vmware unified access gateway の導入および設定 - unified … · 2019-07-25 · vmware...

VMware Unified AccessGateway の導入および設定

2019 年 7 月 2 日Unified Access Gateway 3.6

最新の技術ドキュメントは、 VMware の Web サイト（https://docs.vmware.com/jp/）でご確認いただけます。このドキュメ

ントに関するご意見およびご感想は、[email protected] までお送りください。

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

ヴイエムウェア株式会社

105-0013　東京都港区浜松町 1-30-5浜松町スクエア 13Fwww.vmware.com/jp

Copyright ©

2019 VMware, Inc. All rights reserved. 著作権および商標情報。

VMware Unified Access Gateway の導入および設定

VMware, Inc. 2

https://docs.vmware.com/jp/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

目次

VMware Unified Access Gateway のデプロイと構成 6

1 VMware Unified Access Gateway のデプロイの準備 7セキュアゲートウェイとしての Unified Access Gateway 7

仮想プライベートネットワークの代わりに Unified Access Gateway を使用する 8

Unified Access Gatewayシステムとネットワークの要件 9

DMZ ベースの Unified Access Gateway アプライアンスのファイアウォールルール 11

Unified Access Gateway を使用して VMware Tunnel をデプロイするためのシステム要件 18

VMware Tunnel プロキシのポート要件 19

VMware Per-App トンネルのポート要件 23

ネットワークインターフェイスの接続要件 27

Unified Access Gateway のロードバランスのトポロジ 27

Unified Access Gateway の高可用性 30

高可用性の設定 32

Horizon で構成された Unified Access Gateway 32

基本設定による VMware Tunnel の (Per-App VPN) 接続 33

カスケードモードでの VMware Tunnel の (Per-App VPN) 接続 34

Content Gateway の基本構成 35

Content Gateway のリレーとエンドポイント構成 36

複数のネットワークインターフェイスカードがある Unified Access Gateway の場合の DMZ の設計 37

ダウンタイムなしのアップグレード 40

ネットワークプロトコルプロファイル (NPP) を使用しない Unified Access Gateway のデプロイ 42

カスタマエクスペリエンス改善プログラムへの参加または脱退 s 42

2 Unified Access Gateway アプライアンスのデプロイ 44OVF テンプレートウィザードを使用した Unified Access Gateway のデプロイ 45

OVF テンプレートウィザードによる Unified Access Gateway のデプロイ 45

管理機能の構成ページからの Unified Access Gateway の構成 50

Unified Access Gateway システム設定の構成 51

ネットワーク設定の変更 53

ユーザーアカウント設定の構成 54

JSON Web トークンの設定 57

SSL サーバの署名入り証明書の更新 58

3 PowerShell を使用した Unified Access Gateway のデプロイ 60PowerShell を使用して Unified Access Gateway をデプロイするためのシステム要件 60

PowerShell を使用した Unified Access Gateway アプライアンスのデプロイ 61

VMware, Inc. 3

4 Unified Access Gateway デプロイの使用事例 66Horizon および Horizon Cloud with On-Premises Infrastructure を使用したデプロイ 66

Horizon インフラストラクチャの IPv4 および IPv6 デュアルモードのサポート 71

Edge Service の詳細設定 71

Horizon の構成 74

Blast TCP および UDP 外部 URL の構成オプション 79

Horizon に対するエンドポイントコンプライアンスチェック 80

リバースプロキシとしてのデプロイ 81

VMware Identity Manager でリバースプロキシを構成する 83

オンプレミスのレガシー Web アプリケーションへのシングルサインオンアクセスのためのデプロイ 86

ID ブリッジの導入シナリオ 88

ID ブリッジ設定の構成 90

Unified Access Gateway の Workspace ONE UEM コンポーネント 105

Unified Access Gateway への VMware Tunnel のデプロイ 106

TLS ポート共有について 119

Unified Access Gateway の Content Gateway 119

Unified Access Gateway 上の Secure Email Gateway 124

デプロイ環境の使用事例の追加 126

5 TLS/SSL 証明書を使用した Unified Access Gateway の構成 127Unified Access Gateway アプライアンスの TLS/SSL 証明書の構成 127

正しい証明書タイプの選択 127

証明書ファイルの 1 行 PEM 形式への変換 128

TLS や SSL 通信に使用されるセキュリティプロトコルと暗号化スイートの変更 130

6 DMZ での認証の設定 132Unified Access Gateway アプライアンスでの証明書またはスマートカード認証の構成 132

Unified Access Gateway での証明書認証の設定 133

証明機関の証明書の取得 134

Unified Access Gateway での RSA SecurID 認証の構成 136

Unified Access Gateway の RADIUS の構成 136

RADIUS 認証の構成 137

Unified Access Gateway での RSA Adaptive Authentication の構成 139

Unified Access Gateway での RSA Adaptive Authentication の構成 139

Unified Access Gateway SAML メタデータの生成 141

その他のサービスプロバイダで使用される SAML 認証子の作成 142

Unified Access Gateway へのサービスプロバイダ SAML メタデータのコピー 142

7 Unified Access Gateway デプロイのトラブルシューティング 144Edge サービスセッションの統計情報の監視 144

監視セッション統計 API 146


VMware, Inc. 4

デプロイされたサービスの健全性の監視 148

デプロイに関する問題のトラブルシューティング 148

問題のトラブルシューティング：ID ブリッジ 151

問題のトラブルシューティング：Cert-to-Kerberos 152

エンドポイントコンプライアンスのトラブルシューティング 153

管理ユーザーインターフェイスでの証明書の検証のトラブルシューティング 154

ファイアウォールおよび接続の問題のトラブルシューティング 155

root ログインの問題のトラブルシューティング 156

Grub2 パスワードについて 159

Unified Access Gateway アプライアンスからのログの収集 159

Unified Access Gateway 設定のエクスポート 161

Unified Access Gateway 設定のインポート 162

問題のトラブルシューティング：Content Gateway 162

高可用性のトラブルシューティング 162

セキュリティのトラブルシューティング：ベストプラクティス 164


VMware, Inc. 5

VMware Unified Access Gateway のデプロイと構成

Unified Access Gateway の導入および設定は、 VMware Horizon ®、 VMware Identity Manager ™、およびWorkspace ONE UEM 展開（組織のアプリケーションへの安全な外部アクセスのために VMware Unified AccessGateway™ を使用）の設計に関する情報を提供します。これらのアプリケーションは、Windows アプリケーション、サービスとしてのソフトウェア (SaaS) のアプリケーション、およびデスクトップである場合があります。このガイドでは、Unified Access Gateway 仮想アプライアンスをデプロイして、デプロイ後に設定を変更する手順も説明します。

対象読者

本書に記載されている情報は、Unified Access Gateway アプライアンスをデプロイおよび使用するすべての方を対象としています。これらの情報は、仮想マシンテクノロジーおよびデータセンターの運用に精通している経験豊富なLinux および Windows システム管理者向けに記述されています。

VMware, Inc. 6

VMware Unified Access Gateway のデプロイの準備 1Unified Access Gateway は、企業のファイアウォールの外部からリモートデスクトップおよびアプリケーションにアクセスするユーザーのセキュアゲートウェイとして機能します。

注: VMware Unified Access Gateway® は、以前 VMware Access Point と呼ばれていました。

この章には、次のトピックが含まれています。

n セキュアゲートウェイとしての Unified Access Gateway

n 仮想プライベートネットワークの代わりに Unified Access Gateway を使用する

n Unified Access Gatewayシステムとネットワークの要件

n DMZ ベースの Unified Access Gateway アプライアンスのファイアウォールルール

n Unified Access Gateway を使用して VMware Tunnel をデプロイするためのシステム要件

n Unified Access Gateway のロードバランスのトポロジ

n Unified Access Gateway の高可用性

n 複数のネットワークインターフェイスカードがある Unified Access Gateway の場合の DMZ の設計

n ダウンタイムなしのアップグレード

n ネットワークプロトコルプロファイル (NPP) を使用しない Unified Access Gateway のデプロイ

n カスタマエクスペリエンス改善プログラムへの参加または脱退 s

セキュアゲートウェイとしての Unified Access GatewayUnified Access Gateway は、非武装地帯 (DMZ) に通常インストールされるアプライアンスです。確実な方法で認証されたリモートユーザーのトラフィックだけを確実に社内のデータセンターに送信するために、 Unified AccessGateway は使用されます。

Unified Access Gateway は、認証要求を該当するサーバに送信し、本物であると証明されない要求はすべて破棄します。ユーザーはアクセスが許可されているリソースにのみアクセスできます。

また、Unified Access Gateway は、認証されたユーザーのトラフィックが、ユーザーに資格が実際に付与されたデスクトップやアプリケーションリソースのみに確実に向けられるようにします。この保護レベルでは、アクセスを正確に制御するために、デスクトッププロトコルの独自の調査、頻繁に変更される可能性があるポリシーやネットワークアドレスの調整が実行されます。

VMware, Inc. 7

Unified Access Gateway は、企業の信頼されるネットワーク内部の接続のためのプロキシホストとして動作します。この設計では、仮想デスクトップ、アプリケーションホスト、およびサーバを外部からアクセス可能なインターネットから保護することで、セキュリティレイヤーがさらに追加されます。

Unified Access Gateway は特に DMZ のために設計されています。セキュリティを強化するため、次の設定が実装されています。

n 最新の Linux カーネルとソフトウェアパッチ

n インターネットとイントラネットトラフィックのために複数の NIC をサポート

n SSH を無効に設定

n FTP、Telnet、Rlogin、または Rsh サービスを無効に設定

n 不要なサービスを無効に設定

仮想プライベートネットワークの代わりに Unified Access Gatewayを使用する

Unified Access Gateway と一般的な VPN ソリューションは、確実な方法で認証されたユーザーのためだけに内部ネットワークに確実にトラフィックが転送されるようにする点で似ています。

一般的な VPN よりも Unified Access Gateway は、次の点で優れています。

n アクセスコントロールマネージャ。Unified Access Gateway は、アクセスルールを自動的に適用します。Unified Access Gateway は、内部接続に必要なユーザーの資格とアドレスの設定について認識しています。大半の VPN では管理者が各ユーザーまたは各ユーザーグループにネットワーク接続ルールを設定できるので、VPN でも同じ処理が行われます。最初に、これは VPN では適切に動作しますが、必要なルールを維持するためには相当な管理労力が必要となります。

n ユーザーインターフェイス。Unified Access Gateway では、簡単な Horizon Client ユーザーインターフェイスをそのまま使用できます。Unified Access Gateway では、Horizon Client が起動されると、認証されたユーザーは Horizon Connection Server 環境に配置され、デスクトップとアプリケーションへのアクセスを制御できます。VPN では、VPN ソフトウェアを最初にセットアップして、Horizon Client を起動する前に別々に認証することが求められます。

n パフォーマンス。Unified Access Gateway は、セキュリティとパフォーマンスを最大化できるように設計されています。Unified Access Gateway を使用すると、追加のカプセル化を実行しなくても、PCoIP、HTMLAccess、および WebSocket プロトコルのセキュリティが確保されます。VPN は、SSL VPN として実装されます。この実装は、セキュリティ要件を満たしており、Transport Layer Security (TLS) が有効である場合、安全だと考えられていますが、SSL/TLS におけるバックエンドのプロトコルは、TCP ベースに過ぎません。コネクションレスの UDP ベースの転送を利用する最新のビデオリモーティングプロトコルでは、TCP ベースの転送を強制すると、パフォーマンス上の利点が大幅に損なわれる場合があります。SSL/TLS の代わりに DTLS や IPsec を使用して、ネットワークを運用できる場合、Horizon Connection Server デスクトッププロトコルを適切に稼動させることができるので、これはすべての VPN テクノロジーで起こるわけではありません。


VMware, Inc. 8

Unified Access Gatewayシステムとネットワークの要件Unified Access Gateway アプライアンスをデプロイするには、システムがハードウェアおよびソフトウェアの要件を満たしている必要があります。

サポートされる VMware 製品のバージョン

Unified Access Gateway のバージョンごとに、特定のバージョンの VMware 製品を使用する必要があります。互換性の最新情報については、製品のリリースノートおよび http://www.vmware.com/resources/compatibility/sim/interop_matrix.php の VMware 製品の相互運用性マトリックスを参照してください。

ESXi サーバのハードウェア要件

Unified Access Gateway アプライアンスは、それぞれ VMware 製品でサポートされているバージョンと同じバージョンの VMware vSphere にデプロイする必要があります。

vSphere Web client を使用する場合、Client Integration Plug-in がインストールされていることを確認します。詳細については、『vSphere』ドキュメントを参照してください。デプロイウィザードを開始する前にこのプラグインをインストールしていないと、プラグインをインストールするように求められます。インストールするには、ブラ

ウザを閉じてウィザードを終了する必要があります。

注: アプライアンスの時刻が正確になるように、Unified Access Gateway アプライアンスの時計 (UTC) を構成します。たとえば、Unified Access Gateway 仮想マシンでコンソールウィンドウを開き、矢印ボタンを使用して正しいタイムゾーンを選択します。また、ESXi ホストの時刻が NTP サーバと同期されていることを確認し、アプライアンス仮想マシンで実行されている VMware Tools が仮想マシンの時刻を ESXi ホストの時刻と同期することを確認します。

仮想アプライアンス要件

Unified Access Gateway アプライアンス用の OVF パッケージは、Unified Access Gateway に必要な仮想マシン構成を自動的に選択します。これらの設定は変更できますが、CPU、メモリ、ディスク領域をデフォルトの OVF 設定より小さい値に変更しないことを推奨します。

n CPU の最小要件は 2,000 MHz です。

n メモリは最低で 4 GB です。

アプライアンスに使用するデータストアに十分な空きディスク容量があり、他のシステム要件を満たしていることを確認します。

n 仮想アプライアンスのダウンロードサイズは 1.8 GB です。

n シンプロビジョニングされるディスクの最小要件は 2.6 GB です。

n シックプロビジョニングされるディスクの最小要件は 20 GB です。

仮想アプライアンスをデプロイするには、次の情報が必要です。

n 固定 IP アドレス（推奨）

n DNS サーバの IP アドレス


VMware, Inc. 9

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

n root ユーザーのパスワード

n 管理者ユーザーのパスワード

n Unified Access Gateway アプライアンスが指定するロードバランサのサーバインスタンスの URL

Unified Access Gateway のサイズ調整オプション

n [標準：]この構成は、接続サーバの容量に合わせて最大 2000 の Horizon 接続をサポートする Horizon のデプロイに推奨されます。また、同時接続数が最大で 10,000 の Workspace ONE UEM デプロイ（モバイルユースケース）にも推奨されます。

n [大規模：]この構成は、Unified Access Gateway が 10,000 を超える同時接続をサポートする必要があるWorkspace ONE UEM デプロイに推奨されます。このサイズにより、Content Gateway、アプリケーション単位のトンネルとプロキシ、およびリバースプロキシで同じ Unified Access Gateway アプライアンスを使用できます。

注: 標準および大規模展開のための仮想マシンオプション:

n 標準 - 2 コアおよび 4 GB の RAM

n 大規模 - 4 コアおよび 16 GB の RAM

サポートされるブラウザのバージョン

管理ユーザーインターフェイスの起動でサポートされるブラウザは、Chrome、Firefox および Internet Explorerです。最新バージョンのブラウザを使用してください。

Windows Hyper-V Server を使用する場合のハードウェア要件

Unified Access Gateway を Workspace ONE UEM アプリケーション単位のトンネルデプロイに使用する場合、Unified Access Gateway アプライアンスを Microsoft Hyper-V Server にインストールすることができます。

サポートされる Microsoft サーバは Windows Server 2012 R2 と Windows Server 2016 です。

ネットワーク構成の要件

1 つ、2 つ、または 3 つのネットワークインターフェイスを使用でき、Unified Access Gateway ではそれぞれについて個別の固定 IP アドレスが必要です。DMZ 実装の多くは、個別のネットワークを使用してさまざまな種類のトラフィックを保護します。デプロイする DMZ のネットワーク設計に従って Unified Access Gateway を構成してください。

n POC（事前検証）またはテストには、1 つのネットワークインターフェイスが適しています。NIC が 1 つの場合、外部、内部、および管理トラフィックがすべて同じサブネットを持ちます。

n ネットワークインターフェイスが 2 つの場合、外部トラフィックが 1 つのサブネットを、内部と管理トラフィックがもう 1 つのサブネットを持ちます。

n ネットワークインターフェイスを 3 つ使用するのが最も安全なオプションです。NIC が 3 つの場合、外部、内部、および管理トラフィックがすべて独自のサブネットを持ちます。


VMware, Inc. 10

ログの保持要件

ログファイルは、集約した合計ディスクサイズを下回る一定容量の領域を使用するように、デフォルトで構成されています。Unified Access Gateway のログは、デフォルトでローテーションされます。これらのログエントリを保持するには、Syslog を使用する必要があります。Unified Access Gateway アプライアンスからのログの収集を参照してください。

DMZ ベースの Unified Access Gateway アプライアンスのファイアウォールルールDMZ ベースの Unified Access Gateway アプライアンスには、フロントエンドファイアウォールとバックエンドファイアウォールに関する特定のファイアウォールルールが必要です。インストール中、Unified Access Gatewayサービスは、デフォルトで特定のネットワークポートをリッスンするように設定されます。

通常、DMZ ベースの Unified Access Gateway アプライアンスのデプロイには、2 つのファイアウォールが含まれます。

n DMZ と内部ネットワークの両方を保護するために、外部ネットワークに接しているフロントエンドファイアウォールが必要です。外部からのネットワークトラフィックが DMZ に到達できるように、このファイアウォールを構成します。

n 2 つ目のセキュリティの層を提供するために、DMZ と内部ネットワークの間のバックエンドファイアウォールが必要です。DMZ 内のサービスから送信されたトラフィックだけを受け入れるように、このファイアウォールを構成します。

ファイアウォールポリシーによって DMZ サービスからのインバウンド通信が厳格に制御されるため、内部ネットワークが侵害されるリスクが大幅に軽減されます。

次の表は、Unified Access Gateway 内のさまざまなサービスのポート要件を一覧表示したものです。

注: すべての UDP ポートでは、転送データグラムと応答データグラムを有効にする必要があります。

表 1-1. Horizon 接続サーバのポート要件

ポート

プロトコ

ル Source 送信先説明

443 TCP インターネット Unified Access Gateway Web トラフィック、Horizon Client XML - API、Horizon Tunnel、および Blast Extreme の場合

443 UDP インターネット Unified Access Gateway UDP 443 は、Unified Access Gateway の UDPトンネルサーバサービスの UDP 9443 に内部転送されます。

8443 UDP インターネット Unified Access Gateway Blast Extreme（オプション）

8443 TCP インターネット Unified Access Gateway Blast Extreme（オプション）

4172 TCP とUDP

インターネット Unified Access Gateway PCoIP（オプション）

443 TCP Unified Access Gateway Horizon 接続サーバ Horizon Client XML-API、Blast ExtremeHTML Access、Horizon Air Console Access(HACA)


VMware, Inc. 11

ポート

プロトコ


22443 TCP とUDP

Unified Access Gateway デスクトップと RDS ホスト Blast Extreme

4172 TCP とUDP

Unified Access Gateway デスクトップと RDS ホスト PCoIP（オプション）

32111 TCP Unified Access Gateway デスクトップと RDS ホスト USB リダイレクトのフレームワークチャンネルの場合

9427 TCP Unified Access Gateway デスクトップと RDS ホスト MMR と CDR

注: 外部クライアントデバイスが DMZ 内の Unified Access Gateway アプライアンスに接続できるようにするには、フロントエンドファイアウォールで、特定のポートのトラフィックを許可する必要があります。デフォルトでは、外部のクライアントデバイスと外部の Web クライアント (HTML Access) は、DMZ にある Unified AccessGateway アプライアンスに TCP ポート 443 で接続します。Blast プロトコルを使用する場合、ファイアウォール上でポート 8443 を開く必要がありますが、ポート 443 を使用するように Blast を設定することもできます。

表 1-2. Web リバースプロキシのポート要件

ポート

プロトコ


443 TCP インターネット Unified Access Gateway Web トラフィック向け

任意 TCP Unified Access Gateway イントラネットサイトイントラネットが待機している設定済みのカスタ

ムポート。たとえば、80、443、8080 のようになります。

88 TCP Unified Access Gateway KDC サーバ/Active Directoryサーバ

Kerberos に対する SAML/Kerberos に対する証明書が設定されている場合、ID ブリッジがActive Directory にアクセスするために必要です。

88 UDP Unified Access Gateway KDC サーバ/Active Directoryサーバ

Kerberos に対する SAML/Kerberos に対する証明書が設定されている場合、ID ブリッジがActive Directory にアクセスするために必要です。

表 1-3. 管理ユーザーインターフェイスのポート要件

ポート

プロトコ


9443 TCP 管理ユーザーインターフェイス

Unified Access Gateway 管理インターフェイス


VMware, Inc. 12

表 1-4. Content Gateway の基本エンドポイント構成のポート要件

ポート

プロトコ


443* または 1024より大き

い任意の

ポート

HTTPS デバイス（インターネットおよ

び Wi-Fi から）Unified Access GatewayContent Gateway エンドポイント

443 を使用すると、Content Gateway はポート10443 で待機します。


い任意の

ポート

HTTPS Workspace ONE UEM デバイスサービス

Unified Access GatewayContent Gateway エンドポイント


い任意の

ポート

HTTPS Workspace ONE UEM コンソール



リポジト

リが待機

している

ポート。

HTTP または

HTTPS


SharePoint/WebDAV/CMIS などの Web ベースのコンテンツリポジトリ

イントラネットサイトが待機している設定済みのカスタムポート。

137 –139 および 445

CIFS または SMB


ネットワーク共有ベースのリポ

ジトリ（Windows ファイル共有）

イントラネット共有

表 1-5. Content Gateway のリレーエンドポイント構成のポート要件

ポート

プロトコ

ル Source ターゲット/宛先説明


い任意の

ポート

HTTP/HTTPS

Unified Access Gateway リレーサーバ（ContentGateway リレー）




い任意の

ポート

HTTPS デバイス（インターネットおよ

び Wi-Fi から）Unified Access Gateway リレーサーバ（Content Gateway リレー）



い任意の

ポート

TCP Workspace ONE UEM デバイスサービス

Unified Access Gateway リレーサーバ（Content Gateway リレー）



VMware, Inc. 13

ポート

プロトコ

ル Source ターゲット/宛先説明


い任意の

ポート

HTTPS Workspace ONE UEMConsole

リポジト

リが待機

している

ポート。

HTTP または

HTTPS


SharePoint/WebDAV/CMIS などの Web ベースのコンテンツリポジトリ

イントラネットサイトが待機している設定済みのカスタムポート。


い任意の

ポート

HTTPS Unified Access Gateway（Content Gateway リレー）



137 –139 および 445

CIFS または SMB


ネットワーク共有ベースのリポ

ジトリ（Windows ファイル共有）

イントラネット共有

注: Unified Access Gateway では Content Gateway サービスが非 root ユーザーとして実行されるため、Content Gateway はシステムポートでは実行できません。したがって、カスタムポートは 1024 よりも大きい必要があります。

表 1-6. VMware Tunnel のポート要件

ポート

プロト

コル Source ターゲット/宛先確認

注（ページの下部にある

「注」セクションを参照し

てください）

2020 * HTTPS デバイス（インターネッ

トおよび Wi-Fi から）VMware Tunnel プロキシ

インストール後に、次のコマンドを実

行します：netstat -tlpn | grep

[Port]

8443 * TCP デバイス（インターネッ

トおよび Wi-Fi から）VMware Tunnel アプリケーション単位のトンネル

インストール後に、次のコマンドを実

行します：netstat -tlpn | grep

[Port]

1


VMware, Inc. 14

表 1-7. VMware Tunnel の基本エンドポイント構成

ポート

プロト




てください）

SaaS:443

: 2001 *

HTTPS VMware Tunnel Workspace ONE UEMCloud MessagingServer

curl -Ivv https://<AWCM

URL>:<port>/awcm/status/

ping

予想される応答は HTTP 200 OK です。

2

SaaS:443

オンプ

レミス：

80 または 443

HTTPまたは

HTTPS

VMware Tunnel Workspace ONE UEMの REST API エンドポイント

n SaaS：https://asXXX.awmdm.

com またはhttps://asXXX.

airwatchportals

.com

n オンプレミス：通常は

DS またはコンソールサーバ

curl -Ivv https://<API

URL>/api/mdm/ping

予想される応答は HTTP 401unauthorized です。

5

80、443、任意の

TCP

HTTP、HTTPS、または

TCP

VMware Tunnel 内部リソース VMware Tunnel が必要なポートを介して内部リソースにアクセスできるこ

とを確認します。

4

514 * UDP VMware Tunnel Syslog サーバ

オンプ

レミス：

2020

HTTPS Workspace ONE UEMコンソール

VMware Tunnel プロキシ

オンプレミスユーザーは、telnet コ

マンドを使用して接続をテストできま

す：telnet <Tunnel Proxy URL>

<port>

6

表 1-8. VMware Tunnel のカスケード構成

ポート

プロト




てください）

SaaS:443

オンプ

レミス：

2001 *

TLSv1.2

VMware Tunnel フロントエンド

Workspace ONE UEMCloud MessagingServer

https://<AWCM URL>:<port>/

awcm/status に対して wget を使用

し、HTTP 200 応答を受け取ることで検証します。

2

8443 TLSv1.2


VMware Tunnel バックエンド

ポートの VMware Tunnel フロントエンドから VMware Tunnel バックエンドサーバへの Telnet

3


VMware, Inc. 15

ポート

プロト




てください）

SaaS:443

オンプ

レミス：

2001

TLSv1.2



https://<AWCM URL>:<port>/

awcm/status に対して wget を使用

し、HTTP 200 応答を受け取ることで検証します。

2

80 または 443

TCP VMware Tunnel バックエンド

内部 Web サイト/Web アプリケーション

4

80、443、任意の

TCP

TCP VMware Tunnel バックエンド

内部リソース 4

80 または 443

HTTPS VMware Tunnel フロントエンドおよびバックエ

ンド

Workspace ONE UEMの REST API エンドポイント



airwatchportals

.com




URL>/api/mdm/ping


5

表 1-9. VMware Tunnel フロントエンドおよびバックエンドの設定

ポート

プロト




てください）

SaaS:443

オンプ

レミス：

2001

HTTPまたは

HTTPS



curl -Ivv https://<AWCM

URL>:<port>/awcm/status/

ping

予想される応答は HTTP 200 OK です。

2

80 または 443

HTTPSまたは

HTTPS

VMware Tunnel バックエンドおよびフロントエ

ンド

Workspace ONE UEMの REST API エンドポイント



airwatchportals

.com




URL>/api/mdm/ping


VMware Tunnel エンドポイントでは、初期導入時にのみ REST API エンドポイントへのアクセスが必要です。

5


VMware, Inc. 16

ポート

プロト




てください）

2010 * HTTPS VMware Tunnel フロントエンド


ポートの VMware Tunnel フロントエンドから VMware Tunnel バックエンドサーバへの Telnet

3

80、443、任意の

TCP

HTTP、HTTPS、または

TCP


内部リソース VMware Tunnel が必要なポートを介して内部リソースにアクセスできるこ


4

514 * UDP VMware Tunnel Syslog サーバ

オンプ

レミス：

2020

HTTPS Workspace ONE UEM VMware Tunnel プロキシ

オンプレミスユーザーは、telnet コ

マンドを使用して接続をテストできま

す：telnet <Tunnel Proxy URL>

<port>

6

注: 以下の点は、VMware Tunnel 要件に対して有効です。

* - このポートは、環境の制限に基づき、必要に応じて変更できます。

1 ポート 443 を使用すると、アプリケーション単位のトンネルはポート 8443 で待機します。

注: 同じアプライアンスで VMware Tunnel および Content Gateway サービスが有効になっていて、TLS ポート共有が有効になっている場合、DNS 名は各サービスごとに一意である必要があります。TLS が有効でない場合、ポートが受信トラフィックを区別するため、両方のサービスに対して 1 つの DNS 名のみを使用できます。（Content Gateway の場合、ポート 443 を使用すると、Content Gateway はポート 10443 で待機します。）

