VMware Unified Access Gateway の導入および設定

Unified Access Gateway 2.9

このドキュメントは新しいエディションに置き換わるまで、ここで書いてある各製品と後続のすべてのバージョンをサポートします。このドキュメントの最新版をチェックするには、http://www.vmware.com/jp/support/pubsを参照してください。

JA-002471-00

VMware Unified Access Gateway の導入および設定

2 VMware, Inc.

最新の技術ドキュメントは VMware の Web サイト（http://www.vmware.com/jp/support/）にあります

VMware の Web サイトでは最新の製品アップデートも提供されています。

このドキュメントに関するご意見およびご感想がある場合は、docfeedback@vmware.comまでお送りください。

Copyright © 2016, 2017 VMware, Inc. 無断転載を禁ず。著作権および商標情報。

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

ヴイエムウェア株式会社105-0013　東京都港区浜松町 1-30-5浜松町スクエア 13Fwww.vmware.com/jp

目次

VMware Unified Access Gateway のデプロイと構成 5

1 VMware Unified Access Gateway の導入の準備 7

セキュア ゲートウェイとしての Unified Access Gateway 7仮想プライベート ネットワークの代わりに Unified Access Gateway を使用する 8Unified Access Gateway システムとネットワークの要件 8DMZ ベースの Unified Access Gateway アプライアンスのファイアウォール ルール 10Unified Access Gateway のロード バランスのトポロジ 11複数のネットワーク インターフェイス カードがある Unified Access Gateway の場合の DMZ の設計 13停止時間ゼロでのアップグレード 16

2 Unified Access Gateway アプライアンスのデプロイ 19

OVF テンプレート ウィザードを使用した Unified Access Gateway のデプロイ 19OVF テンプレート ウィザードによる Unified Access Gateway のデプロイ 20

管理機能の構成ページからの Unified Access Gateway の構成 23Unified Access Gateway システム設定の構成 24

SSL サーバの署名入り証明書の更新 25

3 PowerShell を使用した Unified Access Gateway のデプロイ 27

PowerShell を使用して Unified Access Gateway をデプロイするためのシステム要件 27PowerShell を使用した Unified Access Gateway アプライアンスのデプロイ 27

4 Unified Access Gateway デプロイの使用事例 31

Horizon View と Horizon Cloud with On-Premises Infrastructure（オンプレミス型） 31Horizon 設定の構成 34Blast TCP および UDP 外部 URL の構成オプション 35

リバース プロキシとしてのデプロイ 36リバース プロキシの構成 38

オンプレミスのレガシー Web アプリケーションへのシングル サインオン アクセスのためのデプロイ 41ID ブリッジの導入シナリオ 42ID ブリッジ設定の構成 43ID ブリッジのための Web リバース プロキシの設定 46Unified Access Gateway サービス プロバイダのメタデータ ファイルを VMware Identity Manager サービスに追加する 47

AirWatch Tunnel を使用したデプロイ 48AirWatch のためのトンネル プロキシのデプロイ 48リレー エンドポイントのデプロイ モデル 48AirWatch による Per-App トンネルのデプロイ 49AirWatch 向けの Per-App トンネルとプロキシ設定の構成 50

VMware, Inc. 3

5 TLS/SSL 証明書を使用した Unified Access Gateway の構成 53Unified Access Gateway アプライアンスの TLS/SSL 証明書の構成 53正しい証明書タイプの選択 53証明書ファイルの 1 行 PEM 形式への変換 54Unified Access Gateway のデフォルト TLS/SSL サーバ証明書の置換 56TLS や SSL 通信に使用されるセキュリティ プロトコルと暗号化スイートの変更 56

6 DMZ での認証の設定 59

Unified Access Gateway アプライアンスでの証明書またはスマート カード認証の構成 59Unified Access Gateway での証明書認証の設定 60証明機関の証明書の取得 61

Unified Access Gateway での RSA SecurID 認証の構成 62Unified Access Gateway の RADIUS の構成 63

RADIUS 認証の構成 63Unified Access Gateway での RSA Adaptive Authentication の構成 64

Unified Access Gateway での RSA Adaptive Authentication の構成 65Unified Access Gateway SAML メタデータの生成 66その他のサービス プロバイダで使用される SAML 認証子の作成 67Unified Access Gateway へのサービス プロバイダ SAML メタデータのコピー 67

7 Unified Access Gateway デプロイのトラブルシューティング 69

デプロイされたサービスの健全性の監視 69デプロイに関する問題のトラブルシューティング 70Unified Access Gateway アプライアンスからのログの収集 71

インデックス 73

VMware Unified Access Gateway の導入および設定

4 VMware, Inc.

VMware Unified Access Gateway のデプロイと構成

Unified Access Gateway の導入および設定 は、VMware Horizon®、VMware Identity Manager™、および組織のア

プリケーションへの外部アクセスの安全性を確保するために VMware Unified Access Gateway™ を使用する VMwareAirWatch® の環境の設計について説明します。これらのアプリケーションは、Windows アプリケーション、サービスとしてのソフトウェア (SaaS) のアプリケーション、およびデスクトップである場合があります。このガイドでは、Unified Access Gateway 仮想アプライアンスをデプロイして、デプロイ後に構成設定を変更する手順も説明します。

対象読者

本書に記載されている情報は、Unified Access Gateway アプライアンスをデプロイおよび使用するすべての方を対象としています。これらの情報は、仮想マシン テクノロジーおよびデータセンターの運用に精通している経験豊富な Linuxおよび Windows システム管理者向けに記述されています。

VMware, Inc. 5

VMware Unified Access Gateway の導入および設定

6 VMware, Inc.

VMware Unified Access Gateway の導入の準備 1

Unified Access Gateway は、企業のファイアウォールの外部からリモート デスクトップおよびアプリケーションにアクセスするユーザーのセキュア ゲートウェイとして機能します。

注意 VMware Unified Access Gateway® は、以前 VMware Access Point と呼ばれていました。

この章では次のトピックについて説明します。

n セキュア ゲートウェイとしての Unified Access Gateway (P. 7)

n 仮想プライベート ネットワークの代わりに Unified Access Gateway を使用する (P. 8)

n Unified Access Gatewayシステムとネットワークの要件 (P. 8)

n DMZ ベースの Unified Access Gateway アプライアンスのファイアウォール ルール (P. 10)

n Unified Access Gateway のロード バランスのトポロジ (P. 11)

n 複数のネットワーク インターフェイス カードがある Unified Access Gateway の場合の DMZ の設計 (P. 13)

n 停止時間ゼロでのアップグレード (P. 16)

セキュア ゲートウェイとしての Unified Access GatewayUnified Access Gateway は、非武装地帯 (DMZ) に通常インストールされるアプライアンスです。確実な方法で認証されたリモート ユーザーのトラフィックだけを確実に社内のデータセンターに送信するために、 Unified Access Gatewayは使用されます。

Unified Access Gateway は、認証要求を該当するサーバに送信し、本物であると証明されない要求はすべて破棄します。ユーザーはアクセスが許可されているリソースにのみアクセスできます。

また、Unified Access Gateway は、認証されたユーザーのトラフィックが、ユーザーに資格が実際に付与されたデスクトップやアプリケーション リソースのみに確実に向けられるようにします。この保護レベルでは、アクセスを正確に制御するために、デスクトップ プロトコルの独自の調査、頻繁に変更される可能性があるポリシーやネットワーク アドレスの調整が実行されます。

Unified Access Gateway は、企業の信頼されるネットワーク内部の接続のためのプロキシ ホストとして動作します。この設計では、仮想デスクトップ、アプリケーション ホスト、およびサーバを外部からアクセス可能なインターネットから保護することで、セキュリティ レイヤーがさらに追加されます。

Unified Access Gateway は特に DMZ のために設計されています。セキュリティを強化するため、次の設定が実装されています。

n 最新の Linux カーネルとソフトウェア パッチ

n インターネットとイントラネット トラフィックのために複数の NIC をサポート

n SSH を無効に設定

VMware, Inc. 7

n FTP、Telnet、Rlogin、または Rsh サービスを無効に設定

n 不要なサービスを無効に設定

仮想プライベート ネットワークの代わりに Unified Access Gateway を使用するUnified Access Gateway と一般的な VPN ソリューションは、確実な方法で認証されたユーザーのためだけに内部ネットワークに確実にトラフィックが転送されるようにする点で似ています。

一般的な VPN よりも Unified Access Gateway は、次の点で優れています。

n アクセス コントロール マネージャ。Unified Access Gateway は、アクセス ルールを自動的に適用します。Unified Access Gateway は、内部接続に必要なユーザーの資格とアドレスの設定について認識しています。大半のVPN では管理者が各ユーザーまたは各ユーザー グループにネットワーク接続ルールを設定できるので、VPN でも同じ処理が行われます。最初に、これは VPN では適切に動作しますが、必要なルールを維持するためには相当な管理労力が必要となります。

n ユーザー インターフェイス。Unified Access Gateway では、簡単な Horizon Client ユーザー インターフェイスをそのまま使用できます。Unified Access Gateway では、Horizon Client が起動されると、認証されたユーザーは View 環境に配置され、デスクトップとアプリケーションへのアクセスを制御できます。VPN では、VPN ソフトウェアを最初にセットアップして、Horizon Client を起動する前に別々に認証することが求められます。

n パフォーマンス。Unified Access Gateway は、セキュリティとパフォーマンスを最大化できるように設計されています。Unified Access Gateway を使用すると、追加のカプセル化を実行しなくても、PCoIP、HTML Access、および WebSocket プロトコルのセキュリティが確保されます。VPN は、SSL VPN として実装されます。この実装は、セキュリティ要件を満たしており、Transport Layer Security (TLS) が有効である場合、安全だと考えられていますが、SSL/TLS におけるバックエンドのプロトコルは、TCP ベースに過ぎません。コネクションレスの UDP ベースの転送を利用する最新のビデオ リモーティング プロトコルでは、TCP ベースの転送を強制すると、パフォーマンス上の利点が大幅に損なわれる場合があります。SSL/TLS の代わりに DTLS や IPsec を使用して、ネットワークを運用できる場合、View デスクトップ プロトコルを適切に稼動させることができるので、これはすべての VPN テクノロジーで起こるわけではありません。

Unified Access Gateway システムとネットワークの要件Unified Access Gateway アプライアンスをデプロイするには、システムがハードウェアおよびソフトウェアの要件を満たしている必要があります。

サポートされる VMware 製品のバージョンUnified Access Gateway のバージョンごとに、特定のバージョンの VMware 製品を使用する必要があります。互換性の最新情報については、製品のリリース ノートおよび http://www.vmware.com/resources/compatibility/sim/interop_matrix.php の VMware 製品の相互運用性マトリックスを参照してください。

ESXi サーバのハードウェア要件Unified Access Gateway アプライアンスは、VMware 製品でサポートされているバージョンおよび使用しているバージョンと同じバージョンの vSphere にデプロイする必要があります。

vSphere Web Client を使用する場合、クライアント統合プラグインがインストールされていることを確認します。詳細については、vSphere ドキュメントを参照してください。デプロイ ウィザードを開始する前にこのプラグインをインストールしていないと、プラグインをインストールするように求められます。インストールするには、ブラウザを閉じてウィ

ザードを終了する必要があります。

注意 アプライアンスの時刻が正確になるように、Unified Access Gateway アプライアンスの時計 (UTC) を構成します。たとえば、Unified Access Gateway 仮想マシンでコンソール ウィンドウを開き、矢印ボタンを使用して正しいタイム ゾーンを選択します。また、ESXi ホストの時刻が NTP サーバと同期されていることを確認し、アプライアンス仮想マシンで実行されている VMware Tools が仮想マシンの時刻を ESXi ホストの時刻と同期することを確認します。

VMware Unified Access Gateway の導入および設定

8 VMware, Inc.

仮想アプライアンス要件

Unified Access Gateway アプライアンス用の OVF パッケージは、Unified Access Gateway に必要な仮想マシン構成を自動的に選択します。これらの設定は変更できますが、CPU、メモリ、ディスク領域をデフォルトの OVF 設定より小さい値に変更しないことを推奨します。

アプライアンスに使用するデータ ストアに十分な空きディスク容量があり、他のシステム要件を満たしていることを確認します。

n 仮想アプライアンスのダウンロード サイズは 1.4 GB です。

n シン プロビジョニングされるディスクの最小要件は 2.3 GB です。

n シック プロビジョニングされるディスクの最小要件は 20 GB です。

仮想アプライアンスをデプロイするには、次の情報が必要です。

n 固定 IP アドレス（推奨）

n DNS サーバの IP アドレス

n root ユーザーのパスワード

n 管理者ユーザーのパスワード

n Unified Access Gateway アプライアンスが指定するロード バランサのサーバ インスタンスの URL

Windows Hyper-V Server を使用する場合のハードウェア要件Unified Access Gateway を AirWatch アプリケーション単位のトンネル デプロイに使用する場合、Unified Access Gateway アプライアンスを Microsoft Hyper-V Server にインストールすることができます。

サポートされる Microsoft サーバは Windows Server 2012 R2 と Windows Server 2016 です。

ネットワーク構成の要件

1 つ、2 つ、または 3 つのネットワーク インターフェイスを使用でき、Unified Access Gateway ではそれぞれについて個別の固定 IP アドレスが必要です。DMZ 実装の多くは、個別のネットワークを使用してさまざまな種類のトラフィックを保護します。デプロイする DMZ のネットワーク設計に従って Unified Access Gateway を構成してください。

n POC（事前検証）またはテストには、1 つのネットワーク インターフェイスが適しています。NIC が 1 つの場合、外部、内部、および管理トラフィックがすべて同じサブネットを持ちます。

n ネットワーク インターフェイスが 2 つの場合、外部トラフィックが 1 つのサブネットを、内部と管理トラフィックがもう 1 つのサブネットを持ちます。

n ネットワーク インターフェイスを 3 つ使用するのが最も安全なオプションです。NIC が 3 つの場合、外部、内部、および管理トラフィックがすべて独自のサブネットを持ちます。

重要 IP プールを各ネットワークに割り当てたことを確認します。これにより、Unified Access Gateway アプライアンスは、デプロイ時にサブネット マスクとゲートウェイの設定を選択できるようになります。ネイティブ vSphere Clientを使用している場合、vCenter Server で IP プールを追加するには、データセンターの [IP プール] タブに移動します。vSphere Web Client を使用している場合は、ネットワーク プロトコル プロファイルを作成できます。データセンターの [管理] タブに移動し、[ネットワーク プロトコル プロファイル] タブを選択します。詳細については、仮想マシン ネットワークのプロトコル プロファイルの構成を参照してください。

Unified Access Gateway を IP プールなしでデプロイする場合 (vCenter Server)、デプロイは成功しますが、ブラウザの管理ユーザー インターフェイスを使用して Unified Access Gateway にアクセスしようとしても、管理ユーザー インターフェイス サービスは起動しません。

第 1 章 VMware Unified Access Gateway の導入の準備

VMware, Inc. 9

ログの保持要件

ログ ファイルは、集約した合計ディスク サイズを下回る一定容量の領域を使用するように、デフォルトで構成されています。Unified Access Gateway のログは、デフォルトでローテーションされます。これらのログ エントリを保持するには、syslog を使用する必要があります。「Unified Access Gateway アプライアンスからのログの収集 (P. 71)」を参照してください。

DMZ ベースの Unified Access Gateway アプライアンスのファイアウォールルール

DMZ ベースの Unified Access Gateway アプライアンスには、フロントエンド ファイアウォールとバックエンド ファイアウォールに関する特定のファイアウォール ルールが必要です。インストール中、Unified Access Gateway サービスは、デフォルトで特定のネットワーク ポートをリッスンするように設定されます。

通常、DMZ ベースの Unified Access Gateway アプライアンスのデプロイには、2 つのファイアウォールが含まれます。

n DMZ と内部ネットワークの両方を保護するために、外部ネットワークに接しているフロント エンド ファイアウォールが必要です。外部からのネットワーク トラフィックが DMZ に到達できるように、このファイアウォールを構成します。

n 2 つ目のセキュリティの層を提供するために、DMZ と 内部ネットワークの間のバック エンド ファイアウォールが必要です。DMZ 内のサービスから送信されたトラフィックだけを受け入れるように、このファイアウォールを構成します。

ファイアウォール ポリシーによって DMZ サービスからのインバウンド通信が厳格に制御されるため、内部ネットワークが侵害されるリスクが大幅に軽減されます。

外部クライアント デバイスが DMZ 内の Unified Access Gateway アプライアンスに接続できるようにするには、フロントエンド ファイアウォールで、特定のポートのトラフィックを許可する必要があります。デフォルトでは、外部のクライアント デバイスと外部の Web クライアント (HTML Access) は、DMZ にある Unified Access Gateway アプライアンスに TCP ポート 443 で接続します。Blast プロトコルを使用する場合、ファイアウォール上でポート 8443 を開く必要がありますが、ポート 443 を使用するように Blast を設定することもできます。

表 1‑1. ポートの要件

ポート ポータル Source 送信先 説明

443 TCP インターネット Unified Access Gateway Web トラフィック、Horizon Client XML -API、Horizon Tunnel、および BlastExtreme の場合

443 UDP インターネット Unified Access Gateway UDP（オプション）

8443 UDP インターネット Unified Access Gateway Blast Extreme（オプション）

8443 TCP インターネット Unified Access Gateway Blast Extreme

4172 TCP とUDP

インターネット Unified Access Gateway PCoIP（オプション）

443 TCP Unified Access Gateway Horizon ブローカ Horizon Client XML-API

22443 TCP とUDP

Unified Access Gateway デスクトップと RDS ホスト Blast Extreme

4172 TCP とUDP

Unified Access Gateway デスクトップと RDS ホスト PCoIP（オプション）

32111 TCP Unified Access Gateway デスクトップと RDS ホスト USB リダイレクトのフレームワーク チャンネルの場合

9427 TCP Unified Access Gateway デスクトップと RDS ホスト MMR と CDR

VMware Unified Access Gateway の導入および設定

10 VMware, Inc.

表 1‑1. ポートの要件 (続き)

ポート ポータル Source 送信先 説明

9443 TCP 管理ユーザー インターフェイス

Unified Access Gateway 管理インターフェイス

注意 すべての UDP ポートでは、転送データグラムと応答データグラムを有効にする必要があります。

次の図は、フロントエンド ファイアウォールとバックエンド ファイアウォールを含む構成の例を示しています。

図 1‑1. DMZ トポロジの Unified Access Gateway

HorizonServer

MicrosoftActive

Directory

実行中の ESXi ホスト仮想デスクトップ

仮想マシン

外部ネットワーク

vCenterManagement

Server

ロード バランサ

ロード バランサ

クライアントデバイス

DMZ

Unified AccessGateway

アプライアンス

Unified Access Gateway のロード バランスのトポロジDMZ の Unified Access Gateway アプライアンスは、サーバまたはサーバ グループの前にあるロード バランサを参照するように構成できます。Unified Access Gateway アプライアンスは、HTTPS 向けに構成された標準的なサードパーティ製ロード バランシング ソリューションと連携します。

Unified Access Gateway アプライアンスでサーバの前にあるロード バランサを参照する場合、サーバ インスタンスは動的に選択されます。たとえば、ロード バランサは可用性、およびロード バランサが把握した各サーバ インスタンスの現在のセッション数についての情報に基づいて選択を行う場合があります。企業のファイアウォール内のサーバ インスタンスには、通常、内部アクセスをサポートするためのロード バランサがあります。Unified Access Gateway を使用して、Unified Access Gateway アプライアンスがすでに頻繁に使用されているのと同じロード バランサを参照するようにできます。

第 1 章 VMware Unified Access Gateway の導入の準備

VMware, Inc. 11

または、1 つ以上の Unified Access Gateway アプライアンスで個々のサーバ インスタンスを参照することもできます。どちらの方法でも、DMZ 内の 2 つ以上の Unified Access Gateway アプライアンスに接続されたロード バランサを使用します。

