VMware Identity Manager で Citrix XenApp および XenDesktop サーバ ファームを構成するには、[仮想アプリケーションの設定] ページで、構成情報(リソースと資格を同期する Citrix サーバ、同期と SSO に使用する Integration Broker、同期に使用する VMware Identity Manager コネクタ、およびデフォルトの起動クライアントなどの管理者設定)を含む 1 つまたは複数の仮想アプリケーションのコレクションを作成します。

要件に基づいて、すべての Citrix サーバ ファームを 1 つのコレクションに追加するか、複数のコレクションを作成することができます。たとえば、ファームごとに個別のコレクションを作成して、管理をしやすくしたり複数のコネクタに同期の負荷を分散したりすることができます。または、すべてのサーバ ファームを 1 つのコレクションに含めてテスト環境用に使用し、もう 1 つの同じコレクションを本番環境用に使用することもできます。

VMware Identity Manager で Citrix 公開リソースを構成する前に、すべての前提条件を満たしていることを確認します。

Citrix サーバ ファームの設定については、次のガイドラインにも従ってください。

  • 配信グループの同期

    Citrix での配信グループの [配信タイプ] の設定により、VMware Identity Manager が配信グループをどのように同期するかが決まります。

    [配信タイプ] が [デスクトップとアプリケーション] または [デスクトップのみ] に設定されている場合にのみ、VMware Identity Manager は配信グループを同期します。配信グループの [配信タイプ] が [アプリケーションのみ] に設定されている場合、アプリケーションは同期されますが、配信グループは同期されず、VMware Identity Manager カタログにも表示されません。

    上記の違いを考慮して配信グループを設定してください。

  • XenDesktop および XenApp 7.9 で、[限定表示グループ] オプションを使用してユーザーを制限する場合は、限定表示グループにユーザーまたはグループが含まれていることを確認します。ユーザーもグループも含まれていない場合は、VMware Identity Manager への同期は機能しません。

  • サイト内のすべての Citrix 公開アプリケーションとデスクトップに有効なユーザーが含まれていることを確認します。ユーザーまたはグループを削除する場合は、Citrix 公開リソースからもユーザーまたはグループを削除する必要があります。

  • ユーザーとグループが正しい配信グループに割り当てられていることを確認します。

    ユーザーを制限する設定を選択した場合は、ユーザーとグループが含まれていることを確認します。

  • XenDesktop および XenApp 7.x では、[認証済みのユーザーにこの配信グループの使用を許可する] 設定を使用して、すべての認証済みのユーザーの資格を配信グループ レベルで設定できます。VMware Identity Manager はこの設定をサポートしていません。VMware Identity Manager でユーザーに正しい資格が確実に付与されるようにするには、ユーザーとグループの明示的な資格を設定します。

  • VMware Identity Manager は Citrix 匿名ユーザー グループ機能をサポートしていません。

注:

XenApp 5.x のサポートが終了しました。XenApp 5.x サーバを構成から削除しない限り、このサーバが含まれる既存の構成を更新または保存することはできません。構成から 5.x サーバを削除して保存した後、次回の同期中に、5.x サーバに関連付けられているすべてのリソースがカタログから削除されます。ユーザーは、カタログから削除されるまでリソースを実行できます。

前提条件

  • VMware Identity Managerを構成します。詳細については、『VMware Identity Manager のインストールと構成』および『VMware Identity Manager の管理』を参照してください。

  • Citrix 資格を持つユーザーとグループが、ディレクトリ同期を使用してエンタープライズ ディレクトリから VMware Identity Manager に同期されていることを確認します。

    ディレクトリ作成中に、必ず [userPrincipalName] を必須属性にします。

    ユーザーは、[distinguishedName] 属性を持っている必要があります。ユーザーに対して属性が設定されていない場合、ユーザーはデスクトップおよびアプリケーションを実行できない場合があります。