2 VMware Tunnel がコンプライアンスと追跡の目的で Workspace ONE UEM コンソールをクエリする場合。

3 VMware Tunnel のフロントエンドトポロジがデバイス要求を内部の VMware Tunnel バックエンドにのみ転送する場合。

4 VMware Tunnel を使用するアプリケーションが内部リソースにアクセスする場合。

5 VMware Tunnel は、初期化のために API と通信する必要があります。REST API と VMware Tunnel サーバが接続状態であることを確認します。[グループと設定] - [すべての設定] - [システム] - [詳細] - [サイトの URL] に移動して REST API サーバの URL を設定します。このページは SaaS ユーザーには使用できません。ほとんどの場合、SaaS ユーザーの REST API URL は、コンソールまたはデバイスサービスサーバの URL です。

6 これは、Workspace ONE UEM コンソールから VMware Tunnel プロキシへの「テスト接続」を成功させるために必要です。要件はオプションで、省略してもデバイスへの機能が失われることはありません。SaaS ユーザーの場合、ポート 2020 での受信インターネット要件により、Workspace ONE UEM コンソールがすでにポート 2020 上で VMware Tunnel プロキシへの受信接続を確立している可能性があります。


VMware, Inc. 17

Unified Access Gateway を使用して VMware Tunnel をデプロイするためのシステム要件

Unified Access Gateway を使用して VMware Tunnel をデプロイするには、ご使用のシステムが次の要件を満たしていることを確認します。

ハイパーバイザーの要件

VMware Tunnel をデプロイする Unified Access Gateway では、仮想アプライアンスをデプロイするためのハイパーバイザーが必要です。OVF をデプロイするには、完全な権限を持つ専用の管理者アカウントが必要です。

[サポートされるハイパーバイザー]

n VMware vSphere Web Client

注: Unified Access Gateway のバージョンごとに、特定のバージョンの VMware 製品を使用する必要があります。Unified Access Gateway アプライアンスは、それぞれ VMware 製品でサポートされているバージョンと同じバージョンの VMware vSphere にデプロイする必要があります。

n Windows Server 2012 R2 または Windows Server 2016 上の Microsoft Hyper-V

ソフトウェア要件

最新バージョンの Unified Access Gateway を使用していることを確認します。VMware Tunnel は UnifiedAccess Gateway と Workspace ONE UEM コンソール間の後方互換性をサポートします。後方互換性により、Workspace ONE UEM Console をアップグレードした直後に VMware Tunnel サーバをアップグレードできます。Workspace ONE UEM コンソールと VMware Tunnel 間のパリティを確保するため、早期のアップグレードを検討してください。

ハードウェア要件

Unified Access Gateway 用の OVF パッケージは、VMware Tunnel に必要な仮想マシン構成を自動的に選択します。これらの設定は変更できますが、CPU、メモリ、ディスク容量はデフォルトの OVF 設定より小さい値に変更しないでください。

デフォルト設定を変更するには、vCenter Server で仮想マシンをパワーオフします。仮想マシンを右クリックし、[設定の編集] を選択します。

デフォルト設定では、4 GB の RAM と 2 台の CPU を使用します。ハードウェア要件に応じてデフォルト設定を変更する必要があります。すべてのデバイスの負荷とメンテナンス要件に対応するには、2 台以上の VMware Tunnel サーバを実行することを検討してください。

表 1-10. ハードウェア要件

デバイス数 40,000 まで 40,000 ～ 80,000 80,000 ～ 120,000 120,000 ～ 160,000

サーバ数 2 3 4 5

CPU コア 4 つの CPU コア* それぞれ 4 つの CPU コアそれぞれ 4 つの CPU コアそれぞれ 4 つの CPU コア

RAM (GB) 8 8 8 8


VMware, Inc. 18

デバイス数 40,000 まで 40,000 ～ 80,000 80,000 ～ 120,000 120,000 ～ 160,000

ハードディスク容量 (GB) 分散用に 10 GB（Linux のみ）

インストーラ用に 400 MB

ログファイル容量として約 10 GB**

* 小規模環境の一部として 1 台の VMware Tunnel アプライアンスのみを展開できます。ただし、アップタイムとパフォーマンスの目的で、デバイスの数に関係なくそれぞれ 4 つの CPU コアを持つ 2 台以上のロードバランシングされたサーバを展開することを検討してください。

**標準的な環境の場合は 10 GB。ログの使用状況およびログを保存するための要件に基づいて、ログファイルのサイズを調整します。

VMware Tunnel プロキシのポート要件

VMware Tunnel プロキシは次の 2 つの構成モデルのいずれかを使用して構成できます。

n VMware Tunnel プロキシエンドポイントを使用した基本エンドポイント（単一層）

n VMware Tunnel プロキシリレーと VMware Tunnel プロキシエンドポイントを使用したリレーエンドポイント（複数層）

表 1-11. VMware Tunnel プロキシの基本エンドポイント構成のポート要件

Sourceターゲットまたは宛

先プロトコルポート確認注

デバイス（インターネ

ットおよび Wi-Fi から）

VMware Tunnel プロキシエンドポイント

HTTPS 2020* インストール後に、次

のコマンドを実行し

ます： netstat -

tlpn | grep

[Port]

デバイスは、指定され

たポートを介して

VMware Tunnel 用に構成されたパブリック

DNS に接続します。


Workspace ONEUEM CloudMessaging Server

HTTPS SaaS: 443

オンプレミス: 2001*

curl -Ivv

https://<AWCM

URL>:<port>/

awcm/status/

ping

予想される応答は

HTTP 200 OK で

す。

VMware Tunnel プロキシがコンプライアン

スと追跡の目的で

Workspace ONEUEM コンソールをクエリする場合。これは

最低でも TLS 1.2 をサポートする必要があり

ます。


VMware, Inc. 19




UEM REST API

n SaaS‡: https://asXXX.awmdm.com またはhttps://asXXX.airwatchportals.com

n オンプレミス†：通常はデバイス

サービスまたは

コンソールサーバ

HTTP または HTTPS SaaS: 443


curl -Ivv

https://<API

URL>/api/mdm/

ping 予想される応

答は HTTP 401

unauthorized で

す

VMware Tunnel プロキシは、初期化のため

に UEM REST API と通信する必要がありま

す。Workspace ONEUEM コンソールで、[グループと設定 > すべての設定 > システム> 詳細 > サイト URL]の順に移動して、[RESTAPI URL] を設定します。Workspace ONEUEM SaaS ユーザーはこの画面を使用できま

せん。WorkspaceONE UEM SaaS ユーザーの場合、[REST APIURL] は通常 [コンソール URL] または [デバイスサービス URL] です。


内部リソース HTTP、HTTPS、または TCP

80、443、任意の TCP VMware Tunnel プロキシエンドポイントが必要なポートを

介して内部リソース

にアクセスできるこ


VMware Tunnel プロキシを使用するアプリ

ケーションが内部リソ

ースにアクセスする場

合。正確なエンドポイ

ントまたはポートは、

これらのリソースが配

置されている場所によ

って決まります。


Syslog サーバ UDP 514*

Workspace ONEUEM Console


HTTPS 2020* オンプレミス† ユーザーは、telnet コマンドを使用して接続

をテストできます：

telnet <Tunnel

ProxyURL><port>

これは、WorkspaceONE UEM Consoleから VMware Tunnelプロキシエンドポイントへの「テスト接続」

を成功させるために必

要です。


VMware, Inc. 20

表 1-12. VMware Tunnel プロキシのリレーエンドポイント構成のポート要件



デバイス（インターネ

ットおよび Wi-Fi から）

VMware Tunnel プロキシリレー

HTTPS 2020* インストール後に、次


ます： netstat -

tlpn | grep

[Port]




DNS に接続します。


Workspace ONEUEM CloudMessaging Server



curl -Ivv

https://<AWCM

URL>:<port>/

awcm/status/

ping

予想される応答は

HTTP 200 OK で

す。

VMware Tunnel プロキシがコンプライアン

スと追跡の目的で



ます。


UEM REST API







curl -Ivv

https://<API

URL>/api/mdm/


答は HTTP 401

unauthorized で

す

VMware Tunnel プロキシリレーでは、初期導入時にのみ

UEM REST API へのアクセスが必要です。






VMware, Inc. 21




UEM REST API







curl -Ivv

https://<API

URL>/api/mdm/


答は HTTP 401

unauthorized で

す

VMware Tunnel プロキシリレーでは、初期導入時にのみ

UEM REST API へのアクセスが必要です。







HTTPS 2010* ポート 2010 でVMware Tunnel プロキシリレーからVMware Tunnel プロキシエンドポイントに Telnet 接続します。

リレーからエンドポイ

ントサーバにデバイス要求を転送します。こ

れは最低でも TLS 1.2をサポートする必要が

あります。


内部リソース HTTP、HTTPS、または TCP

80、443、任意の TCP VMware Tunnel プロキシエンドポイントが必要なポートを

介して内部リソース

にアクセスできるこ


VMware Tunnel プロキシを使用するアプリ

ケーションが内部リソ

ースにアクセスする場

合。正確なエンドポイ

ントまたはポートは、





Syslog サーバ UDP 514*

Workspace ONEUEM コンソール


HTTPS 2020* オンプレミス† ユーザーは、telnet コマンドを使用して接続

をテストできます：

telnet <Tunnel

ProxyURL><port>

これは、WorkspaceONE UEM Consoleから VMware Tunnelプロキシリレーへの「テスト接続」を成功さ

せるために必要です。

[注]

n * このポートは、環境の制限に基づき変更できます。


VMware, Inc. 22

n † オンプレミスとは、Workspace ONE UEM コンソールの場所を意味します。

n ‡ アウトバウンド通信をホワイトリストに登録する必要がある SaaS ユーザーの場合は、最新の IP アドレス範囲を記載した VMware のナレッジベースの記事を参照してください：https://support.workspaceone.com/articles/115001662168-。

VMware Per-App トンネルのポート要件

VMware Per-App トンネルは次の 2 つの構成モデルのいずれかを使用して構成できます。

n VMware Per-App トンネルの基本エンドポイントを使用した基本エンドポイント（単一層）

n VMware Per-App トンネルのフロントエンドおよび VMware Per-App トンネルのバックエンドを使用したカスケード（複数層）

表 1-13. VMware Per-App トンネルの基本エンドポイント構成のポート要件

Source 宛先プロトコルポート確認注

デバイス（インターネットお

よび Wi-Fi から）VMware Per-App トンネルの基本エンドポ

イント

TCP、UDP 8443* インストール後に、次

のコマンドを実行しま

す： netstat -

tlpn | grep

[Port]




DNS に接続します。443 を使用すると、Per-App トンネルコンポーネントはポート

8443 で待機します。

VMware Per-App トンネルの基本エンドポイント

WorkspaceONE UEMCloudMessagingServer

HTTPS SaaS: 443


https://<AWCM

URL>:<port>/

awcm/status に対

して wget を使用し、

HTTP 200 応答を受

け取ることで検証しま

す。

VMware Per-App トンネルがコンプライア

ンスと追跡の目的で



ます。


VMware, Inc. 23

https://support.workspaceone.com/articles/115001662168-




内部 Web サイト/Web アプリケーション/リソース

HTTP、HTTPS、または TCP

80、443、必須の TCP VMware Per-App トンネルを使用するアプ

リケーションが内部リ

ソースにアクセスする

場合。正確なエンドポ

イントまたはポート

は、これらのリソース

が配置されている場所

によって決まります。


UEM REST API

n SaaS‡:https://asXXX.awmdm.com またはhttps://asXXX.airwatchportals.com

n オンプレミ

ス†：通常はデバイス

サービスま

たはコンソ

ールサーバ

HTTP または HTTPS 80 または 443 curl -Ivv

https://<API

URL>/api/mdm/

ping 予想される応答

は HTTP 401

unauthorized です

VMware Per-App トンネルは、初期化のた

めに UEM REST APIと通信する必要があり

ます。WorkspaceONE UEM コンソールで、[グループと設定 >すべての設定 > システム > 詳細 > サイトURL] の順に移動して、[REST API URL] を設定します。

Workspace ONEUEM SaaS ユーザーはこの画面を使用できま



VMware, Inc. 24

表 1-14. VMware Per-App トンネルのカスケード構成のポート要件


デバイス（インターネットお

よび Wi-Fi から）VMware Per-App トンネルのフロントエン

ド

TCP、UDP 8443* インストール後に、次


ます： netstat -

tlpn | grep

[Port]

デバイスは、指定された

ポートを介して


DNS に接続します。443 を使用すると、Per-App トンネルコンポーネントはポート

8443 で待機します。

VMware Per-App トンネルのフロントエンド


HTTPS SaaS: 443


https://<AWCM

URL>:<port>/

awcm/status に対



け取ることで検証し

ます。





ます。


VMware Per-App トンネルのバックエンド

TCP 8443 ポート 8443 でVMware Per-Appトンネルのフロント

エンドから VMwarePer-App トンネルのバックエンドに

Telnet 接続します。

フロントエンドサーバからバックエンドサーバにデバイス要求を転

送します。これは最低

でも TLS 1.2 をサポートする必要があります。



HTTPS SaaS: 443


https://<AWCM

URL>:<port>/

awcm/status に対



け取ることで検証し

ます。





ます。

VMware Tunnel のバックエンド

内部 Web サイト/Web アプリケーション/リソース

HTTP、HTTPS、または TCP

80、443、必須の TCP VMware Per-App トンネルを使用するアプ

リケーションが内部リ

ソースにアクセスする

場合。正確なエンドポ

イントまたはポートは、





VMware, Inc. 25



UEM RESTAPI


n オンプレ

ミス†：通常はデバ

イスサービスまた

はコンソ

ールサーバ


https://<API

URL>/api/mdm/


答は HTTP 401

unauthorized で

す

VMware Per-App トンネルは、初期化のため

に UEM REST API と通信する必要があります。

Workspace ONEUEM コンソールで、[グループと設定 > すべての設定 > システム >詳細 > サイト URL] の順に移動して、[RESTAPI URL] を設定します。Workspace ONEUEM SaaS ユーザーはこの画面を使用できま



UEM RESTAPI


n オンプレ

ミス†：通常はデバ

イスサービスまた

はコンソ

ールサーバ


https://<API

URL>/api/mdm/


答は HTTP 401

unauthorized で

す

VMware Per-App トンネルは、初期化のため

に UEM REST API と通信する必要があります。

Workspace ONEUEM コンソールで、[グループと設定 > すべての設定 > システム >詳細 > サイト URL] の順に移動して、[RESTAPI URL] を設定します。Workspace ONEUEM SaaS ユーザーはこの画面を使用できま


[注]

n * このポートは、環境の制限に基づき変更できます。

n † オンプレミスとは、Workspace ONE UEM コンソールの場所を意味します。

n ‡ アウトバウンド通信をホワイトリストに登録する必要がある SaaS ユーザーの場合は、最新の IP アドレス範囲を記載した VMware のナレッジベースの記事を参照してください：https://support.workspaceone.com/articles/115001662168-。


VMware, Inc. 26



アウトバウンド通信をホワイトリストに登録する必要がある SaaS ユーザーの場合は、VMware が現在所有している最新の IP アドレス範囲を記載した次のナレッジベースの記事を参照してください：VMware Workspace ONE IPranges for SaaS data centers。

ネットワークインターフェイスの接続要件

1 つ、2 つ、または 3 つのネットワークインターフェイスを使用できます。各インターフェイスには個別の IP アドレスを割り当ててください。安全な DMZ 実装の多くは、個別のネットワークを使用してさまざまな種類のトラフィックを分離します。

デプロイする DMZ のネットワーク設計に従って仮想アプライアンスを構成してください。ネットワーク DMZ に関する情報については、ネットワーク管理者にお問い合わせください。

n ネットワークインターフェイスが 1 つの場合、外部、内部、および管理トラフィックがすべて同じサブネットを持ちます。

n ネットワークインターフェイスが 2 つの場合、外部トラフィックが 1 つのサブネットを、内部と管理トラフィックがもう 1 つのサブネットを持ちます。

n ネットワークインターフェイスが 3 つの場合、外部、内部、および管理トラフィックがすべて独自のサブネットを持ちます。

注: 複数のネットワークインターフェイスの展開では、各ネットワークインターフェイスを別々のサブネットに配置してください。

Unified Access Gateway のロードバランスのトポロジDMZ の Unified Access Gateway アプライアンスは、サーバまたはサーバグループの前にあるロードバランサを参照するように構成できます。Unified Access Gateway アプライアンスは、HTTPS 向けに構成された標準的なサードパーティ製ロードバランシングソリューションと連携します。

Unified Access Gateway アプライアンスでサーバの前にあるロードバランサを参照する場合、サーバインスタンスは動的に選択されます。たとえば、ロードバランサは可用性、およびロードバランサが把握した各サーバインスタンスの現在のセッション数についての情報に基づいて選択を行う場合があります。企業のファイアウォール内のサ

ーバインスタンスには、通常、内部アクセスをサポートするためのロードバランサがあります。Unified AccessGateway を使用して、Unified Access Gateway アプライアンスがすでに頻繁に使用されているのと同じロードバランサを参照するようにできます。

または、1 つ以上の Unified Access Gateway アプライアンスで個々のサーバインスタンスを参照することもできます。どちらの方法でも、DMZ 内の 2 つ以上の Unified Access Gateway アプライアンスに接続されたロードバランサを使用します。


VMware, Inc. 27



図 1-1. ロードバランサの背後にある複数の Unified Access Gateway アプライアンス

HorizonClient

Unified AccessGateway

アプライアンス

DMZ

VMware vSphere

インターネット

Horizon デスクトップおよび RDS ホスト

Horizon接続

サーバ

ロードバランサ

接続サーバ

接続サーバ

Horizon プロトコル

Horizon Client ユーザーが Horizon 環境に接続するときには、いくつかの異なるプロトコルが使用されます。最初の接続は、HTTPS を介したプライマリ XML-API プロトコルになります。認証が成功すると、1 つまたは複数のセカンダリプロトコルも作成されます。

n プライマリ Horizon プロトコル

ユーザーが Horizon Client でホスト名を入力すると、プライマリ Horizon プロトコルが開始されます。これは、認証、承認、およびセッション管理のための制御プロトコルです。プロトコルは、HTTPS を介した XML 構造化メッセージを使用します。このプロトコルは、Horizon XML-API 制御プロトコルと呼ばれることもあります。ロードバランサの背後に複数の Unified Access Gateway アプライアンスがある上図のようなロードバランス環境では、ロードバランサはこの接続を Unified Access Gateway アプライアンスの 1 つにルーティングします。ロードバランサは通常、最初に可用性に基づいてアプライアンスを選択し、現在のセッションの最小数に基づいてトラフィックを使用可能なアプライアンスにルーティングします。この構成では、使用可能な UnifiedAccess Gateway アプライアンス全体で、さまざまなクライアントからのトラフィックが均等に分散されます。

n セカンダリ Horizon プロトコル


VMware, Inc. 28

Horizon Client がいずれかの Unified Access Gateway アプライアンスとの安全な通信を確立したら、ユーザーが認証されます。この認証に成功すると、Horizon Client から 1 つ以上のセカンダリ接続が作成されます。これらのセカンダリ接続には、次のものが含まれます。

n RDP、MMR/CDR、クライアントフレームワークチャネルなどの TCP プロトコルをカプセル化するために使用される HTTPS トンネル。(TCP 443)

n Blast Extreme 表示プロトコル (TCP 443、TCP 8443、UDP 443 および UDP 8443)

n PCoIP 表示プロトコル (TCP 4172 および UDP 4172)

これらのセカンダリ Horizon プロトコルは、プライマリ Horizon プロトコルがルーティングされた同じ UnifiedAccess Gateway アプライアンスにルーティングする必要があります。これで、Unified Access Gateway は、認証されたユーザーセッションに基づいてセカンダリプロトコルを認証できます。Unified Access Gateway の重要なセキュリティ機能として、Unified Access Gateway は認証されたユーザーのトラフィックのみを企業のデータセンターに転送します。セカンダリプロトコルがプライマリプロトコルアプライアンスとは異なる Unified AccessGateway アプライアンスに不正にルーティングされる場合、ユーザーは承認されず、DMZ で拒否されます。その結果、接続が失敗します。ロードバランサが正しく構成されていない場合、セカンダリプロトコルを不正にルーティングしてしまう問題が多く発生します。

Content Gateway と Proxy tunnel のロードバランシングに関する考慮事項

Content Gateway と Proxy tunnel でロードバランサを使用する場合は、次の点を考慮してください。

n デバイス接続の問題を回避するには、元の HTTP ヘッダーを送信するようにロードバランサを構成します。Content Gateway と Proxy tunnel は、要求の HTTP ヘッダーにある情報を使用してデバイスを認証します。

n アプリケーション単位のトンネルコンポーネントでは、接続が確立された後で各クライアントの認証が必要です。接続されると、クライアントのセッションが作成されメモリに格納されます。クライアントデータの各部分には同じセッションが使用されるため、データは同じキーを使用して暗号化および復号化できます。ロードバランシングソリューションを設計するときは、IP アドレス/セッションベースのパーシステンスを有効にしてロードバランサを構成する必要があります。代わりのソリューションとしては、クライアント側で DNS ラウンドロビンを使用します。これは、クライアントが接続ごとに異なるサーバを選択できることを意味します。

健全性の監視

ロードバランサは、定期的に HTTPS GET /favicon.ico 要求を送信することによって、各 Unified Access

Gateway アプライアンスの健全性を監視します。たとえば、https://uag1.myco-dmz.com/favicon.ico のように

なります。この監視はロードバランサで構成されます。この HTTPS GET を実行し、Unified Access Gateway から

の "HTTP/1.1 200 OK" 応答が「健全」であることを確認します。"HTTP/1.1 200 OK" 以外の応答を受け取るか、

応答がなかった場合は、特定の Unified Access Gateway アプライアンスを停止しているものとしてマークし、クライアント要求をルーティングしません。後で利用可能になったときに検出できるように、ポーリングを続行します。

Unified Access Gateway を「静止」モードにすると、"HTTP/1.1 200 OK" 応答によりロードバランサの健全性監

視要求に応答しなくなります。代わりに、Unified Access Gateway サービスが一時的に利用できないことを示すために "HTTP/1.1 503" で応答します。この設定は、主に Unified Access Gateway アプライアンスの定期的なメン

テナンス、計画的な再設定、または計画的なアップグレードの前に使用されます。このモードでは、このアプライア

ンスは使用不可としてマークされるためロードバランサは新しいセッションを転送しませんが、ユーザーが切断するか最大セッション時間に達するまで既存のセッションを続行することができます。その結果、この操作によって既存


VMware, Inc. 29

のユーザーセッションが中断されることはありません。その後アプライアンスは、セッションタイマーの最大時間（通常は 10 時間）を過ぎるとメンテナンスに使用できるようになります。この機能を使用すると、戦略内の一連のUnified Access Gateway アプライアンスをローリングアップグレードしてサービスのユーザーダウンタイムをゼロにすることができます。

Unified Access Gateway の高可用性エンドユーザーコンピューティング製品およびサービスの Unified Access Gateway には、 Workspace ONE および VMware Horizon のオンプレミスデプロイのための高可用性が必要です。ただし、サードパーティのロードバランサを使用すると、展開およびトラブルシューティングのプロセスが複雑になります。このソリューションにより、

DMZ のフロントエンド Unified Access Gateway にサードパーティのロードバランサを使用する必要がなくなります。

注: このソリューションは汎用のロードバランサを提供することではありません。

Unified Access Gateway は、このデプロイモードを優先するユーザーのために引き続きフロントでのサードパーティのロードバランサをサポートし続けます。詳細については、「Unified Access Gateway のロードバランシングトポロジ」を参照してください。Unified Access Gateway 高可用性は、Amazon AWS および Microsoft Azure のデプロイではサポートされていません。

実装

Unified Access Gateway には、管理者の IPv4 仮想 IP アドレスとグループ ID が必要です。Unified AccessGateway は、同じ仮想 IP アドレスとグループ ID で構成されているクラスタ内の 1 台のノードにのみ仮想 IP アドレスを割り当てます。仮想 IP アドレスを保持している Unified Access Gateway で障害が発生すると、仮想 IP アドレスはクラスタ内で使用可能な 1 台のノードに自動的に再割り当てされます。高可用性および負荷分散は、同じグループ ID で構成されたクラスタ内のノード間で発生します。

同じ送信元 IP アドレスから発信される複数の接続は、そのクライアントからの Horizon と Web リバースプロキシのための最初の接続を処理する同じ Unified Access Gateway に送信されます。このソリューションは、クラスタ内で 10,000 個の同時接続をサポートします。

注: セッションアフィニティは、このような場合に必要です。

VMware Tunnel (Per-App VPN) および Content Gateway サービスの場合、高可用性と負荷分散は最小接続アルゴリズムを使用して行われます。

注: これらの接続はステートレスであり、セッションアフィニティは必要ありません。

モードとアフィニティ

異なる Unified Access Gateway サービスには異なるアルゴリズムが必要です。

n VMware Horizon および Web リバースプロキシの場合 - 送信元 IP アドレスのアフィニティは分散のためのラウンドロビンアルゴリズムで使用されます。

n VMware Tunnel (Per-App VPN) および Content Gateway の場合 - セッションのアフィニティはなく、分散には最小接続アルゴリズムが使用されます。


VMware, Inc. 30

受信トラフィックの分散に使用される方法:

1 送信元 IP アドレスのアフィニティ: クライアント接続と Unified Access Gateway ノード間のアフィニティを維持します。同じ送信元 IP アドレスの接続はすべて同じ Unified Access Gateway ノードに送信されます。

2 高可用性を備えたラウンドロビンモード: 受信接続要求は、Unified Access Gateway ノードのグループに順次分散されます。

3 高可用性を備えた最小接続モード: 新しい接続要求はクライアントからの現在の接続数が最も少ない UnifiedAccess Gateway ノードに送信されます。

注: 送信元 IP アドレスのアフィニティは、受信接続の IP アドレスが各クライアント接続に対して一意の場合にのみ機能します。例: クライアントと Unified Access Gateway 間に SNAT ゲートウェイのようなネットワークコンポーネントがある場合、送信元 IP アドレスのアフィニティは機能しません。それは、複数の異なるクライアントからUnified Access Gateway への着信トラフィックが同じ送信元 IP アドレスを持つためです。

注: 仮想 IP アドレスは、eth0 インターフェイスと同じサブネットに属している必要があります。

前提条件

n 高可用性に使用される仮想 IP アドレスは一意で使用可能でなければなりません。Unified Access Gateway は構成時に一意であるかどうかを検証しません。IP アドレスは割り当て済みとして表示されますが、仮想マシンまたは物理マシンが IP アドレスに関連付けられている場合はアクセスできない可能性があります。

n グループ ID は、指定されたサブネット内で一意である必要があります。グループ ID が一意でない場合、矛盾した仮想 IP アドレスがグループ内で割り当てられる可能性があります。たとえば、2 台以上の Unified AccessGateway ノードが、同じ仮想 IP アドレスを取得しようとする場合があります。その場合、複数の UnifiedAccess Gateway ノード間で仮想 IP アドレスが切り替わる可能性があります。

n Horizon または Web リバースプロキシのための高可用性を設定するには、Unified Access Gateway のすべてのノード上の TLS サーバ証明書が同じであることを確認します。

制限

n フローティング仮想 IP アドレスには IPv4 がサポートされます。IPv6 はサポートされません。

n TCP 高可用性のみがサポートされます。

n UDP 高可用性はサポートされません。

n VMware Horizon の使用事例では、Horizon 接続サーバへの XML API トラフィックのみが高可用性を使用します。高可用性は、Blast、PCoIP、RDP などのプロトコル（表示）トラフィックの負荷分散には使用されません。したがって、仮想 IP アドレスに加えて Unified Access Gateway ノードの個々の IP アドレスも VMwareHorizon クライアントにアクセス可能でなければなりません。