図 1‑2. ロード バランサの背後にある複数の Unified Access Gateway アプライアンス

HorizonClient

Unified AccessGateway

アプライアンス

DMZ

VMware vSphere

インターネット

Horizon デスクトップおよび RDS ホスト

Horizon接続

サーバ

ロード バランサ

接続 サーバ

接続 サーバ

Horizon のプロトコルHorizon Client ユーザーが Horizon 環境に接続するときには、いくつかの異なるプロトコルが使用されます。最初の接続は、HTTPS を介したプライマリ XML-API プロトコルになります。認証が成功すると、1 つまたは複数のセカンダリ プロトコルも作成されます。

n プライマリ Horizon プロトコル

ユーザーが Horizon Client でホスト名を入力すると、プライマリ Horizon プロトコルが開始されます。これは、認証、承認、およびセッション管理のための制御プロトコルです。プロトコルは、HTTPS を介した XML 構造化メッセージを使用します。このプロトコルは、Horizon XML-API 制御プロトコルと呼ばれることもあります。ロード バランサの背後に複数の Unified Access Gateway アプライアンスがある上図のようなロード バランス環境では、ロード バランサはこの接続を Unified Access Gateway アプライアンスの 1 つにルーティングします。ロード バランサは通常、最初に可用性に基づいてアプライアンスを選択し、現在のセッションの最小数に基づいてトラフィックを使

用可能なアプライアンスにルーティングします。この構成では、使用可能な Unified Access Gateway アプライアンス全体で、さまざまなクライアントからのトラフィックが均等に分散されます。

n セカンダリ Horizon プロトコル

VMware Unified Access Gateway の導入および設定

12 VMware, Inc.

Horizon Client がいずれかの Unified Access Gateway アプライアンスとの安全な通信を確立したら、ユーザーが認証されます。この認証に成功すると、Horizon Client から 1 つ以上のセカンダリ接続が作成されます。これらのセカンダリ接続には、次のものが含まれます。

n RDP、MMR/CDR、クライアント フレームワーク チャネルなどの TCP プロトコルをカプセル化するために使用される HTTPS トンネル。(TCP 443)

n Blast Extreme 表示プロトコル (TCP 443、TCP 8443、UDP 443 および UDP 8443)

n PCoIP 表示プロトコル (TCP 443 および UDP 443)

これらのセカンダリ Horizon プロトコルは、プライマリ Horizon プロトコルがルーティングされた同じ Access Pointアプライアンスにルーティングする必要があります。これで、Unified Access Gateway は、認証されたユーザー セッションに基づいてセカンダリ プロトコルを認証できます。Unified Access Gateway の重要なセキュリティ機能として、Unified Access Gateway は認証されたユーザーのトラフィックのみを企業のデータセンターに転送します。セカンダリプロトコルがプライマリ プロトコル アプライアンスとは異なる Unified Access Gateway アプライアンスに不正にルーティングされる場合、ユーザーは承認されず、DMZ で拒否されます。その結果、接続が失敗します。ロード バランサが正しく構成されていない場合、セカンダリ プロトコルを不正にルーティングしてしまう問題が多く発生します。

複数のネットワーク インターフェイス カードがある Unified Access Gateway の場合の DMZ の設計

Unified Access Gateway を構成するときには、使用する仮想ネットワーク インターフェイス カード (NIC) の数を設定します。Unified Access Gateway をデプロイするときは、ネットワークのデプロイ環境の構成を選択します。

1 つ、2 つ、または 3 つの NIC 設定を指定する場合、それぞれ onenic、twonic、または threenic として指定できます。

各仮想 LAN で開いているポート数を減らし、タイプ別にネットワーク トラフィックを分離することで、セキュリティを大幅に向上できます。この利点は、主に多層防御としての DMZ セキュリティ設計戦略の一環として、さまざまな種類のネットワーク トラフィックを分離し隔離することです。DMZ 内に別々の物理スイッチを実装するか、DMZ 内で複数の仮想 LAN を使用するか、VMware NSX で完全に管理される DMZ の一部として、この環境を実現できます。

NIC が 1 つの一般的な DMZ のデプロイ環境Unified Access Gateway の最もシンプルなデプロイ環境では、1 つの NIC が使用され、すべてのネットワーク トラフィックが 1 つのネットワークに結合されます。インターネットに接続するファイアウォールからのトラフィックは、利用可能な Unified Access Gateway アプライアンスのいずれかに転送されます。Unified Access Gateway は、次に、承認されたトラフィックを内部ファイアウォールを介して内部ネットワーク上のリソースに転送します。

Unified Access Gateway は承認されていないトラフィックを破棄します。

第 1 章 VMware Unified Access Gateway の導入の準備

VMware, Inc. 13

図 1‑3. Unified Access Gateway の単一 NIC のオプション

フロントエンド、 バックエンドおよび管理トラフィックを組み合わせた単一のNIC Unified Access

Gatewayアプライアンス

単一の結合ネットワーク

Unified Access Gateway アプライアンス

DMZ

内部ネットワーク

内部ファイアウォール

インターネットに接続するファイアウォール

ロード バランサ

インターネット

バックエンド トラフィックと管理トラフィックからの承認されていないユーザー トラフィックの分離

1 つの NIC のデプロイ環境を強化するには、2 つの NIC を指定します。最初の NIC は引き続きインターネットに接続し、承認されていないアクセスを処理しますが、バックエンドの承認されているトラフィックと管理トラフィックは別のネッ

トワークに分けられます。

VMware Unified Access Gateway の導入および設定

14 VMware, Inc.

図 1‑4. Unified Access Gateway の 2 つの NIC のオプション

管理トラフィックと認証された

バックエンド トラフィックから

認証されていないフロントエンド トラフィックを分離する 2 つの

NIC Unified AccessGateway

アプライアンス

フロントエンド ネットワーク

Unified Access Gateway アプライアンス

バックエンドおよび管理の結合ネットワーク

DMZ

内部ネットワーク

内部ファイアウォール

インターネットに接続する ファイアウォール

ロード バランサ

インターネット

2 つの NIC の環境では、Unified Access Gateway は内部ファイアウォールを通して内部ネットワークに送信されるトラフィックを承認する必要があります。承認されていないトラフィックは、このバックエンド ネットワーク上には存在しません。Unified Access Gateway の REST API などの管理トラフィックは、この第 2 ネットワークにのみ存在します

承認されていないフロント エンドネットワーク上のデバイス（ロード バランサなど）のセキュリティが侵害された場合、この 2 つの NIC のデプロイ環境では Unified Access Gateway を迂回するようにデバイスを再構成することはできません。レイヤー 4 のファイアウォール ルールとレイヤー 7 の Unified Access Gateway のセキュリティが統合されます。同様に、インターネットに接続するファイアウォールが誤って構成され、トラフィックが TCP ポート 9443 を通過するようになった場合でも、Unified Access Gateway の管理 REST API はインターネット ユーザーに公開されることはありません。多層防御の基本は、複数レベルの保護を利用し、単一の構成ミスやシステムへの攻撃によって、システム全体が脆

弱にならないようにすることです。

2 つの NIC のデプロイ環境の場合、DNS サーバ、RSA SecurID Authentication Manager サーバなどのインフラストラクチャ システムを DMZ 内のバックエンド ネットワークに追加して、これらのサーバがインターネットに接続するネットワークから見えないようにすることができます。インフラストラクチャ システムを DMZ 内に配置することで、セキュリティが侵害されたフロントエンド システムのインターネットに接続する LAN からのレイヤー 2 攻撃が防止され、攻撃を受ける可能性がある領域を効果的に削減できます。

ほとんどの Unified Access Gateway のネットワーク トラフィックは、Blast および PCoIP 表示プロトコルです。1 つの NIC 環境では、インターネットとの間で通信される表示プロトコルのトラフィックは、バックエンド システムとの間のトラフィックと結合されます。2 つ以上の NIC を使用する場合、トラフィックはフロントエンドおよびバックエンドのNIC とネットワーク間で分散されます。これにより、1 つの NIC がボトルネックになる潜在的な問題が軽減され、パフォーマンスが向上します。

Unified Access Gateway ではさらに管理トラフィックを特定の管理 LAN に分離することで、トラフィックを分離するがことできます。その場合、ポート 9443 へ HTTPS 管理トラフィックを送信できるのは管理 LAN のみになります。

第 1 章 VMware Unified Access Gateway の導入の準備

VMware, Inc. 15

図 1‑5. Unified Access Gateway の 3 つの NIC のオプション

未認証のフロントエンドトラフィック、認証された

バックエンド トラフィック、および管理トラフィックの

完全な分離を提供する 3 つのNIC Unified Access Gateway

アプライアンス

フロントエンド ネットワーク

Unified Access Gateway アプライアンス

バックエンド ネットワーク

DMZ

内部ネットワーク

内部ファイアウォール

インターネットに接続する ファイアウォール

ロード バランサ

インターネット

管理ネットワーク

停止時間ゼロでのアップグレード

アップグレードでは停止時間が発生しないので、ユーザーの作業を止めずに Unified Access Gateway をアップグレードできます。Unified Access Gateway アプライアンスをアップグレードする前に、Unified Access Gateway システム設定ページの静止モードが [いいえ] から [はい] に変更されます。

静止モードの値が [はい] の場合、ロード バランサがアプライアンスの健全性をチェックするときに、Unified Access Gateway アプライアンスは使用不可と表示されます。ロード バランサが受け取った要求は、ロード バランサの背後にある次の Unified Access Gateway アプライアンスに送信されます。

開始する前に

n ロード バランサの背後で構成された 2 つ以上の Unified Access Gateway アプライアンス

n Unified Access Gateway アプライアンスの健全性状態をチェックするためにロード バランサが接続する URL を使用して構成された健全性チェック URL の設定

n ロード バランサ内のアプライアンスの健全性をチェックします。REST API コマンド GEThttps://mycoUnifiedAccessGateway.com:443/favicon.ico を入力します。

静止モードが [いいえ] に設定されている場合、応答は HTTP/1.1 200 OK になります。[はい] に設定されている場合、応答は HTTP/1.1 503 になります。

手順

1 管理ユーザー インターフェイスの [手動設定] セクションで、[選択] をクリックします。

2 [詳細設定] セクションで、[システム構成] ギア アイコンをクリックします。

VMware Unified Access Gateway の導入および設定

16 VMware, Inc.

3 [静止モード] 行で、[はい] を有効にすると Unified Access Gateway アプライアンスは一時停止します。

アプライアンスが停止しても、アプライアンスがその時点で実行しているセッションはその後も 10 時間有効で、それから終了します。

4 [保存] をクリックします。

ロード バランサが受け取る新しい要求は、次の Unified Access Gateway アプライアンスに送信されます。

次に進む前に

一時停止した Unified Access Gateway アプライアンスから設定をエクスポートします。新しいバージョンのUnified Access Gateway を展開し、設定をインポートします。新しいバージョンの Unified Access Gateway アプライアンスがロード バランサに追加できます。

第 1 章 VMware Unified Access Gateway の導入の準備

VMware, Inc. 17

VMware Unified Access Gateway の導入および設定

18 VMware, Inc.

Unified Access Gateway アプライアンスのデプロイ 2

Unified Access Gateway は OVF としてパッケージ化され、vSphere ESX または ESXi ホストに構成済みの仮想アプライアンスとしてデプロイされます。

vSphere ESX または ESXi ホストに Unified Access Gateway アプライアンスをインストールする場合、2 つの主要な方法を使用できます。Microsoft Server 2012 と 2016 Hyper-V ロールがサポートされます。

n vSphere Client または vSphere Web Client を使用して、Unified Access Gateway OVF テンプレートをデプロイできます。NIC のデプロイ構成、IP アドレス、管理インターフェイスのパスワードなど、基本的な設定を指定するように求められます。OVF をデプロイしたら、Unified Access Gateway の管理ユーザー インターフェイスにログインして Unified Access Gateway システム設定を構成し、さまざまなケースで安全な Edge サービスをセットアップし、DMZ で認証を構成します。「OVF テンプレート ウィザードによる Unified Access Gateway のデプロイ (P. 20)」を参照してください。

n さまざまなケースで、PowerShell スクリプトを使用して、Unified Access Gateway をデプロイし、安全な Edgeサービスをセットアップできます。zip ファイルをダウンロードし、お使いの環境に合った PowerShell スクリプトを設定し、スクリプトを実行して Unified Access Gateway をデプロイします。「PowerShell を使用した UnifiedAccess Gateway アプライアンスのデプロイ (P. 27)」を参照してください。

注意 アプリケーション単位のトンネルとプロキシ展開のための AirWatch 環境で Unified Access Gateway アプライアンスを使用する場合は、Windows Hyper-V 仮想マシンに Unified Access Gateway をインストールできます。

この章では次のトピックについて説明します。

n OVF テンプレート ウィザードを使用した Unified Access Gateway のデプロイ (P. 19)

n 管理機能の構成ページからの Unified Access Gateway の構成 (P. 23)

n SSL サーバの署名入り証明書の更新 (P. 25)

OVF テンプレート ウィザードを使用した Unified Access Gateway のデプロイUnified Access Gateway をデプロイするには、vSphere Client または vSphere Web Client を使用して OVF テンプレートをデプロイし、アプライアンスをパワーオンして設定を行います。

OVF をデプロイするときは、必要なネットワーク インターフェイス (NIC) の数、IP アドレス、および管理者パスワードと root パスワードを設定します。

Unified Access Gateway をデプロイしたら、管理ユーザー インターフェイス (UI) に移動して Unified Access Gateway環境を設定します。管理ユーザー インターフェイスでは、DMZ で使用するためにデスクトップ リソースとアプリケーション リソース、および認証方法を設定します。管理ユーザー インターフェイスにログインするには、https://<mycoUnifiedGatewayAppliance>.com:9443/admin/index.html に移動します。

VMware, Inc. 19

OVF テンプレート ウィザードによる Unified Access Gateway のデプロイvCenter Server にログインして OVF テンプレートのデプロイ ウィザードを使用することで、Unified Access Gatewayアプライアンスをデプロイできます。

標準の OVA および FIPS バージョンの OVA という、Unified Access Gateway OVA の 2 つのバージョンが利用できます。FIPS 140-2 バージョンは FIPS 認定の暗号とハッシュのセットを使用して実行し、FIPS 認定ライブラリをサポートする制限付きサービスを有効にします。Unified Access Gateway を FIPS モードでデプロイすると、アプライアンスを標準の OVA デプロイ モードに変更することはできません。

注意 ネイティブ vSphere Client を使用する場合、IP プールを各ネットワークに割り当てたことを確認します。ネイティブ vSphere Client を使用して vCenter Server で IP プールを追加するには、データセンターの [IP プール] タブに移動します。vSphere Web Client を使用している場合は、ネットワーク プロトコル プロファイルを作成できます。データセンターの [管理] タブに移動し、[ネットワーク プロトコル プロファイル] タブを選択します。

開始する前に

n ウィザードで使用できるデプロイ オプションを確認します。「Unified Access Gatewayシステムとネットワークの要件 (P. 8)」を参照してください。

n Unified Access Gateway アプライアンスを構成するためのネットワーク インターフェイスと静的 IP アドレスの数を決定します。「ネットワーク構成の要件 (P. 9)」を参照してください。

n Unified Access Gateway アプライアンスの .ova インストーラ ファイルを https://my.vmware.com/web/vmware/downloads にある VMware Web サイトからダウンロードするか、使用する http://example.com/vapps/euc-access-point-<Y.Y>.0.0-<xxxxxxx>_OVF10.ova などのURL（<Y.Y> はバージョン番号、<xxxxxxx> はビルド番号）を判断します。

手順

1 ネイティブ vSphere Client または vSphere Web Client を使用して vCenter Server インスタンスにログインします。

IPv4 ネットワークの場合、ネイティブ vSphere Client または vSphere Web Client を使用してください。IPv6ネットワークの場合、vSphere Web Client を使用してください。

2 [OVF テンプレートのデプロイ] ウィザードを開始するためのメニュー コマンドを選択します。

オプション メニュー コマンド

vSphere Client [ファイル] - [OVF テンプレートのデプロイ] を選択します。

vSphere Web Client データセンター、フォルダ、クラスタ、リソース プール、ホストなど、仮想マシンの有効な親オブジェクトであるインベントリ オブジェクトを選択し、[アクション] メニューから [OVF テンプレートのデプロイ] を選択します。

3 [ソースの選択] ページで、ダウンロードした .ova ファイルを参照するか、URL を入力して [次へ] をクリックします。

製品の詳細、バージョン、およびサイズ要件を確認します。

VMware Unified Access Gateway の導入および設定

20 VMware, Inc.

4 ウィザードの要求に従い、ウィザードを完了したときに次のガイドラインに従うことを考慮に入れます。

オプション 説明

名前と場所 Unified Access Gateway 仮想アプライアンスの名前を入力します。この名前は、インベントリ フォルダ内で一意である必要があります。名前の大文字と小文字は区別されます。

仮想アプライアンスの場所を選択します。

デプロイの構成 IPv4 ネットワークの場合、1 つ、2 つ、または 3 つのネットワーク インターフェイス (NIC) を使用できます。IPv6 ネットワークの場合、3 つの NIC を使用します。Unified Access Gateway では、NIC のそれぞれについて個別の固定 IP アドレスが必要です。DMZ 実装の多くは、個別のネットワークを使用してさまざまな種類のトラフィックを保護します。デプロイする DMZ のネットワーク設計に従ってUnified Access Gateway を構成してください。

ホスト/クラスタ 仮想アプライアンスを実行するホストまたはクラスタを選択します。

ディスク フォーマット 評価およびテスト環境では、シン プロビジョニング フォーマットを選択します。本番環境では、シック プロビジョニング フォーマットを選択します。シック プロビジョニングの Eager Zeroed は、フォールト トレランスなどのクラスタ化機能はサポートしますが、他のタイプの仮想ディスクよりも作成するのにかなりの時間がかかるシッ

ク仮想ディスク フォーマットのタイプです。

第 2 章 Unified Access Gateway アプライアンスのデプロイ

VMware, Inc. 21

オプション 説明

ネットワークのセットアップ/ネットワークマッピング

vSphere Web Client を使用している場合は、[ネットワークのセットアップ] ページで、各 NIC をネットワークにマッピングしてプロトコル設定を指定できます。OVF テンプレートで使用されるネットワークをインベントリ内のネットワークにマッピングします。

a [IP プロトコル] ドロップダウン リストから IPv4 または IPv6 を選択します。b 表の最初の行 [インターネット] を選択してから、下向き矢印をクリックして宛先

ネットワークを選択します。IPv6 を IP プロトコルとして選択するには、IPv6 に対応するネットワークを選択する必要があります。

行を選択したら、DNS サーバ、ゲートウェイ、ネットマスクの IP アドレスもウィンドウの下の部分で入力できます。

c 複数の NIC を使用している場合は、次の行 [管理ネットワーク] を選択して宛先ネットワークを選択すると、そのネットワークの DNS サーバとゲートウェイのIP アドレスと、ネットマスクを入力できます。

NIC を 1 つのみ使用している場合、すべての行は同じネットワークにマッピングされます。

d NIC が 3 つある場合は、3 番目の行も選択して設定を完成させます。

NIC を 2 つのみ使用している場合は、この 3 番目の行 [バックエンド ネットワーク] には、[管理ネットワーク] に使用したものと同じネットワークを選択します。

vSphere Web Client では、ウィザードの完了後にネットワーク プロトコル プロファイルが存在しない場合、自動的に作成されます。

ネイティブ vSphere Client を使用する場合は、[ネットワークのマッピング] ページで各 NIC をネットワークにマッピングできます。ただし、DNS サーバ、ゲートウェイ、ネットマスクのアドレスを指定するフィールドはありません。前提条件で説明し

たように、IP プールを各ネットワークにすでに割り当てたか、ネットワーク プロトコル プロファイルをすでに作成している必要があります。

ネットワーク プロパティのカスタマイズ プロパティ ページのテキスト ボックスは Unified Access Gateway に固有であり、その他の種類の仮想アプライアンスには不要な場合があります。ウィザード ページのテキストは、各設定について説明しています。テキストがウィザードの右側で切り捨

