NetScaler GatewayおよびCitrix ADCとの統合
Citrix Endpoint Managementと統合すると、NetScaler Gatewayを経由してMAM(Mobile Application Management:モバイルアプリケーション管理)デバイス用の内部ネットワークにアクセスできる認証メカニズムを、リモートデバイスで利用できるようになります。この統合を利用すると、Citrix業務用モバイルアプリはマイクロVPNを介して、イントラネット内にある社内サーバーにアクセスすることができます。Citrix Endpoint Managementにより、デバイス上のアプリからNetScaler GatewayへのMicro VPNが作成されます。NetScaler Gatewayは、すべての企業リソースにアクセスするためのマイクロVPNパスを提供し、強力な多要素認証をサポートします。
ユーザーがMDM登録をオプトアウトすると、デバイスは登録にNetScaler Gatewayの完全修飾ドメイン名を使用します。
Citrix ADCの負荷分散はCitrix Cloud Operationsが管理します。
設計の決定
以下のセクションでは、NetScaler GatewayとCitrix Endpoint Managementとの統合を計画するときに検討すべき、多くの設計上の決定事項についてまとめています。
証明書
決定の詳細:
- 登録やCitrix Endpoint Management環境へのアクセスに高度なセキュリティが必要か
- LDAPは選択しないか
設計ガイド:
Citrix Endpoint Managementのデフォルト構成は、ユーザー名とパスワードによる認証です。登録およびCitrix Endpoint Management環境へのアクセスのセキュリティを強化するには、証明書ベースの認証の使用を考慮してください。LDAPで2要素認証の証明書を使用すると、RSAサーバーを必要とせずに高度なセキュリティを提供できます。
LDAPやスマートカードの使用または同様の方法を許可しない場合、証明書を構成するとCitrix Endpoint Managementにスマートカードを提示できます。ユーザーはそれにより、Citrix Endpoint Managementが生成する一意のPINを使用して登録できます。ユーザーがアクセス権を獲得すると、Citrix Endpoint Managementは、Citrix Endpoint Management環境に認証するために後で使用される証明書を作成して展開します。
Citrix Endpoint Managementは、サードパーティ証明機関でのみ証明書失効一覧(CRL)をサポートしています。Microsoft CAを構成済みの場合、Citrix Endpoint ManagementはNetScaler Gatewayを使用して失効を管理します。クライアント証明書ベースの認証を構成する場合、NetScaler Gateway証明書失効一覧(CRL)設定([Enable CRL Auto Refresh])を構成する必要があるかどうか検討します。この手順を使用すると、MAMのみで登録したデバイスのユーザーがデバイス上の既存の証明書を使用して認証できなくなります。ユーザー証明書は失効後もユーザーが自由に生成できるため、Citrix Endpoint Managementは新しい証明書を再発行します。この設定は、CRLが期限切れのPKIエンティティを確認する場合、PKIエンティティのセキュリティを強化します。
専用または共有のNetScaler Gateway VIPアドレス
決定の詳細:
- 現在、Citrix Virtual Apps and Desktops用のNetScaler Gatewayを使用しているか
- Citrix Endpoint ManagementでCitrix Virtual Apps and Desktopsと同じNetScaler Gatewayを利用するか
- 両方のトラフィックフローの認証要件は何か
設計ガイド:
Citrix環境にCitrix Endpoint Managementと、Virtual Apps and Desktopsが含まれている場合は、両方で同じNetScaler Gateway仮想サーバーを使用できます。バージョンによる競合が起きたり環境が孤立したりする可能性があるため、NetScaler Gatewayは、それぞれのCitrix Endpoint Management環境専用にすることをお勧めします。
LDAP認証を使用する場合、Citrix Secure Hubは同じNetScaler Gatewayで問題なく認証できます。証明書ベースの認証を使用する場合、Citrix Endpoint ManagementはMDXコンテナ内の証明書をプッシュし、Citrix Secure Hubはその証明書を使用してNetScaler Gatewayで認証します。
2台のNetScaler Gateway VIPで同じFQDNを使用できる、以下の回避策を検討することもできます。同じIPアドレスで2つのNetScaler Gateway VIPを作成できます。Citrix Secure Hub用のIPには標準の443ポートを使用し、(Citrix Workspaceアプリを展開する)Citrix Virtual Apps and Desktops用のIPにはポート444を使用します。こうすることで、1つのFQDNが同じIPアドレスに解決されます。この方法ではデフォルトのポート443ではなく、ポート444にICAファイルを返すようStoreFrontを構成する必要がある場合があります。この回避策では、ユーザーはポート番号を入力する必要はありません。