各 Unified Access Gateway 上で高可用性に必要な構成

Unified Access Gateway で高可用性を構成する方法については、「高可用性設定の構成」を参照してください。


VMware, Inc. 31

高可用性の設定

Unified Access Gateway の高可用性を使用するには、管理ユーザーインターフェイスで [高可用性設定] を有効にして行います。

手順

1 管理ユーザーインターフェイスの [手動設定] セクションで、[選択] をクリックします。

2 [詳細設定] セクションで、[高可用性設定] ギアアイコンをクリックします。

3 [高可用性設定] 画面で、[無効] を [有効] に変更して高可用性を有効にします。

4 パラメータを設定します。

オプション説明

仮想 IP アドレス高可用性によって使用される有効な仮想 IP アドレス。

注: 高可用性に使用される仮想 IP アドレスは一意で使用可能でなければなりません。一意のアドレスが設定されていない場合、IP アドレスは割り当て済みとして表示されますが、仮想マシンまたは物理マシンが IP アドレスに関連付けられている場合はアクセスできない可能性があります。

グループ ID 高可用性のグループ ID。1 ～ 255 の数値を入力します。

注: グループ ID は、指定されたサブネット内で一意である必要があります。一意のグループID が設定されていない場合、グループ内で矛盾した仮想 IP アドレスが割り当てられる可能性があります。たとえば、Unified Access Gateway の 2 つ以上のゲートウェイの IP アドレスが同じ仮想 IP アドレスを取得しようとする場合があります。

5 [保存] をクリックします。

n [高可用性設定] には次のようなさまざまな状態があります。

n [未構成]: [高可用性設定] が行われていないことを示します。

n [処理]: [高可用性設定] を有効にするための処理中であることを示します。

n [マスター]: ノードがクラスタ内のマスターとして選択され、トラフィックを分散することを示します。

n [バックアップ]: ノードがクラスタ内でバックアップ状態であることを示します。

n [障害]: ノードに高可用性プロキシ構成の障害がある可能性があることを示します。

Horizon で構成された Unified Access Gateway

複数の Unified Access Gateway が同じ Horizon の設定になり、各 Unified Access Gateway で高可用性が有効になります。

XML API プロトコルには、共通の外部ホスト名が使用されます。この共通外部ホスト名は、Unified AccessGateway のノードの高可用性が設定されたフローティング IP アドレスにマッピングされます。デスクトップトラフィックは高可用性を使用せず、負荷は分散されないため、このソリューションでは Horizon に N + 1 VIP が必要です。ここで、N はデプロイされる Unified Access Gateway ノードの数です。各 Unified Access Gateway 上で、


VMware, Inc. 32

Blast、PCoIP、およびトンネルの外部 URL は、対応する Unified Access Gateway eth0 IP アドレスにマッピングされる外部 IP アドレスまたはホスト名である必要があります。性能が不十分なネットワークを介して接続し、XMLAPI に対して UDP 接続を使用するクライアントは、最初の UDP XML API 接続が渡されたのと同じ Unified AccessGateway に接続します。

図 1-2. Horizon で構成された Unified Access Gateway

クライアント 1

HA コンポーネント

Blast または PCoIP

ゲートウェイ

Blast または PCoIP

ゲートウェイ

Edge Service Manager

Edge Service Manager

外部ロード

バランサ

接続サーバ 1

接続サーバ 2

Horizonデスクトップ


UAG1 IP アドレス (Blast) デスクトップのプロトコル

フローティング IP アドレスポート443 の XML APIトラフィック

UAG2 IP アドレス (Blast) デスクトップのプロトコル

クライアント 2XML API

クライアント 1XML API

UAG 2

UAG 1 (マスター)

モードとアフィニティ: アフィニティは送信元 IP アドレスに基づいています。クライアントからの最初の接続は、ラウンドロビンメカニズムを使用して提供されます。ただし、同じクライアントからの後続の接続は、最初の接続を処理したのと同じ Unified Access Gateway に送信されます。

基本設定による VMware Tunnel の (Per-App VPN) 接続

VMware Tunnel の (Per-App VPN) は Workspace ONE UEM コンソールの基本設定になっています。

VMware Tunnel の (Per-App VPN) 設定の Workspace ONE UEM コンソールで構成されたトンネルサーバホスト名は、Unified Access Gateway で高可用性が構成されたフローティング IP アドレスに解決されます。このフローティング IP アドレス上の接続は、Unified Access Gateway で構成されたノード間で分散されます。


VMware, Inc. 33

図 1-3. 基本設定による VMware Tunnel の (Per-App VPN) 接続



VMware Tunnel サービス

VMware Tunnel サービス

バックエンドサーバ


Tunnel ホスト名を使用した

バックエンドサーバへのアクセス

バックエンド

サーバのクライアント 2トラフィック

UAG 2


バックエンドサーバの

クライアント 1 トラフィック

モードとアフィニティ: 高可用性と負荷分散には最小接続アルゴリズムが使用されます。新しい要求はクライアントへの現在の接続数が最も少ないサーバに送信されます。セッションアフィニティはステートレス接続なので必要ありません。

カスケードモードでの VMware Tunnel の (Per-App VPN) 接続

VMware Tunnel の (Per-App VPN) は Workspace ONE UEM コンソールのカスケードが設定されています。

2 つのトンネルサーバのホスト名は、フロントエンドとバックエンドの Workspace ONE UEM コンソールで構成されます。フロントエンドとバックエンドのそれぞれに、Unified Access Gateway で 2 組のノードをデプロイすることができます。

Unified Access Gateway のフロントエンドノードは、フロントエンドのトンネルサーバのホスト名で構成されます。Unified Access Gateway のフロントエンドノードの高可用性は、外部のフローティング IP アドレスで設定されます。フロントエンドのトンネルサーバのホスト名は、外部のフローティング IP アドレスに解決されます。この外部フローティング IP アドレス上の接続は、Unified Access Gateway のフロントエンドノード間で分散されます。

Unified Access Gateway のバックエンドノードは、バックエンドのトンネルサーバのホスト名で構成されます。Unified Access Gateway のバックエンドノードの高可用性は、内部のフローティング IP アドレスで設定されます。Unified Access Gateway のフロントエンドノードの VMware Tunnel の (Per-App VPN) サービスは、バックエンドのトンネルサーバのホスト名を使用してトラフィックをバックエンドに転送します。バックエンドのトンネルサーバのホスト名は、内部のフローティング IP アドレスに解決されます。この内部フローティング IP アドレス上の接続は、Unified Access Gateway のバックエンドノード間で分散されます。


VMware, Inc. 34

図 1-4. カスケードモードでの VMware Tunnel の (Per-App VPN) 接続



VMwareTunnel サービス


バックエンドサーバ


フロントエンド

トンネルホスト名を

使用して確立したトンネル

フロントエンド UAG バックエンド UAG


UAG 2


バックエンドトンネルホスト名に転送された


バックエンドトンネルホスト名に転送された







UAG 1




Content Gateway の基本構成

Content Gateway は Workspace ONE UEM コンソールの基本設定になっています。

Content Gateway 設定の Workspace ONE UEM コンソールで構成された Content Gateway サーバホスト名は、Unified Access Gateway で高可用性が構成されたフローティング IP アドレスに解決されます。このフローティング IP アドレス上の接続は、Unified Access Gateway で構成されたノード間でロードバランシングされます。


VMware, Inc. 35

図 1-5. Content Gateway の基本構成



Content Gateway サービス


内部リポジトリ


内部リポジトリのクライアント 2

トラフィック

UAG 2

UAG 1

内部リポジトリのクライアント 1トラフィック

(マスター)

CG ホスト名を使用したアクセス

リポジトリ

モードとアフィニティ: 高可用性と負荷分散には最小接続アルゴリズムが使用されます。新しい要求はクライアントへの現在の接続数が最も少ないサーバに送信されます。セッションアフィニティはステートレスなので必要ありません。

Content Gateway のリレーとエンドポイント構成

Content Gateway には、Workspace ONE UEM コンソールでリレーとエンドポイントが構成されています。

2 つの Content Gateway サーバホスト名が、リレーとエンドポイント用に Workspace ONE UEM コンソールで構成されています。Unified Access Gateway の 2 つのノードセットが、リレーとエンドポイント用にデプロイされています。

Unified Access Gateway のリレーノードは、リレー Content Gateway サーバホスト名で構成されます。UnifiedAccess Gateway のリレーノードの高可用性は、外部のフローティング IP アドレスで設定されます。リレーContent Gateway サーバのホスト名は、外部のフローティング IP アドレスに解決されます。この外部フローティング IP アドレス上の接続は、Unified Access Gateway のリレーノード間でロードバランシングされます。

Unified Access Gateway のエンドポイントノードは、エンドポイントトンネルサーバのホスト名で構成されます。Unified Access Gateway のエンドポイントノードの高可用性は、内部のフローティング IP アドレスで設定されます。フロントエンド Unified Access Gateway の Content Gateway サービスは、エンドポイント ContentGateway サーバホスト名を使用してトラフィックをエンドポイントに転送します。エンドポイント ContentGateway サーバのホスト名は、内部のフローティング IP アドレスに解決されます。この内部フローティング IP アドレス上の接続は、Unified Access Gateway のエンドポイントノード間でロードバランシングされます。


VMware, Inc. 36

図 1-6. Content Gateway のリレーとエンドポイント構成





内部リポジトリ


CG リレーホスト名を使用した

アクセス

リポジトリ

リレー


UAG 2


CG エンドポイントのホスト名に転送された

クライアント 1トラフィック

CG エンドポイントのホスト名に転送された






エンドポイント


UAG 1




複数のネットワークインターフェイスカードがある Unified AccessGateway の場合の DMZ の設計Unified Access Gateway を構成するときには、使用する仮想ネットワークインターフェイスカード (NIC) の数を設定します。Unified Access Gateway をデプロイするときは、ネットワークのデプロイ環境の構成を選択します。

1 つ、2 つ、または 3 つの NIC 設定を指定する場合、それぞれ onenic、twonic、または threenic として指定できます。

各仮想 LAN で開いているポート数を減らし、タイプ別にネットワークトラフィックを分離することで、セキュリティを大幅に向上できます。この利点は、主に多層防御としての DMZ セキュリティ設計戦略の一環として、さまざまな種類のネットワークトラフィックを分離し隔離することです。DMZ 内に別々の物理スイッチを実装するか、DMZ内で複数の仮想 LAN を使用するか、VMware NSX で完全に管理される DMZ の一部として、この環境を実現できます。


VMware, Inc. 37

NIC が 1 つの一般的な DMZ のデプロイ環境

Unified Access Gateway の最もシンプルなデプロイ環境では、1 つの NIC が使用され、すべてのネットワークトラフィックが 1 つのネットワークに結合されます。インターネットに接続するファイアウォールからのトラフィックは、利用可能な Unified Access Gateway アプライアンスのいずれかに転送されます。Unified Access Gatewayは、次に、承認されたトラフィックを内部ファイアウォールを介して内部ネットワーク上のリソースに転送します。

Unified Access Gateway は承認されていないトラフィックを破棄します。

図 1-7. Unified Access Gateway の単一 NIC のオプション

フロントエンド、バックエンドおよび管理トラフィックを組み合わせた単一のNIC Unified Access

Gatewayアプライアンス

単一の結合ネットワーク

Unified Access Gateway アプライアンス

DMZ

内部ネットワーク

内部ファイアウォール

インターネットに接続するファイアウォール



バックエンドトラフィックと管理トラフィックからの承認されていないユーザートラフィックの分離

1 つの NIC のデプロイ環境に対する代替オプションは、2 つの NIC を指定することです。最初の NIC は引き続きインターネットに接続し、承認されていないアクセスを処理しますが、バックエンドの承認されているトラフィックと

管理トラフィックは別のネットワークに分けられます。


VMware, Inc. 38

図 1-8. Unified Access Gateway の 2 つの NIC のオプション

管理トラフィックと認証された

バックエンドトラフィックから

認証されていないフロントエンドトラフィックを分離する 2 つの

NIC Unified AccessGateway


フロントエンドネットワーク


バックエンドおよび管理の結合ネットワーク

DMZ






2 つの NIC の環境では、Unified Access Gateway は内部ファイアウォールを通して内部ネットワークに送信されるトラフィックを承認する必要があります。承認されていないトラフィックは、このバックエンドネットワーク上には存在しません。Unified Access Gateway の REST API などの管理トラフィックは、この第 2 ネットワークにのみ存在します

承認されていないフロントエンドネットワーク上のデバイス（ロードバランサなど）のセキュリティが侵害された場合、この 2 つの NIC のデプロイ環境では Unified Access Gateway を迂回するようにデバイスを再構成することはできません。レイヤー 4 のファイアウォールルールとレイヤー 7 の Unified Access Gateway のセキュリティが統合されます。同様に、インターネットに接続するファイアウォールが誤って構成され、トラフィックが TCP ポート9443 を通過するようになった場合でも、Unified Access Gateway の管理 REST API はインターネットユーザーに公開されることはありません。多層防御の基本は、複数レベルの保護を利用し、単一の構成ミスやシステムへの攻撃

によって、システム全体が脆弱にならないようにすることです。

2 つの NIC のデプロイ環境の場合、DNS サーバ、RSA SecurID Authentication Manager サーバなどのインフラストラクチャシステムを DMZ 内のバックエンドネットワークに追加して、これらのサーバがインターネットに接続するネットワークから見えないようにすることができます。インフラストラクチャシステムを DMZ 内に配置することで、セキュリティが侵害されたフロントエンドシステムのインターネットに接続する LAN からのレイヤー 2 攻撃が防止され、攻撃を受ける可能性がある領域を効果的に削減できます。


VMware, Inc. 39

ほとんどの Unified Access Gateway のネットワークトラフィックは、Blast および PCoIP 表示プロトコルです。1つの NIC 環境では、インターネットとの間で通信される表示プロトコルのトラフィックは、バックエンドシステムとの間のトラフィックと結合されます。2 つ以上の NIC を使用する場合、トラフィックはフロントエンドおよびバックエンドの NIC とネットワーク間で分散されます。これにより、1 つの NIC がボトルネックになる潜在的な問題が軽減され、パフォーマンスが向上します。

Unified Access Gateway ではさらに管理トラフィックを特定の管理 LAN に分離することで、トラフィックを分離するがことできます。その場合、ポート 9443 へ HTTPS 管理トラフィックを送信できるのは管理 LAN のみになります。

図 1-9. Unified Access Gateway の 3 つの NIC のオプション

未認証のフロントエンドトラフィック、認証された

バックエンドトラフィック、および管理トラフィックの

完全な分離を提供する 3 つのNIC Unified Access Gateway


フロントエンドネットワーク


バックエンドネットワーク

DMZ






管理ネットワーク

ダウンタイムなしのアップグレード

アップグレードではダウンタイムが発生しないので、ユーザーの作業を止めずに Unified Access Gateway をアップグレードできます。

[静止モード] の値が [はい] の場合、ロードバランサがアプライアンスの健全性をチェックするときに、UnifiedAccess Gateway アプライアンスは使用不可と表示されます。ロードバランサが受け取った要求は、ロードバランサの背後にある次の Unified Access Gateway アプライアンスに送信されます。

前提条件

n ロードバランサの背後で構成された 2 つ以上の Unified Access Gateway アプライアンス。


VMware, Inc. 40

n Unified Access Gateway アプライアンスの健全性状態をチェックするためにロードバランサが接続する URLを使用して構成された健全性チェック URL の設定。

n ロードバランサ内のアプライアンスの健全性をチェックします。REST API コマンド GET https://UAG-IP-

Address:443/favicon.ico を入力します。

静止モードが [いいえ] に設定されている場合、応答は HTTP/1.1 200 OK になります。[はい] に設定されている

場合、応答は HTTP/1.1 503 になります。

注: n GET https://UAG-IP-Address:443/favicon.ico 以外の URL を使用しないでください。使用する

と、誤ったステータス応答やリソースのリークが発生します。

n [高可用性] 設定が有効になっている場合、[静止モード (ダウンタイムなし)] は、Web リバースプロキシおよび Horizon にのみ適用されます。

n サードパーティのロードバランサが使用されている場合は、GET /favicon.ico を使用して健全性チェッ

クを実行するように設定されている時にのみ、[静止モード (ダウンタイムなし)] は適用されます。

手順


2 [詳細設定] セクションで、[システム構成] ギアアイコンをクリックします。

3 [静止モード] 行で、[はい] を有効にすると Unified Access Gateway アプライアンスは一時停止します。

アプライアンスが停止しても、アプライアンスがその時点で実行しているセッションはその後も 10 時間有効で、それから終了します。

4 [[保存]] をクリックします。

ロードバランサが受け取る新しい要求は、次の Unified Access Gateway アプライアンスに送信されます。

次のステップ

n vSphere のデプロイの場合：

a ファイルをエクスポートして、JSON ファイルのバックアップを作成します。

b 古い Unified Access Gateway アプライアンスを削除します。

c Unified Access Gateway アプライアンスの新しいバージョンをデプロイします。

d 以前にエクスポートした JSON ファイルをインポートします。

n PowerShell のデプロイの場合：

a Unified Access Gateway アプライアンスを削除します。


VMware, Inc. 41

b 最初のデプロイ時に使用された同じ INI ファイルを使用して Unified Access Gateway を再デプロイします。PowerShell を使用した Unified Access Gateway アプライアンスのデプロイを参照してください。

注: ロードバランサを再度有効にした後にトンネルサーバ証明書のエラーメッセージが表示された場合は、以前にUnified Access Gateway アプライアンスで使用したのと同じ SSL サーバ証明書とプライベートキー PEM ファイルを適用します。セキュリティ上の理由からプライベートキーをエクスポートすることはできず、JSON または INIファイルには SSL サーバ証明書に関連付けられたプライベートキーを含めることはできません。そのため、これは必須です。PowerShell のデプロイでは、これは自動的に実行され、証明書を再適用する必要はありません。

ネットワークプロトコルプロファイル (NPP) を使用しない UnifiedAccess Gateway のデプロイUnified Access Gateway の最新リリースでは、ネットワークプロトコルプロファイルのネットマスクまたはプリフィックス、およびデフォルトのゲートウェイ設定を受け入れません。

Unified Access Gateway インスタンスをデプロイするときには、このネットワーク情報を提供する必要があります。

固定デプロイの場合、Unified Access Gateway インスタンスを構成するときは、IPv4 または IPv6 アドレス、それぞれの NIC のネットマスクまたはプリフィックス、および IPv4/IPv6 デフォルトゲートウェイを指定します。この情報を指定しない場合、IP アドレス割り当てのデフォルト値は DHCPV4+DHCPV6 になります。

ネットワークプロパティを構成するときは、次の点に注意してください。

n NIC の IPMode に STATICV4 を選択する場合は、その NIC の IPv4 アドレスとネットマスクを指定する必要があ

ります。

n NIC の IPMode に STATICV6 を選択する場合は、その NIC の IPv6 アドレスとネットマスクを指定する必要があ

ります。

n NIC の IPMode に STATICV4 と STATICV6 の両方を選択する場合は、その NIC の IPv4 および IPv6 アドレスと

ネットマスクを指定する必要があります。

n アドレスとネットマスク情報を指定しない場青、値は DHCP サーバによって割り当てられます。

n IPv4 と IPv6 のデフォルトゲートウェイのプロパティはオプションであり、Unified Access Gateway がUnified Access Gateway の NIC のローカルセグメントにない IP アドレスと通信する必要がある場合に指定する必要があります。

ネットワークプロパティの構成の詳細については、OVF テンプレートウィザードによる Unified Access Gatewayのデプロイを参照してください。

カスタマエクスペリエンス改善プログラムへの参加または脱退 sVMware カスタマエクスペリエンス改善プログラム (CEIP) では、製品やサービスの向上、問題の修正、VMware 製品を導入して使用する最適な方法をユーザーにアドバイスするために、VMware が使用する情報を提供します。


VMware, Inc. 42

この製品は、VMware のカスタマエクスペリエンス改善プログラム（「CEIP」）に参加しています。CEIP を通して収集されるデータおよび VMware のその使用目的に関する詳細は、Trust & Assurance センター (https://www.vmware.com/jp/solutions/trustvmware/ceip.html) に記載されています。

この製品の CEIP へは、管理ユーザーインターフェイスからいつでも参加または脱退できます。

手順

1 [詳細設定] > [システム構成] で、[はい] または [いいえ] を選択します。

[はい] を選択すると、[カスタマエクスペリエンス改善プログラム] ダイアログが表示され、プログラムに参加していることを示すチェックボックスがオンになります。

2 ダイアログの情報を確認し、[閉じる] をクリックします。

3 [システム構成] ページで [保存] をクリックし、変更を保存します。


VMware, Inc. 43

https://www.vmware.com/jp/solutions/trustvmware/ceip.html

https://www.vmware.com/jp/solutions/trustvmware/ceip.html

Unified Access Gateway アプライアンスのデプロイ 2Unified Access Gateway は OVF としてパッケージ化され、vSphere ESX または ESXi ホストに構成済みの仮想アプライアンスとしてデプロイされます。

vSphere ESX または ESXi ホストに Unified Access Gateway アプライアンスをインストールする場合、2 つの主要な方法を使用できます。Microsoft Server 2012 と 2016 Hyper-V ロールがサポートされます。

n vSphere Client または vSphere Web Client を使用して、Unified Access Gateway OVF テンプレートをデプロイできます。NIC のデプロイ構成、IP アドレス、管理インターフェイスのパスワードなど、基本的な設定を指定するように求められます。OVF をデプロイしたら、Unified Access Gateway の管理ユーザーインターフェイスにログインして Unified Access Gateway システム設定を構成し、さまざまなケースで安全な Edge サービスをセットアップし、DMZ で認証を構成します。OVF テンプレートウィザードによる Unified AccessGateway のデプロイを参照してください。

n さまざまなケースで、PowerShell スクリプトを使用して、Unified Access Gateway をデプロイし、安全なEdge サービスをセットアップできます。zip ファイルをダウンロードし、お使いの環境に合った PowerShellスクリプトを設定し、スクリプトを実行して Unified Access Gateway をデプロイします。PowerShell を使用した Unified Access Gateway アプライアンスのデプロイを参照してください。

注: アプリケーション単位のトンネルとプロキシの使用事例の場合は、Unified Access Gateway を ESXi またはMicrosoft HYPER-V のいずれかの環境にデプロイできます。

注: 上記のいずれのデプロイ方法の場合も、管理ユーザーインターフェイスのパスワードを入力しないと、後から管理ユーザーインターフェイスのユーザーを追加して、管理ユーザーインターフェイスまたは API へのアクセスを有効にすることはできません。これを行う場合は、有効なパスワードを使用して Unified Access Gateway インスタンスを再デプロイする必要があります。


n OVF テンプレートウィザードを使用した Unified Access Gateway のデプロイ

n 管理機能の構成ページからの Unified Access Gateway の構成

n SSL サーバの署名入り証明書の更新

VMware, Inc. 44

OVF テンプレートウィザードを使用した Unified Access Gatewayのデプロイ

Unified Access Gateway をデプロイするには、vSphere Client または vSphere Web Client を使用して OVF テンプレートをデプロイし、アプライアンスをパワーオンして設定を行います。

OVF をデプロイするときは、必要なネットワークインターフェイス (NIC) の数、IP アドレス、および管理者パスワードと root パスワードを設定します。

Unified Access Gateway をデプロイしたら、管理ユーザーインターフェイス (UI) に移動して Unified AccessGateway 環境を設定します。管理ユーザーインターフェイスでは、DMZ で使用するためにデスクトップリソースとアプリケーションリソース、および認証方法を設定します。管理ユーザーインターフェイスにログインするには、https://<mycoUnifiedGatewayAppliance>.com:9443/admin/index.html に移動します。

OVF テンプレートウィザードによる Unified Access Gateway のデプロイ

vCenter Server にログインして OVF テンプレートのデプロイウィザードを使用することで、Unified AccessGateway アプライアンスをデプロイできます。

標準の OVA および FIPS バージョンの OVA という、Unified Access Gateway OVA の 2 つのバージョンが利用できます。

OVA の FIPS バージョンでは次の Edge Service がサポートされています。

n Horizon（パススルー認証のみ）

n VMware Per-App トンネル

重要: FIPS 140-2 バージョンは FIPS 認定の暗号とハッシュのセットを使用して実行し、FIPS 認定ライブラリをサポートする制限付きサービスを有効にします。Unified Access Gateway を FIPS モードでデプロイすると、アプライアンスを標準の OVA デプロイモードに変更することはできません。

Unified Access Gateway のサイズ調整オプション

Workspace ONE セキュリティゲートウェイとしての Unified Access Gateway アプライアンスのデプロイを簡素化するため、アプライアンスのデプロイ設定にサイズ調整オプションが追加されています。デプロイの構成では、標

準の仮想マシンまたは大規模の仮想マシンのいずれかを選択できます。

n [標準：]この構成は、接続サーバの容量に合わせて最大 2000 の Horizon 接続をサポートする Horizon のデプロイに推奨されます。また、同時接続数が最大で 10,000 の Workspace ONE UEM デプロイ（モバイルユースケース）にも推奨されます。


VMware, Inc. 45

n [大規模：]この構成は、Unified Access Gateway が 10,000 を超える同時接続をサポートする必要があるWorkspace ONE UEM デプロイに推奨されます。このサイズにより、Content Gateway、アプリケーション単位のトンネルとプロキシ、およびリバースプロキシで同じ Unified Access Gateway アプライアンスを使用できます。

注: 標準および大規模展開のための仮想マシンオプション:

n 標準 - 2 コアおよび 4 GB の RAM

n 大規模 - 4 コアおよび 16 GB の RAM

前提条件

n ウィザードで使用できるデプロイオプションを確認します。 Unified Access Gatewayシステムとネットワークの要件を参照してください。

n Unified Access Gateway アプライアンスを構成するためのネットワークインターフェイスと静的 IP アドレスの数を決定します。ネットワーク構成の要件を参照してください。

n Unified Access Gateway アプライアンスの .ova インストーラファイルを https://my.vmware.com/web/

vmware/downloads にある VMware Web サイトからダウンロードするか、使用する http://

example.com/vapps/euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova などの URL（Y.Y はバージョ

ン番号、xxxxxxx はビルド番号）を判断します。

n Hyper-V をデプロイするときに固定 IP アドレスを使用して Unified Access Gateway をアップグレードする場合は、Unified Access Gateway の新しいインスタンスをデプロイする前に古いアプライアンスを削除します。

n ユーザーの作業を止めずに古いアプライアンスを Unified Access Gateway の新しいインスタンスにアップグレードするには、「ダウンタイムなしのアップグレード」セクションを参照してください。

手順

1 ネイティブ vSphere Client または vSphere Web Client を使用して vCenter Server インスタンスにログインします。

IPv4 ネットワークの場合、ネイティブ vSphere Client または vSphere Web Client を使用してください。IPv6ネットワークの場合、vSphere Web Client を使用してください。

2 [OVF テンプレートのデプロイ] ウィザードを開始するためのメニューコマンドを選択します。

オプションメニューコマンド

vSphere Client [ファイル] - [OVF テンプレートのデプロイ] を選択します。

vSphere Web Client データセンター、フォルダ、クラスタ、リソースプール、ホストなど、仮想マシンの有効な親オブジェクトであるインベントリオブジェクトを選択し、[アクション] メニューから [OVF テンプレートのデプロイ] を選択します。

3 [ソースの選択] 画面で、ダウンロードした .ova ファイルを参照するか、URL を入力して [次へ] をクリックしま

す。

製品の詳細、バージョン、およびサイズ要件を確認します。


VMware, Inc. 46

https://my.vmware.com/web/vmware/downloads

https://my.vmware.com/web/vmware/downloads

4 要求に従い、ウィザードを完了したときに次のガイドラインに従うことを考慮に入れます。ESXi と Hyper-V の両方には、Unified Access Gateway の IP 割り当てを割り当てる 2 つのオプションがあります。アップグレードしている場合、Hyper-V では、新しいアドレスのボックスをデプロイする前に同じ IP アドレスの古いボックスを削除します。ESXi では、古いボックスをオフにして、固定割り当てを使用して同じ IP アドレスの新しいボックスをデプロイできます。