てられている場合、右下からドラッグしてウィンドウのサイズを変更します。

n [IP モード：「STATICV4」 または 「STATICV6」]。STATICV4 と入力した場合、その NIC については IPv4 アドレスを入力する必要があります。STATICV6 と入力した場合、その NIC については IPv6 アドレスを入力する必要があります。

n [「{tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu」形式で記載された転送ルールのカンマ区切りリスト]

n [NIC 1 (ETH0) 用 IPv4 アドレス]：NIC モードに STATICV4 と入力した場合、NIC の IPv4 アドレスを入力します。

n [「ipv4-network-address/bits.ipv4-gateway-address」形式で記載された、NIC 1 (eth0) 用の IPv4 カスタム ルートのカンマ区切りリスト]

n [NIC 1 (eth0) 用 IPv6 アドレス]：NIC モードに STATICV6 と入力した場合、NICの IPv6 アドレスを入力します。

n [DNS サーバ アドレス]：Unified Access Gateway アプライアンスのドメイン名サーバのスペース区切り IPv4 または IPv6 アドレスを入力します。IPv4 の入力例は 192.0.2.1 192.0.2.2 です。IPv6 の入力例は fc00:10:112:54::1 です。

n [NIC 2 (eth1) 用 IPv4 アドレス]：NIC モードに STATICV4 と入力した場合、NICの IPv4 アドレスを入力します。

n [「ipv4-network-address/bits.ipv4-gateway-address」形式で記載された、NIC 2 (eth1) 用の IPv4 カスタム ルートのカンマ区切りリスト]

n [NIC 2 (eth1) 用 IPv6 アドレス]：NIC モードに STATICV6 と入力した場合、NICの IPv6 アドレスを入力します。

n [NIC 3 (eth2) 用 IPv4 アドレス]：NIC モードに STATICV4 と入力した場合、NICの IPv4 アドレスを入力します。

n [「ipv4-network-address/bits.ipv4-gateway-address」形式で記載された、NIC 3 (eth2) 用の IPv4 カスタム ルートのカンマ区切りリスト]

n [NIC 3 (eth2) 用 IPv6 アドレス]：NIC モードに STATICV6 と入力した場合、NICの IPv6 アドレスを入力します。

n [パスワード オプション]：仮想マシンの root ユーザーのパスワードと、管理コンソールにアクセスし、REST API アクセスを有効にする管理者ユーザーのパスワードを入力します。

VMware Unified Access Gateway の導入および設定

22 VMware, Inc.

オプション 説明

n [パスワード オプション]：管理ユーザー インターフェイスにログインしてUnified Access Gateway を設定し、REST API へのアクセスを許可することができる管理者ユーザーのパスワードを入力します。

その他の設定はオプションの設定であるか、デフォルト設定がすでに入力されています。

5 完了の準備完了ページで [デプロイ後にパワーオン] を選択し、[完了] をクリックします。

OVF テンプレートのデプロイ タスクが vCenter Server のステータス エリアに表示され、デプロイを監視できます。仮想マシンでコンソールを開き、システム起動中に表示されるコンソール メッセージを確認することもできます。これらのメッセージのログは、/var/log/boot.msg ファイルにも記録されます。

6 デプロイが完了したら、エンド ユーザーがブラウザを開いて次の URL を入力することでアプライアンスに接続できることを確認します。

https://<FQDN-of-UAG-appliance>

この URL で、<FQDN-of-UAG-appliance> は Unified Access Gateway アプライアンスの DNS 解決可能な完全修飾ドメイン名です。

デプロイが成功した場合、Unified Access Gateway が参照しているサーバによって提供される Web ページが表示されます。デプロイが成功しなかった場合、アプライアンス仮想マシンを削除して再びアプライアンスをデプロイで

きます。最も一般的なエラーは、証明書サムプリントを正しく入力していないことです。

Unified Access Gateway アプライアンスがデプロイされ、自動的に起動されます。

次に進む前に

Unified Access Gateway の管理ユーザー インターフェイス (UI) にログインし、デスクトップとアプリケーション リソースを設定し、Unified Access Gateway を介したインターネットからのリモート アクセスと、DMZ で使用する認証方法を許可します。管理コンソールの URL の形式は、https://<mycoUnified Access Gatewayappliance.com:9443/admin/index.html となります。

注意 管理ユーザー インターフェイスのログイン画面にアクセスできない場合は、OVA のインストール中に仮想マシンに IP アドレスが表示されているかどうかを確認してください。IP アドレスが設定されていない場合は、ユーザー インターフェイスで説明した vami コマンドを使用して NIC を再設定します。" cd /opt/vmware/share/vami" としてコマンドを実行し、次にコマンド "./vami_config_net" を実行します。

管理機能の構成ページからの Unified Access Gateway の構成OVF をデプロイし、Unified Access Gateway アプライアンスをパワーオンしたら、Unified Access Gateway の管理ユーザー インターフェイスにログインして、次の設定を構成します。

[全般設定] ページと [詳細設定] ページには以下が含まれます。

n Unified Access Gateway システム構成と SSL サーバ証明書

n Horizon 用の Edge サービス設定、リバース プロキシ、AirWatch 用のアプリケーション単位のトンネルとプロキシ設定

n RSA SecurID、RADIUS、X.509 証明書、および RSA Adaptive Authentication の認証設定

n SAML ID プロバイダとサービス プロバイダの設定

n ID ブリッジ設定の構成

次のオプションは、[サポート設定] ページからアクセスできます。

n Unified Access Gateway ログの zip ファイルをダウンロードする

n Unified Access Gateway 設定をエクスポートして、設定を取得する

第 2 章 Unified Access Gateway アプライアンスのデプロイ

VMware, Inc. 23

n ログ レベルを設定する

n Unified Access Gateway 設定をインポートして、全体的な Unified Access Gateway 構成を作成および更新する

Unified Access Gateway システム設定の構成クライアントと Unified Access Gateway アプライアンス間の通信を暗号化するために使用されるセキュリティ プロトコルと暗号化アルゴリズムは、管理機能の構成ページで構成できます。

Unified Access Gateway の管理ユーザー インターフェイスの URL は、https://<mycoUnifiedAccessGatewayappliance.com>:9443/admin/index.html の形式です。管理ユーザー名と、OVF をデプロイした際に設定したパスワードを入力してログインします。

開始する前に

n Unified Access Gateway デプロイのプロパティを確認します。次の設定情報は必須です

n Unified Access Gateway アプライアンスの固定 IP アドレス

n DNS サーバの IP アドレス

n 管理コンソールのパスワード

n Unified Access Gateway アプライアンスが指定するサーバ インスタンスまたはロード バランサの URL

n イベント ログ ファイルを保存する Syslog サーバの URL

手順

1 管理ユーザー インターフェイスの [手動構成] セクションで、[選択] をクリックします。

2 [詳細設定] セクションで、[システム構成] ギア アイコンをクリックします。

3 次の Unified Access Gateway アプライアンスの構成値を編集します。

オプション デフォルト値と説明

ロケール エラー メッセージを生成する場合に使用するロケールを指定します。n 英語は en_USn 日本語は ja_JPn フランス語は fr_FRn ドイツ語は de_DEn 簡体字中国語は zh_CNn 繁体字中国語は zh_TWn 韓国語は ko_KR

管理者パスワード このパスワードは、アプライアンスをデプロイしたときに設定されています。パスワー

ドはリセットできます。

パスワードは 8 文字以上で、大文字と小文字が 1 文字以上、数字が 1 文字以上、特殊文字（!、@ # $ % * ( ).

暗号化スイート ほとんどの場合、デフォルトの設定は変更する必要はありません。これは、クライア

ントと Unified Access Gateway アプライアンス間の通信を暗号化するために使用される暗号化アルゴリズムです。暗号設定は、さまざまなセキュリティ プロトコルを有効にするために使用されます。

暗号化の優先順位 デフォルトは [いいえ] です。TLS 暗号リストの順位の制御を有効にするには、[はい]を選択します。

TLS 1.0 が有効 デフォルトは [いいえ] です。TLS 1.0 セキュリティ プロトコルを有効にするには、[はい] を選択します。

TLS 1.1 が有効 デフォルトは [はい] です。TLS 1.1 セキュリティ プロトコルは有効です。

TLS 1.2 が有効 デフォルトは [はい] です。TLS 1.2 セキュリティ プロトコルは有効です。

VMware Unified Access Gateway の導入および設定

24 VMware, Inc.

オプション デフォルト値と説明

Syslog URL Unified Access Gateway イベントを記録するために使用する Syslog サーバの URLを入力します。この値には、URL またはホスト名または IP アドレスを使用できます。Syslog サーバの URL を設定しないと、イベントは記録されません。「syslog://server.example.com:514」のように入力します。

健全性チェック URL ロード バランサが接続して Unified Access Gateway の健全性をチェックする URLを入力します。例：https://mycoUnifiedAccessGateway.com:443/favicon.ico

キャッシュされる Cookie Unified Access Gateway がキャッシュする Cookie のセット。デフォルトは [なし] です。

IP モード STATICV4 または STATICV6 のいずれかの固定 IP モードを選択します。

セッション タイムアウト デフォルト値は [36000000] ミリ秒です。

静止モード アップグレードを実行するときは、Unified Access Gateway をロード バランサとともに使用する場合のみ、このモードを [はい] に設定します。アップグレードが完了したら、このモードを [いいえ] に設定します。

監視間隔 デフォルト値は [60] です。

要求のタイムアウト デフォルト設定は [3000] です。

ボディの受信がタイムアウトになりました デフォルトは [5000] です。

4 [保存] をクリックします。

次に進む前に

Unified Access Gateway をデプロイしたコンポーネントの Edge サービス設定を構成します。Edge の設定を構成したら、認証設定を構成します。

SSL サーバの署名入り証明書の更新有効期限が切れた署名入り証明書は置き換えることができます。

本番環境では、デフォルト証明書をできるだけ早く置き換えることを強くお勧めします。Unified Access Gateway アプライアンスのデプロイ時に生成されるデフォルトの TLS/SSL サーバ証明書は、信頼された認証局によって署名されていません。

開始する前に

n アクセス可能なコンピュータに保存された新しい署名入り証明書とプライベート キー。

n 証明書を PEM 形式のファイルに変換した後、.pem ファイルを 1 行形式に変換します。「証明書ファイルの 1 行 PEM形式への変換」を参照してください。

手順

1 管理コンソールで、[選択] をクリックします。

2 [詳細設定] セクションで、[SSL サーバ証明書設定] ギア アイコンをクリックします。

3 [プライベート キー] の行で、[選択] をクリックして、プライベート キー ファイルを見つけます。

4 [開く] をクリックして、ファイルをアップロードします。

5 [証明書チェーン] の行で、[選択] をクリックして、証明書チェーン ファイルを見つけます。

6 [開く] をクリックして、ファイルをアップロードします。

7 [保存] をクリックします。

次に進む前に

証明書を署名した CA が不明な場合は、ルート証明書および中間証明書を信頼するようにクライアントを構成します。

第 2 章 Unified Access Gateway アプライアンスのデプロイ

VMware, Inc. 25

VMware Unified Access Gateway の導入および設定

26 VMware, Inc.

PowerShell を使用したUnified Access Gateway のデプロイ 3

PowerShell スクリプトを使用して、Unified Access Gateway をデプロイできます。PowerShell スクリプトは、サンプル スクリプトとして提供され、お使いの環境のニーズに合わせて調整できます。

PowerShell スクリプトを使用して Unified Access Gateway をデプロイする場合、このスクリプトは OVF Tool コマンドを呼び出し、正しいコマンド ライン構文が自動的に構築されるように設定を検証します。また、この方法では、デプロイ時に適用される TLS/SSL サーバ証明書の設定などの詳細設定が可能です。

この章では次のトピックについて説明します。

n PowerShell を使用して Unified Access Gateway をデプロイするためのシステム要件 (P. 27)

n PowerShell を使用した Unified Access Gateway アプライアンスのデプロイ (P. 27)

PowerShell を使用して Unified Access Gateway をデプロイするためのシステム要件

PowerShell スクリプトを使用して Unified Access Gateway をデプロイするには、特定のバージョンの VMware 製品を使用する必要があります。

n vCenter Server がある vSphere ESX ホスト

n PowerShell スクリプトは、Windows 8.1 以降のマシンまたは Windows Server 2008 R2 以降で実行されます。

また、Windows 上で実行されている vCenter Server または別の Windows マシンを利用できます。

n スクリプトを実行する Windows マシンには、VMware OVF Tool のコマンドをインストールする必要があります。

https://www.vmware.com/support/developer/ovf/ から OVF Tool 4.0.1 以降を入手してインストールする必要があります。

使用する vSphere データ ストアとネットワークを選択する必要があります。

vSphere ネットワーク プロトコル プロファイルを、参照されるすべてのネットワーク名に関連付ける必要があります。このネットワーク プロトコル プロファイルは、IPv4 サブネット マスクやゲートウェイなどのネットワーク設定を指定します。Unified Access Gateway のデプロイ環境では、これらの値を使用するので、値が正しいことを確認します。

PowerShell を使用した Unified Access Gateway アプライアンスのデプロイPowerShell スクリプトを使用すると、すべての構成を設定した環境を準備できます。PowerShell スクリプトを実行して Unified Access Gateway をデプロイすると、初めてシステムを起動したときからこのソリューションを本番環境で利用できるようになります。

開始する前に

n システム要件を満たしており、利用可能であることを確認します。

VMware, Inc. 27

これは、Unified Access Gateway を自社環境にデプロイするためのサンプル スクリプトです。

図 3‑1. サンプルの PowerShell スクリプト

手順

1 My VMware から Windows マシンに Unified Access Gateway OVA をダウンロードします。

2 ap-deploy-XXX.zip ファイルを Windows マシンのフォルダにダウンロードします。

この zip ファイルは、https://communities.vmware.com/docs/DOC-30835 から入手できます。

3 PowerShell スクリプトを開いて、ディレクトリをスクリプトの場所に変更します。

4 Unified Access Gateway 仮想アプライアンスの .INI 構成ファイルを作成します。

例：新しい Unified Access Gateway アプライアンス AP1 をデプロイします。構成ファイルの名前は、ap1.ini です。このファイルには、AP1 のすべての設定が含まれます。apdeploy .zip ファイルにある sample.INI ファイルを使用して、.INI ファイルを作成し、設定を適切に変更できます。

注意 自社の複数の Unified Access Gateway デプロイ環境には一意の .INI ファイルを関連付けることができます。複数のアプライアンスをデプロイするには、.INI ファイルで IP アドレスと名前のパラメータを適切に変更する必要があります。

変更する .INI ファイルの例。

name=AP1source=C:\APs\euc-access-point-2.8.0.0-000000000_OVF10.ovatarget=vi://administrator@vsphere.local:PASSWORD@192.168.0.21/Datacenter1/host/esx1.myco.intds=Local Disk 1netInternet=VM NetworknetManagementNetwork=VM NetworknetBackendNetwork=VM Network

[Horizon/WebReverseProxy/AirwatchTunnel]proxyDestinationUrl=https://192.168.0.209

# For IPv4, proxydestinationURL=https://192.168.0.209# For IPv6, proxyDEstinationUrl=[fc00:10:112:54::220]

VMware Unified Access Gateway の導入および設定

28 VMware, Inc.

5 スクリプトが正しく実行されたことを確認するには、PowerShell の set-executionpolicy コマンドを入力します。

set-executionpolicy -scope currentuser unrestricted

現在制限されている場合にのみ、このコマンドを一度だけ実行する必要があります。

スクリプトの警告が表示される場合、次のコマンドを実行して、警告のブロックを解除します。

unblock-file -path .\apdeploy.ps1

6 このコマンドを実行してデプロイを開始します。.INI ファイルを指定しない場合、スクリプトはデフォルトで ap.iniを使用します。

.\apdeploy.ps1 -iniFile ap1.ini

7 確認の画面が表示されたら、認証情報を入力し、スクリプトの実行を完了します。

注意 ターゲット マシンのフィンガープリントを追加するように要求されたら、[yes] と入力します。

Unified Access Gateway アプライアンスがデプロイされ、本番環境で利用できるようになります。

PowerShell スクリプトの詳細については、https://communities.vmware.com/docs/DOC-30835 を参照してください。

第 3 章 PowerShell を使用した Unified Access Gateway のデプロイ

VMware, Inc. 29

VMware Unified Access Gateway の導入および設定

30 VMware, Inc.

Unified Access Gateway デプロイの使用事例 4

この章で説明するデプロイのシナリオは、自社環境にデプロイされた Unified Access Gateway を識別して編成するのに役立ちます。

Unified Access Gateway は、Horizon View、Horizon Cloud with On-Premises Infrastructure（オンプレミス型）、VMware Identity Manager、および VMware AirWatch にデプロイすることができます。

この章では次のトピックについて説明します。

n Horizon View と Horizon Cloud with On-Premises Infrastructure（オンプレミス型） (P. 31)

n リバース プロキシとしてのデプロイ (P. 36)

n オンプレミスのレガシー Web アプリケーションへのシングル サインオン アクセスのためのデプロイ (P. 41)

n AirWatch Tunnel を使用したデプロイ (P. 48)

Horizon View と Horizon Cloud with On-Premises Infrastructure（オンプレミス型）

Unified Access Gateway は Horizon View と Horizon Cloud with On-Premises Infrastructure（オンプレミス型）にデプロイすることができます。VMware Horizon の View コンポーネントでは、Unified Access Gateway アプライアンスは View セキュリティ サーバが以前に果たしていた役割と同じ役割を果たします。

導入シナリオ

Unified Access Gateway によって、お客様のデータセンターにあるオンプレミスの仮想デスクトップとアプリケーションに、リモートから安全にアクセスできるようになります。これは、Horizon View や Horizon Cloud のオンプレミスのデプロイ環境で動作し、統合管理されます。

Unified Access Gateway を使用すると、企業は高精度のユーザーのアイデンティティを提供し、資格が付与されたデスクトップやアプリケーションへのアクセスを細密に制御できるようになります。

Unified Access Gateway 仮想アプライアンスは、通常、ネットワークの非武装地帯 (DMZ) にデプロイされます。DMZにデプロイすると、確実な方法で認証されたユーザーのトラフィックだけを確実に、データセンターのデスクトップおよ

びアプリケーション リソースに送信できます。また、Unified Access Gateway 仮想アプライアンスは、認証されたユーザーのトラフィックが、ユーザーに資格が付与されたデスクトップやアプリケーション リソースのみに確実に配信されるようにします。この保護レベルでは、アクセスを正確に制御するために、デスクトップ プロトコルの独自の調査、頻繁に変更される可能性があるポリシーやネットワーク アドレスの調整が実行されます。

Horizon で Unified Access Gateway をシームレスにデプロイするための要件を確認してください。

n Unified Access Gateway アプライアンスが Horizon Server の前にあるロード バランサを参照する場合、HorizonServer インスタンスは動的に選択されます。

n Unified Access Gateway は、Horizon セキュリティ サーバの代わりとなります。

VMware, Inc. 31

n デフォルトで、ポート 8443 が Blast TCP/UDP で利用可能である必要があります。ただし Blast TCP/UDP にはポート 443 も設定することができます。

n Horizon と一緒に Unified Access Gateway がデプロイされている場合、Blast Secure Gateway と PCoIP SecureGateway が有効である必要があります。これにより、表示プロトコルを Unified Access Gateway を介して自動的にプロキシとして確実に動作させることができます。BlastExternalURL および pcoipExternalURL 設定は、Unified Access Gateway にある適切なゲートウェイを介して、これらの表示プロトコルの接続をルーティングするために Horizon Client によって使用される接続アドレスを指定します。これにより、表示プロトコルのトラフィックが、認証されているユーザーの代理として確実に制御されるため、セキュリティが向上します。認証されていない

表示プロトコルのトラフィックは、Unified Access Gateway によって無視されます。

n View 接続サーバ インスタンスのセキュア ゲートウェイを無効にし、これらのゲートウェイをUnified Access Gateway アプライアンスで有効にします。