NetScaler Gatewayのタイムアウト
決定の詳細:
- Citrix Endpoint Managementのトラフィックに対するNetScaler Gatewayのタイムアウトをどのように構成するか
設計ガイド:
NetScaler Gateway Gatewayには、セッションタイムアウトと強制タイムアウトの設定があります。詳細については、「推奨構成」を参照してください。バックグラウンドサービス、NetScaler Gateway、およびオフラインでのアプリケーションへのアクセスでは、タイムアウト値が異なることに留意してください。
登録FQDN
重要:
登録FQDNを変更するには、新しいSQL ServerデータベースとCitrix Endpoint Managementサーバーを再構築する必要があります。
Citrix Secure Webのトラフィック
決定の詳細:
- Citrix Secure Webを内部のWebブラウジングのみに制限するか
- 内部と外部両方のWebブラウジングでCitrix Secure Webを有効にするか。
設計ガイド:
Citrix Secure Webを内部でのWeb閲覧のみに使用する予定の場合、NetScaler Gatewayの構成は単純です。ただし、デフォルトでCitrix Secure Webがすべての内部サイトにアクセスできない場合は、ファイアウォールとプロキシサーバーを構成する必要がある可能性があります。
内部および外部のブラウジングにCitrix Secure Webを使用する予定の場合は、サブネットIPアドレスに送信方向のインターネットアクセスを許可する必要があります。一般的に、IT部門は(MDXコンテナを使用する)登録済みデバイスを社内ネットワークの延長とみなします。そのため通常、IT部門はCitrix Secure Web接続をNetScaler Gatewayに戻し、プロキシサーバーを経由させてからインターネットに接続することを望みます。デフォルトでは、Citrix Secure Webアクセスは内部ネットワークにトンネルされます。Citrix Secure Webではすべてのネットワークアクセスにおいて、アプリケーションごとのVPNトンネルを使用して内部ネットワークに戻ってくるということであり、NetScaler Gatewayでは分割トンネリング設定を使用します。
Citrix Secure Web接続の詳細については、「ユーザー接続の構成」を参照してください。
Citrix Secure Mailのプッシュ通知
決定の詳細:
- プッシュ通知を使用するか
iOS向け設計ガイド:
NetScaler Gateway構成にCitrix Secure Ticket Authority(STA)が含まれていて分割トンネリングがオフの場合、NetScaler GatewayはCitrix Secure Mailから次のCitrixリスナーサービスURLへのトラフィックを許可する必要があります。これらのURLは、Citrix Secure Mail for iOSのプッシュ通知で指定されます。
Android向け設計ガイド:
Firebase Cloud Messaging(FCM)を使用して、AndroidデバイスがCitrix Endpoint Managementに接続するタイミングと方法を制御します。FCM構成では、セキュリティアクションや展開コマンドによって、ユーザーにCitrix Endpoint Managementサーバーへの再接続を求めるプッシュ通知がCitrix Secure Hubに送信されます。
HDXのSTA
決定の詳細:
- HDXアプリケーションのアクセスを統合する場合にどんなSTAを使用するか
設計ガイド:
HDXのSTAはStoreFrontのSTAと一致する必要があり、Virtual Apps and Desktopsサイトで有効である必要があります。
Citrix FilesとShareFile
決定の詳細:
- 環境でStorage Zone Controllerを使用するか
- どのCitrix Files VIPアドレスURLを使用するか
設計ガイド:
ご使用の環境にStorage Zone Controllerを含める場合は、必ず以下を正しく構成してください:
- Citrix FilesコンテンツスイッチVIP(Citrix FilesコントロールプレーンでStorage Zone Controllerサーバーとの通信に使用)
- Citrix Files負荷分散VIP
- 必要なすべてのポリシーとプロファイル
詳しくは、Storage Zone Controllerのドキュメントを参照してください。
SAML IDプロバイダー
決定の詳細:
- Citrix FilesにSAMLが必要な場合、Citrix Endpoint ManagementをSAML IDプロバイダーとして使用するか
設計ガイド:
ベストプラクティスとして、Citrix FilesをCitrix Endpoint Managementと統合することをお勧めします。この方法は、SAMLベースのフェデレーションを構成するより簡単です。Citrix Endpoint Managementにより、Citrix Filesに次の機能が提供されます:
- Citrix業務用モバイルアプリユーザーのシングルサインオン(SSO)認証
- Active Directoryベースのユーザーアカウントのプロビジョニング
- 包括的なアクセス制御ポリシー。
Citrix Endpoint Managementコンソールを使用してCitrix Filesを構成したり、サービスレベルやライセンスの使用状況を監視したりできます。