名前と場所 Unified Access Gateway 仮想アプライアンスの名前を入力します。この名前は、インベントリフォルダ内で一意である必要があります。名前は大文字と小文字が区別されます。

仮想アプライアンスの場所を選択します。

デプロイの構成 IPv4 または IPV6 ネットワークの場合、1 つ、2 つ、または 3 つのネットワークインターフェイス (NIC) を使用できます。DMZ 実装の多くは、個別のネットワークを使用してさまざまな種類のトラフィックを保護します。デプロイする DMZ のネットワーク設計に従って UnifiedAccess Gateway を構成してください。NIC の数とともに、Unified Access Gateway の展開オプションとして [標準] または [大規模] を選択することもできます。

注: [標準] および [大規模] 展開のための仮想マシンオプション：

n [標準] - 2 コアおよび 4 GB の RAM

n [大規模] - 4 コアおよび 16 GB の RAM

ホスト/クラスタ仮想アプライアンスを実行するホストまたはクラスタを選択します。

ディスクフォーマット評価およびテスト環境では、シンプロビジョニングフォーマットを選択します。本番環境では、シックプロビジョニングフォーマットを選択します。シックプロビジョニングの EagerZeroed は、フォールトトレランスなどのクラスタ化機能はサポートしますが、他のタイプの仮想ディスクよりも作成するのにかなりの時間がかかるシック仮想ディスクフォーマットのタイプです。

ネットワークのセットアップ/ネットワークマッピング

vSphere Web Client を使用している場合は、[ネットワークのセットアップ] 画面で、各 NICをネットワークにマッピングしてプロトコル設定を指定できます。

OVF テンプレートで使用されるネットワークをインベントリ内のネットワークにマッピングします。

a 表の最初の行 [インターネット] を選択してから、下向き矢印をクリックして宛先ネットワークを選択します。IPv6 を IP プロトコルとして選択するには、IPv6 に対応するネットワークを選択する必要があります。

行を選択したら、DNS サーバ、ゲートウェイ、ネットマスクの IP アドレスもウィンドウの下の部分で入力できます。

b 複数の NIC を使用している場合は、次の行 [管理ネットワーク] を選択して宛先ネットワークを選択すると、そのネットワークの DNS サーバとゲートウェイの IP アドレスと、ネットマスクを入力できます。

NIC を 1 つのみ使用している場合、すべての行は同じネットワークにマッピングされます。

c NIC が 3 つある場合は、3 番目の行も選択して設定を完成させます。

NIC を 2 つのみ使用している場合は、この 3 番目の行 [バックエンドネットワーク] には、[管理ネットワーク] に使用したものと同じネットワークを選択します。

注: [IP プロトコル] ドロップダウンメニューが表示されている場合は無視し、ここでは何も選択しないでください。実際の IP プロトコルの選択（IPv4/IPv6/両方）は、ネットワークプロパティのカスタマイズ時に NIC 1 (eth0)、NIC 2 (eth1)、NIC 3 (eth2) の IPMode にどのIP モードが指定されているかによって異なります。


VMware, Inc. 47


ネットワークプロパティのカスタマイズプロパティ画面のテキストボックスは Unified Access Gateway に固有であり、その他の種類の仮想アプライアンスには不要な場合があります。ウィザード画面のテキストは、各設定に

ついて説明しています。テキストがウィザードの右側で切り捨てられている場合、右下からド

ラッグしてウィンドウのサイズを変更します。各 NIC に対して、STATICV4 の場合は NIC のIPv4 アドレスを入力する必要があります。STATICV6 の場合、その NIC については IPv6 アドレスを入力する必要があります。テキストボックスを空のままにすると、IP アドレスの割り当てはデフォルトで DHCPV4+DHCPV6 になります。

重要: Unified Access Gateway の最新リリースでは、ネットワークプロトコルプロファイル (NPP) のネットマスクまたはプリフィックス値、およびデフォルトのゲートウェイ設定を受け入れません。固定 IP 割り当てを使用して Unified Access Gateway を構成するには、ネットワークプロパティのネットマスク/プリフィックスを構成する必要があります。これらの値は NPP からは入力されません。

n [NIC1 (eth0) の IPMode：STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 ]

n [NIC2(eth1) の IPMode：STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 ]

n [NIC3 (eth2) の IPMode：STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 ].

n [「{tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu」形式で記載された転送ルールのカンマ区切りリスト]。たとえば、IPv4 の場合は、tcp/

5262/10.110.92.129:9443, tcp/5263/10.20.30.50:7443 などです。

n [NIC 1 (eth0) 用 IPv4 アドレス]：NIC モードに STATICV4 と入力した場合、NIC の IPv4アドレスを入力します。

n [「ipv4-network-address/bits ipv4-gateway-address」形式で記載された、NIC 1(eth0) 用の IPv4 カスタムルートのカンマ区切りリスト]。たとえば、20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32 などです。

注: [ipv4-gateway-address] が指定されていない場合、追加されるそれぞれのルートのゲートウェイは 0.0.0.0 です。


n [NIC 1 (eth0) IPv4 ネットマスク]：NIC の IPv4 ネットマスクを入力します。

n [NIC 1 (eth0) IPv6 プリフィックス]：NIC の IPv6 プリフィックスを入力します。

n [DNS サーバアドレス]：Unified Access Gateway アプライアンスのドメイン名サーバのスペース区切り IPv4 または IPv6 アドレスを入力します。IPv4 の入力例は192.0.2.1, 192.0.2.2 です。IPv6 の入力例は fc00:10:112:54::1 です。

n [IPv4 デフォルトゲートウェイ]。Unified Access Gateway が Unified AccessGateway の NIC のローカルセグメントにない IP アドレスと通信する必要がある場合は、IPv4 デフォルトゲートウェイを入力します。

n [IPv6 デフォルトゲートウェイ]。Unified Access Gateway が Unified AccessGateway の NIC のローカルセグメントにない IP アドレスと通信する必要がある場合は、IPv6 デフォルトゲートウェイを入力します。



VMware, Inc. 48


n [「ipv4-network-address/bits ipv4-gateway-address」形式で記載された、NIC 2(eth1) 用の IPv4 カスタムルートのカンマ区切りリスト]。たとえば、20.2.0.0/16

10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32 などです。



n [NIC 2 (eth1) IPv4 ネットマスク]：この NIC の IPv4 ネットマスクを入力します。

n [NIC 2 (eth1) IPv6 プリフィックス]：この NIC の IPv6 プリフィックスを入力します。


n [「ipv4-network-address/bits ipv4-gateway-address」形式で記載された、NIC 3(eth2) 用の IPv4 カスタムルートのカンマ区切りリスト]。たとえば、20.2.0.0/16

10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32 などです。



n [NIC 3 (eth2) IPv4 ネットマスク]：この NIC の IPv4 ネットマスクを入力します。

n [NIC 3 (eth2) IPv6 プリフィックス]：この NIC の IPv6 プリフィックスを入力します。

n [仮想マシンの root ユーザーパスワード]。root ユーザーが仮想マシンのコンソールにログインするためのパスワードを入力します。

n [管理ユーザーインターフェイスのパスワード]。管理者ユーザーのパスワードを入力して、管理ユーザーインターフェイスから Unified Access Gateway を設定し、REST APIにもアクセスします。

その他の設定はオプションの設定であるか、デフォルト設定がすでに入力されています。

CEIP に参加 [VMware カスタマエクスペリエンス向上プログラムに参加する] をオンにして CEIP に参加するか、このオプションをオフにして CEIP から脱退します。

5 準備完了画面で [デプロイ後にパワーオン] を選択し、[完了] をクリックします。

OVF テンプレートのデプロイタスクが vCenter Server のステータスエリアに表示され、デプロイを監視できます。仮想マシンでコンソールを開き、システム起動中に表示されるコンソールメッセージを確認することもできます。これらのメッセージのログは、/var/log/boot.msg ファイルにも記録されます。

6 デプロイが完了したら、エンドユーザーがブラウザを開いて次の URL を入力することでアプライアンスに接続できることを確認します。

https://FQDN-of-UAG-appliance

この URL で、FQDN-of-UAG-appliance は Unified Access Gateway アプライアンスの DNS 解決可能な完全修飾ドメイン名です。

デプロイが成功した場合、Unified Access Gateway が参照しているサーバによって提供される Web ページが表示されます。デプロイが成功しなかった場合、アプライアンス仮想マシンを削除して再びアプライアンスをデ

プロイできます。最も一般的なエラーは、証明書サムプリントを正しく入力していないことです。

Unified Access Gateway アプライアンスがデプロイされ、自動的に起動されます。


VMware, Inc. 49

次のステップ

n Unified Access Gateway の管理ユーザーインターフェイス (UI) にログインし、デスクトップとアプリケーションリソースを設定し、Unified Access Gateway を介したインターネットからのリモートアクセスと、DMZで使用する認証方法を許可します。管理コンソールの URL の形式は、https://<mycoUnified Access

Gatewayappliance.com:9443/admin/index.html となります。

重要: 管理ユーザーインターフェイスを使用して、デプロイ後の Unified Access Gateway 設定を完了する必要があります。管理ユーザーインターフェイスのパスワードを入力しないと、後から管理ユーザーインターフェイスのユーザーを追加して、管理ユーザーインターフェイスまたは API へのアクセスを有効にすることはできません。管理ユーザーインターフェイスのユーザーを追加する場合は、Unified Access Gateway インスタンスを有効な管理ユーザーインターフェイスのパスワードで再デプロイする必要があります。

注: 管理ユーザーインターフェイスのログイン画面にアクセスできない場合は、OVA のインストール中に仮想マシンに IP アドレスが表示されているかどうかを確認してください。IP アドレスが設定されていない場合は、ユーザーインターフェイスで説明した VAMI コマンドを使用して NIC を再設定します。"cd /opt/vmware/

share/vami" としてコマンドを実行し、次にコマンド "./vami_config_net" を実行します。

注: 展開後に初めてアプライアンスをパワーオンした後は、アプライアンスが初めて完全に起動するまで、アプライアンスをシャットダウンまたは再起動しないでください。

n vSphere または PowerShell を使用してデプロイした場合は、健全性チェックを実行して、新しくデプロイされたインスタンスが 200 OK 応答を返すことを確認します。

管理機能の構成ページからの Unified Access Gateway の構成OVF をデプロイし、Unified Access Gateway アプライアンスをパワーオンしたら、Unified Access Gateway の管理ユーザーインターフェイスにログインして、次の設定を構成します。

注: Unified Access Gateway 管理コンソールの初回起動時に、アプライアンスをデプロイしたときに設定したパスワードを変更するように求められます。

[全般設定] ページと [詳細設定] ページには以下が含まれます。

n Unified Access Gateway システム構成と TLS サーバ証明書

n Horizon、リバースプロキシ、VMware トンネル、およびコンテンツゲートウェイ（CG とも呼ばれる）の Edgeサービス設定

n RSA SecurID、RADIUS、X.509 証明書、および RSA Adaptive Authentication の認証設定

n SAML ID プロバイダとサービスプロバイダの設定

n ネットワーク設定

n エンドポイントコンプライアンスチェックのプロバイダの設定

n ID ブリッジ設定の構成

n アカウント設定


VMware, Inc. 50

次のオプションは、[サポート設定] ページからアクセスできます。

n Unified Access Gateway ログファイルをダウンロードします。

n Unified Access Gateway 設定をエクスポートして、設定を取得します。

n ログレベルを設定します。

n Unified Access Gateway 設定をインポートして、全体的な Unified Access Gateway 構成を作成および更新します。

Unified Access Gateway システム設定の構成

クライアントと Unified Access Gateway アプライアンス間の通信を暗号化するために使用されるセキュリティプロトコルと暗号化アルゴリズムは、管理機能の構成ページで構成できます。

前提条件

n Unified Access Gateway デプロイのプロパティを確認します。次の設定情報は必須です。

n Unified Access Gateway アプライアンスの固定 IP アドレス

n DNS サーバの IP アドレス

n 管理コンソールのパスワード

n Unified Access Gateway アプライアンスが指定するサーバインスタンスまたはロードバランサの URL

n イベントログファイルを保存する Syslog サーバの URL

手順


2 [詳細設定] セクションで、[システム構成] ギアアイコンをクリックします。

3 次の Unified Access Gateway アプライアンスの構成値を編集します。

オプションデフォルト値と説明

UAG 名一意の UAG アプライアンス名。

ロケールエラーメッセージを生成する場合に使用するロケールを指定します。

n 米国英語は en_US。これはデフォルトです。

n 日本語は ja_JP

n フランス語は fr_FR

n ドイツ語は de_DE

n 簡体字中国語は zh_CN

n 繁体字中国語は zh_TW

n 韓国語は ko_KR

n スペイン語は es

n ブラジルポルトガル語は pt_BR

n 英国英語は en_BR


VMware, Inc. 51


暗号化スイートほとんどの場合、デフォルトの設定は変更する必要はありません。これは、クライアントと

Unified Access Gateway アプライアンス間の通信を暗号化するために使用される暗号化アルゴリズムです。暗号設定は、さまざまなセキュリティプロトコルを有効にするために使用されます。

暗号化の優先順位デフォルトは [いいえ] です。TLS 暗号リストの順位の制御を有効にするには、[はい] を選択します。

TLS 1.0 が有効デフォルトは [いいえ] です。TLS 1.0 セキュリティプロトコルを有効にするには、[はい] を選択します。

TLS 1.1 が有効デフォルトは [はい] です。TLS 1.1 セキュリティプロトコルは有効です。

TLS 1.2 が有効デフォルトは [はい] です。TLS 1.2 セキュリティプロトコルは有効です。

Syslog URL Unified Access Gateway イベントを記録するために使用する Syslog サーバの URL を入力します。この値には、URL またはホスト名または IP アドレスを使用できます。Syslog サーバの URL を設定しないと、イベントは記録されません。

最大 2 つの URL を指定できます。URL はコンマで区切られます。例：syslog://

server1.example.com:514, syslog://server2.example.com:514

Syslog 監査 URL Unified Access Gateway 監査イベントを記録するために使用する Syslog サーバの URL を入力します。この値には、URL またはホスト名または IP アドレスを使用できます。Syslog サーバの URL を設定しないと、監査イベントは記録されません。

最大 2 つの URL を指定できます。URL はコンマで区切られます。例：syslog://

server1.example.com:514, syslog://server2.example.com:514

健全性チェック URL ロードバランサが接続して Unified Access Gateway の健全性をチェックする URL を入力します。

キャッシュされる Cookie Unified Access Gateway がキャッシュする Cookie のセット。デフォルトは [なし] です。

IP モード STATICV4 または STATICV6 のいずれかの固定 IP モードを選択します。

セッションタイムアウトデフォルト値は [36000000] ミリ秒です。

静止モード [はい] にして有効にすると、Unified Access Gateway アプライアンスを一時停止にして、一環した状態で、メンテナンスタスクを実行できます

監視間隔デフォルト値は [60] です。

パスワードの有効期間現在の管理者パスワードが有効な日数。デフォルトは 90 日です。パスワードが無期限の場合、ゼロ (0) に指定します。

要求のタイムアウト要求のタイムアウトを秒単位で指定します。デフォルトは 3000 です。

ボディの受信がタイムアウトになりましたボディの受信タイムアウトを秒単位で指定します。デフォルトは 5000 です。

クライアント接続のアイドルタイムアウト接続が閉じるまでにクライアント接続をアイドル状態に保持できる時間（秒）を指定します。

デフォルト値は 360 秒（6 分）です。値がゼロの場合、アイドルタイムアウトは発生しません。

認証がタイムアウトになりました認証タイムアウトを秒単位で指定します。デフォルトは 300000 です。

クロックスキューの許容範囲 Unified Access Gateway クロックと同じネットワーク上の他のクロック間で許容される時間差を秒単位で入力します。デフォルトは 600 秒です。

CEIP に参加有効にすると、カスタマエクスペリエンス改善プログラム (CEIP) の情報を VMware に送信します。詳細については、カスタマエクスペリエンス改善プログラムへの参加または脱退 sを参照してください。


VMware, Inc. 52


SNMP を有効にする [はい] を有効にして、SNMP サービスを有効にします。簡易ネットワーク管理プロトコルを有効にして、システム統計、メモリ、VMware Tunnel サーバの MIB 情報を Unified AccessGateway で収集します。使用可能な管理情報ベース (MIB) のリスト

n UCD-SNMP-MIB::systemStats

n UCD-SNMP-MIB::memory

n VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB

DNS /etc/resolv/conf 構成ファイルに追加されている DNS (Domain Name System) アドレスを入力します。有効な DNS 検索アドレスを含めてください。[+] をクリックして、新しいDNS アドレスを追加します。

DNS 検索 /etc/resolv/conf 構成ファイルに追加されている DNS (Domain Name System) 検索を入力します。有効な DNS 検索アドレスを含めてください。[+] をクリックして、新しい DNS 検索エントリを追加します。

NTP サーバ NTP (Network Time Protocol) 同期用の NTP サーバ。有効な IP アドレスとホスト名を入力できます。systemd-networkd.service 設定からまたは DHCP を介して取得された、イ

ンターフェイスごとの NTP サーバは、これらの構成よりも優先されます。[+] をクリックして、新しい NTP サーバを追加します。

フォールバック NTP サーバ NTP (Network Time Protocol) 同期用のフォールバック NTP サーバ。NTP サーバ情報が見つからない場合は、これらのフォールバック NTP サーバのホスト名または IP アドレスが使用されます。[+] をクリックして、新しいフォールバック NTP サーバを追加します。


次のステップ

Unified Access Gateway をデプロイしたコンポーネントの Edge サービス設定を構成します。Edge の設定を構成したら、認証設定を構成します。

ネットワーク設定の変更

管理ユーザーインターフェイスから、構成済みネットワークの IP アドレス、サブネットマスク、デフォルトゲートウェイ、IP アドレスの割り当てモードなどのネットワーク設定を変更することができます。

ネットワーク設定を変更した場合は、次の制限に注意してください。

n サポートされる IP モードは IPv4 のみで、IPv6 はサポートされません。

n IP アドレスが管理ネットワーク IP アドレス上で動的に変更されている場合、新しい IP アドレスに対してはブラウザのリダイレクトはサポートされません。

n インターネットに接続するネットワークインターフェイスの IP アドレス、サブネットマスク、またはデフォルトゲートウェイが変更された場合、現在のセッションはすべて失われます。

前提条件

n 管理者権限があることを確認します。

n IP アドレスを固定 IP アドレス、サブネットマスク、またはデフォルトゲートウェイに変更する場合は、あらかじめアドレス、サブネットマスク、およびデフォルトゲートウェイを確認しておく必要があります。


VMware, Inc. 53

手順


2 [詳細設定] で、[ネットワーク設定] の横のギアアイコンをクリックします。

構成済みのネットワークとその設定のリストが表示されます。

3 [ネットワーク設定] ウィンドウで、設定を変更するネットワークの横のギアアイコンをクリックして、次の情報を入力します。

IPv4 の構成

ラベル説明

IPv4 割り当てモード

IP アドレスの割り当てが静的に行われるか動的に行われるかを選択します。固定 IP アドレスの割り当てでは、このパラメータを指定する必要があります。

IPv4 アドレスネットワークの IP アドレス。動的 IP アドレスの割り当てを選択する場合、IP アドレスを指定する必要はありません。固定IP アドレスの割り当てでは、このパラメータを指定する必要があります。

IPv4 ネットマスク

ネットワークの IPv4 ネットマスク。動的 IP アドレスの割り当てを選択する場合、IPv4 ネットマスクを指定する必要はありません。

IPv4 デフォルトゲートウェイ

Unified Access Gateway の IPv4 デフォルトゲートウェイアドレス。動的 IP アドレスの割り当てを選択する場合、デフォルトゲートウェイ IP アドレスを指定する必要はありません。[]

IPv4 固定ルート

ネットワークの IPv4 カスタムルート。[+] をクリックして、新しいスタティックルートを追加します。

「ipv4-network-address/bits ipv4-gateway-address」形式で記載された、NIC 用の IPv4 カスタムルートのカンマ区切りリスト。例：20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32。

注: ipv4-gateway-address が指定されていない場合、追加されるそれぞれのルートのゲートウェイは 0.0.0.0 です。

IPv6 構成は変更できません。

ラベル説明

IPv6 割り当てモード IP アドレスを静的、動的、または自動のどの方法で割り当てるかを指定します。

IPv6 アドレスネットワークの IP アドレス。

IPv6 プリフィックスネットワークの IPv6 プリフィックス。

IPv6 デフォルトゲートウェイ Unified Access Gateway の IPv6 デフォルトゲートウェイアドレス。


設定が正常に変更されると、成功のメッセージが表示されます。ネットワーク設定を更新できない場合は、エラ

ーメッセージが表示されます。

ユーザーアカウント設定の構成

Unified Access Gateway システムへの完全なアクセス権を持つスーパーユーザー管理者は、管理設定ページからユーザーの追加と削除、パスワードの変更、およびユーザーのロールの変更を行うことができます。

権限の低い管理者の詳細を含むアカウント設定をアプライアンスの設定からエクスポートしたり、アプライアンスの

設定にインポートしたりすることはできません。Unified Access Gateway の新しいインスタンスに権限の低い新しいアカウントを設定するには、管理ユーザーインターフェイスから手動で設定します。


VMware, Inc. 54

権限の低い管理者の追加

読み取り専用の操作やシステムの監視など、制限された数のタスクを実行できる権限の低い管理者を構成して追加で

きるようになりました。

注: 現在、Unified Access Gateway のインスタンスに対して権限の低い管理者を 1 人のみ追加できます。

手順


2 詳細設定で、[アカウント設定] ギアアイコンを選択します。

3 [アカウント設定] ウィンドウで、[追加] をクリックします。

ロールは、ROLE_MONITORING に自動的に設定されます。

4 [アカウント設定] ウィンドウで、次の情報を入力します。

a ユーザーの一意のユーザー名。

b （オプション）ユーザーを追加した直後にユーザーを有効にする場合は、[有効] ボックスをオンにします。

c ユーザーのパスワードを入力します。パスワードは 8 文字以上で、大文字と小文字が 1 文字以上、数字が 1文字以上、特殊文字（!、@、#、$、%、*、(、)）が 1 文字、含まれている必要があります。

d パスワードを確認します。


追加した管理者が [アカウント設定] に一覧表示されます。

次のステップ

権限の低い管理者は、システムにログインしてパスワードを変更したり、監視タスクを実行したりできます。

ユーザーアカウントの設定の変更

スーパーユーザー管理者は、ユーザーのパスワードを変更したり、ユーザーを有効または無効にしたりできます。

自分自身のパスワードを変更することもできますが、自分自身のアカウントを無効にすることはできません。

手順


2 [詳細設定] セクションで、[アカウント設定] をクリックします。

ユーザーのリストが表示されます。

3 アカウントを変更するユーザーの横のギアアイコンをクリックします。


VMware, Inc. 55

4 次の値を編集します。

a ユーザーを有効にするか無効にするかに応じて、[有効] ボックスをオンまたはオフにします。

b ユーザーのパスワードをリセットするには、新しいパスワードを入力し、パスワードを確認します。管理者

としてログインしている場合は、古いパスワードも入力する必要があります。

パスワードは 8 文字以上で、大文字と小文字が 1 文字以上、数字が 1 文字以上、特殊文字（!、@、#、$、%、*、(、)）が 1 文字、含まれている必要があります。


Unified Access Gateway コンソールを使用した管理パスワードのリセット

デプロイ時に設定された管理者ユーザーパスワードを忘れた場合、ユーザーは root ユーザー認証情報を使用してUnified Access Gateway コンソールにログインし、管理ユーザーインターフェイスのパスワードをリセットできます。

前提条件

root ユーザーまたは root 権限を持つユーザーとして仮想マシンにログインするにはパスワードが必要です。ユーザーは、root グループに属している必要があります。

手順

1 Unified Access Gateway コンソールのオペレーティングシステムに root ユーザーとしてログインします。

2 管理者のパスワードのリセットには、次のコマンドを入力します。

adminpwd

New password for user "admin": ********

Retype new password: ********

この例の場合、パスワードは、長さが 8 文字以上で、1 つ以上の大文字、1 つ以上の小文字、1 つ以上の数字、1 つ以上の特殊文字（!、@、#、$、%、*、( ) など）が含まれます。

次のメッセージが表示されます。

adminpwd: password for "admin" updated successfully

3 権限の少ない管理者のパスワードのリセットには、次のコマンドを入力します。

adminpwd [-u <username>]

New password for user "jdoe": ********

Retype new password: ********

この例の場合、パスワードは、長さが 8 文字以上で、1 つ以上の大文字、1 つ以上の小文字、1 つ以上の数字、1 つ以上の特殊文字（!、@、#、$、%、*、( ) など）が含まれます。

次のメッセージが表示されます。

adminpwd: password for "jdoe" updated successfully


VMware, Inc. 56

管理者ユーザーのパスワードが正常にリセットされます。

次のステップ

ユーザーは、設定した管理者パスワードを使用して Unified Access Gateway インターフェイスにログインできるようになりました。adminpwd CLI コマンドを使用してパスワードをリセットした後、最初のログイン時にパスワード

を変更するように求められます。

注: ユーザーは、パスワードの変更後の最初の試行でログインする必要があります。

ユーザーの削除

スーパーユーザー管理者の場合は、非 root ユーザーを削除することができます。

root 管理者を削除することはできません。

手順


2 詳細設定で、[アカウント設定] ギアアイコンを選択します。

ユーザーのリストが表示されます。

3 削除するユーザーの横の「x」ボタンをクリックします。

注意: 直ちにユーザーが削除されます。この操作を元に戻すことはできません。

ユーザーアカウントが削除され、メッセージが表示されます。

JSON Web トークンの設定

これで、JSON Web トークン検証用のパブリックキーを追加できるようになりました。

手順


2 [詳細設定] で、[JWT 設定] ギアアイコンを選択します。

3 [JWT 設定] ウィンドウで、[追加] をクリックします。

4 [アカウント設定] ウィンドウで、次の情報を入力します。

a 検証のためにこの設定を識別するための名前。

b [+] をクリックして、JWT アーティファクト検証に使用する証明書のパブリックキーを選択して追加します。ファイルは PEM 形式でなければなりません。

注: パブリックキーがアップロードされていない場合、Unified Access Gateway では検証が有効ではありません。


パラメータの詳細は、[JWT 設定] に表示されます。


VMware, Inc. 57

SSL サーバの署名入り証明書の更新期限切れになった署名入り証明書を交換したり、デフォルトの証明書を CA 署名の証明書で置き換えたりすることができます。

本番環境では、デフォルト証明書をできるだけ早く置き換えることを強くお勧めします。Unified Access Gatewayアプライアンスのデプロイ時に生成されるデフォルトの TLS/SSL サーバ証明書は、信頼された認証局によって署名されていません。

証明書をアップロードするときは、次の点を考慮してください。

n 管理者とユーザーの両方のために、デフォルトの証明書を CA 署名の PEM 証明書で置き換えることができます。

n 管理インターフェイスで CA 署名の証明書をアップロードすると、管理インターフェイス上の SSL コネクタが更新されて再起動し、アップロードされた証明書が有効になります。アップロードされた CA 署名の証明書でコネクタが再起動できない場合は、自己署名証明書が生成されて管理インターフェイスに適用され、前回の証明書の

アップロードが失敗したことがユーザーに通知されます。

前提条件

n アクセス可能なコンピュータに保存された新しい署名入り証明書とプライベートキー。

n 証明書を PEM 形式のファイルに変換した後、.pem ファイルを 1 行形式に変換します。証明書ファイルの 1 行

PEM 形式への変換を参照してください。

手順

1 管理コンソールで、[選択] をクリックします。

2 [詳細設定] セクションで、[SSL サーバ証明書設定] ギアアイコンをクリックします。

3 [管理インターフェイス] または [インターネットインターフェイス] を選択して、証明書をいずれかのインターフェイスに適用します。両方選択して、両方のインターフェイスに証明書を適用することもできます。