View セキュリティ サーバとの主な違いは、Unified Access Gateway が次のようになることです。

n 安全なデプロイ環境。Unified Access Gateway は、セキュリティが強化され、ロックダウンされた構成済みの Linuxベースの仮想マシンとして実装されます。

n 優れた拡張性。Unified Access Gateway を個別の View 接続サーバに接続したり、複数の View 接続サーバの前にあるロード バランサを介して View 接続サーバに接続したりして、高可用性を向上することもできます。HorizonClient とバック エンドの View 接続サーバ間のレイヤーとして動作します。迅速なデプロイが可能なため、環境を素早く拡大または縮小し、急速に変化する企業のニーズを満たすことができます。

図 4‑1. ロード バランサを参照する Unified Access Gateway アプライアンス

HorizonServer

MicrosoftActive

Directory

実行中の ESXi ホスト仮想デスクトップ

仮想マシン

外部ネットワーク

vCenterManagement

Server

ロード バランサ

ロード バランサ

クライアントデバイス

DMZ

Unified AccessGateway

アプライアンス

VMware Unified Access Gateway の導入および設定

32 VMware, Inc.

また、個別のサーバ インスタンスを参照する 1 台以上の Unified Access Gateway アプライアンスを関連付けることができます。どちらの方法でも、DMZ 内の 2 つ以上の Unified Access Gateway アプライアンスに接続されたロード バランサを使用します。

図 4‑2. Horizon Server インスタンスを参照する Unified Access Gateway アプライアンス

Workspace ONE/Identity Manager

MicrosoftActive

Directory

インターネット

vCenterManagement

Server

ロード バランサ

ロード バランサ

WorkspaceONE Client

DMZ

Unified AccessGateway

アプライアンス

ファイアウォール

ファイアウォール

企業のゾーン

Workspace ONE Client

DNS/NTPサービス

認証

ユーザー認証は、View セキュリティ サーバと似ています。Unified Access Gateway では次のユーザー認証方法がサポートされています。

n Active Directory のユーザー名とパスワード

n キオスク モード。キオスク モードの詳細については、Horizon のドキュメントを参照してください。

n SecurID 向けに RSA によって正式に認定された RSA SecurID の 2 要素認証

n さまざまなサード パーティの 2 要素セキュリティベンダー ソリューションを利用した RADIUS

n スマート カード、CAC、または PIV X.509 ユーザー証明書

第 4 章 Unified Access Gateway デプロイの使用事例

VMware, Inc. 33

n SAML

これらの認証方法は、View 接続サーバとともにサポートされます。Unified Access Gateway は、Active Directory と直接やりとりする上で不要です。この通信は、Active Directory に直接アクセスできる View 接続サーバを介するプロキシとして動作します。認証ポリシーに従ってユーザー セッションが認証されると、Unified Access Gateway は資格情報に関する要求とデスクトップやアプリケーションの起動要求を View 接続サーバに転送できるようになります。また、Unified Access Gateway は承認されているプロトコル トラフィックのみを転送できるようにデスクトップやアプリケーション プロトコル ハンドラを管理します。

Unified Access Gateway はスマート カード認証自体を扱います。無効になっている X.509 証明書を確認するためなど、Unified Access Gateway が Online Certificate Status Protocol (OCSP) サーバと通信するオプションも含まれます。

Horizon 設定の構成Unified Access Gateway を Horizon View および Horizon Cloud with On-Premises Infrastructure からデプロイすることができます。VMware Horizon の View コンポーネントでは、Unified Access Gateway アプライアンスは Viewセキュリティ サーバが以前に果たしていた役割と同じ役割を果たします。

手順

1 管理ユーザー インターフェイスの [手動設定] セクションで、[選択] をクリックします。

2 [全般設定] > [Edge サービス設定] の行で、[表示] をクリックします。

3 [Horizon 設定] のギア アイコンをクリックします。

4 [Horizon 設定] ページで、[いいえ] を [はい] に変更して、Horizon を有効にします。

5 Horizon の次の Edge サービス設定リソースを構成します。

オプション 説明

識別子 デフォルトで View に設定されます。Unified Access Gateway は、View 接続サーバ、Horizon Cloud、Horizon Cloud with On-Premises Infrastructure などのView XML プロトコルを使用するサーバと通信できます。

接続サーバ URL Horizon Server またはロード バランサのアドレスを入力します。https://00.00.00.00のように入力します。

プロキシ接続先の URL のサム プリント Horizon Server のサムプリントのリストを入力します。サムプリントのリストを指定しない場合、サーバ証明書は信頼された認証局 (CA) によって発行される必要があります。16 進数のサムプリントを入力します。たとえば、sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3 のようになります。

6 認証方法のルールや他の詳細設定を構成するには、[詳細表示] をクリックします。

オプション 説明

認証方法 使用する認証方法を選択します。

デフォルトでは、ユーザー名とパスワードのパススルー認証が使用されます。

Unified Access Gateway で構成した認証方式は、ドロップダウン メニューに表示されます。

認証を構成するときには、最初の認証が失敗した場合に適用する 2 番目の認証方法を追加します。

a 最初のドロップダウン メニューから認証方法を 1 つ選択します。b [+] をクリックして、[AND] または [OR] を選択します。c 3 番目のドロップダウン メニューから 2 番目の認証方法を選択します。2 つの認証方法を使用してユーザーを認証するように要求するには、ドロップダウンリストで [OR] を [AND] に変更します。

健全性チェック URL ロード バランサが構成されている場合、ロード バランサが接続してUnified Access Gateway アプライアンスの健全性をチェックするために使用するURL を入力します。

VMware Unified Access Gateway の導入および設定

34 VMware, Inc.

オプション 説明

SAML SP View XML API ブローカの SAML サービス プロバイダの名前を入力します。この名前は、構成されているサービス プロバイダのメタデータの名前と一致するか、DEMOという特別な値でなければなりません。

PCoIP 有効 [いいえ] を [はい] に変更して、PCoIP Secure Gateway を有効にするかどうかを指定します。

プロキシ外部 URL Unified Access Gateway アプライアンスの外部 URL を入力します。クライアントは、この URL を使用し、PCoIP Secure Gateway を介して安全に接続します。この接続は、PCoIP トラフィック用に使用されます。デフォルトは、Unified Access Gateway の IP アドレスとポート 4172 です。

スマート カード ヒント プロンプト [いいえ] を [はい] に変更して、スマート カード ユーザー名のヒント機能をUnified Access Gateway アプライアンスでサポートします。スマート カードのヒント機能を利用すると、1 人のユーザーのスマート カード証明書を複数の ActiveDirectory ドメイン ユーザー アカウントにマッピングできます。

Blast 有効 Blast Secure Gateway を使用するには、[いいえ] を [はい] に変更します。

Blast 外部 URL Blast Secure Gateway を介して Web ブラウザから安全に接続するためにエンドユーザーが使用する Unified Access Gateway アプライアンスの FQDN URL を入力します。https://exampleappliance:443 のように入力します。

UDP トンネル サーバ有効 Horizon Client のネットワーク状態が良くない場合は、これを有効にします。

トンネル有効 View セキュア トンネルが使用されている場合、[いいえ] を [はい] に変更します。クライアントは、View Secure Gateway を介してトンネル接続のための外部 URL を使用します。このトンネルは、RDP、USB、およびマルチメディア リダイレクト(MMR) トラフィック用に使用されます。

トンネル外部 URL Unified Access Gateway アプライアンスの外部 URL を入力します。設定しない場合は、デフォルト値が使用されます。

プロキシ パターン Horizon Server URL (proxyDestinationUrl) に関連する URI と一致する正規表現を入力します。View 接続サーバの場合、Unified Access Gateway アプライアンスを使用するときに HTML Access Web クライアントにリダイレクトするには、通常スラッシュ（/）が使用されます。

Windows ユーザー名と一致 [いいえ] を [はい] に変更すると、RSA SecurID と Windows ユーザー名が一致されます。[はい] に設定すると、securID-auth が true に設定され、securID と Windowsユーザー名の一致が強制されます。

ゲートウェイの場所 [いいえ] を[はい] に変更すると、要求の送信元の場所が有効になります。セキュリティサーバと Unified Access Gateway が、ゲートウェイの場所を設定します。場所は、外部または内部のいずれかです。

Windows SSO 有効 [いいえ] を [はい] に変更すると、RADIUS 認証が有効になります。Windows ログインでは、初めての正常な RADIUS アクセス要求で使用された認証情報が使用されます。

ホスト エントリ /etc/hosts ファイルに追加するホスト エントリのカンマ区切りリストを入力します。各エントリには、IP アドレス、ホスト名、オプションのホスト名エイリアスが、その順番にスペース区切りで含まれています。たとえば、

10.192.168.1 example1.com, 10.192.168.2 example2.comexample-alias のようになります。

7 [保存] をクリックします。

Blast TCP および UDP 外部 URL の構成オプションBlast Secure Gateway には Blast Extreme Adaptive Transport (BEAT) ネットワークが含まれています。これは、速度の変化やパケット損失などのネットワーク状態に動的に適合します。Unified Access Gateway では、BEAT プロトコルによって使用されるポートを構成することができます。

Blast は標準ポート TCP 8443 および UDP 8443 を使用します。UDP トンネル サーバ経由でデスクトップにアクセスする場合は UDP 443 も使用することができます。ポート構成は Blast 外部 URL プロパティによって設定されます。

第 4 章 Unified Access Gateway デプロイの使用事例

VMware, Inc. 35

表 4‑1. BEAT ポート オプション

Blast 外部 URLクライアントによって使用さ

れる TCP ポートクライアントによって使用さ

れる UDP ポート 説明

https://ap1.myco.com 8443 8443 このフォームはデフォルトであり、イン

ターネットから

Unified Access Gateway への接続を可能にするには、TCP 8443 およびオプションで UDP 8443 をファイアウォールで開く必要があります。

https://ap1.myco.com:443 443 8443 TCP 443 または UDP 8443 を開く必要がある場合はこのフォームを使用します。

https://ap1.myco.com:xxxx

xxxx 8443

https://ap1.myco.com:xxxx/?UDPPort=yyyy

xxxx yyyy

デフォルト以外のポートを設定するには、デプロイ時にそれぞれのプロトコル用の内部 IP フォワーディングルールを追加する必要があります。転送ルールは、デプロイ時に OVF テンプレートを使用するか PowerShell コマンドから入力するINI ファイルを使用して指定することができます。

リバース プロキシとしてのデプロイUnified Access Gateway は、Web リバース プロキシとして使用でき、DMZ で簡易リバース プロキシまたは認証リバース プロキシとして動作させることができます。

導入シナリオ

Unified Access Gateway は、VMware Identity Manager のオンプレミス デプロイのために安全なリモート アクセスを提供します。Unified Access Gateway アプライアンスは、通常、ネットワークの非武装地帯 (DMZ) にデプロイされます。VMware Identity Manager では、Unified Access Gateway アプライアンスは、ユーザーのブラウザとデータセンター内の VMware Identity Manager サービスとの間の Web リバース プロキシとして動作します。Unified Access Gateway は、 Workspace ONE カタログへのリモート アクセスを有効にし、Horizon アプリケーションを起動します。

VMware Identity Manager を使用した Unified Access Gateway のデプロイの要件

n スプリット DNS

n VMware Identity Manager アプライアンスには、ホスト名として完全修飾ドメイン名 (FQDN) が必要です。

VMware Unified Access Gateway の導入および設定

36 VMware, Inc.

n Unified Access Gateway は内部 DNS を使用する必要あります。つまり、proxyDestinationURL で FQDN を使用する必要があります。

図 4‑3. VMware Identity Manager を参照する Unified Access Gateway アプライアンス

Workspace ONE/Identity Manager

MicrosoftActive

Directory

インターネット

vCenterManagement

Server

ロード バランサ

ロード バランサ

WorkspaceONE Client

DMZ

Unified AccessGateway

アプライアンス

ファイアウォール

ファイアウォール

企業のゾーン

Workspace ONE Client

DNS/NTPサービス

リバース プロキシについてソリューションとしての Unified Access Gateway は、リモート ユーザーがシングル サインオンでリソースにアクセスできるように、アプリケーション ポータルへのアクセスを提供します。認証リバース プロキシは、Edge Service Managerで有効にします。現在、RSA SecurID と RADIUS の認証方法がサポートされています。

注意 Web リバース プロキシで認証を有効にする前に、ID プロバイダ メタデータを生成する必要があります。

Unified Access Gateway によって、ブラウザベースのクライアント認証の有無に関わらず、VMware Identity Managerおよび Web アプリケーションにリモートからアクセスして、Horizon デスクトップを起動できるようになります。

n ブラウザベースのクライアントでは、認証方式として RADIUS と RSA SecurID の使用がサポートされます。

複数のインスタンスのリバース プロキシを構成することができます。

第 4 章 Unified Access Gateway デプロイの使用事例

VMware, Inc. 37

図 4‑4. 複数のリバース プロキシの構成

注意 authCookie および unSecurePattern プロパティは、認証リバース プロキシでは無効になります。認証方法を定義するには authMethods プロパティを使用する必要があります。

リバース プロキシの構成VMware Identity Manager とともに Unified Access Gateway を使用するように Web リバース プロキシ サービスを構成できます。

開始する前に

VMware Identity Manager を使用して導入するための要件。

n スプリット DNS。スプリット DNS を使用すると、IP が内部か外部かに応じて名前を異なる IP アドレスに解決できます。

n VMware Identity Manager サービスには、ホスト名として完全修飾ドメイン名 (FQDN) を関連付ける必要があります。

n Unified Access Gateway は内部 DNS を使用する必要あります。つまり、プロキシ接続先の URL で FQDN を使用する必要があります。

手順

1 管理ユーザー インターフェイスの [手動設定] セクションで、[選択] をクリックします。

2 [全般設定] > [Edge サービス設定] の行で、[表示] をクリックします。

3 [リバース プロキシの設定] のギア アイコンをクリックします。

4 [リバース プロキシの設定] ページで、[追加] をクリックします。

5 [リバース プロキシ設定を有効にする] セクションで、[いいえ] を [はい] に変更して、リバース プロキシを有効にします。

6 次の Edge サービス設定を構成します。

オプション 説明

識別子 Edge サービスの識別子は Web リバース プロキシに設定されます。

インスタンス ID Web リバース プロキシのインスタンスを識別し、他のすべての Web リバース プロキシのインスタンスと区別するための一意の名前。

プロキシ接続先の URL Web アプリケーションのアドレスを入力します。

VMware Unified Access Gateway の導入および設定

38 VMware, Inc.

オプション 説明

プロキシ接続先の URL サムプリント proxyDestination URL に使用できる SSL サーバ証明書のサムプリントのリストを入力します。ワイルドカード * を含めると、すべての証明書が許可されます。サムプリントは、[alg=]xx:xx の形式になり、alg には sha1 などを指定でき、デフォルトはmd5 となります。「xx」は、16 進数です。たとえば、sha=C3 89 A2 19 DC 7A 482B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3 のようになります。サムプリントを構成しない場合、サーバ証明書は信頼された認証局 (CA) によって発行される必要があります。

プロキシ パターン 宛先 URL に転送する一致する URI パスを入力します。たとえば、(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)) のように入力します。

注意 複数のリバース プロキシを構成するときに、プロキシ ホスト パターンにホスト名を指定します。

7 その他の詳細設定を構成するには、[詳細] をクリックします。

オプション 説明

認証方法 デフォルトでは、ユーザー名とパスワードのパススルー認証が使用されます。

Unified Access Gateway で構成した認証方式は、ドロップダウン メニューに表示されます。

健全性チェック URL ロード バランサが構成されている場合、ロード バランサが接続してUnified Access Gateway アプライアンスの健全性をチェックするために使用するURL を入力します。

SAML SP このフィールドは、UAG を VMware Identity Manager の認証リバース プロキシとして設定する場合に必要です。View XML API ブローカの SAML サービス プロバイダの名前を入力します。この名前は、Unified Access Gateway を使用して構成したサービス プロバイダの名前と一致するか、DEMO という特別な値でなければなりません。Unified Access Gateway を使用して複数のサービス プロバイダが構成されている場合は、その名前は一意である必要があります。

アクティベーション コード VMware Identity Manager サービスによって生成され、Unified Access Gatewayにインポートされ、VMware Identity Manager と Unified Access Gateway 間の信頼を確立するコードを入力します。オンプレミス デプロイではアクティベーションコードが必要でないことに注意してください。アクティベーション コードの生成方法の詳細については、「VMware Identity Manager Cloud Deployment」を参照してください。

外部 URL デフォルト値は、Unified Access Gateway のホスト URL のポート 443 です。別の外部 URL を入力することもできます。「https://<host:port>.」のように入力します。

第 4 章 Unified Access Gateway デプロイの使用事例

VMware, Inc. 39

オプション 説明

安全ではないパターン 既知の VMware Identity Manager のリダイレクト パターンを入力します。例：(/catalog-portal(.)|/|/SAAS/|/SAAS|/SAAS/API/1.0/GET/image(.)|/SAAS/horizon/css(.)|/SAAS/horizon/angular(.)|/SAAS/horizon/js(.)|/SAAS/horizon/js-lib(.)|/SAAS/auth/login(.)|/SAAS/jersey/manager/api/branding|/SAAS/horizon/images/(.)|/SAAS/jersey/manager/api/images/(.)|/hc/(.)/authenticate/(.)|/hc/static/(.)|/SAAS/auth/saml/response|/SAAS/auth/authenticatedUserDispatcher|/web(.)|/SAAS/apps/|/SAAS/horizon/portal/(.)|/SAAS/horizon/fonts(.)|/SAAS/API/1.0/POST/sso(.)|/SAAS/API/1.0/REST/system/info(.)|/SAAS/API/1.0/REST/auth/cert(.)|/SAAS/API/1.0/REST/oauth2/activate(.)|/SAAS/API/1.0/GET/user/devices/register(.)|/SAAS/API/1.0/oauth2/token(.)|/SAAS/API/1.0/REST/oauth2/session(.)|/SAAS/API/1.0/REST/user/resources(.)|/hc/t/(.)/(.)/authenticate(.)|/SAAS/API/1.0/REST/auth/logout(.)|/SAAS/auth/saml/response(.)|/SAAS/(.)/(.)auth/login(.)|/SAAS/API/1.0/GET/apps/launch(.)|/SAAS/API/1.0/REST/user/applications(.)|/SAAS/auth/federation/sso(.)|/SAAS/auth/oauth2/authorize(.)|/hc/prepareSaml/failure(.)|/SAAS/auth/oauthtoken(.)|/SAAS/API/1.0/GET/metadata/idp.xml|/SAAS/auth/saml/artifact/resolve(.)|/hc/(.)/authAdapter(.)|/hc/authenticate/(.)|/SAAS/auth/logout|/SAAS/common.js|/SAAS/auth/launchInput(.)|/SAAS/launchUsersApplication.do(.)|/hc/API/1.0/REST/thinapp/download(.)|/hc/t/(.)/(.)/logout(.*))

認証 Cookie 認証 Cookie 名を入力します。例：HZN

ログイン リダイレクト URL ユーザーがポータルからログアウトした場合は、リダイレクト URL を入力して再度ログインします。例：/SAAS/auth/login?dest=%s

プロキシ ホスト パターン 受信ホストをチェックし、特定のインスタンスのパターンと一致するかを調べるため

に使用される外部ホスト名。Web リバース プロキシ インスタンスを構成する場合、ホスト パターンはオプションです。

ホスト エントリ /etc/hosts ファイルに追加するホスト エントリのカンマ区切りリストを入力します。各エントリには、IP アドレス、ホスト名、オプションのホスト名エイリアスが、その順番にスペース区切りで含まれています。たとえば、

10.192.168.1 example1.com, 10.192.168.2 example2.comexample-alias のようになります。

注意 安全ではないパターン、認証 Cookie、およびログイン リダイレクト URL オプションは VMware IdentityManager でのみ利用できます。ここで指定する値は、Access Point 2.8 と Access Point 2.9 にも適用されます。

