This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
MDXアプリのSSOとプロキシに関する考慮事項
Citrix ADCとXenMobileの統合により、ユーザーはすべてのバックエンドHTTP/HTTPSリソースに対してシングルサインオン (SSO) を提供できます。SSO認証要件に応じて、MDXアプリのユーザー接続を次のいずれかのオプションを使用するように構成できます。
- セキュアブラウズ (クライアントレスVPNの一種)
- フルVPNトンネル
Citrix ADCが環境内でSSOを提供する最適な方法でない場合、ポリシーベースのローカルパスワードキャッシュを使用してMDXアプリをセットアップできます。この記事では、Secure Webに焦点を当てて、さまざまなSSOおよびプロキシオプションについて説明します。この概念は他のMDXアプリにも適用されます。
次のフローチャートは、SSOとユーザー接続の決定フローをまとめたものです。
Citrix ADC認証方法
このセクションでは、Citrix ADCでサポートされている認証方法に関する一般的な情報を提供します。
SAML認証
Citrix ADCをSecurity Assertion Markup Language (SAML) 用に構成すると、ユーザーはSAMLプロトコルをサポートするWebアプリにシングルサインオンで接続できます。Citrix Gatewayは、SAML WebアプリのIDプロバイダー (IdP) シングルサインオンをサポートしています。
必要な構成:
- Citrix ADCトラフィックプロファイルでSAML SSOを構成します。
- 要求されたサービスに対してSAML IdPを構成します。
NTLM認証
セッションプロファイルでWebアプリへのSSOが有効になっている場合、Citrix ADCはNTLM認証を自動的に実行します。
必要な構成:
- Citrix ADCセッションまたはトラフィックプロファイルでSSOを有効にします。
Kerberosインパーソネーション
XenMobile®はSecure WebでのみKerberosをサポートしています。Citrix ADCをKerberos SSO用に構成すると、Citrix ADCはユーザーパスワードがCitrix ADCで利用可能な場合にインパーソネーションを使用します。インパーソネーションとは、Citrix ADCがユーザー資格情報を使用して、Secure Webなどのサービスへのアクセスに必要なチケットを取得することを意味します。
必要な構成:
- Citrix ADC「Worx」セッションポリシーを構成して、接続からKerberosレルムを識別できるようにします。
- Citrix ADCでKerberos制約付き委任 (KCD) アカウントを構成します。そのアカウントをパスワードなしで構成し、XenMobileゲートウェイのトラフィックポリシーにバインドします。
- これらの構成およびその他の構成の詳細については、Citrixブログ「WorxWeb and Kerberos Impersonation SSO」を参照してください。
Kerberos制約付き委任
XenMobileはSecure WebでのみKerberosをサポートしています。Citrix ADCをKerberos SSO用に構成すると、Citrix ADCはユーザーパスワードがCitrix ADCで利用できない場合に制約付き委任を使用します。
制約付き委任では、Citrix ADCは指定された管理者アカウントを使用して、ユーザーおよびサービスに代わってチケットを取得します。
必要な構成:
- 必要な権限を持つActive DirectoryでKCDアカウントを構成し、Citrix ADCでKCDアカウントを構成します。
- Citrix ADCトラフィックプロファイルでSSOを有効にします。
- バックエンドWebサイトをKerberos認証用に構成します。
フォーム入力認証
Citrix ADCをフォームベースのシングルサインオン用に構成すると、ユーザーは一度ログオンするだけで、ネットワーク内のすべての保護されたアプリにアクセスできます。この認証方法は、セキュアブラウズまたはフルVPNモードを使用するアプリに適用されます。
必要な構成:
- Citrix ADCトラフィックプロファイルでフォームベースSSOを構成します。
ダイジェストHTTP認証
セッションプロファイルでWebアプリへのSSOを有効にすると、Citrix ADCはダイジェストHTTP認証を自動的に実行します。この認証方法は、セキュアブラウズまたはフルVPNモードを使用するアプリに適用されます。
必要な構成:
- Citrix ADCセッションまたはトラフィックプロファイルでSSOを有効にします。
基本HTTP認証
セッションプロファイルでWebアプリへのSSOを有効にすると、Citrix ADCは基本HTTP認証を自動的に実行します。この認証方法は、セキュアブラウズまたはフルVPNモードを使用するアプリに適用されます。
必要な構成:
- Citrix ADCセッションまたはトラフィックプロファイルでSSOを有効にします。
セキュアブラウズ、フルVPNトンネル、またはPAC付きフルVPNトンネル
次のセクションでは、Secure Webのユーザー接続の種類について説明します。詳細については、CitrixドキュメントのSecure Webの記事「ユーザー接続の構成」を参照してください。
フルVPNトンネル