4 [PEM] または [PFX] の証明書のタイプを選択します。

5 証明書のタイプが [PEM] の場合：

a [プライベートキー] の行で、[選択] をクリックして、プライベートキーファイルを見つけます。

b [開く] をクリックして、ファイルをアップロードします。

c [証明書チェーン] の行で、[選択] をクリックして、証明書チェーンファイルを見つけます。

d [開く] をクリックして、ファイルをアップロードします。

6 証明書のタイプが [PFX] の場合：

a [PFX のアップロード] の行で、[選択] をクリックして、pfx ファイルを見つけます。

b [開く] をクリックして、ファイルをアップロードします。

c PFX 証明書のパスワードを入力します。

d PFX 証明書のエイリアスを入力します。

複数の証明書が存在する場合に、それらを区別するためにエイリアスを使用することができます。


VMware, Inc. 58


証明書が正常に更新されると、確認メッセージが表示されます。

次のステップ

n CA 署名の証明書で証明書を更新し、その証明書に署名した CA が不明な場合は、ルート証明書と中間証明書を信頼するようにクライアントを構成します。

n [管理インターフェイス] の CA 署名の証明書をアップロードした場合は、ブラウザを閉じて新しいブラウザウィンドウで管理ユーザーインターフェイスを再度開きます。

n CA 署名の証明書が管理インターフェイス上で有効な状態で、自己署名証明書をアップロードすると、管理ユーザーインターフェイスが期待どおりに動作しない可能性があります。ブラウザキャッシュをクリアして、新しいウィンドウで管理ユーザーインターフェイスを開きます。


VMware, Inc. 59

PowerShell を使用した UnifiedAccess Gateway のデプロイ 3PowerShell スクリプトを使用して、Unified Access Gateway をデプロイできます。PowerShell スクリプトは、サンプルスクリプトとして提供され、お使いの環境のニーズに合わせて調整できます。

PowerShell スクリプトを使用して Unified Access Gateway をデプロイする場合、このスクリプトは OVF Tool コマンドを呼び出し、正しいコマンドライン構文が自動的に構築されるように設定を検証します。また、この方法では、デプロイ時に適用される TLS/SSL サーバ証明書の設定などの詳細設定が可能です。


n PowerShell を使用して Unified Access Gateway をデプロイするためのシステム要件

n PowerShell を使用した Unified Access Gateway アプライアンスのデプロイ

PowerShell を使用して Unified Access Gateway をデプロイするためのシステム要件

PowerShell スクリプトを使用して Unified Access Gateway をデプロイするには、特定のバージョンの VMware製品を使用する必要があります。

n vCenter Server を備えた VMware vSphereESXi ホスト。

n PowerShell スクリプトは、Windows 8.1 以降のマシンまたは Windows Server 2008 R2 以降で実行されます。

また、Windows 上で実行されている vCenter Server または別の Windows マシンを利用できます。

n スクリプトを実行する Windows マシンには、VMware OVF Tool のコマンドをインストールする必要があります。

https://www.vmware.com/support/developer/ovf/ から OVF Tool 4.0.1 以降を入手してインストールする必要があります。

使用する vSphere データストアとネットワークを選択する必要があります。

VMware, Inc. 60

https://www.vmware.com/support/developer/ovf/

PowerShell を使用した Unified Access Gateway アプライアンスのデプロイ

PowerShell スクリプトを使用すると、すべての構成を行った環境を準備できます。PowerShell スクリプトを実行して Unified Access Gateway をデプロイすると、初めてシステムを起動したときからこのソリューションを本番環境で利用できるようになります。

重要: PowerShell のデプロイでは、すべての設定を INI ファイルで提供することができ、Unified Access Gatewayインスタンスは起動するとすぐに本番環境で使用できるようになります。デプロイ後の設定を変更しない場合は、管

理ユーザーインターフェイスのパスワードを入力する必要はありません。

ただし、管理ユーザーインターフェイスのパスワードがデプロイ中に提供されない場合は、管理ユーザーインターフェイスと API は両方とも使用することができません。

注: n デプロイ時に管理ユーザーインターフェイスのパスワードを提供しないと、後からユーザーを追加して管理ユー

ザーインターフェイスまたは API へのアクセスを有効にすることはできません。管理ユーザーインターフェイスのユーザーを追加する場合は、Unified Access Gateway インスタンスを有効なパスワードで再デプロイする必要があります。

n Unified Access Gateway 3.5 以降には、オプションの sshEnabled INI プロパティが含まれています。

PowerShell INI ファイルの [General] セクションに sshEnabled=true を設定すると、デプロイされたアプラ

イアンスでの ssh アクセスが自動的に有効になります。一般に、特定の状況においてアクセスが制限される場合

を除き、Unified Access Gateway で ssh を有効にすることはお勧めしません。この機能は主に、代替のコンソ

ールアクセスが利用できない Amazon AWS EC2 デプロイを対象としています。

sshEnabled=true が指定されていないか、false に設定されている場合、ssh は有効になりません。

一般に、vSphere、Hyper-V、または Microsoft Azure のデプロイでは Unified Access Gateway で ssh アク

セスを有効にする必要はありません。これらのプラットフォームにはコンソールアクセスを使用できます。Amazon AWS EC2 のデプロイに root コンソールアクセスが必要な場合は、sshEnabled=true を設定します。

ssh が有効の場合は、ファイアウォールまたはセキュリティグループで TCP ポート 22 へのアクセスを個々の管

理者の送信元 IP アドレスに制限する必要があります。EC2 は、Unified Access Gateway ネットワークインターフェイスに関連付けられている EC2 セキュリティグループでこの制限をサポートしています。

前提条件

n Hyper-V をデプロイするときに固定 IP アドレスを使用して Unified Access Gateway をアップグレードする場合は、Unified Access Gateway の新しいインスタンスをデプロイする前に古いアプライアンスを削除します。

n システム要件を満たしており、利用可能であることを確認します。

これは、Unified Access Gateway を自社環境にデプロイするためのサンプルスクリプトです。


VMware, Inc. 61

図 3-1. サンプルの PowerShell スクリプト

手順

1 My VMware から Windows マシンに Unified Access Gateway OVA をダウンロードします。

2 uagdeploy-XXX.zip ファイルを Windows マシンのフォルダにダウンロードします。

この ZIP ファイルは、https://communities.vmware.com/docs/DOC-30835 から入手できます。

3 PowerShell スクリプトを開いて、ディレクトリをスクリプトの場所に変更します。

4 Unified Access Gateway 仮想アプライアンスの INI 構成ファイルを作成します。

例：新しい Unified Access Gateway アプライアンス AP1 をデプロイします。構成ファイルの名前は、ap1.iniです。このファイルには、AP1 のすべての設定が含まれます。apdeploy.ZIP ファイルにあるサンプルの INI

ファイルを使用して INI ファイルを作成し、設定を適切に変更できます。

注: n 自社の複数の Unified Access Gateway デプロイ環境には一意の INI ファイルを関連付けることができま

す。複数のアプライアンスをデプロイするには、INI ファイルで IP アドレスと名前のパラメータを適切に

変更する必要があります。

n Content Gateway および VMware Tunnel では、healthCheckUrl 設定の favicon.ico 値はサポートさ

れません。

変更する INI ファイルの例。

[General]

netManagementNetwork=

netInternet=

netBackendNetwork=

name=


VMware, Inc. 62

https://communities.vmware.com/docs/DOC-30835

dns = 192.0.2.1 192.0.2.2

dnsSearch = example1.com example2.com

ip0=10.108.120.119

diskMode=

source=

defaultGateway=10.108.120.125

target=

ds=

authenticationTimeout=300000

fipsEnabled=false

uagName=UAG1

locale=en_US

ipModeforNIC3=DHCPV4_DHCPV6

tls12Enabled=true

ipMode=DHCPV4_DHCPV6

requestTimeoutMsec=10000

ipModeforNIC2=DHCPV4_DHCPV6

tls11Enabled=true

clientConnectionIdleTimeout=180

tls10Enabled=false

adminCertRolledBack=false

honorCipherOrder=false

cookiesToBeCached=none

healthCheckUrl=/favicon.ico

quiesceMode=false

isCiphersSetByUser=false

tlsPortSharingEnabled=true

ceipEnabled=true

bodyReceiveTimeoutMsec=15000

monitorInterval=60

cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH

_AES_128_CBC_SHA

adminPasswordExpirationDays=90

httpConnectionTimeout=120

isTLS11SetByUser=false

sessionTimeout=36000000

ssl30Enabled=false

snmpEnabled= TRUE | FALSE

[WebReverseProxy1]

proxyDestinationUrl=https://10.108.120.21

trustedCert1=

instanceId=view


userNameHeader=AccessPoint-User-ID

proxyPattern=/(.*)

landingPagePath=/

hostEntry1=10.108.120.21 HZNView.uagqe.auto.com

[Horizon]

proxyDestinationUrl=https://enterViewConnectionServerUrl

trustedCert1=

gatewayLocation=external

disableHtmlAccess=false



VMware, Inc. 63

proxyDestinationIPSupport=IPV4

smartCardHintPrompt=false

queryBrokerInterval=300

proxyPattern=(/|/view-client(.*)|/portal(.*)|/appblast(.*))

matchWindowsUserName=false

windowsSSOEnabled=false

[SSLCert]

pemPrivKey=

pemCerts=

pfxCerts=

pfxCertAlias=

[SSLCertAdmin]

pemPrivKey=

pemCerts=

pfxCerts=

pfxCertAlias=

[JWTSettings1]

publicKey1=

publicKey2=

publicKey3=

name=JWT_1

[JWTSettings2]

publicKey1=

publicKey2=

name=JWT_2

5 スクリプトが正しく実行されたことを確認するには、PowerShell の set-executionpolicy コマンドを入力し

ます。

set-executionpolicy -scope currentuser unrestricted

現在制限されている場合にのみ、このコマンドを一度だけ実行する必要があります。

a （オプション）スクリプトの警告が表示される場合、次のコマンドを実行して、警告のブロックを解除します：unblock-file -path .\uagdeploy.ps1

6 このコマンドを実行してデプロイを開始します。.INI ファイルを指定しない場合、スクリプトはデフォルトで

ap.ini を使用します。

.\uagdeploy.ps1 -iniFile uag1.ini

7 確認の画面が表示されたら、認証情報を入力し、スクリプトの実行を完了します。

注: ターゲットマシンのフィンガープリントを追加するように要求されたら、[yes] と入力します。

Unified Access Gateway アプライアンスがデプロイされ、本番環境で利用できるようになります。

PowerShell スクリプトの詳細については、https://communities.vmware.com/docs/DOC-30835 を参照してください。


VMware, Inc. 64


次のステップ

既存の設定を保持したまま Unified Access Gateway をアップグレードする場合は、.ini ファイルを編集して、ソ

ースの参照先を新しいバージョンに変更し、.ini ファイルを再実行します： uagdeploy.ps1 uag1.ini。この

プロセスには、最大で 3 分かかることがあります。

[General]

name=UAG1

source=C:\temp\euc-unified-access-gateway-3.2.1-7766089_OVF10.ova

サービスを中断せずにアップグレードする方法については、ダウンタイムなしのアップグレードを参照してください。


VMware, Inc. 65

Unified Access Gateway デプロイの使用事例 4この章で説明するデプロイのシナリオは、自社環境にデプロイされた Unified Access Gateway を識別して編成するのに役立ちます。

Horizon、Horizon Cloud with On-Premises Infrastructure、VMware Identity Manager、およびWorkspaceONE UEM を使用して Unified Access Gateway を展開できます。


n Horizon および Horizon Cloud with On-Premises Infrastructure を使用したデプロイ

n Horizon に対するエンドポイントコンプライアンスチェック

n リバースプロキシとしてのデプロイ

n オンプレミスのレガシー Web アプリケーションへのシングルサインオンアクセスのためのデプロイ

n Unified Access Gateway の Workspace ONE UEM コンポーネント

n デプロイ環境の使用事例の追加

Horizon および Horizon Cloud with On-Premises Infrastructure を使用したデプロイ

Horizon Cloud with On-Premises Infrastructure および Horizon Air クラウドインフラストラクチャを使用してUnified Access Gateway をデプロイできます。

導入シナリオ

Unified Access Gateway によって、お客様のデータセンターにあるオンプレミスの仮想デスクトップとアプリケーションに、リモートから安全にアクセスできるようになります。これは、統合管理のための Horizon または HorizonAir のオンプレミスデプロイで動作します。

Unified Access Gateway を使用すると、企業は高精度のユーザーのアイデンティティを提供し、資格が付与されたデスクトップやアプリケーションへのアクセスを細密に制御できるようになります。

VMware, Inc. 66

Unified Access Gateway 仮想アプライアンスは、通常、ネットワークの非武装地帯 (DMZ) にデプロイされます。DMZ にデプロイすると、確実な方法で認証されたユーザーのトラフィックだけを確実に、データセンターのデスクトップおよびアプリケーションリソースに送信できます。また、Unified Access Gateway 仮想アプライアンスは、認証されたユーザーのトラフィックが、ユーザーに資格が付与されたデスクトップやアプリケーションリソースのみに確実に配信されるようにします。この保護レベルでは、アクセスを正確に制御するために、デスクトッププロトコルの独自の調査、頻繁に変更される可能性があるポリシーやネットワークアドレスの調整が実行されます。

次の図は、フロントエンドファイアウォールとバックエンドファイアウォールを含む構成の例を示しています。

図 4-1. DMZ トポロジの Unified Access Gateway

HorizonServer

MicrosoftActive

Directory

実行中の ESXi ホスト仮想デスクトップ

仮想マシン

外部ネットワーク

vCenterManagement

Server



クライアントデバイス

DMZ



Horizon で Unified Access Gateway をシームレスにデプロイするための要件を確認してください。

n Unified Access Gateway アプライアンスが Horizon Server の前にあるロードバランサを参照する場合、Horizon Server インスタンスは動的に選択されます。


VMware, Inc. 67

n デフォルトで、ポート 8443 が Blast TCP/UDP で利用可能である必要があります。ただし Blast TCP/UDP にはポート 443 も設定することができます。

注: IPv4 と IPv6 の両方のモードを使用するように Unified Access Gateway を構成した場合、BlastTCP/UDP をポート 443 に設定する必要があります。IPv6 Horizon クライアントが IPv4 バックエンド接続サーバまたはエージェント環境に接続するためのブリッジとして機能する Unified Access Gateway を有効にすることができます。 Horizon インフラストラクチャの IPv4 および IPv6 デュアルモードのサポートを参照してください。

n Horizon と一緒に Unified Access Gateway がデプロイされている場合、Blast Secure Gateway と PCoIPSecure Gateway が有効である必要があります。これにより、表示プロトコルが Unified Access Gateway を介して自動的にプロキシとして動作するようになります。BlastExternalURL および pcoipExternalURL の設定は、Unified Access Gateway 上の適切なゲートウェイを介してこれらの表示プロトコル接続をルーティングするために Horizon Client が使用する接続アドレスを指定します。これにより、表示プロトコルのトラフィックが、認証されているユーザーの代理として確実に制御されるため、セキュリティが向上します。認証されていな

い表示プロトコルのトラフィックは、Unified Access Gateway によって無視されます。

n Horizon 接続サーバインスタンスでセキュアゲートウェイ（Blast Secure Gateway と PCoIP SecureGateway）を無効にし、Unified Access Gateway アプライアンスでこれらのゲートウェイを有効にします。

Horizon 7 をデプロイしているユーザーは、Horizon セキュリティサーバの代わりに Unified Access Gateway アプライアンスを使用することをお勧めします。

注: プロキシパターンに重複がある場合、Horizon Connection Server は有効な Web リバースプロキシで動作しません。したがって、Horizon と Web リバースプロキシインスタンスの両方が同じ Unified Access Gateway インスタンス上のプロキシパターンを使用して構成され有効になっている場合は、Horizon 設定からプロキシパターン「/」を削除し、Web リバースプロキシのパターンを保持して重複を防ぎます。Web リバースプロキシインスタンスのプロキシパターン「/」を保持すると、ユーザーが Unified Access Gateway の URL をクリックしたときに、正しい Web リバースプロキシのページが表示されます。Horizon 設定のみが構成されている場合、上記の変更は必要ありません。

Horizon セキュリティサーバと Unified Access Gateway アプライアンス間の相違点は次のとおりです。

n 安全なデプロイ環境。Unified Access Gateway は、セキュリティが強化され、ロックダウンされた構成済みのLinux ベースの仮想マシンとして実装されます。

n 優れた拡張性。Unified Access Gateway を個別の Horizon 接続サーバに接続したり、複数の Horizon 接続サーバの前にあるロードバランサを介して接続することにより、高可用性を向上することができます。HorizonClient とバックエンドの Horizon 接続サーバ間のレイヤーとして動作します。迅速なデプロイが可能なため、環境を素早く拡大または縮小し、急速に変化する企業のニーズを満たすことができます。


VMware, Inc. 68

図 4-2. ロードバランサを参照する Unified Access Gateway アプライアンス

HorizonServer

MicrosoftActive

Directory

実行中の ESXi ホスト仮想デスクトップ

仮想マシン

外部ネットワーク

vCenterManagement

Server



クライアントデバイス

DMZ



また、個別のサーバインスタンスを参照する 1 台以上の Unified Access Gateway アプライアンスを関連付けることができます。どちらの方法でも、DMZ 内の 2 つ以上の Unified Access Gateway アプライアンスに接続されたロードバランサを使用します。


VMware, Inc. 69

図 4-3. Horizon Server インスタンスを参照する Unified Access Gateway アプライアンス

Workspace ONE/Identity Manager

MicrosoftActive

Directory


vCenterManagement

Server



WorkspaceONE Client

DMZ



ファイアウォール


企業のゾーン

Workspace ONE Client

DNS/NTPサービス

認証

ユーザー認証は、Horizon セキュリティサーバと似ています。Unified Access Gateway では次のユーザー認証方法がサポートされています。

n Active Directory のユーザー名とパスワード。

n キオスクモード。キオスクモードの詳細については、Horizon のドキュメントを参照してください。

n SecurID 向けに RSA によって正式に認定された RSA SecurID の 2 要素認証。

n さまざまなサードパーティの 2 要素セキュリティベンダーソリューションを利用した RADIUS。

n スマートカード、CAC、または PIV X.509 ユーザー証明書。

n SAML。


VMware, Inc. 70

これらの認証方法は、Horizon Connection Server でサポートされます。Unified Access Gateway は、ActiveDirectory と直接やりとりする上で不要です。この通信は、Active Directory に直接アクセスできる HorizonConnection Server を介するプロキシとして動作します。認証ポリシーに従ってユーザーセッションが認証されると、Unified Access Gateway は資格情報に関する要求とデスクトップやアプリケーションの起動要求を HorizonConnection Server に転送できるようになります。また、Unified Access Gateway は承認されているプロトコルトラフィックのみを転送できるようにデスクトップやアプリケーションプロトコルハンドラを管理します。

Unified Access Gateway は自分自身でスマートカード認証を扱います。無効になっている X.509 証明書を確認するためなど、Unified Access Gateway が Online Certificate Status Protocol (OCSP) サーバと通信するオプションも含まれます。

Horizon インフラストラクチャの IPv4 および IPv6 デュアルモードのサポート

IPv6 Horizon クライアントが IPv4 バックエンド接続サーバまたはエージェント環境に接続するためのブリッジとして機能する Unified Access Gateway を使用することができます。

Unified Access Gateway は、フロントエンド NIC が IPv4/IPv6 混在モード、Horizon バックエンドまたはマネジメント NIC が IPv4 モードの twonic モードでデプロイできます。Horizon バックエンド環境は、接続サーバ、エージェントデスクトップ、またはその他のサーバサイドインフラストラクチャで構成される場合があります。

注: IPv4/IPv6 モードで Unified Access Gateway を構成する場合は、TCP/UDP の Blast External URL が 443 に設定されていることを確認してください。「 Horizon および Horizon Cloud with On-Premises Infrastructure を使用したデプロイおよび Horizon の構成」を参照してください。

注: Horizon IPv6 から IPv4 へのブリッジ機能は、PCoIP または Blast UDP ではサポートされていません。

以下の Horizon クライアントとサーバ IP モードがサポートされています。

表 4-1. サポートされている Horizon 設定（IP モード）

Horizon Client モード Horizon Server モードサポート対象

IPv4 IPv4 はい

IPv6 IPv4 はい

IPv6 IPv6 はい

IPv4 IPv6 いいえ

Horizon クライアントをインストールする場合、[自動選択] または [デュアル] を選択すると、現在のネットワークに応じて IPv4 または IPv6 のいずれかを介して接続が実行されます。

Edge Service の詳細設定

Unified Access Gateway では、異なる変数を使用して、Edge Service、構成された Web プロキシ、およびプロキシ接続先の URL を区別します。


VMware, Inc. 71

プロキシパターンおよび安全ではないパターン

Unified Access Gateway はプロキシパターンを使用して、受信 HTTP 要求を Horizon などの正しい Edge Serviceまたは VMware Identity Manager などの構成された Web リバースプロキシインスタンスの 1 つに転送します。したがって、受信トラフィックを処理するためにリバースプロキシが必要かどうかを決定するためのフィルタとして使用されます。

リバースプロキシが選択されている場合、プロキシは指定された安全ではないパターンを使用し、受信トラフィックが認証なしでバックエンドに移動できるようにするかどうかを決定します。

ユーザーはプロキシパターンを指定する必要があります。安全ではないパターンの指定はオプションです。安全ではないパターンは VMware Identity Manager などの Web リバースプロキシで使用されます。これらはログインページのパス、javascript、イメージリソースなどの特定の URL を認証なしでバックエンドに渡すための独自のログインメカニズムを使用します。

注: 安全ではないパターンはプロキシパターンのサブセットであるため、リバースプロキシの場合、一部のパスが2 つのパターンの間で繰り返されることがあります。

各 Edge Service には個別のパターンを構成することができます。たとえば、Horizon の Proxy Pattern は (/|/

view-client(.*)|/portal(.*)|/appblast(.*)) として構成でき、VMware Identity Manager のパターンは

(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)) として構成できます。

注: プロキシパターンに重複がある場合、Horizon Connection Server は有効な Web リバースプロキシで動作しません。したがって、Horizon と Web リバースプロキシインスタンス（VMware Identity Manager など）の両方が同じ Unified Access Gateway インスタンス上のプロキシパターンを使用して構成され有効になっている場合は、Horizon 設定からプロキシパターン「/」を削除し、VMware Identity Manager のパターンを保持して重複を防ぎます。

Web リバースプロキシインスタンス (VMware Identity Manager) のプロキシパターン「/」を保持すると、ユーザーが Unified Access Gateway の URL をクリックしたときに、VMware Identity Manager のページが表示されます。

Horizon 設定のみが構成されている場合、上記の変更は必要ありません。

プロキシホストパターン

複数の Web リバースプロキシのインスタンスが構成されている場合、プロキシパターンに重複があると、UnifiedAccess Gateway は Proxy Host Pattern を使用してそれらを区別します。Proxy Host Pattern をリバー

スプロキシの FQDN として構成します。

たとえば、Sharepoint のホストパターンを sharepoint.myco.com として構成し、JIRA のパターンをjira.myco.com として構成することができます。

ホストエントリ

このテキストボックスは、Unified Access Gateway がバックエンドサーバまたはアプリケーションにアクセスできない場合にのみ設定します。バックエンドアプリケーションの IP アドレスとホスト名を [ホストエントリ] に追加すると、その情報が Unified Access Gateway の /etc/hosts ファイルに追加されます。このフィールドは、す

べての Edge Service 設定で共通です。


VMware, Inc. 72

プロキシ接続先の URL

これは、Unified Access Gateway がプロキシである Edge Service 設定のバックエンドサーバアプリケーションURL です。例：

n Horizon Connection Server の場合は、接続サーバ URL がプロキシ接続先の URL です。

n Web リバースプロキシの場合は、構成された Web リバースプロキシのアプリケーション URL がプロキシ接続先の URL です。

単一のリバースプロキシの構成

Unified Access Gateway が URI を持つ単一の着信要求を受信すると、プロキシパターンが使用され、要求を転送するかドロップするかが決まります。

複数のリバースプロキシの構成

1 Unified Access Gateway がリバースプロキシとして設定され、URI パスを持つ着信要求を受信すると、UnifiedAccess Gateway はプロキシパターンを使用して正しい Web リバースプロキシインスタンスに一致させます。一致する場合は、一致したパターンが使用されます。複数の一致がある場合は、フィルタと一致のプロセス

が手順 2 で繰り返されます。一致しない場合は、要求がドロップされ、HTTP 404 がクライアントに送信されます。

2 ステップ 1 ですでにフィルタされたリストをフィルタするためにプロキシホストパターンが使用されます。要求をフィルタし、リバースプロキシインスタンスを検索するために HOST ヘッダーが使用されます。一致する場合は、一致したパターンが使用されます。複数の一致がある場合は、フィルタと一致のプロセスが手順 3 で繰り返されます。

3 次の点に注意してください。

n 手順 2 でフィルタされたリストの最初の一致が使用されます。この一致が常に正しい Web リバースプロキシインスタンスであるとは限りません。そのため、Unified Access Gateway に複数のリバースプロキシが設定されている場合は、Web リバースプロキシインスタンスのプロキシパターンとプロキシホストパターンの組み合わせが一意であることを確認してください。

n すべての構成されたリバースプロキシのホスト名は、Unified Access Gateway インスタンスの外部アドレスと同じ IP アドレスに解決される必要があります。

リバースプロキシの構成に関する情報および手順については、 VMware Identity Manager でリバースプロキシを構成するを参照してください。

例：競合するプロキシパターン、異なるホストパターンで構成された 2 つのリバースプロキシ

最初のリバースプロキシのプロキシパターンが /(.*) で、ホストパターンが host1.domain.com、2 番目のリバー

スプロキシのパターンが (/app2(.*)|/app3(.*)|/) で、ホストパターンが host2.domain.com であるとします。

n パスを https://host1.domain.com/app1/index.html に設定して要求を実行した場合、要求は最初のリバー

スプロキシに転送されます。

n パスを https://host2.domain.com/app2/index.html に設定して要求を実行した場合、要求は 2 番目のリバ

ースプロキシに転送されます。


VMware, Inc. 73

例：相互に排他的なプロキシパターンを持つ 2 つのリバースプロキシ

最初のリバースプロキシのプロキシパターンが /app1(.*) で、2 番目のリバースプロキシのプロキシパターンが

(/app2(.*)|/app3(.*)|/) であるとします。

n パスを https://<uag domain name>/app1/index.html に設定して要求を実行した場合、要求は最初のリバー

スプロキシに転送されます。

n パスを https://<uag domain name>/app3/index.html または https://<uag domain name>/ に設定して

要求を実行した場合、要求は 2 番目のリバースプロキシに転送されます。

Horizon の構成

Horizon Cloud with On-Premises Infrastructure および Horizon Air クラウドインフラストラクチャを使用してUnified Access Gateway をデプロイできます。Horizon のデプロイでは、Unified Access Gateway アプライアンスが Horizon セキュリティサーバを置き換えます。

前提条件

Horizon と Web リバースプロキシインスタンス（VMware Identity Manager など）の両方を同じ Unified AccessGateway インスタンスで構成して有効にする場合は、Edge Service の詳細設定を参照してください。

手順


2 [全般設定] - [Edge サービス設定] で、[表示] をクリックします。

3 [Horizon 設定] のギアアイコンをクリックします。

4 [Horizon の設定] 画面で、[いいえ] を [はい] に変更して、Horizon を有効にします。

5 Horizon の次の Edge サービス設定リソースを構成します。


[識別子] デフォルトで Horizon に設定されます。Unified Access Gateway は、Horizon 接続サーバ、Horizon Air、Horizon Cloud with On-Premises Infrastructure などの Horizon XMLプロトコルを使用するサーバと通信できます。