注意 authn リバース プロキシの場合、Auth Cookie と UnSecure Pattern プロパティは有効ではありません。認証方法を定義するには Auth Methods プロパティを使用する必要があります。

8 [保存] をクリックします。

次に進む前に

ID ブリッジを有効にする方法については、「ID ブリッジ設定の構成 (P. 43)」を参照してください。

VMware Unified Access Gateway の導入および設定

40 VMware, Inc.

オンプレミスのレガシー Web アプリケーションへのシングル サインオン アクセスのためのデプロイ

Unified Access Gateway ID ブリッジ機能は、Kerberos Constrained Delegation (KCD) またはヘッダーベースの認証を使用するレガシー Web アプリケーションへのシングルサインオン (SSO) を提供するように設定できます。

ID ブリッジ モードの Unified Access Gateway は、設定済みのレガシー アプリケーションにユーザー認証を渡すサービス プロバイダとして機能します。VMware Identity Manager は ID プロバイダとして機能し、SAML アプリケーションへの SSO を提供します。ユーザーが KCD またはヘッダーベースの認証を必要とするレガシー アプリケーションにアクセスする場合、Identity Manager はそのユーザーを認証します。ユーザー情報を含む SAML アサーションがUnified Access Gateway に送信されます。Unified Access Gateway はこの認証を使用して、ユーザーがアプリケーションにアクセスできるようにします。

図 4‑5. Unified Access Gateway ID ブリッジ モード

Unified Access Gatewayに対する SAML アサーション

Workspace ONESSO から SAML、 モバイルおよびクラウド アプリ

UAG

ロード バランサ/ファイアウォール

ロード バランサ/ファイア ウォール

Kerberos形式への

変換

ヘッダーベース形式への変換

KCDアプリ

SAMLアプリ

ヘッダーベースのアプリ

DMZ

第 4 章 Unified Access Gateway デプロイの使用事例

VMware, Inc. 41

ID ブリッジの導入シナリオUnified Access Gateway ID ブリッジ モードは、クラウドまたはオンプレミス環境の VMware Workspace® ONE® で動作するように設定できます。

クラウド環境で Workspace ONE Client に Unified Access Gateway ID ブリッジを使用する

ID ブリッジ モードは、クラウド内の Workspace ONE と連携してユーザーを認証するように設定できます。ユーザーがレガシーの Web アプリケーションへのアクセスを要求する場合、ID プロバイダは適用可能な認証および承認ポリシーを適用します。

ユーザーが検証されると、ID プロバイダは SAML トークンを作成してユーザーに送信します。ユーザーは SAML トークンを DMZ の Unified Access Gateway に渡します。Unified Access Gateway は SAML トークンを検証し、トークンからユーザー プリンシパル名を取得します。

Kerberos 認証の要求の場合、Active Directory サーバとの接続の確立には Kerberos Constrained Delegation が使用されます。Unified Access Gateway はユーザーになりすまして Kerberos トークンを取得し、アプリケーションを認証します。

ヘッダーベース認証の要求の場合、ユーザーのヘッダー名が Web サーバに送信され、アプリケーションの認証を要求します。

アプリケーションは Unified Access Gateway に応答を返します。応答はユーザーに返されます。

図 4‑6. クラウド環境の Workspace ONE との Unified Access Gateway ID ブリッジ

Kerberos形式への

変換ヘッダーベース形式への

変換

Workspace ONE/ブラウザベースのクライアント

認証とアプリケーションの資格

ID プロバイダとしてホストされるWorkspace ONE

ロード バランサ/ファイアウォール

ロード バランサ/ファイアウォール

KCD アプリ

ヘッダーベースのアプリ

UAG

オンプレミス環境で Workspace ONE Client に ID ブリッジを使用する

オンプレミス環境で Workspace ONE を使用するユーザーを認証するように ID ブリッジ モードが設定されている場合、ユーザーは URL を入力して Unified Access Gateway プロキシ経由でオンプレミスのレガシー Web アプリケーションにアクセスします。Unified Access Gateway は認証のために要求を ID プロバイダにリダイレクトします。ID プロバイダは、認証および承認ポリシーを要求に適用します。ユーザーが検証されると、ID プロバイダは SAML トークンを作成し、そのトークンをユーザーに送信します。

VMware Unified Access Gateway の導入および設定

42 VMware, Inc.

ユーザーは SAML トークンを Unified Access Gateway に渡します。Unified Access Gateway は SAML トークンを検証し、トークンからユーザー プリンシパル名を取得します。

Kerberos 認証の要求の場合、Active Directory サーバとの接続の確立には Kerberos Constrained Delegation が使用されます。Unified Access Gateway はユーザーになりすまして Kerberos トークンを取得し、アプリケーションを認証します。

ヘッダーベース認証の要求の場合、ユーザーのヘッダー名が Web サーバに送信され、アプリケーションの認証を要求します。

アプリケーションは Unified Access Gateway に応答を返します。応答はユーザーに返されます。

図 4‑7. オンプレミス環境の Unified Access Gateway ID ブリッジ

インターネット

Workspace ONE/ブラウザベースのクライアント

ロード バランサ/ファイアウォール

ロード バランサ/ファイアウォール

KCD アプリ

IDM IDM

DMZ

グリーン ゾーン

UAG

ヘッダーベースのアプリ

ID ブリッジ設定の構成バックエンド アプリケーションで Kerberos が設定されている場合、Unified Access Gateway で ID ブリッジを設定するには、ID プロバイダのメタデータとキータブ ファイルをアップロードし、KCD レルム設定を構成します。

ヘッダーベースの認証で ID ブリッジを有効にした場合は、キータブ設定と KCD レルムの設定は不要です。

Kerberos 認証の ID ブリッジ設定を構成する前には、以下の状態であることを確認します。

n ID プロバイダが構成され、ID プロバイダの SAML メタデータが保存されている。SAML メタデータ ファイルがUnified Access Gateway にアップロードされている。

n Kerberos 認証の場合、使用するキー配布センターのレルム名を持つ Kerberos を有効にしたサーバが識別されている。

n Kerberos 認証の場合、Kerberos キータブ ファイルを Unified Access Gateway にアップロードする。キータブファイルには、特定のバックエンド サービスのドメイン内のユーザーのために Kerberos チケットを取得するように設定された Active Directory サービス アカウントの認証情報が含まれています。

第 4 章 Unified Access Gateway デプロイの使用事例

VMware, Inc. 43

ID プロバイダ メタデータのアップロード

ID ブリッジ機能を構成するには、ID プロバイダの SAML 証明書メタデータ XML ファイルを Unified Access Gatewayにアップロードする必要があります。

開始する前に

アクセス可能なコンピュータに保存された SAML メタデータ XML ファイル。

VMware Identity Manager を ID プロバイダとして使用している場合は、VMware Identity Manager 管理コンソールの [カタログ] > [SAML メタデータの設定] > [ID プロバイダ (IdP) メタデータ] リンクから、SAML メタデータ ファイルをダウンロードして保存します。

手順

1 管理ユーザー インターフェイスの [手動設定] セクションで、[選択] をクリックします。

2 [詳細設定] - [ID ブリッジの設定] セクションで、[ID プロバイダ メタデータのアップロード] ギア アイコンをクリックします。

3 [エンティティ ID] テキスト ボックスに ID プロバイダのエンティティ ID を入力します。

[エンティティ ID] テキスト ボックスに値を入力しない場合、メタデータ ファイル内の ID プロバイダ名が解析され、ID プロバイダのエンティティ ID として使用されます。

4 [IDP メタデータ] セクションで [選択] をクリックし、保存したメタデータ ファイルを参照します。[開く] をクリックします。

5 [保存] をクリックします。

次に進む前に

KDC 認証の場合は、レルム設定とキータブ設定を構成します。

ヘッダーベースの認証の場合は、ID ブリッジ機能を構成するときに、ユーザー ID を含む HTTP ヘッダーの名前を使用してユーザー ヘッダー名オプションを完成させます。

レルム設定の構成

ドメインのレルム名、レルムのキー配布センター、および KDC タイムアウトを構成します。

レルムは、認証データを保持する管理エンティティの名前です。Kerberos 認証レルムには分かりやすい名前を選択することが重要です。レルム（ドメイン名とも呼ばれる）および Unified Access Gateway での対応する KDC サービスを構成します。UPN 要求が特定のレルムに到達すると、Unified Access Gateway は内部的に KDC を解決し、Kerberosサービス チケットを使用します。

一般的には、レルム名をドメイン名と同一とし、大文字で指定します。たとえば、レルム名は EXAMPLE.NET のようになります。レルム名は、Kerberos クライアントが DNS 名を生成するために使用します。

開始する前に

使用するキー配布センターのレルム名を持つ Kerberos を有効にしたサーバが識別されます。

手順

1 管理ユーザー インターフェイスの [手動設定] セクションで、[選択] をクリックします。

2 [詳細設定] - [ID ブリッジの設定] セクションで、[レルム設定] ギア アイコンをクリックします。

3 [追加] をクリックします。

VMware Unified Access Gateway の導入および設定

44 VMware, Inc.

4 フォームを完成させます。

ラベル 説明

レルムの名前 ドメイン名を使用してレルムを入力します。レルムは大文字で入力します。レルムは Active Directoryに設定されているドメイン名と一致する必要があります。

キー配布センター レルムの KDC サーバを入力します。複数のサーバを追加する場合はリストをカンマで区切ります。

KDC タイムアウト (秒単位)

KDC の応答を待つ時間を入力します。デフォルトは 3 秒です。

5 [保存] をクリックします。

次に進む前に

キータブ設定を構成します。

キータブ設定のアップロード

キータブは、Kerberos プリンシパルと暗号化キーのペアを含むファイルです。シングル サインオンが必要なアプリケーションのためにキータブ ファイルが作成されます。Unified Access Gateway ID ブリッジはキータブ ファイルを使用し、パスワードを入力せずに Kerberos を使用してリモート システムに対する認証を行います。

ユーザーが ID プロバイダから Unified Access Gateway に対して認証されると、Unified Access Gateway は Kerberosドメイン コントローラから Kerberos チケットを要求してユーザーを認証します。

Unified Access Gateway はキータブ ファイルを使用してユーザーになりすまし、内部の Active Directory ドメインに対して認証します。Unified Access Gateway は、Active Directory ドメイン上にドメイン ユーザー サービス アカウントを持っている必要があります。Unified Access Gateway はドメインに直接参加しません。

注意 管理者がサービス アカウントのキータブ ファイルを再生成する場合は、キータブ ファイルを Unified Access Gatewayに再度アップロードする必要があります。

開始する前に

Unified Access Gateway にアップロードする Kerberos キータブ ファイルにアクセスします。キータブ ファイルはバイナリ ファイルです。可能であれば、SCP によるファイル転送または別の安全な方法を使用してコンピュータ間でキータブを転送します。

手順

1 管理ユーザー インターフェイスの [手動設定] セクションで、[選択] をクリックします。

2 [詳細設定] - [ID ブリッジの設定] セクションで、[キータブ設定のアップロード] ギア アイコンをクリックします。

3 （オプション）[プリンシパル名] テキスト ボックスに Kerberos プリンシパル名を入力します。

各プリンシパルは常にレルム名で完全修飾されます。レルム名は大文字にする必要があります。

ここで入力するプリンシパル名がキータブ ファイルにある最初のプリンシパルであることを確認してください。同じプリンシパル名がアップロードされたキータブ ファイルにない場合、キータブ ファイルのアップロードは失敗します。

4 [キータブ ファイルを選択] フィールドで [選択] をクリックし、保存したキータブ ファイルを参照します。[開く] をクリックします。

プリンシパル名を入力しなかった場合、キータブで見つかった最初のプリンシパルが使用されます。複数のキータブ

を 1 つのファイルにマージすることができます。

5 [保存] をクリックします。

次に進む前に

Unified Access Gateway ID ブリッジのための Web リバース プロキシの設定。

第 4 章 Unified Access Gateway デプロイの使用事例

VMware, Inc. 45

ID ブリッジのための Web リバース プロキシの設定ID ブリッジを有効にし、サービスの外部ホスト名を設定し、Unified Access Gateway サービス プロバイダのメタデータ ファイルをダウンロードします。

このメタデータ ファイルは、VMware Identity Manager サービスの Web アプリケーション構成ページにアップロードされます。

開始する前に

Unified Access Gateway 管理ユーザー インターフェイスの [詳細設定] セクションで ID ブリッジ設定が構成されていること。次の設定を構成する必要があります。

n Unified Access Gateway にアップロードされた ID プロバイダのメタデータ。

n 設定された Kerberos プリンシパル名と Unified Access Gateway にアップロードされたキータブ ファイル。

n レルム名とキー配布センターについての情報。

手順

1 管理ユーザー インターフェイスの [手動設定] セクションで、[選択] をクリックします。

2 [全般設定] > [Edge サービス設定] の行で、[表示] をクリックします。

3 [リバース プロキシの設定] のギア アイコンをクリックします。

4 [リバース プロキシの設定] ページで [追加] をクリックして、新しいプロキシ設定を作成します。

5 次の Edge サービス設定を構成します。

オプション 説明

識別子 Edge サービスの識別子は Web リバース プロキシに設定されます。

インスタンス ID Web リバース プロキシ インスタンスの一意の名前。

プロキシ接続先の URL Web アプリケーションの内部 URI を指定します。Unified Access Gateway はこのURL を解決してアクセスできる必要があります。

プロキシ接続先の URL サムプリント このプロキシ設定と一致する URI を入力します。サムプリントは、[alg=]xx:xx の形式になり、alg には sha1 などを指定でき、デフォルトは md5 となります。「xx」は、16 進数です。たとえば、sha=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F6A 3C 33 F2 95 C3 のようになります。サムプリントを構成しない場合、サーバ証明書は信頼された認証局 (CA) によって発行される必要があります。

プロキシ パターン （オプション）ホスト パターンを指定します。ホスト パターンは、プロキシ パターンが一意でない場合に、このプロキシ設定を使用してトラフィックをいつ転送するかを

Unified Access Gateway に示します。これはクライアントの Web ブラウザで使用される URL を使用して決定されます。たとえば、(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)) のように入力します。

6 [ID ブリッジを有効にする] セクションで、[いいえ] を [はい] に変更します。

7 次の ID ブリッジ設定を構成します。

オプション 説明

ID プロバイダ ドロップダウン メニューで、使用する ID プロバイダを選択します。

キータブ ドロップダウン メニューで、このリバース プロキシに対して設定されたキータブを選択します。

ターゲット サービス プリンシパル名 Kerberos サービス プリンシパル名を入力します。各プリンシパルは常にレルム名で完全修飾されます。たとえば、myco_hostname@MYCOMPANY。レルム名を大文字で入力します。テキスト ボックスに名前を追加しない場合、サービス プリンシパル名はプロキシ接続先の URL のホスト名から派生します。

VMware Unified Access Gateway の導入および設定

46 VMware, Inc.

オプション 説明

サービス トップ ベージ アサーションが検証された後に、ユーザーが ID プロバイダでリダイレクトされるページを入力します。デフォルトの設定は / です。

ユーザー ヘッダー名 ヘッダーベースの認証の場合、アサーションから派生したユーザー ID を含む HTTPヘッダーの名前を入力します。

8 [SP メタデータのダウンロード] セクションで、[ダウンロード] をクリックします。

サービス プロバイダのメタデータ ファイルを保存します。

9 [保存] をクリックします。

次に進む前に

Unified Access Gateway サービス プロバイダのメタデータ ファイルを、VMware Identity Manager サービスの Webアプリケーション構成ページに追加します。

Unified Access Gateway サービス プロバイダのメタデータ ファイルを VMware IdentityManager サービスに追加する

ダウンロードした Unified Access Gateway サービス プロバイダのメタデータ ファイルは、VMware Identity Managerサービスの Web アプリケーション構成ページにアップロードする必要があります。

使用する SSL 証明書は、ロード バランシングされた複数の Unified Access Gateway サーバで使用されているものと同じ証明書である必要があります。

開始する前に

コンピュータに保存された Unified Access Gateway サービス プロバイダのメタデータ ファイル

手順

1 VMware Identity Manager 管理コンソールにログインします。

2 [カタログ] タブで、[アプリケーションを追加] をクリックし、[新規作成] を選択します。

3 [アプリケーションの詳細] ページで、[名前] テキスト ボックスにエンドユーザー フレンドリ名を入力します。

4 [SAML 2.0 POST] 認証プロファイルを選択します。

このアプリケーションの説明とアイコンを追加して、Workspace ONE ポータルのエンド ユーザーに表示することもできます。

5 [次へ] をクリックし、[アプリケーション構成] ページで、[次を経由して設定] セクションまでスクロールします。

6 [メタデータ XML] ラジオ ボタンを選択し、Unified Access Gateway サービス プロバイダのメタデータ テキストを [メタデータ XML] テキスト ボックスに貼り付けます。

7 （オプション）[属性マッピング] セクションで、次の属性名をユーザー プロファイル値にマッピングします。FORMATフィールド値は Basic です。属性名は小文字で入力する必要があります。

名前 設定された値

upn userPrincipalName

userid Active Directory ユーザー ID

8 [保存] をクリックします。

第 4 章 Unified Access Gateway デプロイの使用事例

VMware, Inc. 47

次に進む前に

このアプリケーションの使用資格をユーザーおよびグループに付与します。

注意 Unified Access Gateway は単一ドメインのユーザーのみをサポートします。ID プロバイダが複数のドメインで設定されている場合、アプリケーションに対する資格は単一ドメイン内のユーザーのみに与えることができます。

AirWatch Tunnel を使用したデプロイUnified Access Gateway アプライアンスは DMZ にデプロイされます。デプロイする場合には、エージェントやトンネル プロキシ サービスなどの Unified Access Gateway のコンポーネントと AirWatch のコンポーネントをインストールします。

AirWatch 環境に AirWatch Tunnel をデプロイするときには、初期ハードウェアのセットアップ、サーバ情報の構成、AirWatch 管理コンソールでのアプリケーションの設定、インストーラ ファイルのダウンロード、AirWatch Tunnel サーバでのインストーラの実行を行います。

OVF のインストールが完了し、値を変更した後に、各 Edge サービスを手動で設定できます。

AirWatch を使用した Unified Access Gateway のデプロイの詳細については、https://resources.air-watch.com/view/vb7zp7wwhpw756m2pfxy を参照してください。

AirWatch のためのトンネル プロキシのデプロイトンネル プロキシのデプロイ環境では、エンド ユーザーのデバイスと AirWatch から VMware Browser モバイル アプリケーションを介する Web サイト間のネットワーク トラフィックのセキュリティが保護されます。

このモバイル アプリケーションは、トンネル プロキシ サーバと安全な HTTPS 接続を確立して、機密データを保護します。AirWatch トンネル プロキシで自社アプリケーションを使用するには、AirWatch SDK がこの自社アプリケーションに組み込まれており、このコンポーネントによってトンネル機能が追加されていることを確認します。

図 4‑8. トンネル プロキシのデプロイ環境

AirWatch Tunnel

を使用した UnifiedAccess Gateway

エンド ユーザー デバイス

内部リソース：- SharePoint- WIKI- イントラネット

内部ネットワーク

VMware AirWatch

443

80/443

2020,8443

DMZ

ファイアウォール

リレー エンドポイントのデプロイ モデルリレー エンドポイントのデプロイ モデル アーキテクチャには、個別のロールを持つ AirWatch Tunnel の 2 つのインスタンスが含まれています。

AirWatch Tunnel リレー サーバは DMZ に常駐し、設定されたポートを介してパブリック DNS からアクセスできます。

VMware Unified Access Gateway の導入および設定

48 VMware, Inc.

パブリック DNS にアクセスするポートは、アプリケーション単位のトンネルの場合はポート 8443、プロキシの場合はポート 2020 です。AirWatch Tunnel のエンドポイント サーバは、イントラネット サイトと Web アプリケーションをホストする内部ネットワークにインストールされます。AirWatch Tunnel のエンドポイント サーバには、リレー サーバによって解決できる内部 DNS レコードが必要です。このデプロイ モデルは、内部リソースに直接接続されたサーバから公開されたサーバを分離することで追加のセキュリティ層を提供します。