内部ネットワークにトンネル接続する接続では、フルVPNトンネルを使用できます。Secure Webの優先VPNモードポリシーを使用して、フルVPNトンネルを構成します。Citrixは、クライアント証明書または内部ネットワーク内のリソースへのエンドツーエンドSSLを使用する接続にフルVPNトンネルを推奨します。フルVPNトンネルは、TCP上の任意のプロトコルを処理します。フルVPNトンネルは、Windows、Mac、iOS、およびAndroidデバイスで使用できます。
フルVPNトンネルモードでは、Citrix ADCはHTTPSセッション内の可視性を持ちません。
セキュアブラウズ
内部ネットワークにトンネル接続する接続では、セキュアブラウズと呼ばれるクライアントレスVPNの一種を使用できます。セキュアブラウズは、Secure Webの優先VPNモードポリシーに指定されているデフォルト構成です。Citrixは、シングルサインオン (SSO) を必要とする接続にセキュアブラウズを推奨します。
セキュアブラウズモードでは、Citrix ADCはHTTPSセッションを2つの部分に分割します。
- クライアントからCitrix ADCへ
- Citrix ADCからバックエンドリソースサーバーへ
このようにして、Citrix ADCはクライアントとサーバー間のすべてのトランザクションを完全に可視化し、SSOを提供できます。
セキュアブラウズモードで使用する場合、Secure Webのプロキシサーバーを構成することもできます。詳細については、ブログ「XenMobile WorxWeb Traffic Through Proxy Server in Secure Browse Mode」を参照してください。
PAC付きフルVPNトンネル
iOSおよびAndroidデバイス上のSecure WebのフルVPNトンネル展開で、プロキシ自動構成 (PAC) ファイルを使用できます。XenMobileは、Citrix ADCによって提供されるプロキシ認証をサポートしています。PACファイルには、Webブラウザーが特定のURLにアクセスするためにプロキシを選択する方法を定義するルールが含まれています。PACファイルルールは、内部サイトと外部サイトの両方の処理を指定できます。Secure WebはPACファイルルールを解析し、プロキシサーバー情報をCitrix Gatewayに送信します。Citrix GatewayはPACファイルまたはプロキシサーバーを認識しません。
HTTPS Webサイトへの認証の場合:Secure Web MDXポリシーのWebパスワードキャッシュを有効にするにより、Secure WebはMDXを介してプロキシサーバーへの認証とSSOを提供できます。
Citrix ADCスプリットトンネリング
SSOおよびプロキシ構成を計画する際には、Citrix ADCスプリットトンネリングを使用するかどうかも決定する必要があります。Citrixは、必要な場合にのみCitrix ADCスプリットトンネリングを使用することを推奨します。このセクションでは、スプリットトンネリングの仕組みの概要を説明します。Citrix ADCは、ルーティングテーブルに基づいてトラフィックパスを決定します。Citrix ADCスプリットトンネリングがオンの場合、Secure Hubは内部 (保護された) ネットワークトラフィックとインターネットトラフィックを区別します。Secure Hubは、DNSサフィックスとイントラネットアプリケーションに基づいてその決定を行います。その後、Secure Hubは内部ネットワークトラフィックのみをVPNトンネル経由でトンネル接続します。Citrix ADCスプリットトンネリングがオフの場合、すべてのトラフィックはVPNトンネル経由で送信されます。
- セキュリティ上の考慮事項からすべてのトラフィックを監視したい場合は、Citrix ADCスプリットトンネリングを無効にしてください。その結果、すべてのトラフィックがVPNトンネル経由で送信されます。
- PAC付きフルVPNトンネルを使用する場合は、Citrix Gatewayスプリットトンネリングを無効にする必要があります。スプリットトンネリングがオンでPACファイルを構成した場合、PACファイルルールはCitrix ADCスプリットトンネリングルールを上書きします。トラフィックポリシーで構成されたプロキシサーバーは、Citrix ADCスプリットトンネリングルールを上書きしません。
デフォルトでは、Secure Webのネットワークアクセスポリシーは内部ネットワークにトンネル接続に設定されています。この構成では、MDXアプリはCitrix ADCスプリットトンネル設定を使用します。ネットワークアクセスポリシーのデフォルトは、他のモバイル生産性アプリでは異なります。
Citrix Gatewayには、マイクロVPNリバーススプリットトンネルモードもあります。この構成は、Citrix ADCにトンネル接続されないIPアドレスの除外リストをサポートします。代わりに、これらのアドレスはデバイスのインターネット接続を使用して送信されます。リバーススプリットトンネリングの詳細については、Citrix Gatewayドキュメントを参照してください。
XenMobileにはリバーススプリットトンネル除外リストが含まれています。特定のWebサイトがCitrix Gatewayを介してトンネル接続するのを防ぐには、代わりにLANを使用して接続する完全修飾ドメイン名 (FQDN) またはDNSサフィックスのコンマ区切りリストを追加します。このリストは、リバーススプリットトンネリング用に構成されたCitrix Gatewayを使用するセキュアブラウズモードにのみ適用されます。
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.