  • Integration Broker を展開し、Citrix 統合の前提条件に記載されているすべての前提条件を満たしていることを確認します。

  • Integration Broker の前でロード バランサを使用している場合は、このタスク中に使用するためにロード バランサのホスト名または IP アドレスをメモします。

  • VMware Identity Manager 2.9.1 以降で利用可能な [StoreFront] オプションを使用する場合は、次の要件が満たされていることを確認します。

    • Integration Broker 2.9.1 以降をインストールします。

    • StoreFront が、使用している XenApp または XenDesktop のバージョンでサポートされていることを確認します。

    • Integration Broker が StoreFront サーバと通信できることを確認します。

      StoreFront REST API を有効にすると、Integration Broker は StoreFront サーバと通信して ICA ファイルを生成します。

    • StoreFront サーバで [ユーザー名とパスワード] 認証方法に信頼されるドメインを構成する場合は必ず、「信頼されるドメイン」リストに完全修飾ドメイン名形式でドメイン名を追加します。VMware Identity Manager では、完全修飾ドメイン名が必要です。詳細については、Citrix 公開アプリケーションおよびデスクトップの起動を参照してください。

  • Citrix 展開環境に Citrix NetScaler Gateway サーバが含まれていて、Web Interface SDK を使用して Citrix サーバ ファームに接続する場合は、NetScaler Gateway サーバに関連付けられている Citrix Secure Ticket Authority (STA) サーバの URL を取得します。NetScaler ゲートウェイの STA サーバ URL の取得を参照してください。

  • お使いの Citrix XenApp または XenDesktop のバージョンについては、Citrix ドキュメントを参照してください。

  • VMware Identity Manager でこの手順を実行するには、カタログ サービスでデスクトップ アプリケーションの管理アクションを含む管理者ロールを使用します。

  • この手順の最後に、クライアント アクセスの FQDN を構成するための [ネットワーク範囲] ページにリダイレクトされます。[ネットワーク範囲] ページを編集して保存するには、スーパー管理者ロールが必要です。この手順は個別に実行できます。

手順

  1. VMware Identity Manager コンソールにログインします。
  2. [カタログ] > [仮想アプリケーションのコレクション] タブを選択します。
  3. [新規] をクリックします。
  4. ソース タイプとして [Citrix 公開アプリケーション] を選択します。
  5. 新しい Citrix XenApp ウィザードで、[コネクタおよび Broker] ページに次の情報を入力します。

    オプション

    説明

    名前

    Citrix 仮想アプリケーションのコレクションの一意の名前を入力します。

    コネクタ

    このコレクションを同期するために使用するコネクタを選択します。コネクタを選択するには、コネクタに関連付けられているディレクトリを選択します。コネクタのクラスタを設定している場合は、すべてのコネクタ インスタンスが [ホスト] のリストに表示され、このコレクションのフェイルオーバーの順序で並べ替えることができます。リストを並べ替えるには、行をクリックして目的の位置にドラッグします。

    重要:

    コレクションを作成した後、別のディレクトリを選択することはできません。

    Integration Broker の同期

    このコレクション内のリソースを同期するために使用する Integration Broker インスタンスの接続情報を入力します。

    • [ホスト]:Integration Broker インスタンスの完全修飾ドメイン名を入力します。たとえば、ibserver.exaample.com などです。

      同期のための複数の Integration Broker インスタンスの前にロード バランサを構成した場合は、そのロード バランサのホスト名または IP アドレスを入力します。

    • [ポート]:Integration Broker インスタンスまたはロード バランサのポート番号を入力します。

    • [SSL を使用]:SSL 経由で Integration Broker に接続するには、[SSL を使用] を有効にして、Integration Broker サーバの SSL 証明書をコピーし、[SSL 証明書] ボックスに貼り付けます。---BEGIN CERTIFICATE---- および -----END CERTIFICATE---- を含むすべての行を入力します。