リレー サーバのロールには、AirWatch API と AWCM コンポーネントとの通信、および AirWatch Tunnel に対する要求が実行されたときのデバイスの認証が含まれます。このデプロイ モデルでは、AirWatch Tunnel はリレーから API および AWCM と通信するための送信プロキシをサポートします。アプリケーション単位のトンネル サービスは API およびAWCM と直接通信する必要があります。デバイスが AirWatch Tunnel に対する要求を実行すると、リレー サーバはデバイスがサービスへのアクセス権限を持っているかどうかを判断します。認証されると、要求は単一ポートの HTTPS を使用して AirWatch Tunnel のエンドポイント サーバに安全に転送されます。

注意 デフォルトのポートは 2010 です。

エンドポイント サーバのロールは、デバイスによって要求された内部 DNS または IP アドレスに接続することです。AirWatch コンソールの [AirWatch Tunnel] 設定で [プロキシ経由で API および AWCM 送信呼び出しを有効にする] が[有効] に設定されていない限り、エンドポイント サーバは API または AWCM と通信しません。リレー サーバは定期的に健全性チェックを実行し、エンドポイントがアクティブで利用可能であることを確認します。

これらのコンポーネントは、共有サーバまたは専用サーバにインストールできます。AirWatch Tunnel を専用の Linuxサーバにインストールして、パフォーマンスが同じサーバ上で実行している他のアプリケーションからの影響を受けない

ようにします。リレー エンドポイントのデプロイでは、プロキシとアプリケーション単位のトンネル コンポーネントは同じリレー サーバにインストールされます。エンドポイント サーバにはプロキシ コンポーネントのみがインストールされます。アプリケーション単位のトンネル リレー コンポーネントはプロキシ エンドポイントを使用して内部アプリケーションに接続するため、コンポーネントはリレー エンドポイント ポートおよび同じエンドポイント ホスト名を共有します。

AirWatch による Per-App トンネルのデプロイPer-App トンネルをデプロイした環境では、自社およびパブリック アプリケーションの両方が、安全な社内ネットワークにある社内リソースに安全にアクセスできます。

この場合、iOS 7 以降や Android 5.0 以降などのオペレーティング システムで提供される Per-App 機能が使用されます。これらのオペレーティング システムは、モビリティ管理者に承認された特定のアプリケーションだけが社内のリソースにアクセスできるようにします。このソリューションを使用する利点は、モバイル アプリケーションでコードを変更する必要がないことです。オペレーティング システムでサポートされているため、他の独自のソリューションと比べて、シームレスなユーザー環境と高度なセキュリティが提供されます。

第 4 章 Unified Access Gateway デプロイの使用事例

VMware, Inc. 49

図 4‑9. Per-App トンネルのデプロイ環境

AirWatch Tunnel を備えたUnified Access Gateway

デバイス サービス/AWCM/API

内部リソース：- SharePoint- WIKI- イントラネット

内部ネットワーク

DMZ

443

80/443

2020,8443

443, 2001

Workspace ONE

ファイアウォール

ファイアウォール

AirWatch 向けの Per-App トンネルとプロキシ設定の構成トンネル プロキシのデプロイ環境では、エンド ユーザーのデバイスと VMware Browser モバイル アプリケーションを介する Web サイト間のネットワーク トラフィックのセキュリティが保護されます。

手順

1 管理ユーザー インターフェイスの [手動設定] セクションで、[選択] をクリックします。

2 [全般設定] > [Edge サービス設定] の行で、[表示] をクリックします。

3 [Per App トンネルおよびプロキシ設定] ギア アイコンをクリックします。

4 [いいえ] を [はい] に変更すると、トンネル プロキシが有効になります。

5 次の Edge サービス設定を構成します。

オプション 説明

識別子 デフォルトで View に設定されます。Unified Access Gateway が View XML プロトコルを使用するサーバ（View 接続サーバ、Horizon Air、Horizon Air ハイブリッドモードなど）と通信できます。

API サーバ URL AirWatch API サーバの URL を入力します。たとえば、https://example.com:<port> のように入力します。

API サーバのユーザー名 API サーバにログインするユーザー名を入力します。

API サーバのパスワード API サーバにログインするパスワードを入力します。

組織グループ コード ユーザーの組織を入力します。

AirWatch サーバのホスト名 AirWatch サーバのホスト名を入力します。

VMware Unified Access Gateway の導入および設定

50 VMware, Inc.

6 その他の詳細設定を構成するには、[詳細] をクリックします。

オプション 説明

送信プロキシのホスト 送信プロキシがインストールされるホスト名を入力します。

注意 これは、トンネル プロキシではありません。

送信プロキシのポート 送信プロキシのポート番号を入力します。

送信プロキシのユーザー名 送信プロキシにログインするユーザー名を入力します。

送信プロキシのパスワード 送信プロキシにログインするパスワードを入力します。

NTLM 認証 [いいえ] を [はい] に変更して、送信プロキシで NTLM 認証を要求することを指定します。

AirWatch トンネル プロキシに使用 [いいえ] を [はい] に変更して、このプロキシを AirWatch トンネルの送信プロキシとして使用します。有効にしないと、Unified Access Gateway はこのプロキシを最初の API コールに使用して、AirWatch 管理者コンソールから構成情報を取得します。

ホスト エントリ /etc/hosts ファイルに追加するホスト エントリのカンマ区切りリストを入力します。各エントリには、IP アドレス、ホスト名、オプションのホスト名エイリアスが、その順番にスペース区切りで含まれています。たとえば、

10.192.168.1 example1.com, 10.192.168.2 example2.comexample-alias のようになります。

信頼される証明書 トラスト ストアに追加する信頼される証明書ファイルを選択します。

7 [保存] をクリックします。

第 4 章 Unified Access Gateway デプロイの使用事例

VMware, Inc. 51

VMware Unified Access Gateway の導入および設定

52 VMware, Inc.

TLS/SSL 証明書を使用したUnified Access Gateway の構成 5

Unified Access Gateway アプライアンスでは TLS/SSL 証明書を構成する必要があります。

注意 Unified Access Gateway アプライアンスに構成する TLS/SSL 証明書は、Horizon View、Horizon Cloud、Webリバース プロキシのみに適用されます。

Unified Access Gateway アプライアンスの TLS/SSL 証明書の構成クライアントが Unified Access Gateway アプライアンスに接続するには、TLS/SSL が必要です。クライアントに面した Unified Access Gateway アプライアンスと、TLS/SSL 接続を終了させる中間サーバには、TLS/SSL サーバ証明書が必要です。

TLS/SSL サーバ証明書は、認証局 (CA) によって署名されています。CA は、証明書とその作成者の身元を保証する信頼された機関です。証明書が信頼された CA によって署名されている場合は、証明書の検証を求めるメッセージは表示されず、追加の構成をしなくてもシン クライアント デバイスから接続できます。

デフォルトの TLS/SSL サーバ証明書は、Unified Access Gateway アプライアンスのデプロイ時に生成されます。本番環境では、デフォルト証明書をできるだけ早く置き換えることをお勧めします。デフォルト証明書は、信頼された CA によって署名されていません。デフォルト証明書は、本番環境以外でのみ使用してください。

正しい証明書タイプの選択

Unified Access Gateway では、異なるタイプの TLS/SSL 証明書を使用できます。デプロイに適したタイプの証明書を選択することが重要です。各タイプの証明書は、証明書を使用できるサーバの数に応じてコストが異なります。

どのタイプの証明書を選択した場合でも、証明書の完全修飾ドメイン名 (FQDN) を使用し、VMware のセキュリティに関する推奨事項に従ってください。内部ドメインの範囲内の通信にも、シンプルなサーバ名や IP アドレスは使用しないでください。

単一サーバ名証明書

特定のサーバのサブジェクト名を含む証明書を生成できます。たとえば、dept.example.com のような証明書です。

このタイプの証明書が役立つのは、たとえば、証明書を必要とする Unified Access Gateway アプライアンスが 1 つのみの場合です。

証明書署名要求を認証局 (CA) に送信するときは、証明書に関連付けるサーバ名を指定します。ユーザーが指定したサーバ名を Unified Access Gateway アプライアンスが解決でき、証明書に関連付けられた名前とそのサーバ名が一致することを確認します。

サブジェクトの別名

サブジェクトの別名 (SAN) は、発行する証明書に追加できる属性です。この属性は、証明書にサブジェクト名 (URL) を追加して、複数のサーバを検証できるようにするために使用します。

VMware, Inc. 53

たとえば、ロード バランサの背後にある Unified Access Gateway アプライアンスに対して、ap1.example.com、ap2.example.com、および ap3.example.com という 3 つの証明書が発行されるとします。ロード バランサのホスト名を表す Subject Alternative Names (SAN)（この例では、horizon.example.com など）を追加することにより、証明書は、クライアントが指定したホスト名に一致するため、有効になります。

証明書署名要求を認証局 (CA) に送信する場合は、コモン ネームおよび SAN 名として外部インターフェイスのロード バランサの仮想 IP アドレス (VIP) を指定します。ユーザーが指定したサーバ名を Unified Access Gateway アプライアンスが解決でき、証明書に関連付けられた名前とそのサーバ名が一致することを確認します。

証明書はポート 443 で使用されます。

ワイルドカード証明書

ワイルドカード証明書は、複数のサービスで使用できるようにするために生成されます。たとえば、*.example.com のような証明書です。

ワイルドカードは、多数のサーバが証明書を必要とする場合に便利です。Unified Access Gateway アプライアンスの他に、環境内の他のアプリケーションが TLS/SSL 証明書を必要とする場合は、それらのサーバに対してもワイルドカード証明書を使用できます。ただし、他のサービスと共有されるワイルドカード証明書を使用する場合、VMware Horizon 製品のセキュリティは、それらのサービスのセキュリティにも依存します。

注意 ワイルドカード証明書は、単一レベルのドメインでのみ使用できます。たとえば、*.example.com というサブジェクト名を含むワイルドカード証明書は、サブドメイン dept.example.com では使用できますが、dept.it.example.com では使用できません。

Unified Access Gateway アプライアンスにインポートする証明書は、クライアント マシンによって信頼される必要があります。また、ワイルドカードまたはサブジェクトの別名 (SAN) 証明書を使用して Unified Access Gateway のすべてのインスタンスと任意のロード バランサに適用できる必要もあります。

証明書ファイルの 1 行 PEM 形式への変換Unified Access Gateway REST API を使用して証明書設定を構成したり、 PowerShell スクリプトを使用したりするには、証明書を証明書チェーンおよびプライベート キーの PEM 形式のファイルに変換し、.pem ファイルを埋め込み改行文字を含む 1 行形式に変換する必要があります。

Unified Access Gateway を構成する場合、変換の必要が生じる可能性がある証明書のタイプは 3 つ考えられます。

n 必ず Unified Access Gateway アプライアンス用に TLS/SSL サーバ証明書をインストールして構成する必要があります。

n スマート カード認証を使用する予定の場合、スマート カードに配置する証明書用に信頼された CA が発行する証明書をインストールして構成する必要があります。

n スマート カード認証を使用する予定の場合、Unified Access Gateway アプライアンスにインストールされる SAMLサーバ証明書用に CA が署名したルート証明書をインストールして構成することを推奨します。

これらすべての証明書のタイプで、証明書を証明書チェーンが含まれる PEM 形式に変換するために同じ手順を実行します。TLS/SSL サーバ証明書とルート証明書の場合、各ファイルをプライベート キーが含まれる PEM ファイルにも変換します。次に、各 .pem ファイルを JSON 文字列で Unified Access Gateway REST API に渡すことのできる 1 行形式に変換する必要があります。

開始する前に

n 証明書ファイルがあることを確認します。このファイルは PKCS#12（.p12 または .pfx）形式、あるいは Java JKSまたは JCEKS 形式にできます。

n 証明書を変換するために使用する openssl コマンドライン ツールについて理解しておきます。https://www.openssl.org/docs/apps/openssl.htmlを参照してください。

VMware Unified Access Gateway の導入および設定

54 VMware, Inc.

n 証明書が Java JKS または JCEKS 形式の場合、.pem ファイルに変換する前に、最初に証明書を .p12 または .pks形式に変換するための Java keytool コマンドライン ツールについて理解しておきます。

手順

1 証明書が Java JKS または JCEKS 形式の場合、keytool を使用して証明書を .p12 または .pks 形式に変換します。

重要 この変換中、変換元と変換先で同じパスワードを使用します。

2 証明書が PKCS#12（.p12 または .pfx）形式の場合、または証明書を PKCS#12 形式に変換した後には、opensslを使用して証明書を .pem ファイルに変換します。

たとえば、証明書の名前が mycaservercert.pfx の場合、次のコマンドを使用して証明書を変換します。

openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pemopenssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pemopenssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem

3 mycaservercert.pem を編集し、不要な証明書エントリをすべて削除します。このファイルには、1 つの SSL サーバ証明書の後に、必要なすべての中間 CA 証明書とルート CA 証明書を含めてください。

4 次の UNIX コマンドを使用して各 .pem ファイルを JSON 文字列で Unified Access Gateway REST API に渡すことのできる値に変換します。

awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' <cert-name>.pem

この例で、<cert-name>.pem は証明書ファイルの名前です。証明書はこの例のようになります。

図 5‑1. 単一行の証明書ファイル

この新しい形式では、埋め込み改行文字を含む 1 行に証明書のすべての情報が置かれます。中間証明書がある場合は、中間証明書も 1 行形式に変換し、最初の証明書に追加して両方の証明書が同じ行に存在するようにしてください。

これで、https://communities.vmware.com/docs/DOC-30835のブログ記事「Using PowerShell to DeployVMware Access Point」に添付されている PowerShell スクリプトをこれらの .pem ファイルとともに使用して、Unified Access Gateway の証明書を構成できるようになりました。または、JSON 要求を作成し、これを使用して証明書を構成することもできます。

第 5 章 TLS/SSL 証明書を使用した Unified Access Gateway の構成

VMware, Inc. 55

次に進む前に

TLS/SSL サーバ証明書を変換した場合、「Unified Access Gateway のデフォルト TLS/SSL サーバ証明書の置換 (P. 56)」を参照してください。スマート カード認証については、「Unified Access Gateway アプライアンスでの証明書またはスマート カード認証の構成 (P. 59)」を参照してください。

Unified Access Gateway のデフォルト TLS/SSL サーバ証明書の置換信頼された証明機関 (CA) が署名した TLS/SSL サーバ証明書を Unified Access Gateway アプライアンスに保存するには、証明書を適切な形式に変換し、管理ユーザー インターフェイスまたは PowerShell スクリプトを使用して証明書を構成する必要があります。

本番環境では、デフォルト証明書をできるだけ早く置き換えることを強くお勧めします。Unified Access Gateway アプライアンスのデプロイ時に生成されるデフォルトの TLS/SSL サーバ証明書は、信頼された認証局によって署名されていません。

重要 信頼された CA によって署名された証明書を、その有効期限が切れる前に定期的に（たとえば、2 年ごとに）置換する場合も、この手順を使用します。

この手順では、REST API を使用して証明書を置き換える方法について説明します。

開始する前に

n 有効な TLS/SSL サーバ証明書とその秘密鍵がまだない場合は、認証局から新しい署名証明書を取得します。証明書を取得するために証明書署名要求 (CSR) を生成するときは、秘密鍵も生成されることを確認します。サーバの証明書を生成するときは、1024 未満の KeyLength 値を使用しないでください。

CSR を生成するには、クライアント デバイスが Unified Access Gateway アプライアンスに接続する際に使用する完全修飾ドメイン名 (FQDN) と、組織単位、組織、市区町村、都道府県、国を理解して、サブジェクト名を作成する必要があります。

n 証明書を PEM 形式のファイルに変換した後、.pem ファイルを 1 行形式に変換します。「証明書ファイルの 1 行 PEM形式への変換 (P. 54)」を参照してください。

手順

1 管理ユーザー インターフェイスの [手動設定] セクションで、[選択] をクリックします。

2 [詳細設定] > [TLS サーバ証明書設定] で、ギア アイコンをクリックします。

3 プライベート キーに対して [選択] をクリックし、プライベート キー ファイルを参照します。[開く] をクリックして、ファイルをアップロードします。

4 証明書チェーンに対して [選択] をクリックし、証明書ファイルを参照します。[開く] をクリックして、ファイルをアップロードします。

5 [保存] をクリックします。

証明書が承認されると、成功を示すメッセージが表示されます。

次に進む前に

証明書を署名した CA が不明な場合は、ルート証明書および中間証明書を信頼するようにクライアントを構成します。

TLS や SSL 通信に使用されるセキュリティ プロトコルと暗号化スイートの変更ほとんどの場合、デフォルト設定を変更する必要はありませんが、クライアントと Unified Access Gateway アプライアンス間の通信を暗号化するために使用されるセキュリティ プロトコルと暗号化アルゴリズムは構成できます。

デフォルト設定では、匿名 DH アルゴリズムを除く 128 ビットまたは 256 ビット AES 暗号化のいずれかを使用する暗号化スイートが含まれており、これらは強度によって並べ替えられます。デフォルトでは、TLS v1.1 と TLS v1.2 が有効になっています TLS v1.0 と SSL v3.0 は無効になっています。

VMware Unified Access Gateway の導入および設定

56 VMware, Inc.

開始する前に

n Unified Access Gateway REST API について理解しておきます。この API の仕様は、Unified Access Gateway がインストールされている仮想マシンの次の URL で使用できます：https://<access-point-appliance.example.com>:9443/rest/swagger.yaml。

n 暗号化スイートとプロトコルを構成するための次に示す特定のプロパティについて理解しておきます。

cipherSuites、ssl30Enabled、tls10Enabled、tls11Enabled、および tls12Enabled。

手順

1 使用するプロトコルと暗号化スイートを指定するための JSON 要求を作成します。

次の例ではデフォルト設定になっています。

{"cipherSuites": "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA", "ssl30Enabled": "false", "tls10Enabled": "false", "tls11Enabled": "true", "tls12Enabled": "true"}

2 curl や postman などの REST クライアントを使用し、JSON 要求を使用して Unified Access Gateway REST APIを呼び出し、プロトコルと暗号化スイートを構成します。

この例で、<access-point-appliance.example.com> は Unified Access Gateway アプライアンスの完全修飾ドメイン名です。

curl -k -d @- -u 'admin' -H "Content-Type: application/json" -X PUT https://<access-point-appliance.example.com>:9443/rest/v1/config/system < ~/<ciphers>.json

<ciphers>.json は前の手順で作成した JSON 要求です。

指定した暗号化スイートとプロトコルが使用されます。

第 5 章 TLS/SSL 証明書を使用した Unified Access Gateway の構成

VMware, Inc. 57

VMware Unified Access Gateway の導入および設定

58 VMware, Inc.

DMZ での認証の設定 6Unified Access Gateway を最初にデプロイするときに、Active Directory のパスワード認証がデフォルトとしてセットアップされます。ユーザーが Active Directory のユーザー名とパスワードを入力すると、これらの資格情報が認証のためにバックエンド システムを介して送信されます。

証明書/スマート カード認証、RSA SecurID 認証、RADIUS 認証、および RSA Adaptive Authentication を実行するように Unified Access Gateway サービスを設定できます。

注意 Active Directory によるパスワード認証は、AirWatch のデプロイ環境で使用できる唯一の認証方法です。

この章では次のトピックについて説明します。

n Unified Access Gateway アプライアンスでの証明書またはスマート カード認証の構成 (P. 59)

n Unified Access Gateway での RSA SecurID 認証の構成 (P. 62)

n Unified Access Gateway の RADIUS の構成 (P. 63)

n Unified Access Gateway での RSA Adaptive Authentication の構成 (P. 64)

n Unified Access Gateway SAML メタデータの生成 (P. 66)

Unified Access Gateway アプライアンスでの証明書またはスマート カード認証の構成

Unified Access Gateway で X.509 証明書認証を構成すると、クライアントがデスクトップやモバイル デバイス上の証明書や、スマート カード アダプタを使用して認証できます。