[接続サーバ URL] Horizon Server またはロードバランサのアドレスを入力します。https://00.00.00.00

のように入力します。

[接続サーバ URL のサムプリント] Horizon Server のサムプリントのリストを入力します。

サムプリントのリストを指定しない場合は、サーバ証明書が信頼された認証局 (CA) によって発行されることを確認します。16 進数のサムプリントを入力します。たとえば、sha1= C389 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3 のようになります。

[PCOIP を有効にする] [いいえ] を [はい] に変更して、PCoIP Secure Gateway を有効にするかどうかを指定します。

PCoIP のレガシー証明書を無効にする [いいえ] を [はい] に変更して、レガシー証明書の代わりにアップロードした SSL サーバ証明書を使用するように指定します。このパラメータが [はい] に設定されている場合、レガシーのPCoIP クライアントは機能しません。


VMware, Inc. 74


[PCOIP 外部 URL] この Unified Access Gateway アプライアンスへの Horizon PCoIP セッションを確立するために Horizon クライアントによって使用される URL。ホスト名ではなく IPv4 アドレスを含む必要があります。たとえば、10.1.2.3:4172 と入力します。デフォルトは、Unified

Access Gateway の IP アドレスとポート 4172 です。

[Blast を有効にする] Blast Secure Gateway を使用するには、[いいえ] を [はい] に変更します。

[接続サーバの IP アドレスモード] ドロップダウンメニューから [IPv4]、[IPv6]、または [IPv4+IPv6] を選択します。デフォルトは、IPv4 です。


VMware, Inc. 75

6 認証方法のルールや他の詳細設定を行うには、[詳細表示] をクリックします。


[認証方法] 使用する認証方法を選択します。

デフォルトでは、ユーザー名とパスワードのパススルー認証が使用されます。Unified AccessGateway で構成した認証方式は、ドロップダウンメニューに表示されます。現在、RSASecurID と RADIUS の認証方法がサポートされています。

認証を構成するときには、最初の認証が失敗した場合に適用する 2 番目の認証方法を追加します。

a 最初のドロップダウンメニューから認証方法を 1 つ選択します。

b [+] をクリックして、[AND] または [OR] を選択します。

c 3 番目のドロップダウンメニューから 2 番目の認証方法を選択します。

2 つの認証方法を使用してユーザーを認証するように要求するには、ドロップダウンリストで[OR] を [AND] に変更します。

注:

n PowerShell デプロイの場合、RSA SecurID 認証については、securid-auth AND sp-auth を使用してパスコード画面を表示するようにこのオプショ

ンを設定します。

n vSphere デプロイの場合、RSA SecurID 認証については、securid-auth を使用してパ

スコード画面を表示するようにこのオプションを設定します。

n INI ファイルの Horizon のセクションに次の行を追加します。

authMethods=securid-auth && sp-authmatchWindowsUserName=true

INI ファイルの最後に新しいセクションを追加します。

[SecurIDAuth]serverConfigFile=C:\temp\sdconf.recexternalHostName=192.168.0.90internalHostName=192.168.0.90

両方の IP アドレスを、Unified Access Gateway の IP アドレスに設定する必要があります。sdconf.rec ファイルは、RSA Authentication Manager から入手します。RSA

Authentication Manager はすべて構成する必要があります。Access Point 2.5 以降（または Unified Access Gateway 3.0 以降）を使用しており、Unified Access Gatewayからネットワーク上の RSA Authentication Manager サーバにアクセスできることを確認します。RSA SecurID に対して設定された Unified Access Gateway を再デプロイするには、uagdeploy PowerShell コマンドを再実行します。

Windows SSO を有効にするこれは、認証方法が RADIUS に設定されている場合に有効になります。[いいえ] を [はい] に変更すると、RADIUS 認証が有効になります。

RADIUS クラス属性これは、認証方法が RADIUS に設定されている場合に有効になります。[+] をクリックして、クラス属性の値を追加します。ユーザー認証に使用するクラス属性の名前を入力します。[-]をクリックして、クラス属性を削除します。

注: このフィールドを空白のままにすると、追加の認証は実行されません。

スマートカードヒントプロンプト [いいえ] を [はい] に変更すると、証明書認証のパスワードヒントが有効になります。

[健全性チェック URI パス] 健全性ステータスの監視のために、Unified Access Gateway が接続する接続サーバの URI パス。


VMware, Inc. 76


[Blast 外部 URL] この Unified Access Gateway アプライアンスへの Horizon Blast または BEAT セッションを確立するために Horizon クライアントによって使用される URL。たとえば、https://

uag1.myco.com または https://uag1.myco.com:443 になります。

TCP ポート番号が指定されていない場合、デフォルトの TCP ポートは 8443 です。UDP ポート番号が指定されていない場合、デフォルトの UDP ポートは 8443 です。

[UDP サーバを有効にする] 低帯域幅がある場合は、UDP トンネルサーバ経由で接続が確立されます。

[Blast プロキシ証明書] Blast のプロキシ証明書。PEM 形式の証明書をアップロードし、BLAST トラストストアに追加するには [選択] をクリックします。[変更] をクリックして既存の証明書を置き換えます。

ユーザーがロードバランサに Unified Access Gateway の同じ証明書を手動でアップロードし、Unified Access Gateway と Blast Gateway に対して異なる証明書を使用する必要がある場合、クライアントと Unified Access Gateway 間のサムプリントが一致しないので Blastデスクトップセッションの確立に失敗します。Unified Access Gateway または BlastGateway へのカスタムサムプリント入力では、サムプリントをリレーしてクライアントセッションを確立することによってこれを解決します。

[トンネルを有効にする] Horizon セキュアトンネルが使用されている場合、[いいえ] を [はい] に変更します。クライアントは、Horizon Secure Gateway を介してトンネル接続のための外部 URL を使用します。このトンネルは、RDP、USB、およびマルチメディアリダイレクト (MMR) トラフィック用に使用されます。

[トンネル外部 URL] この Unified Access Gateway アプライアンスへの Horizon トンネルセッションを確立するために Horizon クライアントによって使用される URL。たとえば、https://

uag1.myco.com または https://uag1.myco.com:443 になります。

TCP ポート番号が指定されていない場合、デフォルトの TCP ポートは 443 です。

[トンネルプロキシ証明書] Horizon トンネルのプロキシ証明書。PEM 形式の証明書をアップロードし、トンネルトラストストアに追加するには [選択] をクリックします。[変更] をクリックして既存の証明書を置き換えます。

ユーザーがロードバランサに Unified Access Gateway の同じ証明書を手動でアップロードし、Unified Access Gateway と Horizon トンネルに対して異なる証明書を使用する必要がある場合、クライアントと Unified Access Gateway 間のサムプリントが一致しないのでトンネルセッションの確立に失敗します。Unified Access Gateway または Horizon トンネルへのカスタムサムプリント入力では、サムプリントをリレーしてクライアントセッションを確立することによってこれを解決します。

[エンドポイントコンプライアンスチェックのプロバイダ]

エンドポイントコンプライアンスチェックのプロバイダを選択します。デフォルトは、OPSWAT です。

[プロキシパターン] Horizon Server URL (proxyDestinationUrl) に関連する URI と一致する正規表現を入力します。デフォルト値は (/|/view-client(.*)|/portal(.*)|/appblast(.*)) です。

[SAML SP] Horizon XML API ブローカの SAML サービスプロバイダの名前を入力します。この名前は、構成されているサービスプロバイダのメタデータの名前と一致するか、DEMO という特別な値でなければなりません。


VMware, Inc. 77


[Windows ユーザー名と一致] [いいえ] を [はい] に変更すると、RSA SecurID と Windows ユーザー名が一致されます。[はい] に設定すると、securID-auth が true に設定され、securID と Windows ユーザー名の一致が強制されます。

注: Horizon 7 では、[クライアントのユーザーインターフェイスでサーバ情報を非表示] および [クライアントのユーザーインターフェイスでドメインリストを非表示] 設定を有効にしており、接続サーバインスタンスで 2 要素認証（RSA SecureID または RADIUS）を選択している場合、Windows ユーザー名の一致を強制しないでください。Windows ユーザー名の一致を強制すると、ユーザーは、ユーザー名のテキストボックスにドメイン情報を入力できなくなり、ログインが常に失敗します。詳細については、『Horizon 7 の管理』ガイドの 2 要素認証についてのトピックを参照してください。

[ゲートウェイの場所] 接続要求の発生場所。セキュリティサーバと Unified Access Gateway が、ゲートウェイの場所を設定します。場所は、外部または内部のいずれかです。

[信頼される証明書] この Edge サービスに信頼されている証明書を追加します。PEM 形式の証明書を選択し、トラストストアに追加するには「+」記号をクリックします。トラストストアから証明書を削除するには「-」記号をクリックします。デフォルトでは、エイリアス名は PEM 証明書のファイル名です。別の名前を入力するには、エイリアスのテキストボックスを編集します。

[応答セキュリティヘッダー] ヘッダーを追加するには「+」記号をクリックします。セキュリティヘッダーの名前を入力します。値を入力します。ヘッダーを削除するには「-」記号をクリックします。既存のセキュリティヘッダーを編集して、ヘッダーの名前と値を更新します。

重要: ヘッダー名と値は、[保存] をクリックした後にのみ保存されます。[]デフォルトでは、いくつかの標準セキュリティヘッダーが存在します。構成されたヘッダーは、対応するヘッダーが構成されたバックエンドサーバからの応答に存在しない場合にのみ、クライアントへのUnified Access Gateway 応答に追加されます。

注: セキュリティ応答ヘッダーは慎重に変更してください。これらのパラメータを変更すると、Unified Access Gateway の安全な機能が影響を受ける可能性があります。

[ホストエントリ] /Etc/hosts ファイルに追加する詳細情報を入力します。各エントリには、IP アドレス、ホ

スト名、オプションのホスト名エイリアスが順にスペース区切りで含まれています。たとえば、

10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias

のようになります。複数のホストエントリを追加するには「+」記号をクリックします。

重要: ホストエントリは、[保存] をクリックした後にのみ保存されます。

[HTML Access を無効にする] [はい] に設定すると、Horizon への Web アクセスが無効にされます。詳細については、Horizon に対するエンドポイントコンプライアンスチェックを参照してください。


Horizon Console での Unified Access Gateway の監視

Horizon 管理コンソールと Unified Access Gateway の統合により、Horizon 管理ユーザーインターフェイスにステータス、統計情報、およびセッション情報が表示されます。Unified Access Gateway のシステムの健全性を監視することができます。

Horizon 管理コンソールの新しい [ゲートウェイ] タブは、Unified Access Gateway を登録および登録解除する機能を提供します。


VMware, Inc. 78

図 4-4. ダッシュボード

ダッシュボード画面には、バージョン 3.4 以降の登録された Unified Access Gateway、vSphere コンポーネント、ドメイン、デスクトップ、およびデータストアの使用状況についての詳細が表示されます。

Blast TCP および UDP 外部 URL の構成オプション

Blast Secure Gateway には Blast Extreme Adaptive Transport (BEAT) ネットワークが含まれています。これは、速度の変化やパケット損失などのネットワーク状態に動的に適合します。Unified Access Gateway では、BEAT プロトコルによって使用されるポートを構成することができます。

Blast は標準ポート TCP 8443 および UDP 8443 を使用します。UDP トンネルサーバ経由でデスクトップにアクセスする場合は UDP 443 も使用することができます。ポート構成は Blast 外部 URL プロパティによって設定されます。

表 4-2. BEAT ポートオプション

Blast 外部 URLクライアントによって使用され

る TCP ポートクライアントによって使用され

る UDP ポート説明

https://ap1.myco.com 8443 8443 このフォームはデフォルトであり、インター

ネットから Unified Access Gateway への接続を可能にするには、TCP 8443 およびオプションで UDP 8443 をファイアウォールで開く必要があります。

https://ap1.myco.com:443 443 8443 TCP 443 または UDP 8443 を開く必要がある場合はこのフォームを使用します。


VMware, Inc. 79

Blast 外部 URLクライアントによって使用され

る TCP ポートクライアントによって使用され

る UDP ポート説明

https://ap1.myco.com:xxxx xxxx 8443

https://ap1.myco.com:xxxx/?UDPPort=yyyy

xxxx yyyy

デフォルト以外のポートを設定するには、デプロイ時にそれぞれのプロトコル用の内部 IP フォワーディングルールを追加する必要があります。転送ルールは、デプロイ時に OVF テンプレートを使用するか PowerShell コマンドから入力する INI ファイルを使用して指定することができます。

Horizon に対するエンドポイントコンプライアンスチェックUnified Access Gateway のエンドポイントコンプライアンスチェック機能は、Unified Access Gateway で利用可能な他のユーザー認証サービスに加え、Horizon デスクトップにアクセスするための追加のセキュリティ層を提供します。

エンドポイントコンプライアンスチェック機能を使用すると、エンドポイントのウイルス対策ポリシーや暗号化ポリシーなど、さまざまなポリシーを確実に遵守することができます。

エンドポイントの遵守ポリシーは、クラウドまたはオンプレミスで実行されているサービス上で定義されます。

エンドポイントコンプライアンスチェックが有効の場合、Unified Access Gateway は準拠している VDI デスクトップの起動のみを許可し、非準拠のすべてのエンドポイントの起動をブロックします。

前提条件

1 OPSWAT アカウントにサインアップし、OPSWAT サイトにアプリケーションを登録します。https://go.opswat.com/communityRegistrationを参照してください。

2 クライアントキーおよびクライアントのプライベートキーをメモしておきます。Unified Access Gateway でOPSWAT を構成するにはこれらのキーが必要です。

3 OPSWAT サイトにログインし、エンドポイントの順守ポリシーを設定します。関連する OPSWAT ドキュメントを参照してください。

4 OPSWAT ホームページで、[Metadefender エンドポイント管理の接続] をクリックし、エージェントソフトウェアをダウンロードしてクライアントデバイスにインストールします。

手順

1 管理ユーザーインターフェイスにログインし、[詳細設定] - [エンドポイントコンプライアンスチェックのプロバイダの設定] に移動します。

2 [追加] をクリックして、[クライアントキー] および [クライアントシークレット]（プライベートキー）の詳細を追加します。

[エンドポイントコンプライアンスチェックのプロバイダ] と [ホスト名] フィールドはすでに入力済みです。これらの値は変更しないでください。

3 管理ユーザーインターフェイスから、Horizon 設定に移動し、[エンドポイントコンプライアンスチェックのプロバイダ] フィールドを見つけ、ドロップダウンメニューから OPSWAT を選択します。


VMware, Inc. 80

https://go.opswat.com/communityRegistration

https://go.opswat.com/communityRegistration


5 エンドポイントコンプライアンスチェックのプロバイダクライアントを使用してリモートデスクトップに接続します。

構成された Horizon View デスクトップが一覧表示され、デスクトップを起動すると、クライアントデバイスが遵守しているかが検証されます。

リバースプロキシとしてのデプロイUnified Access Gateway は、Web リバースプロキシとして使用でき、DMZ で簡易リバースプロキシまたは認証リバースプロキシとして動作させることができます。

導入シナリオ

Unified Access Gateway は、VMware Identity Manager のオンプレミスデプロイのために安全なリモートアクセスを提供します。Unified Access Gateway アプライアンスは、通常、ネットワークの非武装地帯 (DMZ) にデプロイされます。VMware Identity Manager では、Unified Access Gateway アプライアンスは、ユーザーのブラウザとデータセンター内の VMware Identity Manager サービスとの間の Web リバースプロキシとして動作します。Unified Access Gateway は、 Workspace ONE カタログへのリモートアクセスを有効にし、Horizon アプリケーションを起動します。

注: Unified Access Gateway の単一のインスタンスで最大 15000 の同時 TCP 接続を処理できます。予想される負荷が 15000 を超える場合、ロードバランサの背後に Unified Access Gateway の複数のインスタンスを構成する必要があります。

リバースプロキシを構成するときに使用する設定の詳細については Edge Service の詳細設定を参照してください。


VMware, Inc. 81

図 4-5. VMware Identity Manager を参照する Unified Access Gateway アプライアンス

Workspace ONE/Identity Manager

MicrosoftActive

Directory


vCenterManagement

Server



WorkspaceONE Client

DMZ





企業のゾーン

Workspace ONE Client

DNS/NTPサービス

リバースプロキシについて

Unified Access Gateway は、リモートユーザーがシングルサインオンでリソースにアクセスできるように、アプリケーションポータルへのアクセスを提供します。アプリケーションポータルは Sharepoint、JIRA、または VIDMなどのバックエンドアプリケーションで、Unified Access Gateway がリバースプロキシとして動作しています。


リバースプロキシを有効にして構成する場合は、以下の点に注意してください。

n Edge Service Manager でリバースプロキシの認証を有効にする必要があります。現在、RSA SecurID とRADIUS の認証方法がサポートされています。

n Web リバースプロキシで認証を有効にする前に、ID プロバイダメタデータ（IDP メタデータ）を生成する必要があります。


VMware, Inc. 82

n Unified Access Gateway によって、ブラウザベースのクライアント認証の有無に関わらず、VMware IdentityManager および Web アプリケーションにリモートからアクセスして、Horizon デスクトップを起動できるようになります。

n リバースプロキシの複数のインスタンスを構成して、構成済みの各インスタンスを削除できます。

図 4-6. 複数のリバースプロキシの構成

VMware Identity Manager でリバースプロキシを構成する

VMware Identity Manager とともに Unified Access Gateway を使用するように Web リバースプロキシサービスを構成できます。

前提条件

VMware Identity Manager によるデプロイでは次の要件に注意してください。

n スプリット DNS。外部では、ホスト名は Unified Access Gateway の IP アドレスに解決されます。内部では、Unified Access Gateway 上で、同じホスト名が内部 DNS マッピングまたは Unified Access Gateway でのホスト名入力のどちらかを介して実際の Web サーバに解決されます。

注: Web リバースプロキシのみを使用してデプロイする場合は、ID ブリッジを構成する必要はありません。

n VMware Identity Manager サービスには、ホスト名として完全修飾ドメイン名 (FQDN) が必要です。

n Unified Access Gateway は内部 DNS を使用する必要あります。つまり、プロキシ接続先の URL で FQDN を使用する必要があります。

n Unified Access Gateway インスタンスに複数のリバースプロキシが設定されている場合は、Web リバースプロキシインスタンスのプロキシパターンとプロキシホストパターンの組み合わせは一意である必要があります。

n すべての構成されたリバースプロキシのホスト名は、Unified Access Gateway インスタンスの IP アドレスと同じ IP アドレスに解決される必要があります。

n Edge Service の詳細設定については、Edge Service の詳細設定を参照してください。

手順


2 [全般設定] - [Edge サービス設定] で、[表示] をクリックします。


VMware, Inc. 83

3 [リバースプロキシの設定] のギアアイコンをクリックします。

4 [リバースプロキシの設定] 画面で、[追加] をクリックします。

5 [リバースプロキシ設定を有効にする] セクションで、[いいえ] を [はい] に変更して、リバースプロキシを有効にします。

6 次の Edge サービス設定を行います。


識別子 Edge サービスの識別子は Web リバースプロキシに設定されます。

インスタンス ID Web リバースプロキシのインスタンスを識別し、他のすべての Web リバースプロキシのインスタンスと区別するための一意の名前。

プロキシ接続先の URL Web アプリケーションのアドレスを入力します。これは通常はバックエンド URL です。たとえば、VMware Identity Manager の場合、クライアントマシンの IP アドレス、VMwareIdentity Manager ホスト名、および外部 DNS を追加します。管理ユーザーインターフェイスで、IP アドレス、VMware Identity Manager ホスト名および内部 DNS を追加します。

プロキシ接続先の URL サムプリント proxyDestination URL に使用できる SSL サーバ証明書のサムプリントのリストを入力し

ます。* を指定した場合、すべての証明書が受け入れられます。サムプリントは、[alg=]xx:xxの形式になり、alg にはデフォルトの sha1 または [md5] を指定できます。xx は、16 進数で

す。「:」区切り文字の代わりにスペースを使用することも、省略することもできます。サムプリントの大文字と小文字の違いは無視されます。例：

sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34

sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23

:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db

サムプリントを構成しない場合、サーバ証明書は信頼された認証局 (CA) によって発行される必要があります。

プロキシパターン宛先 URL に転送する一致する URI パスを入力します。たとえば、(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)) のように入力します。

注: 複数のリバースプロキシを構成するときに、プロキシホストパターンにホスト名を指定します。

7 その他の詳細設定を行うには、[詳細] をクリックします。


認証方法デフォルトでは、ユーザー名とパスワードのパススルー認証が使用されます。Unified AccessGateway で構成した認証方式は、ドロップダウンメニューに表示されます。RSA SecurID、RADIUS、および Device Certificate Auth メソッドがサポートされます。

健全性チェック URI パス Unified Access Gateway はこの URI パスに接続し、Web アプリケーションの健全性を確認します。

SAML SP Unified Access Gateway を VMware Identity Manager の認証済みリバースプロキシとして構成する場合に必要です。View XML API ブローカの SAML サービスプロバイダの名前を入力します。この名前は、Unified Access Gateway を使用して構成したサービスプロバイダの名前と一致するか、DEMO という特別な値でなければなりません。Unified Access

Gateway を使用して複数のサービスプロバイダが構成されている場合は、その名前は一意である必要があります。

外部 URL デフォルト値は、Unified Access Gateway のホスト URL のポート 443 です。別の外部 URLを入力することもできます。「https://<host:port>.」のように入力します。


VMware, Inc. 84


応答セキュリティヘッダーヘッダーを追加するには「+」記号をクリックします。セキュリティヘッダーの名前を入力します。値を入力します。ヘッダーを削除するには「-」記号をクリックします。既存のセキュリティヘッダーを編集して、ヘッダーの名前と値を更新します。



ホストエントリ /Etc/hosts ファイルに追加する詳細情報を入力します。各エントリには、IP アドレス、ホ





注: UnSecure Pattern、Auth Cookie、および Login Redirect URL オプションは VMware Identity

Manager にのみ適用されます。ここで指定する値は、Access Point 2.8 と Unified Access Gateway 2.9 にも適用されます。

注: authn リバースプロキシの場合、Auth Cookie と UnSecure Pattern プロパティは有効ではありません。認証方法を定義するには Auth Methods プロパティを使用する必要があります。


次のステップ

ID ブリッジを有効にする方法については、ID ブリッジ設定の構成を参照してください。

オンプレミスのレガシー Web アプリケーションへのシングルサインオンアクセスのためのデプロイUnified Access Gateway ID ブリッジ機能は、Kerberos Constrained Delegation (KCD) またはヘッダーベースの認証を使用するレガシー Web アプリケーションへのシングルサインオン (SSO) を提供するように設定できます。


VMware, Inc. 86

ID ブリッジモードの Unified Access Gateway は、設定済みのレガシーアプリケーションにユーザー認証を渡すサービスプロバイダとして機能します。VMware Identity Manager は ID プロバイダとして機能し、SAML アプリケーションへの SSO を提供します。ユーザーが KCD またはヘッダーベースの認証を必要とするレガシーアプリケーションにアクセスする場合、Identity Manager はそのユーザーを認証します。ユーザー情報を含む SAML アサーションが Unified Access Gateway に送信されます。Unified Access Gateway はこの認証を使用して、ユーザーがアプリケーションにアクセスできるようにします。



VMware, Inc. 87

図 4-7. Unified Access Gateway ID ブリッジモード

Unified Access Gatewayに対する SAML アサーション

Workspace ONESSO から SAML、モバイルおよびクラウドアプリ

UAG

ロードバランサ/ファイアウォール


Kerberos形式への

変換

ヘッダーベース形式への変換

KCDアプリ

SAMLアプリ

ヘッダーベースのアプリ

DMZ

ID ブリッジの導入シナリオ

Unified Access Gateway ID ブリッジモードは、クラウドまたはオンプレミス環境の VMware Workspace® ONE®

で動作するように設定できます。

クラウド環境で Workspace ONE Client に Unified Access Gateway ID ブリッジを使用する

ID ブリッジモードは、クラウド内の Workspace ONE と連携してユーザーを認証するように設定できます。ユーザーがレガシーの Web アプリケーションへのアクセスを要求する場合、ID プロバイダは適用可能な認証および承認ポリシーを適用します。


VMware, Inc. 88

ユーザーが検証されると、ID プロバイダは SAML トークンを作成してユーザーに送信します。ユーザーは SAML トークンを DMZ の Unified Access Gateway に渡します。Unified Access Gateway は SAML トークンを検証し、トークンからユーザープリンシパル名を取得します。

Kerberos 認証の要求の場合、Active Directory サーバとの接続の確立には Kerberos Constrained Delegation が使用されます。Unified Access Gateway はユーザーになりすまして Kerberos トークンを取得し、アプリケーションを認証します。

ヘッダーベース認証の要求の場合、ユーザーのヘッダー名が Web サーバに送信され、アプリケーションの認証を要求します。

アプリケーションは Unified Access Gateway に応答を返します。応答はユーザーに返されます。

図 4-8. クラウド環境の Workspace ONE との Unified Access Gateway ID ブリッジ

Kerberos形式への

変換ヘッダーベース形式への

変換

Workspace ONE/ブラウザベースのクライアント

認証とアプリケーションの資格

ID プロバイダとしてホストされるWorkspace ONE



KCD アプリ


UAG

オンプレミス環境で Workspace ONE Client に ID ブリッジを使用する

オンプレミス環境で Workspace ONE を使用するユーザーを認証するように ID ブリッジモードが設定されている場合、ユーザーは URL を入力して Unified Access Gateway プロキシ経由でオンプレミスのレガシー Web アプリケーションにアクセスします。Unified Access Gateway は認証のために要求を ID プロバイダにリダイレクトします。ID プロバイダは、認証および承認ポリシーを要求に適用します。ユーザーが検証されると、ID プロバイダはSAML トークンを作成し、そのトークンをユーザーに送信します。

ユーザーは SAML トークンを Unified Access Gateway に渡します。Unified Access Gateway は SAML トークンを検証し、トークンからユーザープリンシパル名を取得します。

Kerberos 認証の要求の場合、Active Directory サーバとの接続の確立には Kerberos Constrained Delegation が使用されます。Unified Access Gateway はユーザーになりすまして Kerberos トークンを取得し、アプリケーションを認証します。


VMware, Inc. 89

ヘッダーベース認証の要求の場合、ユーザーのヘッダー名が Web サーバに送信され、アプリケーションの認証を要求します。

アプリケーションは Unified Access Gateway に応答を返します。応答はユーザーに返されます。

図 4-9. オンプレミス環境の Unified Access Gateway ID ブリッジ


Workspace ONE/ブラウザベースのクライアント



KCD アプリ

IDM IDM

DMZ

グリーンゾーン

UAG


Kerberos に対する証明書を備えた ID ブリッジを使用する

ID ブリッジを設定して、証明書の検証を使用するオンプレミスのレガシーの非 SAML アプリケーションへのシングルサインオン (SSO) を提供することができます。ID ブリッジのための Web リバースプロキシの構成（Kerberos に対する証明書）を参照してください。

ID ブリッジ設定の構成

バックエンドアプリケーションで Kerberos が設定されている場合、Unified Access Gateway で ID ブリッジを設定するには、ID プロバイダのメタデータとキータブファイルをアップロードし、KCD レルム設定を構成します。

注: このリリースの ID ブリッジは、単一のドメインセットアップとともにクロスドメインをサポートします。つまり、ユーザーと SPN アカウントが異なるドメインにあることができます。