      この仮想アプリケーションのコレクションに含まれるリソースが VMware Identity Manager に同期される際に、証明書が使用されます。

    Integration Broker の起動

    このコレクションの起動リクエストを処理するために使用する Integration Broker インスタンスの接続情報を入力します。SSL 経由で SSL Integration Broker に接続する必要があります。SSL Integration Broker は SSO Integration Broker と同じにすることができます。

    • [ホスト]:Integration Broker インスタンスの完全修飾ドメイン名を入力します。たとえば、ibserver.example.com などです。

      起動するための複数の Integration Broker インスタンスの前にロード バランサを構成した場合は、そのロード バランサの完全修飾ドメイン名を入力します。

      注:

      IP アドレスを使用しないでください。

    • [ポート]:Integration Broker インスタンスまたはロード バランサのポート番号を入力します。

    • [SSL 証明書]:Integration Broker サーバの SSL 証明書をコピーして、[SSL 証明書] ボックスに貼り付けます。---BEGIN CERTIFICATE---- および -----END CERTIFICATE---- を含むすべての行を入力します。

      この仮想アプリケーションのコレクションからリソースを起動する際に、証明書が使用されます。

  6. [次へ] をクリックします。
  7. [サーバ ファーム] ページで、[サーバ ファームの追加] をクリックし、Citrix サーバ ファームの情報を入力します。

    オプション

    説明

    バージョン

    Citrix XenApp または XenDesktop 展開のバージョン(6.0、6.5、または 7.x)を選択します。

    サーバ

    [サーバの追加] をクリックし、Citrix XML サーバ(XML ブローカー)の完全修飾ドメイン名を追加します。たとえば、xenappserver.example.com などです。1 つ以上の Citrix XML サーバを追加する必要があります。

    複数のサーバを追加するには、[サーバの追加] をクリックして、サーバを追加します。

    フェイルオーバーの順序にサーバを編成します。VMware Identity Manager は、SSO の場合、およびフェイルオーバー状態では、この順序に従います。リストを並べ替えるには、行をクリックして目的の位置にドラッグします。リストからサーバを削除するには、行の右側にある [x] アイコンをクリックします。

    注:

    XML ブローカーでは PowerShell リモーティングを有効にする必要があります。

    起動の設定

    VMware Identity Manager が Citrix リソースの起動リクエストを処理する方法を選択します。Citrix StoreFront が展開されている場合は、[StoreFront] を選択します。それ以外の場合は、[Web Interface SDK] を選択します。1 つのオプションのみを選択して情報を入力する必要があります。

    StoreFront

    Citrix StoreFront REST API を使用して Citrix リソースを起動する場合は、このオプションを選択します。このオプションを選択すると、Integration Broker は Citrix StoreFront REST API を使用して StoreFront サーバと通信し、ICA ファイルを取得します。

    • [StoreFront サーバ URL]

      StoreFront サーバの URL を次の形式で入力します。

      transportType://storefrontServerFQDN/Citrix/storenameWeb

      たとえば、http://xen76.example.com/Citrix/mystoreWeb のようになります。

      注:

      これは、StoreFront サーバの Web サイトの URL です。

      重要:

      その後、仮想アプリケーションのコレクションを作成した後、XenApp の内部ネットワーク範囲を構成するときに、[クライアント アクセス URL ホスト] フィールドに同じ URL を入力するようにします。

    注:

    仮想アプリケーションのコレクションを作成して同期した後、[StoreFront] オプションを使用しないことを選択した場合は、ネットワーク範囲のクライアント アクセス URL も更新するようにしてください。

    Web Interface SDK

    Citrix Web Interface SDK を使用して Citrix リソースを起動する場合は、このオプションを選択します。このオプションを選択しない場合、Integration Broker は Citrix Web Interface SDK を使用して Citrix コンポーネントと通信し、ICA ファイルを取得します。

    • [転送のタイプ]

      Citrix サーバ構成で使用される転送のタイプ(HTTP、HTTPS、または SSL RELAY)を選択します。これは、Citrix サーバ構成と一致している必要があります。

    • [ポート]