次の2種類のCitrix Filesクライアントがあります:Citrix Files for Citrix Endpoint Managementクライアント(別名、ラップされたCitrix Files)、Citrix Filesモバイルクライアント(別名、ラップされていないCitrix Files)。違いを理解するには、「Citrix Files for Citrix Endpoint ManagementクライアントとCitrix Filesモバイルクライアントの違い」を参照してください。
SAMLを使用して以下へのSSOアクセスを提供するよう、Citrix Endpoint ManagementとCitrix Filesを構成できます:
- MAM SDK対応か、MDX Toolkitを使用してラップされたCitrix Filesアプリ
- ラップされていないCitrix Filesクライアント(Webサイト、Outlook Plug-in、同期クライアントなど)
Citrix Endpoint ManagementをCitrix Files用のSAML IDプロバイダーとして使用する場合は、設定が適切であることを確認してください。詳しくは、「Citrix FilesでのSAMLによるシングルサインオン」を参照してください。
ShareConnectでの直接接続
決定の詳細:
- ユーザーが直接接続を利用して、ShareConnectが動作するコンピューターまたはモバイルデバイスからホストコンピューターにアクセスするか
設計ガイド:
ShareConnectを使用すると、ユーザーはiPad、Androidタブレット、Androidスマートフォンから自分のコンピューターに安全に接続して、ファイルやアプリケーションにアクセスできます。直接接続の場合、Citrix Endpoint ManagementはNetScaler Gatewayを使ってローカルネットワークの外にあるリソースへの安全なアクセスを提供します。構成の詳細については、「ShareConnect」を参照してください。
各管理モードの登録FQDN
| 管理モード | 登録FQDN |
|---|---|
| MDM+MAMと必須のMDM登録 | Citrix Endpoint ManagementサーバーFQDN |
| MDM+MAMとオプションのMDM登録 | Citrix Endpoint ManagementサーバーFQDNまたはNetScaler Gateway FQDN |
| MAMのみ | Citrix Endpoint ManagementサーバーFQDN |
| MAMのみ(レガシー) | NetScaler GatewayのFQDN |
環境のまとめ
テスト環境、開発環境、および実稼働環境などの複数のCitrix Endpoint Managementインスタンスがある場合は、追加の環境用に手動でNetScaler Gatewayを構成する必要があります。作業環境がある場合は、Citrix Endpoint Management用に手動でNetScaler Gatewayを構成する前に、設定を書き留めておいてください。
重要な決定となるのは、Citrix Endpoint Managementサーバーとの通信にHTTPSを使用するか、あるいはHTTPを使用するかという点です。HTTPSの場合はNetScaler GatewayとCitrix Endpoint Managementとの間のトラフィックが暗号化されるため、安全なバックエンド通信が可能です。再暗号化はCitrix Endpoint Managementサーバーのパフォーマンスに影響します。HTTPを使用すると、Citrix Endpoint Managementサーバーのパフォーマンスが向上します。NetScaler GatewayとCitrix Endpoint Management間のトラフィックは暗号化されていません。以下の表に、NetScaler GatewayおよびCitrix Endpoint ManagementのHTTPおよびHTTPSポートの要件を示します。
HTTPS
Citrixでは通常、NetScaler Gateway MDM仮想サーバー構成用のSSLブリッジをお勧めしています。MDM仮想サーバーでNetScaler Gateway SSLオフロードを使用する場合、Citrix Endpoint Managementはバックエンドサービスとしてポート80のみをサポートします。
| 管理モード | NetScaler Gatewayの負荷分散手法 | SSL再暗号化 | Citrix Endpoint Managementサーバーポート |
|---|---|---|---|
| MAM | SSLオフロード | 有効 | 8443 |
| MDM + MAM | MDM:SSLブリッジ | - | 443, 8443 |
| MDM + MAM | MAM:SSLオフロード | 有効 | 8443 |
HTTP
| 管理モード | NetScaler Gatewayの負荷分散手法 | SSL再暗号化 | Citrix Endpoint Managementサーバーポート |
|---|---|---|---|
| MAM | SSLオフロード | 有効 | 8443 |
| MDM + MAM | MDM:SSLオフロード | 未サポート | 80 |
| MDM + MAM | MAM:SSLオフロード | 有効 | 8443 |
Citrix Endpoint Management環境でのNetScaler Gatewayの図については、「アーキテクチャ」を参照してください。