証明書による認証は、ユーザーに提供する物（プライベート キーまたはスマート カード）とユーザーに提供する情報（プライベート キーのパスワードまたはスマート カードの PIN）に基づいて行われます。スマート カード認証は、個人が持っているもの（スマート カード）と個人が知っていること (PIN) の両方を検証することによって、2 要素認証を提供します。エンド ユーザーは、スマート カードを使用して、リモート側の View デスクトップ オペレーティング システムにログインしたり、スマートカード対応アプリケーションへのアクセス、たとえば、E メール署名用の証明書を使用して送信者の ID を証明する E メール アプリケーションに対して、スマート カードを使用することもできます。

この機能を使用すると、Unified Access Gateway サービスに対してスマート カード証明書の認証が実行されます。Unified Access Gateway は、SAML アサーションを使用してエンド ユーザーの X.509 証明書とスマート カードの PINに関する情報を Horizon Server とやりとりします。

証明書失効チェックを構成すると、ユーザー証明書が失効したユーザーは認証されなくなります。証明書は、ユーザーが

組織を離れたとき、スマート カードを紛失したとき、別の部門に異動したときなどに失効します。証明書失効リスト (CRL)とオンライン証明書ステータス プロトコル (OCSP) 証明書の失効チェックがサポートされます。CRL は、証明書を発行した CA によって公開される、失効した証明書のリストです。OCSP は、証明書の失効ステータスを取得するために使用される証明書検証プロトコルです。

VMware, Inc. 59

同じ証明書認証アダプタの構成で CRL と OCSP の両方を構成できます。両方のタイプの証明書失効チェックを構成し、[OCSP の障害時に CRL を使用する] チェック ボックスを有効にしている場合、OCSP が最初にチェックされ、OCSP で障害が発生した場合には、CRL に戻って失効チェックが実行されます。CRL で障害が発生した場合、OCSP に戻って失効チェックが実行されることはありません。

また、Unified Access Gateway がスマート カード認証を要求するように認証を設定することもできますが、その場合、認証はサーバにもパススルーされるため、Active Directory 認証が必要になる場合があります。

注意 VMware Identity Manager の場合、認証は常に、Unified Access Gateway を介して VMware Identity Managerサービスに渡されます。Unified Access Gateway が Horizon 7 と併用されている場合のみ、Unified Access Gatewayアプライアンスでスマート カード認証が実行されるように構成できます。

Unified Access Gateway での証明書認証の設定証明書による認証は、Unified Access Gateway 管理コンソールから有効にして設定します。

開始する前に

n ユーザーから提示された証明書に署名した認証局 (CA) からルート証明書と中間証明書を入手します。「証明機関の証明書の取得 (P. 61)」を参照してください。

n Unified Access Gateway の SAML メタデータがサービス プロバイダに追加され、サービス プロバイダの SAMLメタデータが Unified Access Gateway アプライアンスにコピーされていることを確認します。

n （オプション）証明書認証のための有効な証明書ポリシーのオブジェクト識別子 (OID) のリスト。

n 失効チェックのための、CRL のファイルの場所および OCSP サーバの URL。

n （オプション）OCSP 応答署名証明書ファイルの場所。

n 認証の前に同意書が表示される場合には、同意書の内容。

手順

1 管理ユーザー インターフェイスの [手動設定] セクションで、[選択] をクリックします。

2 [全般設定] の [認証設定] セクションで、[表示] をクリックします。

3 X.509 証明書の行でギア アイコンをクリックします。

4 X.509 証明書のフォームを構成します。

アスタリスクは、必須のテキスト ボックスを示します。他のすべてのテキスト ボックスはオプションです。

オプション 説明

X.509 証明書を有効にする [いいえ] を [はい] に変更すると、証明書認証が有効になります。

*名前 この認証方法の名前を指定します。

*ルートおよび中間 CA 証明書 [選択] をクリックして、アップロードする証明書ファイルを選択します。DER またはPEM としてエンコードされた複数のルート CA および中間 CA 証明書を選択できます。

CRL キャッシュ サイズ 証明書失効リストのキャッシュ サイズを入力します。デフォルトは 100 です。

証明書の失効を有効にする [いいえ] を [はい] に変更すると、証明書の失効チェックが有効になります。失効チェックにより、ユーザー証明書が失効したユーザーは認証されなくなります。

証明書の CRL を使用 証明書を発行した 認証局 (CA) が公開する証明書失効リスト (CRL) を使用して証明書のステータス（失効しているかどうか）を確認するには、このチェック ボックスをオンにします。

CRL の場所 CRL を取得するサーバのファイル パスまたはローカル ファイル パスを入力します。

OCSP の失効を有効にする 証明書検証プロトコルとして Online Certificate Status Protocol (OCSP) を使用して、証明書の失効ステータスを取得するには、このチェック ボックスをオンにします。

OCSP で障害が発生したときに CRL を使用 CRL と OCSP の両方を構成し、OCSP チェックが利用できない場合に CRL の使用に戻るには、このチェック ボックスをオンにします。

VMware Unified Access Gateway の導入および設定

60 VMware, Inc.

オプション 説明

OCSP Nonce を送信する 応答時に、OCSP 要求の一意の ID を送信する場合は、このチェック ボックスをオンにします。

OCSP URL OCSP による失効を有効にした場合は、失効チェック用の OCSP サーバ アドレスを入力します。

OCSP レスポンダが署名した証明書 レスポンダの OCSP 証明書のパスを入力します。たとえば、</path/to/file.cer> のようになります。

認証前に同意書を有効にする ユーザーが証明書認証を使用して Workspace ONE ポータルにログインする前に同意書ページを表示するには、このチェック ボックスをオンにします。

同意書の内容 同意書に表示するテキストをここに入力します。

5 [保存] をクリックします。

次に進む前に

X.509 証明書認証を構成し、ロード バランサの背後で Unified Access Gateway アプライアンスがセットアップされている場合、ロード バランサで Unified Access Gateway が SSL パススルーで構成されており、ロード バランサで SSL を終端させないように構成します。この構成では、Unified Access Gateway とクライアント間で SSL ハンドシェークを確実に実行し、Unified Access Gateway に証明書を渡すことができます。

証明機関の証明書の取得

ユーザーまたは管理者が提示したスマート カード上のすべての信頼されたユーザー証明書について、該当するすべてのCA（証明機関）の証明書を取得する必要があります。これらの証明書にはルート証明書が含まれ、ユーザーのスマートカード証明書が中間証明機関によって発行された場合には中間証明書が含まれる場合があります。

ユーザーおよび管理者によって提示されたスマート カード上の証明書に署名した CA のルート証明書または中間証明書を持っていない場合、CA が署名したユーザー証明書またはそれを含むスマート カードから証明書をエクスポートできます。「Windows からの CA 証明書の取得 (P. 61)」を参照してください。

手順

u CA の証明書は次のいずれかの発行元から取得します。

n Microsoft Certificate Services を実行する Microsoft IIS サーバ。Microsoft IIS のインストール、証明書の発行、および組織内での証明書配布の詳細については、Microsoft TechNet の Web サイトを参照してください。

n 信頼された CA の公開ルート証明書。これは、スマート カード インフラストラクチャがすでに使用されていて、スマート カードの配布および認証方法が標準化されている環境で最もよく利用されるルート証明書の発行元です。

次に進む前に

ルート証明書と中間証明書のいずれかまたは両方をサーバ信頼ストア ファイルに追加します。

Windows からの CA 証明書の取得

CA が署名したユーザー証明書またはそれを含むスマート カードがあり、Windows でルート証明書が信頼される場合は、そのルート証明書を Windows からエクスポートできます。ユーザー証明書の発行元が中間証明機関である場合は、その証明書をエクスポートできます。

手順

1 ユーザー証明書がスマート カード上にある場合は、そのスマート カードをリーダに挿入して、ユーザー証明書を個人用ストアに追加します。

ユーザー証明書が個人用ストアに表示されない場合は、リーダ ソフトウェアを使用してユーザー証明書をファイルにエクスポートします。このファイルは、この操作の手順 4 で使用されます。

2 Internet Explorer で [ツール] - [インターネット オプション] を選択します。

第 6 章 DMZ での認証の設定

VMware, Inc. 61

3 [コンテンツ] タブで [証明書] をクリックします。

4 [個人] タブで、使用する証明書を選択し、[表示] をクリックします。

ユーザー証明書がリストに表示されない場合は、[インポート] をクリックして手動でファイルからインポートします。証明書がインポートされると、その証明書をリストから選択できます。

5 [証明のパス] タブで、ツリーの最上位にある証明書を選択して [証明書を表示] をクリックします。

ユーザー証明書が信頼階層の一部として署名されている場合は、署名する証明書が別の上位の証明書によって署名さ

れていることがあります。親証明書（ユーザー証明書に実際に署名した証明書）をルート証明書として選択してくだ

さい。場合によっては発行元が中間 CA となります。

6 [詳細] タブで [ファイルにコピー] をクリックします。

[証明書のエクスポート ウィザード] が表示されます。

7 [次へ] - [次へ] をクリックし、エクスポートするファイルの名前と場所を入力します。

8 [次へ] をクリックして、指定した場所にファイルをルート証明書として保存します。

次に進む前に

CA 証明書をサーバ信頼ストア ファイルに追加します。

Unified Access Gateway での RSA SecurID 認証の構成Unified Access Gateway アプライアンスを RSA SecurID サーバの認証エージェントとして構成したら、Unified Access Gateway アプライアンスに RSA SecurID 構成情報を追加する必要があります。

開始する前に

n RSA Authentication Manager（RSA SecurID サーバ）がインストールされ、正しく構成されていることを確認します。

n 圧縮ファイル sdconf.rec を RSA SecurID サーバからダウンロードし、サーバ構成ファイルを展開します。

手順

1 管理ユーザー インターフェイスの [手動設定] セクションで、[選択] をクリックします。

2 [全般設定] の [認証設定] セクションで、[表示] をクリックします。

3 RSA SecurID の行でギア アイコンをクリックします。

4 [RSA SecurID] ページを構成します。

RSA SecurID サーバで使用される情報と生成されるファイルは、[SecurID] ページを構成する際に必要です。

オプション アクション

RSA SecurID を有効にする

[いいえ] を [はい] に変更すると、SecurID 認証が有効になります。

*名前 名前は securid-auth です。

*反復回数 許可される認証試行回数を入力します。これは、RSA SecurID トークンを使用する場合のログイン失敗が許可される最大回数です。デフォルトは、5 回です。注意 複数のディレクトリが構成されており、追加のディレクトリを使用して RSA SecurID 認証を実装するときは、各 RSA SecurID と同じ値を [許可されている認証試行回数] に設定します。この値が同一でない場合、SecurID認証は失敗します。

*外部ホスト名 Unified Access Gateway インスタンスの IP アドレスを入力します。入力する値は、認証エージェントとしてUnified Access Gateway アプライアンスを RSA SecurID サーバに追加するときに使用した値と一致する必要があります。

*内部ホスト名 RSA SecurID サーバの [IP アドレス] プロンプトに割り当てられている値を入力します。

VMware Unified Access Gateway の導入および設定

62 VMware, Inc.

オプション アクション

*サーバ構成 [変更] をクリックして、RSA SecurID サーバの構成ファイルをアップロードします。最初に、RSA SecurID サーバから圧縮ファイルをダウンロードしてサーバ構成ファイル（デフォルトの名前は sdconf.rec）を解凍する必要があります。

*名前 ID のサフィックス

View が TrueSSO 環境を提供できるようにする nameId を入力します。

Unified Access Gateway の RADIUS の構成RADIUS 認証の使用をユーザーに要求するように Unified Access Gateway を構成できます。RADIUS サーバ情報はUnified Access Gateway アプライアンス上で構成します。

RADIUS サポートは、さまざまな代替 2 要素トークン ベースの認証オプションを提供します。RADIUS などの二要素認証ソリューションは、別のサーバでインストールされている認証マネージャと連携動作するため、Identity Manager サービスにアクセスできる構成済みの RADIUS サーバが必要となります。

ユーザーがログインするときに RADIUS 認証が有効になっていると、特別なログイン ダイアログ ボックスがブラウザに表示されます。ユーザーは RADIUS 認証のユーザー名とパスコードをログイン ダイアログ ボックスに入力します。RADIUSサーバがアクセス チャレンジを発行する場合は、Unified Access Gateway によって、2 つ目のパスコードの入力を求めるダイアログ ボックスが表示されます。RADIUS チャレンジの現在のサポートは、テキスト入力に対するプロンプトの表示に限られます。

ユーザーがダイアログ ボックスに認証情報を入力したら、ユーザーの携帯電話に対し、コードとともに、RADIUS サーバから SMS テキスト メッセージやメールを送信したり、他の何らかのアウトオブバンド メカニズムを使用してテキストを送信したりできます。ユーザーはこのテキストとコードをログイン ダイアログ ボックスに入力して、認証を完了できます。

Active Directory からユーザーをインポートできる RADIUS サーバの場合、エンド ユーザーは、RADIUS 認証のユーザー名とパスコードの入力を求められる前に、まず Active Directory 認証情報の入力を求められることがあります。

RADIUS 認証の構成Unified Access Gateway アプライアンスでは、RADIUS 認証を有効にして、RADIUS サーバの設定を入力し、認証タイプを RADIUS 認証に変更する必要があります。

開始する前に

n 認証マネージャのサーバとして使用するサーバに RADIUS ソフトウェアがインストールされ構成されていることを確認します。RADIUS サーバをセットアップし、Unified Access Gateway の RADIUS 要求を設定します。RADIUSサーバの設定に関する詳細については、RADIUS ベンダーのセットアップ ガイドを参照してください。

次の RADIUS サーバ情報は必須です

n RADIUS サーバの IP アドレスまたは DNS 名。

n 認証ポート番号。認証ポートは、通常 1812 です。

n 認証タイプ。認証タイプには、PAP（パスワード認証プロトコル）、CHAP（チャレンジ ハンドシェイク認証プロトコル）、MSCHAP1 および MSCHAP2（Microsoft チャレンジ ハンドシェイク認証プロトコル、バージョン 1 および 2）があります。

n RADIUS プロトコル メッセージで暗号化および復号化に使用される RADIUS 共有シークレット。

n RADIUS 認証に必要な特定のタイムアウトおよび再試行の値。

手順

1 管理ユーザー インターフェイスの [手動設定] セクションで、[選択] をクリックします。

2 [全般設定] の [認証設定] セクションで、[表示] をクリックします。

第 6 章 DMZ での認証の設定

VMware, Inc. 63

3 RADIUS の行でギア アイコンをクリックします。

オプション アクション

RADIUS を有効にする

[いいえ] を [はい] に変更すると、RADIUS 認証が有効になります。

名前* 名前は radius-auth です

認証タイプ* RADIUS サーバでサポートされている認証プロトコルを入力します。PAP、CHAP、MSCHAP1、MSCHAP2 のいずれかを入力します。

共有シークレッ

ト*RADIUS 共有シークレットを入力します。

許可されている

認証試行回数*RADIUS を使用してログインする場合のログイン失敗が許可される最大回数を入力します。デフォルトは、3 回です。

RADIUS サーバへの試行回数*

再試行の合計回数を入力します。プライマリ サーバが反応しない場合、サービスは決められた時間が経つまで待機してから再試行します。

秒単位のサーバ

タイムアウト*RADIUS サーバのタイムアウトを秒単位で入力します。この時間が経過しても RADIUS サーバが応答しない場合には、再試行が送信されます。

RADIUS サーバのホスト名*

RADIUS サーバのホスト名または IP アドレスを入力します。

認証ポート* Radius 認証のポート番号を入力します。ポートは、通常 1812 です。

レルム プリフィックス

（オプション）ユーザー アカウントの場所はレルムと呼ばれます。レルムのプリフィックス文字列を指定すると、ユーザー名が RADIUS サーバに送信されるときに、その文字列が名前の先頭に追加されます。たとえば、jdoe というユーザー名が入力され、レルムのプリフィックスとしてDOMAIN-A\ が指定された場合は、DOMAIN-A\jdoe というユーザー名が RADIUS サーバに送信されます。これらのフィールドを構成しない場合は、入力したユーザー名だけが送信されます。

レルムのサ

フィックス

（オプション）レルムのサフィックスを構成すると、その文字列はユーザー名の末尾に追加されます。たとえば、

サフィックスが @myco.com の場合は、jdoe@myco.com というユーザー名が RADIUS サーバに送信されます。

名前 ID のサフィックス

View が True SSO 環境を提供できるようにする nameId を入力します。

ログイン ページのパスフレーズ

のヒント

正しい RADIUS パスコードの入力をユーザーに促すために、ユーザー ログイン ページに表示するテキスト文字列を入力します。たとえば、このフィールドに [Active Directory パスワード、それから SMS パスコード] と設定すると、ログイン ページのメッセージでは [Active Directory パスワード、それから SMS パスコードを入力してください] のように表示されます。デフォルトのテキスト文字列は、[RADIUS Passcode] です。

セカンダリ サーバを有効にする

[いいえ] を [はい] に変更して、セカンダリ RADIUS サーバを構成し高可用性環境を構築します。セカンダリ サーバの情報は、手順 3 の説明に従って構成します。

4 [保存] をクリックします。

Unified Access Gateway での RSA Adaptive Authentication の構成RSA Adaptive Authentication は、Active Directory に対するユーザー名とパスワードだけの認証よりも強固な複数要素の認証を実現するよう実装できます。Adaptive Authentication により、リスク レベルとポリシーに基づいて、ユーザーのログイン試行が監視され、認証されます。

Adaptive Authentication が有効になっている場合は、RSA Policy Management アプリケーションでセットアップされるリスク ポリシーで指定されたリスク指標、およびアダプティブ認証の Unified Access Gateway 構成を使用して、ユーザー名とパスワードでユーザー認証を行うかどうかや、ユーザー認証に追加情報が必要かどうかが決定されます。

サポートされている RSA Adaptive Authentication 認証方法Access Point でサポートされている RSA Adaptive Authentication による強固な認証方法は、電話、メール、またはSMS テキスト メッセージ経由のアウトオブバンド認証とチャレンジ質問です。サービス上で、提供できる RSA AdaptiveAuthentication 認証方法を有効にします。RSA Adaptive Authentication ポリシーにより、使用されるセカンダリ認証方法が決まります。

VMware Unified Access Gateway の導入および設定

64 VMware, Inc.

アウトオブバンド認証は、ユーザー名とパスワードに加えて、追加検証の送信を必要とするプロセスです。ユーザーは

RSA Adaptive Authentication サーバに登録する際に、サーバ構成に応じて、メール アドレス、電話番号、またはその両方を提供します。追加検証が必要な場合は、提供されたチャネルを使用して、RSA Adaptive Authentication サーバからワンタイム パスコードが送信されます。ユーザーは、自身のユーザー名とパスワードに加えて、そのパスコードを入力します。

チャレンジ質問では、ユーザーに対し、RSA Adaptive Authentication サーバに登録する際に一連の質問に回答するよう求めます。登録のために尋ねる質問の数、およびログイン ページで表示するチャレンジ質問の数は設定可能です。

RSA Adaptive Authentication サーバによるユーザーの登録アダプティブ認証を使用して認証を行うためには、RSA Adaptive Authentication データベースで、ユーザーのプロビジョニングを行う必要があります。ユーザーは、ユーザー名とパスワードで初めてログインしたときに、RSA AdaptiveAuthentication データベースに追加されます。RSA Adaptive Authentication のサービスでの構成内容に応じて、ユーザーはログインするときにメール アドレス、電話番号、テキスト メッセージング サービス番号 (SMS) を提供するよう求められたり、チャレンジ質問に返答するよう求められたりします。

注意 RSA Adaptive Authentication では、ユーザー名での国際文字の使用は許可されていません。ユーザー名でのマルチバイト文字の使用を許可する場合は、RSA サポートに問い合わせて、RSA Adaptive Authentication と RSAAuthentication Manager を構成してください。