      Citrix サーバ構成で使用されるポートを入力します。これは、Citrix サーバ構成と一致している必要があります。

    • [SSL リレー ポート]

      Citrix サーバ構成で使用される SSL リレー ポートを入力します。このオプションは、転送のタイプに SSL RELAY を選択した場合にのみ表示されます。

    • [STA サーバ]

      Citrix 展開環境に NetScaler Gateway サーバが含まれている場合は、それに関連付けられている Secure Ticket Authority (STA) サーバを指定します。STA サーバは、NetScaler Gateway サーバへのアクセスを制御するために使用されます。

      1. [STA サーバを追加] をクリックして、次の形式で STA サーバの URL を入力します:transporttype://server:port

        たとえば、http://staserver.example.com:80 のように入力します。

        URL に使用できるのは、英数字、ピリオド (.)、ハイフン (-) のみです。

      2. 複数の STA サーバを追加するには、[STA サーバを追加] をクリックして、サーバを追加します。

      3. フェイルオーバーの順序で STA サーバを編成します。行を移動するには、行の左側にあるハンドルをクリックして、目的の場所にドラッグします。リストからサーバを削除するには、行の右側にある [x] アイコンをクリックします。

  8. [次へ] をクリックします。
  9. [構成] ページに次の情報を入力します。

    オプション

    説明

    同期間隔

    コレクション内のリソースを Citrix サーバ ファームから VMware Identity Manager に同期する頻度を選択します。

    自動同期スケジュールを設定するか、手動同期を選択できます。スケジュールを設定するには、毎日または毎週などの間隔を選択し、同期を実行する時刻を選択します。[手動] を選択した場合は、コレクションを作成した後、および Citrix リソースまたは資格に変更が発生したときに、[仮想アプリケーションのコレクション] ページの [同期] をクリックする必要があります。

    重複するアプリケーションを同期

    複数のサーバで同じアプリケーションを重複して同期しないようにするには、[いいえ] に設定します。

    VMware Identity Manager が複数のデータセンターで展開されると、同じリソースが複数のデータセンターでセットアップされます。このオプションを [いいえ] に設定すると、VMware Identity Manager カタログ内のアプリケーションとデスクトップは複製されません。

    サーバ ファームからカテゴリを同期

    Citrix サーバから VMware Identity Manager にカテゴリを同期する場合は、このオプションを有効にします。

    アクティベーション ポリシー

    このコレクション内のリソースを Workspace ONE ポータルおよびアプリケーションのユーザーに提供する方法を選択します。承認フローを設定する場合は、[ユーザーによるアクティベーション] を選択し、それ以外の場合は [自動] を選択します。

    [ユーザーによるアクティベーション][自動] の両方のオプションを使用して、リソースは [カタログ] ページに追加されます。ユーザーは、[カタログ] ページからリソースを使用したり、[ブックマーク] ページに移動したりすることができます。ただし、任意のアプリケーションの承認フローを設定するには、そのアプリケーションの [ユーザーによるアクティベーション] を選択する必要があります。

    アクティベーション ポリシーは、コレクションのすべてのリソースに対するすべてのユーザー資格に適用されます。リソースごとの個々のユーザーまたはグループのアクティベーション ポリシーは、[ユーザーとグループ] タブのユーザーまたはグループ ページから変更できます。

  10. [次へ] をクリックします。
  11. [サマリ] ページで選択内容を確認し、[ ネットワーク範囲の保存および設定] をクリックします。

    コレクションは作成されていますが、コレクション内のリソースはまだ同期されていません。[ネットワーク範囲] ページが表示されます。

次のタスク

  • リソースの起動用のネットワーク範囲を設定します。VMware Identity Manager での Citrix リソースの起動の設定を参照してください。

  • コレクション内のリソースと資格を Citrix サーバから VMware Identity Manager に同期するには、[仮想アプリケーションのコレクション] ページでコレクションを選択し、[同期] をクリックします。

    注:

    VMware Identity Manager は Citrix 匿名ユーザー グループ機能をサポートしていません。