ヘッダーベースの認証で ID ブリッジを有効にした場合は、キータブ設定と KCD レルムの設定は不要です。

Kerberos 認証の ID ブリッジ設定を構成する前には、以下の状態であることを確認します。

n ID プロバイダが構成され、ID プロバイダの SAML メタデータが保存されている。SAML メタデータファイルはUnified Access Gateway にアップロードされます (SAML シナリオの場合のみ)。

n Kerberos 認証の場合、使用するキー配布センターのレルム名を持つ Kerberos を有効にしたサーバが識別されている。


VMware, Inc. 90

n Kerberos 認証の場合、Kerberos キータブファイルを Unified Access Gateway にアップロードする。キータブファイルには、特定のバックエンドサービスのドメイン内のユーザーのために Kerberos チケットを取得するように設定された Active Directory サービスアカウントの認証情報が含まれています。

n 次のポートが開いていることを確認します。

n 受信 HTTP 要求のためのポート 443

n Active Directory との Kerberos 通信用の TCP/UDP ポート 88

n Unified Access Gateway は TCP を使用してバックエンドアプリケーションと通信します。バックエンドが待機している適切なポート（たとえば TCP ポート 8080）。

注: n 同じ Unified Access Gateway インスタンス上の 2 つの異なるリバースプロキシインスタンスの Kerberos に対する SAML と証明書の両方に ID ブリッジを構成することはできません。

n 認証局を持ち、証明書ベースの認証を使用しない、同じアプライアンス上で ID ブリッジが有効でない Web リバースプロキシインスタンスはサポートされていません。

SAML を使用したヘッダーベースの認証

IDP から SP（ID ブリッジの場合は Unified Access Gateway）への SAML 応答には、SAML 属性を持つ SAML アサーションが含まれています。SAML 属性は、ユーザー名や E メールなどのさまざまなパラメータを参照するようにIDP で構成することができます。

SAML を使用するヘッダーベースの認証では、SAML 属性の値をバックエンドのプロキシされた宛先に HTTP ヘッダーとして送信できます。Unified Access Gateway で定義された SAML 属性名は、IDP と同じです。たとえば、IDプロバイダが Name: userNameValue: idmadmin として定義された属性を持つ場合、Unified Access Gateway の

SAML 属性名は "userName" として定義する必要があります。

IDP で定義された属性と一致しない SAML 属性は無視されます。Unified Access Gateway は、複数の SAML 属性と複数値の SAML 属性の両方をサポートします。ID プロバイダから期待される SAML アサーションのサンプルの抜粋は、ケースごとに以下のようになります。次に例を示します。

1. 複数の SAML 属性に対して IDP から期待される SAML 応答

<saml:AttributeStatement>

<saml:Attribute Name="userName" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">

<saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://

www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">idmadmin</saml:AttributeValue>

</saml:Attribute>

<saml:Attribute Name="userEmail" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">63ecfabf-a577-46c3-b4fa-caf7ae49a6a3</

saml:AttributeValue>

</saml:Attribute>

</saml:AttributeStatement>


VMware, Inc. 91

上記の例では、アサーションには "userName" および "userEmail" の 2 つの属性が含まれています。ヘッダーベー

スの認証が、ヘッダー名が "HTTP_USER_NAME" である "userName" に対してのみ構成されている場合、ヘッダーは

"HTTP_USER_NAME: idmadmin" として送信されます。ヘッダーベースの認証では "userEmail" は Unified Access

Gateway[] で構成されないため、ヘッダーとして送信されません。

2. 複数値の SAML 属性に対して IDP から期待される SAML 応答

<saml:AttributeStatement>

<saml:Attribute Name="group" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Employees</saml:AttributeValue>


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Contractors</saml:AttributeValue>


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Executives</saml:AttributeValue>


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All</saml:AttributeValue>

</saml:Attribute>

</saml:AttributeStatement>

上記の例では、属性 "group" には "All Employees"、"All Contractors"、"All Executives"、および "All" の

4 つの値が含まれています。ヘッダーベースの認証が、ヘッダー名が "HTTP_GROUP" である "group" に対してのみ構

成されている場合、ヘッダーは "HTTP_GROUP: All Employees, All Contractors, All Executives, All" と

して送信され、すべての属性値はコンマ区切りのリストとしてヘッダー値に指定されます。

レルム設定の構成

ドメインのレルム名、レルムのキー配布センター、および KDC タイムアウトを構成します。

レルムは、認証データを保持する管理エンティティの名前です。Kerberos 認証レルムには分かりやすい名前を選択することが重要です。レルム（ドメイン名とも呼ばれる）および Unified Access Gateway での対応する KDC サービスを構成します。UPN 要求が特定のレルムに到達すると、Unified Access Gateway は内部的に KDC を解決し、Kerberos サービスチケットを使用します。

一般的には、レルム名をドメイン名と同一とし、大文字で指定します。たとえば、レルム名は EXAMPLE.NET のようになります。レルム名は、Kerberos クライアントが DNS 名を生成するために使用します。

Unified Access Gateway バージョン 3.0 以降では、以前に定義されたレルムを削除できます。

重要: クロスドメインのセットアップでは、プライマリおよびセカンダリまたはサブドメインと、関連付けられている KDC 情報を含んでいるすべてのレルムの詳細を追加します。レルム間の信頼が有効になっていることを確認します。

前提条件

使用するキー配布センターのレルム名を持つ Kerberos を有効にしたサーバが識別されます。

手順


2 [詳細設定] - [ID ブリッジの設定] セクションで、[レルム設定] ギアアイコンをクリックします。


VMware, Inc. 92

3 [追加] をクリックします。

4 フォームを完成させます。

ラベル説明

レルムの名前ドメイン名を使用してレルムを入力します。レルムは大文字で入力します。レルムは Active Directory に設定されているドメイン名と一致する必要があります。

キー配布センターレルムの KDC サーバを入力します。複数のサーバを追加する場合はリストをカンマで区切ります。

KDC タイムアウト (秒単位)

KDC の応答を待つ時間を入力します。デフォルトは 3 秒です。


次のステップ

キータブ設定を構成します。

キータブ設定のアップロード

キータブは、Kerberos プリンシパルと暗号化キーのペアを含むファイルです。シングルサインオンが必要なアプリケーションのためにキータブファイルが作成されます。Unified Access Gateway ID ブリッジはキータブファイルを使用し、パスワードを入力せずに Kerberos を使用してリモートシステムに対する認証を行います。

ユーザーが ID プロバイダから Unified Access Gateway に対して認証されると、Unified Access Gateway はKerberos ドメインコントローラから Kerberos チケットを要求してユーザーを認証します。

Unified Access Gateway はキータブファイルを使用してユーザーになりすまし、内部の Active Directory ドメインに対して認証します。Unified Access Gateway は、Active Directory ドメイン上にドメインユーザーサービスアカウントを持っている必要があります。Unified Access Gateway はドメインに直接参加しません。

注: 管理者がサービスアカウントのキータブファイルを再生成する場合は、キータブファイルを Unified AccessGateway に再度アップロードする必要があります。

コマンドラインを使用してキータブファイルを生成することもできます。例：

ktpass /princ HOST/[email protected] /ptype KRB5_NT_PRINCIPAL /pass * /out C:\Temp

\kerberos.keytab /mapuser uagkerberos /crypto All

ktpass コマンドの詳細については、「Microsoft documentation」を参照してください。

前提条件

Unified Access Gateway にアップロードするには、Kerberos キータブファイルにアクセスできる必要があります。キータブファイルはバイナリファイルです。可能であれば、SCP によるファイル転送または別の安全な方法を使用してコンピュータ間でキータブを転送します。

手順


2 [詳細設定] - [ID ブリッジの設定] セクションで、[キータブ設定のアップロード] ギアアイコンをクリックします。


VMware, Inc. 93

https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/ktpass

3 （オプション）[プリンシパル名] テキストボックスに Kerberos プリンシパル名を入力します。

各プリンシパルは常にレルム名で完全修飾されます。レルム名は大文字にする必要があります。

ここで入力するプリンシパル名がキータブファイルにある最初のプリンシパルであることを確認してください。同じプリンシパル名がアップロードされたキータブファイルにない場合、キータブのアップロードは失敗します。

4 [キータブファイルを選択] テキストボックスで [選択] をクリックし、保存したキータブファイルを参照します。[開く] をクリックします。

プリンシパル名を入力しなかった場合、キータブで見つかった最初のプリンシパルが使用されます。複数のキー

タブを 1 つのファイルにマージすることができます。


次のステップ

Unified Access Gateway ID ブリッジのための Web リバースプロキシの設定。

ID ブリッジ（Kerberos に対する SAML）のための Web リバースプロキシの構成

ID ブリッジ（Kerberos に対する SAML）のための Web リバースプロキシを構成するには、ID プロバイダのメタデータファイルを Unified Access Gateway に保存しておく必要があります。

管理コンソールで ID ブリッジを有効にし、サービスの外部ホスト名を設定できます。

ID プロバイダメタデータのアップロード

ID ブリッジ機能を構成するには、ID プロバイダの SAML 証明書メタデータ XML ファイルを Unified AccessGateway にアップロードする必要があります。

前提条件

SAML メタデータ XML ファイルはアクセス可能なコンピュータに保存されている必要があります。

VMware Identity Manager を ID プロバイダとして使用している場合は、VMware Identity Manager 管理コンソールの [カタログ] - [SAML メタデータの設定] - [ID プロバイダ (IdP)] メタデータリンクから、SAML メタデータファイルをダウンロードして保存します。

手順

1 管理コンソールで [手動設定] の [選択] をクリックします。

2 [詳細設定] - [ID ブリッジの設定] セクションで、[ID プロバイダメタデータのアップロード] ギアアイコンをクリックします。

3 [エンティティ ID] テキストボックスに ID プロバイダのエンティティ ID を入力します。

[エンティティ ID] テキストボックスに値を入力しない場合、メタデータファイル内の ID プロバイダ名が解析され、ID プロバイダのエンティティ ID として使用されます。

4 [IDP メタデータ] セクションで [選択] をクリックし、保存したメタデータファイルを参照します。[開く] をクリックします。



VMware, Inc. 94

次のステップ

KDC 認証の場合は、レルム設定とキータブ設定を構成します。

ヘッダーベースの認証の場合は、ID ブリッジ機能を構成するときに、ユーザー ID を含む HTTP ヘッダーの名前を使用してユーザーヘッダー名オプションを完成させます。

ID ブリッジ（Kerberos に対する SAML）のための Web リバースプロキシの構成

ID ブリッジを有効にし、サービスの外部ホスト名を設定し、Unified Access Gateway サービスプロバイダのメタデータファイルをダウンロードします。

このメタデータファイルは、VMware Identity Manager サービスの Web アプリケーション構成ページにアップロードされます。

前提条件

Unified Access Gateway 管理コンソールで、以下の ID ブリッジ設定が行われている必要があります。[詳細設定]セクションには次の設定項目があります。

n Unified Access Gateway にアップロードされた ID プロバイダのメタデータ。

n 設定された Kerberos プリンシパル名と Unified Access Gateway にアップロードされたキータブファイル。

n レルム名とキー配布センターについての情報。

Unified Access Gateway が Active Directory との Kerberos 通信にこのポートを使用しているので、TCP/UDP ポート 88 が開いていることを確認します。

手順


2 [全般設定] - [Edge Service の設定] の行で、[表示] をクリックします。

3 [リバースプロキシの設定] のギアアイコンをクリックします。

4 [リバースプロキシ設定] 画面で [追加] をクリックして、プロキシ設定を作成します。

5 [リバースプロキシ設定を有効にする] を [はい] に設定し、次の Edge サービス設定を構成します。


識別子 Edge サービスの識別子は Web リバースプロキシに設定されます。

インスタンス ID Web リバースプロキシインスタンスの一意の名前。

プロキシ接続先の URL Web アプリケーションの内部 URI を指定します。Unified Access Gateway はこの URL を解決してアクセスできる必要があります。


VMware, Inc. 95


プロキシ接続先の URL サムプリントこのプロキシ設定と一致する URI を入力します。サムプリントは、[alg=]xx:xx の形式になり、alg には sha1 などを指定でき、デフォルトは md5 となります。「xx」は、16 進数です。たとえば、sha=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3 のようになります。

サムプリントを構成しない場合、サーバ証明書は信頼された認証局 (CA) によって発行される必要があります。

プロキシパターン宛先 URL に転送する一致する URI パスを入力します。たとえば、(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*)) のように入力します。

注：複数のリバースプロキシを設定するときに、プロキシホストパターンにホスト名を指定します。



認証方法デフォルトでは、ユーザー名とパスワードのパススルー認証が使用されます。Unified AccessGateway で構成した認証方式は、ドロップダウンメニューに表示されます。RSA SecurID、RADIUS、および Device Certificate Auth メソッドがサポートされます。

健全性チェック URI パス Unified Access Gateway はこの URI パスに接続し、Web アプリケーションの健全性を確認します。

SAML SP Unified Access Gateway を VMware Identity Manager の認証済みリバースプロキシとして構成する場合に必要です。View XML API ブローカの SAML サービスプロバイダの名前を入力します。この名前は、Unified Access Gateway を使用して構成したサービスプロバイダの名前と一致するか、DEMO という特別な値でなければなりません。Unified Access

Gateway を使用して複数のサービスプロバイダが構成されている場合は、その名前は一意である必要があります。

外部 URL デフォルト値は、Unified Access Gateway のホスト URL のポート 443 です。別の外部 URLを入力することもできます。「https://<host:port>.」のように入力します。


VMware, Inc. 96


応答セキュリティヘッダーヘッダーを追加するには「+」記号をクリックします。セキュリティヘッダーの名前を入力します。値を入力します。ヘッダーを削除するには「-」記号をクリックします。既存のセキュリティヘッダーを編集して、ヘッダーの名前と値を更新します。








7 [ID ブリッジを有効にする] セクションで、[いいえ] を [はい] に変更します。

8 次の ID ブリッジ設定を行います。


認証タイプ [SAML] を選択します。

SAML 属性要求ヘッダーとして渡される SAML 属性のリスト。このオプションは、[ID ブリッジを有効にする] が [はい] に設定され、[認証タイプ] が [SAML] に設定されている場合のみ表示されます。SAML 属性をヘッダーの一部として追加するには「+」記号をクリックします。

ID プロバイダドロップダウンメニューから、ID プロバイダを選択します。

キータブドロップダウンメニューで、このリバースプロキシに対して設定されたキータブを選択します。

ターゲットサービスプリンシパル名 Kerberos サービスプリンシパル名を入力します。各プリンシパルは常にレルム名で完全修飾されます。たとえば、myco_hostname@MYCOMPANY。レルム名を大文字で入力します。テキ

ストボックスに名前を追加しない場合、サービスプリンシパル名はプロキシ接続先の URL のホスト名から派生します。

サービストップベージアサーションが検証された後に、ユーザーが ID プロバイダでリダイレクトされるページを入力します。デフォルトの設定は / です。

ユーザーヘッダー名ヘッダーベースの認証の場合、アサーションから派生したユーザー ID を含む HTTP ヘッダーの名前を入力します。

9 [SP メタデータのダウンロード] セクションで、[ダウンロード] をクリックします。

サービスプロバイダのメタデータファイルを保存します。


次のステップ

Unified Access Gateway サービスプロバイダのメタデータファイルを、VMware Identity Manager サービスのWeb アプリケーション構成ページに追加します。


VMware, Inc. 98

メタデータファイルを VMware Identity Manager サービスに追加

ダウンロードした Unified Access Gateway サービスプロバイダのメタデータファイルは、VMware IdentityManager サービスの Web アプリケーション構成ページにアップロードする必要があります。

使用する SSL 証明書は、ロードバランシングされた複数の Unified Access Gateway サーバで使用されているものと同じ証明書である必要があります。

前提条件

コンピュータに Unified Access Gateway サービスプロバイダのメタデータファイルが保存されている必要があります。

手順

1 VMware Identity Manager 管理コンソールにログインします。

2 [カタログ] タブで、[アプリケーションを追加] をクリックし、[新規作成] を選択します。

3 [アプリケーションの詳細] ページで、[名前] テキストボックスにエンドユーザーフレンドリ名を入力します。

4 [SAML 2.0 POST] 認証プロファイルを選択します。

このアプリケーションの説明とアイコンを追加して、Workspace ONE ポータルのエンドユーザーに表示することもできます。

5 [次へ] をクリックし、[アプリケーション構成] ページで、[次を経由して設定] セクションまでスクロールします。

6 [メタデータ XML] ラジオボタンを選択し、Unified Access Gateway サービスプロバイダのメタデータテキストを [メタデータ XML] テキストボックスに貼り付けます。

7 （オプション）[属性マッピング] セクションで、次の属性名をユーザープロファイル値にマッピングします。FORMAT フィールド値は Basic です。属性名は小文字で入力する必要があります。

名前設定された値

upn userPrincipalName

userid Active Directory ユーザー ID


次のステップ

このアプリケーションの使用資格をユーザーおよびグループに付与します。

注: Unified Access Gateway は単一ドメインのユーザーのみをサポートします。ID プロバイダが複数のドメインで設定されている場合、アプリケーションに対する資格は単一ドメイン内のユーザーのみに与えることができます。

ID ブリッジのための Web リバースプロキシの構成（Kerberos に対する証明書）

Unified Access Gateway ブリッジ機能を設定して、証明書の検証を使用するオンプレミスのレガシーの非 SAML アプリケーションへのシングルサインオン (SSO) を提供する前に、CA 証明書を取得して使用するように WorkspaceONE UEM コンソールを構成します。


VMware, Inc. 99

Workspace ONE UEM コンソールで CA 証明書を取得および使用できるようにする

認証局サーバにユーザーテンプレートを追加し、Workspace ONE UEM コンソールを設定することで、WorkspaceONE UEM で認証局証明書を取得および使用できるようになります。

手順

1 ユーザーテンプレートを追加

Workspace ONE UEM で証明書を取得できるようにするには、まず CA サーバにユーザーテンプレートを追加します。

2 コンソールで認証局 (CA) を追加

Workspace ONE UEM コンソールで認証局 (CA) を追加

3 CA 要求テンプレートを追加

Workspace ONE UEM コンソールに認証局を追加したら、CA 要求テンプレートを追加します。

4 取得された CA 証明書を使用するようにセキュリティポリシーを更新

取得された CA 証明書を使用するには、Workspace ONE UEM コンソールでセキュリティポリシーを更新します。

ユーザーテンプレートを追加Workspace ONE UEM で証明書を取得できるようにするには、まず CA サーバにユーザーテンプレートを追加します。

手順

1 認証局が構成されているサーバにログインします。

2 [開始] をクリックし、mmc.exe と入力します。

3 [MMC] ウィンドウで、[ファイル] - [スナップインの追加と削除] に移動します。

4 [スナップインの追加と削除] ウィンドウで、[証明書テンプレート] を選択し、[追加] をクリックします。

5 [OK] をクリックします。

6 [証明書テンプレート] ウィンドウを下にスクロールして、[ユーザー] - [テンプレートを複製] を選択します。

7 [新しいテンプレートのプロパティ] ウィンドウで [全般] タブを選択し、[テンプレートの表示名] の名前を入力します。

[テンプレート名] には、この名前がスペースなしで自動的に表示されます。

8 [サブジェクト名] タブを選択し [要求内で指定] を選択します。

9 [適用]、[OK] の順にクリックします。

10 [MMC] ウィンドウで、[ファイル] - [スナップインの追加と削除] に移動します。

11 [スナップインの追加と削除] ウィンドウで、[証明機関] を選択し、[追加] をクリックします。

12 [MMC] ウィンドウで、[証明機関] - [証明書テンプレート] を選択します。

13 [証明機関] を右クリックし、[新規作成] - [発行する証明書テンプレート] を選択します。


VMware, Inc. 100

14 手順 6 で作成したテンプレートを選択します。

次のステップ

追加したテンプレートがリストに表示されていることを確認します。

Workspace ONE UEM コンソールにログインし、認証局 (CA) を追加します。

コンソールで認証局 (CA) を追加Workspace ONE UEM コンソールで認証局 (CA) を追加

前提条件

n CA サーバにユーザーテンプレートが追加されている必要があります。

n 認証局発行者の名前が必要です。Active Directory (AD) サーバにログインし、コマンドプロンプトからcertutil コマンドを実行して、認証局 (CA) 発行者の名前を取得します。

n 認証局 (CA) の Username を service account タイプとなるように指定します。

手順

1 Workspace ONE UEM コンソールにログインし、適切な組織グループを選択します。

2 [すべての設定] に移動し、ドロップダウンメニューから [エンタープライズ統合] - [認証局] をクリックします。

3 [認証局] タブをクリックし、[追加] をクリックします。

4 認証局について次の情報を入力します。


名前認証局の有効な名前

認証局の種類 Microsoft ADCS

プロトコル ADCS

サーバのホスト名 Active Directory サーバのホスト名

認証局名認証局の発行者名

認証サービスアカウント

ユーザー名 Domain\username 形式のサービスアカウントを持つユーザー名。

パスワードユーザー名のパスワード

追加のオプションなし


CA 要求テンプレートを追加Workspace ONE UEM コンソールに認証局を追加したら、CA 要求テンプレートを追加します。

前提条件

1 CA サーバにユーザーテンプレートが追加されている必要があります。

2 Workspace ONE UEM コンソールに認証局が追加されている必要があります。


VMware, Inc. 101

手順

1 Workspace ONE UEM コンソールにログインして、[すべての設定] に移動し、ドロップダウンリストから [エンタープライズ統合] - [認証局] の順にクリックします。

2 [要求テンプレート] タブをクリックし、[追加] をクリックします。

3 テンプレートについて次の情報を入力します。


名前認証局テンプレートの有効な名前

説明 (オプション) テンプレートの説明

認証局以前に追加された認証局

発行するテンプレート CA サーバで作成したユーザーテンプレートの名前

件名サブジェクト名を追加するには、カーソルを値フィールド（デフォルト値「CN=」の後）に置き、[+] ボタンをクリックして適切なメールアドレスを選択します

プライベートキーの長さ 2048

プライベートキーのタイプ署名を選択します

SAN タイプ [追加] をクリックし、ユーザープリンシパル名を選択します

証明書の自動更新（オプション）

証明書の失効を有効にする（オプション）

プライベートキーを公開（オプション）


取得された CA 証明書を使用するようにセキュリティポリシーを更新取得された CA 証明書を使用するには、Workspace ONE UEM コンソールでセキュリティポリシーを更新します。

前提条件

手順

1 Workspace ONE UEM コンソールにログインし、[すべての設定] に移動して、ドロップダウンメニューから [アプリケーション] - [セキュリティとポリシー] - [セキュリティポリシー] の順にクリックします。

2 現在の設定に対して [オーバーライド] を選択します。

3 [統合認証] を有効にします。

a [証明書を使用] を選択します。

b [認証情報の送信元] を [定義された認証局] に設定します。

c 以前に設定した [認証局] と [証明書テンプレート] を指定します。

4 [許可されたサイト] を [*] に設定します。



VMware, Inc. 102

ID ブリッジのための Web リバースプロキシの構成（Kerberos に対する証明書）

Unified Access Gateway ブリッジ機能を設定して、証明書の検証を使用するオンプレミスのレガシーの非 SAML アプリケーションへのシングルサインオン (SSO) を提供します。

前提条件

構成プロセスを開始する前に、以下のファイルと証明書の準備ができていることを確認します。

n Sharepoint や JIRA などのバックエンドアプリケーションのキータブファイル

n ルート CA 証明書、またはユーザーの中間証明書を含む証明書チェーン全体

n Workspace ONE UEM コンソールに証明書が追加され、アップロードされている必要があります。WorkspaceONE UEM コンソールで CA 証明書を取得および使用できるようにするを参照してください。

非 SAML アプリケーションのルート証明書とユーザー証明書、およびキータブファイルを生成するには、関連製品のドキュメントを参照してください。

Unified Access Gateway が Active Directory との Kerberos 通信にこのポートを使用しているので、TCP/UDP ポート 88 が開いていることを確認します。

手順

1 [認証設定] - [X509 証明書] を選択し、以下を実行します。

a [ルートおよび中間 CA 証明書] で、[選択] をクリックして証明書チェーン全体をアップロードします。

b [証明書の失効を有効にする] で、設定を [はい] に切り替えます。

c [OCSP の失効を有効にする] のチェックボックスをオンにします。


VMware, Inc. 103

d [OCSP URL] テキストボックスに、OCSP レスポンダの URL を入力します。

Unified Access Gateway は、指定された URL に OCSP 要求を送信し、証明書が失効したかどうかを示す情報を含む応答を受信します。

e OCSP 要求をクライアント証明書の OCSP URL に送信するユースケースがある場合にのみ、[証明書のOCSP の URL を使用する] チェックボックスをオンにします。これが有効でない場合は、デフォルトで[OCSP URL] テキストボックスの値になります。

2 [詳細設定] - [ID ブリッジ設定] - [OSCP 設定] で、[追加] をクリックします。

a [選択] をクリックし、OCSP 署名証明書をアップロードします。

3 [レルム設定] ギアアイコンをクリックし、レルム設定の構成の説明に従ってレルム設定を構成します。

4 [全般設定] > [Edge サービス設定] で、[リバースプロキシ設定] ギアアイコンをクリックします。

5 [ID ブリッジ設定を有効にする] を [はい] に設定し、以下の ID ブリッジ設定を行い、[保存] をクリックします。


VMware, Inc. 104


認証タイプドロップダウンメニューから [証明書] を選択します。

キータブドロップダウンメニューで、このリバースプロキシに対して設定されたキータブを選択します。

ターゲットサービスプリンシパル名 Kerberos サービスプリンシパル名を入力します。各プリンシパルは常にレルム名で完全修飾されます。たとえば、myco_hostname@MYCOMPANY。レルム名を大文字で入力します。テキ

ストボックスに名前を追加しない場合、サービスプリンシパル名はプロキシ接続先の URL のホスト名から派生します。

ユーザーヘッダー名ヘッダーベースの認証の場合、アサーションから派生したユーザー ID を含む HTTP ヘッダーの名前を入力するか、デフォルトの AccessPoint-User-ID を使用します。

次のステップ

Workspace ONE Web を使用してターゲットの Web サイトにアクセスすると、ターゲットの Web サイトはリバースプロキシとして機能します。Unified Access Gateway は、提示された証明書を検証します。証明書が有効な場合は、ブラウザにバックエンドアプリケーションのユーザーインターフェイスページが表示されます。

特定のエラーメッセージおよびトラブルシューティング情報については、問題のトラブルシューティング：ID ブリッジを参照してください。

Unified Access Gateway の Workspace ONE UEM コンポーネントVMware Tunnel は、Unified Access Gateway アプライアンスを使用してデプロイできます。Unified AccessGateway は、ESXi または Microsoft Hyper-V のいずれかの環境でのデプロイをサポートします。VMware Tunnelにより、個々のアプリケーションが安全で効率的な方法で社内リソースにアクセスできます。Content Gateway(CG) は、モバイルデバイス上のオンプレミスのリポジトリコンテンツへの安全なアクセスを提供する、WorkspaceONE UEM コンテンツ管理ソリューションのコンポーネントです。

VMware Tunnel と Content Gateway の DNS 要件

同じアプライアンスで VMware Tunnel および Content Gateway サービスが有効になっていて、TLS ポート共有が有効になっている場合、DNS 名は各サービスごとに一意である必要があります。TLS が有効でない場合、ポートが受信トラフィックを区別するため、両方のサービスに対して 1 つの DNS 名のみを使用できます。


VMware, Inc. 105

Unified Access Gateway への VMware Tunnel のデプロイ

Unified Access Gateway アプライアンスを使用して VMware Tunnel をデプロイすると、個々のアプリケーションが安全で効率的な方法で社内リソースにアクセスできます。Unified Access Gateway は、ESXi または MicrosoftHyper-V のいずれかの環境でのデプロイをサポートします。

VMware Tunnel は、トンネルプロキシとアプリケーション単位のトンネルという 2 つの独立したコンポーネントから構成されます。単一層または多層ネットワークアーキテクチャモデルを使用して VMware Tunnel をデプロイします。

Proxy tunnel とアプリケーション単位のトンネルのデプロイモデルは両方とも、Unified Access Gateway アプライアンス上の多層ネットワークで使用できます。このデプロイは、DMZ にデプロイされているフロントエンドUnified Access Gateway サーバと内部ネットワークにデプロイされているバックエンドサーバで構成されます。

