シングルサインオンの設定
シングルサインオン (SSO) 用の SAML 1.1 または SAML 2.0 プロファイルを作成できます。ユーザーは、シングルサインオン用の SAML プロトコルをサポートする Web アプリケーションに接続できます。NetScaler Gateway は、SAML Webアプリケーションのアイデンティティプロバイダー(IdP)シングルサインオンをサポートしています。
SAML シングルサインオンの設定
- 構成ユーティリティの[構成]タブのナビゲーションペインで、[ NetScaler Gateway]>[ポリシー ]の順に展開し、[トラフィック]をクリックします。
- 詳細ペインで、[SAML SSO プロファイル] タブをクリックします。
- 詳細ペインで、[Add] をクリックします。
- [名前] に、プロファイルの名前を入力します。
- [署名証明書名] に、X.509 証明書の名前を入力します。
- [ACS URL] に、ID プロバイダーまたはサービスプロバイダーのアサーションコンシューマサービスを入力します。アサーションコンシューマサービスURL(ACS URL)は、ユーザに SSO 機能を提供します。
- [リレーステートルール] で、[保存されたポリシー式] と [頻繁に使用する式] からポリシーの式を作成します。「演算子」(Operator) リストから選択して、式の評価方法を定義します。式をテストするには、[評価] をクリックします。
- [パスワードの送信] で、[オン] または [オフ]を選択
- [発行者名] に、SAML アプリケーションの ID を入力します。
- [Create] をクリックしてから、[Close] をクリックします。
トラフィックポリシーをバインドする
トラフィックポリシーは、仮想サーバー、グループ、ユーザー、およびNetScaler Gateway Globalにバインドできます。構成ユーティリティを使用して、トラフィックポリシーをバインドできます。
GUI を使用してトラフィックポリシーをグローバルにバインドする
- 構成ユーティリティの[構成]タブのナビゲーションペインで、[ NetScaler Gateway]>[ポリシー ]の順に展開し、[トラフィック]をクリックします。
- 詳細ペインでポリシーを選択し、[ アクション] で [ グローバルバインディング] をクリックします。
- [トラフィックポリシーのバインド/バインド解除] ダイアログボックスの [詳細] で、[ポリシーの挿入] をクリックします。
- [ポリシー名]でポリシーを選択し、[ OK]をクリックします。
トラフィックポリシーの削除
いずれかの構成ユーティリティを使用して、NetScaler Gateway からトラフィックポリシーを削除できます。構成ユーティリティを使用してトラフィックポリシーを削除し、ポリシーがユーザー、グループ、または仮想サーバレベルにバインドされている場合は、まずポリシーをバインド解除する必要があります。その後、ポリシーを削除できます。
GUI を使用してトラフィックポリシーをバインド解除する
-
[NetScaler Gateway]を展開し、 [ 仮想サーバー]をクリックします。
- 「NetScaler Gateway」>「ユーザー管理」を展開し 、「 AAAグループ」をクリックします。
- [NetScaler Gateway]>[ユーザー管理 ]を展開し、[ AAAユーザー]
- 詳細ペインで、仮想サーバー、グループ、またはユーザーを選択し、[ 開く] をクリックします。
- [NetScaler Gateway 仮想サーバーの構成]、[AAAグループの構成]、または[ AAAユーザーの構成 ]ダイアログボックスで、[ ポリシー ]タブをクリックします。
- [ トラフィック] をクリックし、ポリシーを選択して、[ ポリシーのバインド解除] をクリックします。
- 「 OK」をクリックし、 「 閉じる」をクリックします。
トラフィックポリシーのバインドが解除されたら、ポリシーを削除できます。
GUI を使用してトラフィックポリシーを削除する
- [ **NetScaler Gateway] > [ポリシー] を展開し、[トラフィック] をクリックします。**
- 詳細ペインの [ポリシー] タブで、トラフィックポリシーを選択し、[ 削除] をクリックします。