Unified Access Gateway での RSA Adaptive Authentication の構成サービス上で RSA Adaptive Authentication を構成するには、RSA Adaptive Authentication を有効にします。有効にするには、適用するアダプティブ認証方法を選択し、Active Directory の接続情報と証明書を追加します。

開始する前に

n セカンダリ認証に使用する認証方法で正しく構成されている RSA Adaptive Authentication。

n SOAP エンドポイント アドレスおよび SOAP ユーザー名についての詳細。

n Active Directory 構成情報および有効な Active Directory SSL 証明書。

手順

1 管理ユーザー インターフェイスの [手動設定] セクションで、[選択] をクリックします。

2 [全般設定] の [認証設定] セクションで、[表示] をクリックします。

3 RSA Adaptive Authentication の行でギア アイコンをクリックします。

4 お使いの環境に適切な設定を選択します。

注意 アスタリスクは、必須フィールドを示します。その他のフィールドはオプションです。

オプション 説明

RSA AA アダプタを有効にする [いいえ] を [はい] に変更すると、RSA Adaptive Authentication が有効になります。

名前* 名前は rsaaa-auth です。

SOAP エンドポイント* RSA Adaptive Authentication アダプタとサービスを統合する SOAP エンドポイント アドレスを入力します。

SOAP ユーザー名* SOAP メッセージへの署名に使用されるユーザー名とパスワードを入力します。

SOAP パスワード* RSA Adaptive Authentication SOAP API のパスワードを入力します。

RSA ドメイン Adaptive Authentication サーバのドメイン アドレスを入力します。

OOB メールを有効にする [はい] を選択すると、メール メッセージを使用してエンド ユーザーにワンタイム パスコードを送信するアウトオブバンド認証が有効になります。

OOB SMS を有効にする [はい] を選択すると、SMS のテキスト メッセージを使用してエンド ユーザーにワンタイム パスコードを送信するアウトオブバンド認証が有効になります。

第 6 章 DMZ での認証の設定

VMware, Inc. 65

オプション 説明

SecurID を有効にする SecurID を有効にするには、[はい] を選択します。ユーザーは、RSA トークンとパスコードの入力を求められます。

秘密の質問を有効にする 認証に登録とチャレンジ質問を使用する場合は、[はい] を選択します。

登録のための質問数* ユーザーが Authentication Adapter サーバに登録するときにセットアップする必要がある質問数を入力します。

チャレンジのための質問数* ユーザーがログインするために正しく回答する必要があるチャレンジ質問数を入力し

ます。

許可されている認証試行回数* ログインしようとしているユーザーに対し、チャレンジ質問を表示する回数を入力し

ます。ユーザーの試行回数がこの回数を超えると、認証失敗になります。

ディレクトリのタイプ* サポートされているディレクトリは、Active Directory だけです。

SSL を使用 ディレクトリ接続に SSL を使用する場合、[はい] を選択します。Active DirectorySSL 証明書を [ディレクトリ証明書] フィールドに追加します。

サーバのホスト* Active Directory のホスト名を入力します。

サーバ ポート Active Directory のポート番号を入力します。

DNS サービス ロケーションを使用 ディレクトリ接続に DNS サービス ロケーションを使用する場合は、[はい] を選択します。

ベース DN アカウント検索を開始する DN を入力します。たとえば、OU=myUnit,DC=myCorp,DC=com のように入力します。

バインド DN* ユーザーを検索できるアカウントを入力します。たとえば、

CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。

バインド パスワード バインド DN アカウントのパスワードを入力します。

検索属性 ユーザー名を含むアカウント属性を入力します。

ディレクトリ証明書 安全な SSL 接続を確立するには、ディレクトリ サーバの証明書をテキスト ボックスに追加します。サーバが複数の場合は、証明機関のルート証明書を追加します。

STARTTLS を使用 STARTTLS を使用するには、[いいえ] を [はい] に変更します。

5 [保存] をクリックします。

Unified Access Gateway SAML メタデータの生成SAML メタデータを Unified Access Gateway アプライアンスで生成し、メタデータをサーバと交換して、スマート カード認証に必要な相互信頼を確立する必要があります。

Security Assertion Markup Language (SAML) は、さまざまなセキュリティ ドメイン間で認証情報および権限情報を記述および交換するための XML ベースの標準です。SAML は、ID プロバイダとサービス プロバイダ間において、SAMLアサーションと呼ばれる XML ドキュメントでユーザーに関する情報の受け渡しを行います。このシナリオでは、Unified Access Gateway が ID プロバイダでサーバがサービス プロバイダです。

開始する前に

n アプライアンスの時刻が正確になるように、Unified Access Gateway アプライアンスの時計 (UTC) を構成します。たとえば、Unified Access Gateway 仮想マシンでコンソール ウィンドウを開き、矢印ボタンを使用して正しいタイム ゾーンを選択します。また、ESXi ホストの時刻が NTP サーバと同期されていることを確認し、アプライアンス仮想マシンで実行されている VMware Tools が仮想マシンの時刻を ESXi ホストの時刻と同期することを確認します。

重要 Unified Access Gateway アプライアンスの時計がサーバ ホストの時計と一致していないと、スマート カード認証が機能しない可能性があります。

n Unified Access Gateway のメタデータに署名するために使用できる SAML 署名証明書を取得します。

注意 セットアップに複数の Unified Access Gateway アプライアンスがある場合、特定の SAML 署名証明書を作成して使用することを推奨します。この場合、すべてのアプライアンスを同じ署名証明書で構成し、サーバが任意の

Unified Access Gateway アプライアンスからアサーションを受け入れるようにする必要があります。1 つの SAML署名証明書を使用する場合、すべてのアプライアンスからの SAML メタデータが同じになります。

VMware Unified Access Gateway の導入および設定

66 VMware, Inc.

n まだそのようにしていない場合、SAML 署名証明書を PEM 形式のファイルに変換し、.pem ファイルを 1 行形式に変換します。「証明書ファイルの 1 行 PEM 形式への変換 (P. 54)」を参照してください。

手順

1 管理ユーザー インターフェイスの [手動構成] セクションで、[選択] をクリックします。

2 [詳細設定] セクションで、[SAML ID プロバイダ設定] ギア アイコンをクリックします。

3 [証明書の提供] チェック ボックスを選択します。

4 プライベート キー ファイルを追加するには、[選択] をクリックして、証明書のプライベート キー ファイルを見つけます。

5 証明書チェーン ファイルを追加するには、[選択] をクリックして、証明書チェーン ファイルを見つけます。

6 [保存] をクリックします。

7 [ホスト名] テキスト ボックスにホスト名を入力し、ID プロバイダの設定をダウンロードします。

その他のサービス プロバイダで使用される SAML 認証子の作成Unified Access Gateway アプライアンスで SAML メタデータを生成したら、そのデータをバックエンド サービス プロバイダにコピーできます。このデータのサービス プロバイダへのコピーは、Unified Access Gateway を ID プロバイダとして使用できるようにするための SAML 認証子の作成手順に含まれます。

Horizon Cloud サーバの場合は、製品ドキュメントで固有の手順を確認してください。

Unified Access Gateway へのサービス プロバイダ SAML メタデータのコピーUnified Access Gateway を ID プロバイダとして使用できるように SAML 認証子を作成して有効にすると、そのバックエンド システムに SAML メタデータを生成し、メタデータを使用して Unified Access Gateway アプライアンスにサービス プロバイダを作成できます。このデータ交換により、ID プロバイダ (Unified Access Gateway) とバックエンド サービス プロバイダ（View 接続サーバなど）の間で信頼が確立されます。

開始する前に

Unified Access Gateway の SAML 認証子をバックエンド サービス プロバイダのサーバに作成済みであることを確認します。

手順

1 サービス プロバイダ SAML メタデータを取得します。このメタデータは一般に XML ファイル形式です。

手順については、サービス プロバイダのドキュメントを参照してください。

手順はサービス プロバイダごとに異なります。たとえば、ブラウザを開き、https://<connection-server.example.com>/SAML/metadata/sp.xml などの URL を入力する必要があります。

次に、[別名で保存] コマンドを使用して Web ページを XML ファイルに保存できます。このファイルの内容は次のテキストで始まります。

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ...

2 Unified Access Gateway 管理ユーザー インターフェイスの [手動設定] セクションで、[選択] をクリックします。

3 [詳細設定] セクションで、[SAML サーバ プロバイダ設定] ギア アイコンをクリックします。

4 [サービス プロバイダ名] テキスト ボックスに、サービス プロバイダ名を入力します。

5 [メタデータ XML] テキスト ボックスに、手順 1 で作成したメタデータ ファイルを貼り付けます。

6 [保存] をクリックします。

これで、Unified Access Gateway とサービス プロバイダが認証情報および権限情報を交換できるようになりました。

第 6 章 DMZ での認証の設定

VMware, Inc. 67

VMware Unified Access Gateway の導入および設定

68 VMware, Inc.

Unified Access Gateway デプロイのトラブルシューティング 7

さまざまな手順で、自社環境に Unified Access Gateway をデプロイするときに発生する問題を診断および修正できます。

トラブルシューティングの手順を使用して問題の原因を調べ、解決を試みることも、VMware のテクニカル サポートから支援を受けることもできます。

この章では次のトピックについて説明します。

n デプロイされたサービスの健全性の監視 (P. 69)

n デプロイに関する問題のトラブルシューティング (P. 70)

n Unified Access Gateway アプライアンスからのログの収集 (P. 71)

デプロイされたサービスの健全性の監視

管理ユーザー インターフェイスの [Edge 設定] から、デプロイされたサービスが設定され、正常に実行していることを素早く確認することができます。

図 7‑1. 健全性チェック

サービスの前に丸印が表示されます。色の意味は以下のとおりです。

n 空白の丸印は、設定が構成されていないことを意味します。

n 赤色の丸印は、サービスが停止していることを意味します。

n 黄色の丸印は、サービスが一部実行されていることを意味します。

n 緑色の丸印はサービスが問題なく実行していることを意味します。

VMware, Inc. 69

デプロイに関する問題のトラブルシューティング

自社環境に Unified Access Gateway をデプロイするときに、問題が発生する場合があります。デプロイに関する問題の診断および修正には、さまざまな手順を使用できます。

インターネットからダウンロードしたスクリプトを実行するときにセキュリティの警告が表

示される

この PowerShell スクリプトが、実行しようとしているスクリプトであることを確認してから、PowerShell コンソールで次のコマンドを実行します。

unblock-file .\apdeploy.ps1

ovftool コマンドが見つからないWindows マシンに OVF Tool ソフトウェアをインストールしていること、またスクリプトが使用する場所にインストールされていることを確認します。

プロパティ netmask1 における無効なネットワークn このメッセージは、netmask0、netmask1 または netmask2 を示す場合があります。netInternet、

netManagementNetwork、および netBackendNetwork など、3 つの各ネットワークの .INI ファイルで値が設定されていることを確認します。

n vSphere ネットワーク プロトコル プロファイルが参照されるすべてのネットワーク名に関連付けられていることを確認します。これは、IPv4 サブネット マスク、ゲートウェイなどのネットワーク設定を指定します。関連付けられているネットワーク プロトコル プロファイルの各設定値が正しいことを確認します。

サポートされないオペレーティング システムの識別子という警告メッセージSUSE Linux Enterprise Server 12.0 64 ビットの指定されたオペレーティング システム識別子 (id:85) が、選択されたホストでサポートされないという警告メッセージが表示されます。これは、別の Linux（64 ビット）のオペレーティングシステム識別子にマッピングされます。

この警告メッセージは無視してください。サポートされるオペレーティング システムに自動的にマッピングされます。

RSA SecurID 認証の Unified Access Gateway 構成.INI ファイルの Horizon のセクションに次の行を追加します。

authMethods=securid-auth && sp-authmatchWindowsUserName=true

.INI ファイルの最後に新しいセクションを追加します。

[SecurIDAuth]serverConfigFile=C:\temp\sdconf.recexternalHostName=192.168.0.90internalHostName=192.168.0.90

両方の IP アドレスを、Unified Access Gateway の IP アドレスに設定する必要があります。sdconf.rec ファイルは、RSA Authentication Manager から入手します。RSA Authentication Manager はすべて構成する必要があります。Access Point 2.5 以降のバージョンを使用しており、Access Point からネットワーク上の RSA Authentication Managerサーバにアクセスできることを確認します。Powershell コマンド apdeploy を再実行して、RSA SecurID 向けに構成された Access Point を再度デプロイします。

VMware Unified Access Gateway の導入および設定

70 VMware, Inc.

ロケータがオブジェクトを参照していない

このエラーは、vSphere OVF Tool が使用する target= の値が vCenter Server 環境で正しくないことを通知しています。vCenter Server のホストやクラスタを参照するために使用される target の形式の例については、https://communities.vmware.com/docs/DOC-30835 にある表を参照してください。トップ レベル オブジェクトは次のように指定されます。

target=vi://administrator@vsphere.local:PASSWORD@192.168.0.21/

オブジェクトには、次のレベルで使用する可能性がある名前が表示されます。

target=vi://administrator@vsphere.local:PASSWORD@192.168.0.21/Datacenter1/target=vi://administrator@vsphere.local:PASSWORD@192.168.0.21/Datacenter1/hosttarget=vi://administrator@vsphere.local:PASSWORD@192.168.0.21/Datacenter1/host/Cluster1/ortarget=vi://administrator@vsphere.local:PASSWORD@192.168.0.21/Datacenter1/host/esxhost1

target で使用されるフォルダ名、ホスト名、クラスタ名では大文字小文字が区別されます。

Unified Access Gateway アプライアンスからのログの収集管理ユーザー インターフェイスのサポート設定から AP-Log Archieve.zip ファイルをダウンロードします。zip ファイルには、Unified Access Gateway アプライアンスからのすべてのログが含まれています。

ログ レベルの設定ログ レベル設定は管理ユーザー インターフェイスから管理することができます。[サポート設定] ページに移動して、[ログ レベルの設定] を選択します。生成可能なログ レベルは INFO、WARNING、ERROR および DEBUG です。ログ レベルはデフォルトで INFO に設定されます。

各ログ レベルで収集される情報の種類についての説明は以下のとおりです。

表 7‑1. ログ レベル

レベル 収集される情報の種類

INFO INFO レベルは、サービスの進行状況をハイライトする情報メッセージを示します。

ERROR ERROR レベルは、発生してもサービスをそのまま実行できる場合があるエラー イベントを示します。

WARNING WARNING レベルは潜在的に有害な状況を示します。しかし通常は回復可能か、または無視しても問題ありません。

DEBUG 一般に問題のデバッグに役立つイベントです。デバッグ モードを有効にして、アプライアンスの内部の状態を表示したり操作したりできます。デバッグ モードでは、自社環境における導入シナリオをテストできます。

ログの収集

管理ユーザー インターフェイスの [サポート設定] セクションから ログの zip ファイルをダウンロードします。

これらのログ ファイルはアプライアンスの /opt/vmware/gateway/logs ディレクトリから収集されます。

次の表で、ZIP ファイルに含まれるさまざまなファイルについて説明します。

第 7 章 Unified Access Gateway デプロイのトラブルシューティング

VMware, Inc. 71

表 7‑2. トラブルシューティングに役立つシステム情報が含まれるファイル

ファイル名 説明

df.log ディスク領域の使用状況に関する情報が含まれます。

netstat.log ネットワーク接続に関する情報が含まれます。

ap_config.json Unified Access Gateway アプライアンスの現在の設定が含まれます。

ps.log プロセスのリストが含まれます。

ifconfig.log ネットワーク インターフェイスに関する情報が含まれます。

free.log メモリの使用状況に関する情報が含まれます。

表 7‑3. Unified Access Gateway のログ ファイル

ファイル名 説明

esmanager.log ポート 443 および 80 で待機する Edge Service Manager プロセスからのログ メッセージが含まれます。

authbroker.log 認証アダプタを処理する AuthBroker プロセスからのログ メッセージが含まれます。

admin.log ポート 9443 で Unified Access Gateway REST API を提供するプロセスからのログ メッセージが含まれます。

admin-zookeeper.log Unified Access Gateway 構成情報を保存するために使用されるデータ レイヤに関連したログ メッセージが含まれます。

tunnel.log XML API 処理の一部として使用されるトンネル プロセスからのログ メッセージが含まれます。

bsg.log Blast Secure Gateway からのログ メッセージが含まれます。

SecurityGateway_*.log

PCoIP Secure Gateway からのログ メッセージが含まれます。

末尾が「-std-out.log」のログ ファイルには、さまざまなプロセスの stdout に書き込まれる情報が含まれ、通常は空のファイルです。

AirWatch の Unified Access Gateway ログ ファイル

n /var/log/airwatch/tunnel/vpnd

tunnel-init.log および tunnel.log は、このディレクトリからキャプチャされます。

n /var/log.airwatch/proxy

proxy.log は、このディレクトリからキャプチャされます。

n /var/log/airwatch/appliance-agent

appliance-agent.log は、このディレクトリからキャプチャされます。

VMware Unified Access Gateway の導入および設定

72 VMware, Inc.

インデックス

AAccess Point のドキュメント 5Access Point の概要 7Access Point の構成 53Access Point のトラブルシューティング 69AirWatch、Per-App トンネル 49AirWatch、Access Point のデプロイ 48AirWatch、Per-App トンネルの構成 50AirWatch、トンネル プロキシのデプロイ 48

BBEAT 35Blast、BEAT 構成 35

DDMZ、ネットワーク インターフェイス カード 13DMZ にある 1 つの NIC 13

HHorizon、構成 34Horizon 環境へのデプロイ 31

IID ブリッジ、キータブ 45ID ブリッジ、概要 41ID ブリッジ、構成 46ID ブリッジ、導入シナリオ 42ID ブリッジ、レルム設定 44ID ブリッジ設定、構成 43ID ブリッジのための Web リバース プロキシ 46ID ブリッジのレルム設定 44

OOVF のデプロイ 19OVF を使用したデプロイ 19

PPer-App トンネル、構成 50PowerShell、使用 27PowerShell スクリプトの実行 27

RRADIUS、構成 63RSA Adaptive Authentication、ユーザーの登録 64RSA Adaptive Authentication、構成 65

RSA Adaptive Authentication の構成 65RSA SecurID 認証、構成 62

SSAML 66, 67SSL サーバ証明書 56

TTLS/SSL 証明書 53

VHorizon View、VPN 8VMware Identity Managerリバース プロキシ 36リバース プロキシの構成 38

VPN、View 8

XX.509 60

あ

アップグレード、準備 16暗号化スイート 56

か管理ユーザー インターフェイス、システム設定の構

成 24管理トラフィック、DMZ 13

き

キータブ 45

け

ゲートウェイ 7健全性チェック 69

こ構成

Horizon 34RSA SecurID 認証 62リバース プロキシ 38

さ

サービス プロバイダの SAML メタデータ 67サービス プロバイダのメタデータ 47

VMware, Inc. 73

し

システム要件 8使用事例 31署名入り証明書の置換 25証明書、置換 25証明書認証 59証明書認証、構成 60証明書の更新 25証明書の失効 59

すスマート カード、ユーザー証明書のエクスポート 61スマート カード認証、構成 60

せ

静止モード 16セキュリティ証明書の PEM 形式 54セキュリティ プロトコル 56設定の構成 24

そ

ソフトウェア要件 8

てデプロイ、アプライアンス 19デプロイ ウィザード 20

と

トポロジ 11トンネル プロキシのデプロイ 48

に

認証 59認証方法 59

ね

ネットワーク インターフェイス カード 13

は

ハードウェア要件 8バックエンド トラフィック、DMZ 13

ふ

ファイアウォール ルール 10プライベート キー、証明書の更新 25プロキシ、AirWatch 向けの構成 50

も

問題のトラブルシューティング 70

よ

要件 8

り

リバース プロキシ 36リバース プロキシ、VMware Identity Manager のた

めの構成 38

るルート証明書

エクスポート 61取得 61

ろログ、収集 71

VMware Unified Access Gateway の導入および設定

74 VMware, Inc.