トンネルプロキシのコンポーネントは、Workspace ONE UEM からデプロイされた Workspace ONE Web またはあらゆる Workspace ONE SDK 対応のアプリケーションを介した、エンドユーザーのデバイスと Web サイト間のネットワークトラフィックのセキュリティを保護します。このモバイルアプリケーションは、トンネルプロキシサーバと安全な HTTPS 接続を確立して、機密データを保護します。Workspace ONE UEM コンソールで構成されているように、デバイスは、SDK を介して発行された証明書で、トンネルプロキシに認証されます。通常、このコンポーネントが、内部リソースへのセキュアなアクセスが必要とする管理対象外のデバイスに対して使用されます。

完全に登録されたデバイスの場合は、アプリケーション単位のトンネルコンポーネントにより、デバイスはWorkspace ONE SDK を必要とせずに内部リソースに接続できるようになります。このコンポーネントは、iOS、Android、Windows 10、および macOS オペレーティングシステムのネイティブアプリケーション単位の VPN 機能を使用します。

これらのプラットフォームおよび VMware Tunnel コンポーネント機能の詳細については、「Workspace ONE UEMのドキュメント」ページの最新の Tunnel のドキュメントを参照してください。

Workspace ONE UEM 環境に VMware Tunnel をデプロイする場合、以下の手順が発生します。

1 最初のハードウェアを設定します。

2 Workspace ONE UEM コンソールで、VMware Tunnel のホスト名とポートの情報を設定します。DMZ ベースの Unified Access Gateway アプライアンスのファイアウォールルールを参照してください。

3 Unified Access Gateway OVF テンプレートをダウンロードしてデプロイします。

4 VMware Tunnel を手動で設定します。


VMware, Inc. 106

https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/index.html


図 4-10. VMware Tunnel の多層のデプロイ：プロキシトンネルおよびアプリケーション単位のトンネル

内部リソース：-SharePoint-Wiki-イントラネット

VMwareAirWatch

VMware Tunnelバックエンドサーバ

VMware Tunnelフロントエンドサーバ

DMZ


エンドユーザーデバイス

80,443

443

443

2010, 8443

2020, 8443

AirWatch v9.1 以上では、VMware Tunnel の多層デプロイモデルとしてカスケードモードをサポートしています。カスケードモードでは、インターネットからフロントエンドのトンネルサーバまでのトンネルコンポーネントごとに専用の受信ポートが必要です。フロントエンドサーバとバックエンドサーバの両方が、Workspace ONE UEMAPI および AWCM サーバと通信できる必要があります。VMware Tunnel の[カスケード] モードは、アプリケーション単位のトンネルコンポーネントの多層アーキテクチャをサポートします。

Content Gateway とトンネルプロキシのロードバランシングに関する考慮事項については、 Unified AccessGateway のロードバランスのトポロジを参照してください。

Workspace ONE UEM ガイドとリリースノートの完全なリストについては、VMware Workspace ONE UEM のドキュメントページを参照してください。

VMware Tunnel プロキシの設定

設定ウィザードを使用して、VMware Tunnel プロキシを設定します。ウィザードで設定したオプションはインストーラにパッケージされており、これは Workspace ONE UEM コンソールからダウンロードして、トンネルサーバに移動できます。

[グループと設定] - [すべての設定] - [システム] - [エンタープライズ統合] - [VMware Tunnel] - [プロキシ] の順に選択して、UEM Console の VMware Tunnel プロキシを設定します。ウィザードでは、インストーラ設定の手順について説明します。ウィザードで設定したオプションはインストーラにパッケージされており、これは WorkspaceONE UEM コンソールからダウンロードして、トンネルサーバに移動できます。このウィザードで詳細を変更するには、VMware Tunnel を再インストールして新しく設定する必要があります。


VMware, Inc. 107



VMware Tunnel プロキシを設定するには、インストールするサーバの詳細が必要です。設定の前に、デプロイモデル、1 つ以上のホスト名とポート、実装する VMware Tunnel の機能（アクセスログの統合、SSL オフロード、エンタープライズ認証局の統合など）を決定します。

注: ウィザードには、選択に基づいて適切なオプションが動的に表示されます。設定画面には、異なるテキストボックスとオプションが表示される場合があります。

手順

1 [グループと設定] - [すべての設定] - [システム] - [エンタープライズ統合] - [VMware Tunnel] - [プロキシ] の順に移動します。

n VMware Tunnel を初めて設定する場合は、[設定] を選択して、設定ウィザード画面の指示に従ってください。

n VMwareTunnel を初めて設定するのではない場合は、[オーバーライド] を選択してから [VMware Tunnel]を [有効] 切り替えスイッチを選択し、[設定] を選択します。

2 [デプロイタイプ] 画面で、[プロキシ (Windows & Linux)] を [有効にする] 切り替えスイッチを選択してから、[プロキシ設定タイプ] ドロップダウンメニュー使用して設定するコンポーネントを選択します。

3 表示されるドロップダウンメニューで、[リレーエンドポイント] を設定するか、または [プロキシ設定タイプ]のデプロイを設定するかを選択します。選択したタイプの例を見るには、情報アイコンを選択します。

4 [次へ] を選択します。

5 [詳細] 画面で、次の設定を行います。[詳細] 画面に表示されるオプションは、[プロキシ設定タイプ] ドロップダウンメニューで選択した設定タイプによって異なります。

u [基本] [プロキシ設定タイプ] で、次の情報を入力します。

設定説明

ホスト名トンネルサーバのパブリックホスト名の FQDN を入力します（例：tunnel.acmemdm.com）。このホスト名は、デバイスがインターネットから接続する DNSであるため、一般公開されている必要があります。

リレーポートこのポートにはプロキシサービスがインストールされています。デバイスは、VMwareTunnel のプロキシ機能を使用するために <relayhostname>:<port> に接続します。デフォルト値は 2020 です。

リレーホスト名（リレーエンドポイントのみ）。トンネルリレーサーバのパブリックホスト名の FQDN を入力します（例：tunnel.acmemdm.com）。このホスト名は、デバイスがインターネットから接続する DNS であるため、一般公開されている必要があります。


VMware, Inc. 108

設定説明

SSL オフロードを有効にする SSL オフロードを使用して、VMware Tunnel サーバからのトラフィックの暗号化と復号化の負担を軽減するには、このチェックボックスを選択します。

Kerberos プロキシを使用 Kerberos プロキシサポートを有効にして、ターゲットのバックエンド Web サービスのKerberos 認証へのアクセスを許可します。この機能は現在 Kerberos の制約付き委任 (KCD)をサポートしていません。詳細については、Kerberos プロキシの設定を参照してください。

Kerberos プロキシが KDC と正常に通信するには、エンドポイントサーバが KDC と同じドメインにある必要があります。

u [リレーエンドポイント] [プロキシ設定タイプ] を選択した場合は、次の情報を入力します。

設定説明

リレーホスト名（リレーエンドポイントのみ）。トンネルリレーサーバのパブリックホスト名の FQDN を入力します（例：tunnel.acmemdm.com）。このホスト名は、デバイスがインターネットから接続する DNS であるため、一般公開されている必要があります。

エンドポイントホスト名トンネルエンドポイントサーバの内部 DNS。この値は、リレーエンドポイントポートでリレーサーバが接続するホスト名です。SSL をオフロードしたサーバに VMware Tunnel をインストールする場合は、[ホスト名] の代わりにそのサーバの名前を入力します。

[ホスト名] を入力する時は、http://、https:// などのプロトコルを含めないでください。

リレーポートこのポートにはプロキシサービスがインストールされています。デバイスは、VMwareTunnel のプロキシ機能を使用するために <relayhostname>:<port> に接続します。デフォルト値は 2020 です。

エンドポイントポート（リレーエンドポイントのみ）。この値は、VMware Tunnel リレーと VMware Tunnel エンドポイント間の通信に使用されるポートです。デフォルト値は 2010 です。

プロキシとアプリケーション単位のトンネルの組み合わせを使用している場合、リレーエンドポイントはカスケードモード用のフロントエンドサーバの一部としてインストールされます。各ポートの値が異なる必要があります。

SSL オフロードを有効にする SSL オフロードを使用して、VMware Tunnel サーバからのトラフィックの暗号化と復号化の負担を軽減するには、このチェックボックスを選択します。

Kerberos プロキシを使用 Kerberos プロキシサポートを有効にして、ターゲットのバックエンド Web サービスのKerberos 認証へのアクセスを許可します。この機能は現在 Kerberos の制約付き委任 (KCD)をサポートしていません。詳細については、Kerberos プロキシの設定を参照してください。

Kerberos プロキシが KDC と正常に通信するには、エンドポイントサーバが KDC と同じドメインにある必要があります。

[レルム] フィールドに、KDC サーバのレルムを入力します。


7 [SSL] 画面で、デバイス上の有効なアプリケーションから VMware Tunnel へのクライアントサーバ通信を保護する公開 SSL 証明書を設定できます。デフォルトでは、この設定では、安全なサーバクライアント通信のために、AirWatch 証明書を使用します。

a Workspace ONE Web または SDK 対応のアプリケーションと VMware Tunnel サーバ間の暗号化にサードパーティの SSL 証明書を使用したい場合は、[公開 SSL 証明書を使用] オプションを選択します。

b [アップロード]を選択して、.PFX または .P12 の証明書ファイルをアップロードし、パスワードを入力します。このファイルには、パブリックキーとプライベートキーのペアの両方が含まれていなければなりません。CER および CRT ファイルはサポートされていません。


VMware, Inc. 109


9 [認証] 画面で、次の設定を行って、デバイスが VMware Tunnel への認証に使用する証明書を選択します。

デフォルトでは、すべてのコンポーネントは、AirWatch で発行された証明書を使用します。クライアントサーバ認証にエンタープライズ CA 証明書を使用するには、[エンタープライズ CA] オプションを選択します。

a AirWatch で発行された証明書を使用するには、[デフォルト] を選択します。AirWatch で発行されたデフォルトのクライアント証明書は自動的には更新されません。これらの証明書を更新するには、有効期限の近

いまたは有効期限が切れたクライアント証明書を持つデバイスに VPN プロファイルを再公開します。デバイスの証明書状態を確認するには、[デバイス] - [デバイスの詳細] - [詳細] - [証明書] の順に移動します。

b Workspace ONE Web、アプリケーション単位のトンネル対応アプリケーション、または SDK 対応アプリケーションと、VMware Tunnel の設定前に Workspace ONE UEM 環境で認証局と証明書テンプレートをセットアップしなければならない VMware Tunnel 間の認証に対しては、AirWatch で発行された証明書の代わりに [エンタープライズ CA] を選択します。

c CA に証明書を要求するのに使用される [認証局] と [証明書テンプレート] を選択します。

d [アップロード] を選択して、認証局のパブリックキーの全体チェーンを設定ウィザードにアップロードします。

CA テンプレートのサブジェクト名に CN=UDID が含まれている必要があります。サポートされている CAは、ADCS、RSA、および SCEP です。

証明書は、CA テンプレートの設定に基づいて自動更新されます。

10 [追加] をクリックして中間証明書を追加します。


12 [その他] 画面で、プロキシまたはアプリケーション単位のトンネルコンポーネントのアクセスログを有効にすることができます。[アクセスログ] 切り替えスイッチを有効にして、機能を設定します。

後でこの機能を有効にする時はトンネルを再設定してインストーラを再実行しなければならないため、この機能

を使用する場合は、この機能を設定の一部として設定してください。これらの設定の詳細については、

#unique_75と、VMware Tunnel の詳細設定を参照してください。

a [Syslog ホスト名] フィールドに Syslog ホストの URL を入力します。この設定は、アクセスログを有効にした後に表示されます。

b [UDP ポート] フィールドに、Syslog ホストとの通信に使用するポートを入力します。

13 [次へ] を選択し、設定のサマリを確認します。すべてのホスト名、ポート、および設定が正しいことを確認して、[保存] を選択します。

これで、VMware Tunnel [設定] 画面でインストーラがダウンロードを行えるようになりました。

14 [設定] 画面で、[全般] タブを選択します。[全般] タブでは、次の操作を実行できます。

a [接続のテスト] を選択して、接続を確認できます。

b [設定 XML をダウンロード] を選択して、既存の VMware Tunnel インスタンス設定を XML ファイルとして取得できます。


VMware, Inc. 110

c [Unified Access Gateway をダウンロード] ハイパーリンクを選択できます。このボタンを押すと、非 FIPSOVA ファイルをダウンロードします。ダウンロードファイルには、PowerShell 展開方法の PowerShellスクリプトおよび .ini テンプレートファイルも含まれています。My Workspace ONE から VHDX またはFIPS OVA をダウンロードする必要があります。

d レガシーのインストーラ方法の場合は、[Windows インストーラをダウンロード] を選択できます。

このボタンを押すと、VMware Tunnel サーバのデプロイに使用される単一の BIN ファイルをダウンロードします。インストールに必要な設定 XML ファイルは、証明書のパスワードを確認した後、Workspace ONEUEM コンソールからダウンロードできます。

15 [保存] を選択します。

単一層デプロイモデル

単一層デプロイモデルを使用している場合は、基本エンドポイントモードを使用します。VMware Tunnel の基本エンドポイントデプロイモデルは、一般に公開されている DNS を持つサーバにインストールされている製品の単一インスタンスです。

基本 VMware Tunnel は通常、DMZ 内のロードバランサの背後にある内部ネットワークにインストールされます。DMZ は設定されたポート上のトラフィックを VMware Tunnel に転送し、その後 VMware Tunnel は内部の Webアプリケーションに直接接続します。すべてのデプロイ構成は、ロードバランシングとリバースプロキシをサポートします。

基本エンドポイントのトンネルサーバは API および AWCM と通信して、VMware Tunnel へのアクセスが許可されているクライアントのホワイトリストを受信します。プロキシおよびアプリケーション単位のトンネルコンポーネントの両方が、この展開モデルの API/AWCM と通信するための送信プロキシの使用をサポートしています。VMware Tunnel に接続したデバイスは Workspace ONE UEM によって発行された一意の X.509 証明書に基づいて認証されます。デバイスが認証されると、VMware Tunnel（基本エンドポイント）は要求を内部ネットワークに転送します。

基本エンドポイントが DMZ にインストールされている場合は、VMware Tunnel が必要なポートを介してさまざまな内部リソースにアクセスできるように、適切なネットワークの変更を行う必要があります。このコンポーネントを

DMZ のロードバランサの背後にインストールすると、VMware Tunnel を実装するためのネットワーク変更の数が最小限に抑えられます。また、パブリック DNS が VMware Tunnel をホストするサーバを直接ポイントしないため、セキュリティが強化されます。


VMware, Inc. 111


443

80, 443 80, 443

8443/2020

VMware AirWatch

内部

ネットワーク

DMZ


VMware Tunnel サーバ

SaaS 単一層モデルオンプレミスの単一層モデル

内部リソース：- 共有ポイント - Wiki - イントラネット

VMware Tunnel サーバAPI/AWCM

443/2001

8443/2020


内部

ネットワーク

DMZ


VMware, Inc. 112

カスケードモードのデプロイ

カスケードのデプロイモデルアーキテクチャには、個別のロールを持つ VMware Tunnel の 2 つのインスタンスが含まれています。カスケードモードでは、フロントエンドサーバは DMZ に配置され、内部ネットワークのバックエンドサーバと通信します。

カスケードデプロイモデルをサポートするのは、アプリケーション単位のトンネルコンポーネントのみです。プロキシコンポーネントのみを使用する場合は、リレーエンドポイントモデルを使用してください。詳細については、リレーエンドポイントのデプロイを参照してください。

デバイスは、構成されたポートを介して構成済みのホスト名を使用して、カスケードモードのフロントエンドサーバにアクセスします。フロントエンドサーバにアクセスするためのデフォルトのポートはポート 8443 です。カスケードモードのバックエンドサーバは、イントラネットサイトと Web アプリケーションをホストしている内部ネットワークにインストールされます。このデプロイモデルは、内部リソースに直接接続するバックエンドサーバから一般公開されているフロントエンドサーバを分離することで、セキュリティがさらに強化されます。

フロントエンドサーバは、VMware Tunnel に要求が送信されたときに AWCM に接続することによって、デバイスの認証を容易にします。デバイスが VMware Tunnel に対する要求を実行すると、フロントエンドサーバはデバイスがサービスへのアクセス権限を持っているかどうかを判断します。認証されると、要求は単一ポートの TLS を使用してバックエンドサーバに安全に転送されます。

バックエンドサーバは、デバイスによって要求された内部 DNS または IP アドレスに接続します。

カスケードモードは、TLS 接続（またはオプションの DTLS 接続）を使用して通信します。フロントエンドおよびバックエンドサーバは、いくつでも必要に応じてホストできます。各フロントエンドサーバは、アクティブなバックエンドサーバを検索してデバイスを内部ネットワークに接続するときに個別に動作します。DNS 検索テーブルに複数の DNS エントリを設定して、ロードバランシングを可能にすることができます。

フロントエンドサーバとバックエンドサーバは、Workspace ONE UEM API サーバおよび AWCM と通信します。API サーバは VMware Tunnel 構成を提供し、AWCM はデバイス認証、ホワイトリストへの登録、およびトラフィックに関するルールを提供します。フロントエンドおよびバックエンドサーバは、送信プロキシ呼び出しを有効にしない限り、直接 TLS 接続を介して API/AWCM と通信します。フロントエンドサーバが API/AWCM サーバに到達できない場合は、この接続を使用します。有効にすると、フロントエンドサーバはバックエンドサーバを介して API/AWCM サーバに接続します。このトラフィックとバックエンドトラフィックは、サーバ側トラフィックルールを使用してルーティングされます。詳細については、アプリケーション単位のトンネルのネットワークトラフィックルールを参照してください。

次の図は、カスケードモードでのアプリケーション単位のトンネルコンポーネントの多層デプロイを示しています。


VMware, Inc. 113


443

80, 443 80, 443

8443

8443

VMware AirWatch

内部

ネットワーク

DMZ


VMware Tunnel フロントエンドサーバ

SaaS 多層モデルオンプレミスの多層モデル

VMwareTunnelバックエンドサーバ


VMwareTunnelフロントエンドサーバ API/AWCM

443/2001

8443

8443

443/2001VMwareTunnelバックエンドサーバ


内部

ネットワーク

DMZ

リレーエンドポイントのデプロイ

多層デプロイモデルと VMware Tunnel のプロキシコンポーネントを使用している場合は、リレーエンドポイントデプロイモードを使用します。リレーエンドポイントのデプロイモードアーキテクチャには、個別のロールを持つ


VMware, Inc. 114

VMware Tunnel の 2 つのインスタンスが含まれています。VMware Tunnel のリレーサーバは、DMZ に配置され、設定されたポートを介してパブリック DNS からアクセスできます。

アプリケーション単位のトンネルコンポーネントのみを使用している場合は、カスケードモードのデプロイを使用することを検討してください。詳細については、カスケードモードのデプロイを参照してください。

パブリック DNS にアクセスする時に使用されるデフォルトのポートは、ポート 8443（アプリケーション単位のトンネル用）とポート 2020（プロキシ用）です。VMware Tunnel のエンドポイントサーバは、イントラネットサイトと Web アプリケーションをホストする内部ネットワークにインストールされます。このサーバには、リレーサーバによって解決できる内部 DNS レコードが必要です。このデプロイモデルは、内部リソースに直接接続するサーバから一般に公開されているサーバを分離することで、セキュリティがさらに強化されます。

リレーサーバのロールには、API および AWCM コンポーネントとの通信、および VMware Tunnel に対する要求が実行されたときのデバイスの認証が含まれます。このデプロイモデルでは、リレーサーバから API および AWCMへの通信をエンドポイントサーバ経由で送信プロキシにルーティングできます。アプリケーション単位のトンネルサービスは API および AWCM と直接通信する必要があります。デバイスが VMware Tunnel に対する要求を実行すると、リレーサーバはデバイスがサービスへのアクセス権限を持っているかどうかを判断します。認証されると、要求は単一ポート（デフォルトのポートは 2010）の HTTPS を使用して VMware Tunnel のエンドポイントサーバに安全に転送されます。

エンドポイントサーバのロールは、デバイスによって要求された内部 DNS または IP アドレスに接続することです。Workspace ONE UEM Console の VMware Tunnel 設定で [プロキシ経由で API および AWCM 送信呼び出しを有効にする] が [有効] に設定されていない限り、エンドポイントサーバは API または AWCM と通信しません。リレーサーバは定期的に健全性チェックを実行し、エンドポイントがアクティブで利用可能であることを確認します。

これらのコンポーネントは、共有サーバまたは専用サーバにインストールできます。VMware Tunnel を専用のLinux サーバにインストールして、同じサーバ上で実行している他のアプリケーションがパフォーマンスに影響を与えないようにします。リレーエンドポイントのデプロイでは、プロキシとアプリケーション単位のトンネルコンポーネントは同じリレーサーバにインストールされます。


VMware, Inc. 115

図 4-11. リレーエンドポイントデプロイのオンプレミス構成

DMZ 内部ネットワーク

デバイスサービス/AWCM

AirWatch Tunnel リレー

ブラウザ（プロキシ）のトラフィックはユーザーが定義したポートを

介して送信されます。詳細については、『トンネル管理ガイド』

の「HTTPS トンネリング」セクションを参照してください。

Linux 専用のトンネル：アプリケーション単位のトンネルトラフィックは TCP (8443) 経由で送信されます。

HTTPS または暗号化されたHTTP トラフィック

プロキシトラフィック（デフォルトポート：2020）

AirWatch MDM トラフィック HTTPS (433)

証明書トラフィック HTTPS (433)

デバイス

登録

ブラウザ（プロキシ）トラフィックは、AirWatch 管理コンソールで選択して設定したポートを介

して送信されます。

証明書が作成され、デバイスに配信されます

DS サーバは、AWCM 経由で AW トンネルに証明書を

配信します。

すべての証明書に対する AW トンネルの初期更新

内部リソース：Web サイト - 共有ポイント - Wiki - イントラネット

コンソール/API サーバ

AirWatch Tunnelエンドポイント


VMware, Inc. 116

図 4-12. リレーエンドポイントデプロイの SaaS 構成

DMZ 内部ネットワーク

AirWatch Tunnel リレー

AirWatch Cloud

ブラウザ（プロキシ）のトラフィックはユーザーが定義したポートを介して送信されます。詳細については、『トンネル管理ガイド』の

「HTTPS トンネリング」セクションを参照してください。

Linux 専用のトンネル：アプリケーション単位のトンネルトラフィックは TCP (8443) 経由で送信

されます。

プロキシトラフィック（デフォルトポート：2020）

AirWatch MDM トラフィック HTTPS (433)

証明書トラフィック HTTPS (433)

デバイス登録

AW トンネルは認証に使用される証明書を

取得します


ブラウザ（プロキシ）トラフィックは、AirWatch 管理コンソールで選択して設定したポートを介して

送信されます。

証明書が作成され、デバイスに

配信されます

内部リソース：Web サイト - 共有ポイント - Wiki - イントラネット

AirWatch Tunnelエンドポイント


VMware, Inc. 117

Workspace ONE UEM の VMware Tunnel の設定

トンネルプロキシのデプロイ環境では、エンドユーザーのデバイスと Workspace ONE Web モバイルアプリケーションを介する Web サイト間のネットワークトラフィックのセキュリティが保護されます。

手順


2 [全般設定] - [Edge Service の設定] に移動し、[表示] をクリックします。

3 [VMware Tunnel 設定] ギアアイコンをクリックします。

4 [いいえ] を [はい] に変更すると、トンネルプロキシが有効になります。

5 次の Edge サービス設定を構成します。


API サーバ URL Workspace ONE UEM API サーバの URL を入力します。たとえば、https://example.com:<port> のように入力します。

API サーバのユーザー名 API サーバにログインするユーザー名を入力します。

API サーバのパスワード API サーバにログインするパスワードを入力します。

組織グループ ID ユーザーの組織を入力します。

トンネルサーバのホスト名 Workspace ONE UEM コンソールで設定した VMware Tunnel の外部ホスト名を入力します。



送信プロキシのホスト送信プロキシがインストールされるホスト名を入力します。

注: これは、トンネルプロキシではありません。

送信プロキシのポート送信プロキシのポート番号を入力します。

送信プロキシのユーザー名送信プロキシにログインするユーザー名を入力します。

送信プロキシのパスワード送信プロキシにログインするパスワードを入力します。

NTLM 認証 [いいえ] を [はい] に変更して、送信プロキシで NTLM 認証を要求することを指定します。

VMware Tunnel プロキシに使用 [いいえ] を [はい] に変更して、このプロキシを VMware Tunnel の送信プロキシとして使用します。有効にしないと、Unified Access Gateway はこのプロキシを最初の API コールに使用して、Workspace ONE UEM コンソールから構成情報を取得します。






信頼される証明書トラストストアに追加する PEM 形式の信頼できる証明書ファイルを選択します。デフォルトでは、エイリアス名は PEM 証明書のファイル名です。別の名前を指定するには、エイリアスのテキストボックスを編集します。


VMware, Inc. 118


PowerShell を使用した VMware Tunnel 向け Workspace ONE UEM のデプロイ

PowerShell を使用して Workspace ONE UEM 向け VMware Tunnel をデプロイすることができます。

PowerShell を使用した VMware Tunnel のデプロイの詳細については、以下のビデオをご覧ください。VMware Tunnel PowerShell のデプロイ(http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_airwatch_tunnel_powershell)

TLS ポート共有について

複数の Edge サービスが TCP ポート 443 を使用するように構成されているときは、Unified Access Gateway のTLS ポート共有はデフォルトで有効になっています。サポートされる Edge サービスは VMware Tunnel（アプリケーション単位の VPN）、Content Gateway、および Web リバースプロキシです。

注: TCP ポート 443 を共有する場合は、構成されたそれぞれの Edge サービスで一意の外部ホスト名が UnifiedAccess Gateway を参照していることを確認します。

Unified Access Gateway の Content Gateway

Content Gateway (CG) は、モバイルデバイス上のオンプレミスのリポジトリコンテンツへの安全なアクセスを提供する、Workspace ONE UEM コンテンツ管理ソリューションのコンポーネントです。

前提条件

Unified Access Gateway で Content Gateway を設定する前に、Workspace ONE UEM コンソールを使用してContent Gateway ノードを設定する必要があります。ノードを設定したら、自動生成された Content Gateway の設定 GUID を書き留めておきます。

注: 頭字語 CG は Content Gateway（コンテンツゲートウェイ）を表すためにも使用されます。

手順

1 [全般設定] - [Edge サービス設定] - [Content Gateway の設定] に移動して、ギアアイコンをクリックします。

2 [はい] を選択して Content Gateway 設定を有効にします。

3 次の設定を行います


識別子このサービスが有効であることを示します。

API サーバ URL Workspace ONE UEM API サーバの URL [http[s]://]hostname[:port]

宛先 URL にはプロトコル、ホスト名または IP アドレス、およびポート番号が含まれている必要があります。例：https://load-balancer.example.com:8443

Unified Access Gateway は API サーバから Content Gateway 構成をプルします。


VMware, Inc. 119

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_airwatch_tunnel_powershell

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_airwatch_tunnel_powershell


API サーバのユーザー名 API サーバにログインするユーザー名。

注: 管理者アカウントには最低でも Content Gateway ロールに関連付けられた権限が必要です。

API サーバのパスワード API サーバにログインするパスワード。

CG ホスト名 Edge 設定を構成するために使用されるホスト名。

CG 構成 GUID Workspace ONE UEM Content Gateway の構成 ID。この ID は、Content Gateway がWorkspace ONE UEM コンソール上で構成されるときに自動生成されます。構成 GUID は、UEM Console の [設定] - [コンテンツ] - [Content Gateway] にある [Content Gateway]ページに表示されます。

送信プロキシのホスト送信プロキシがインストールされるホスト。Unified Access Gateway は送信プロキシ経由で API サーバに接続します（構成されている場合）。

送信プロキシのポート送信プロキシのポート。

送信プロキシのユーザー名送信プロキシにログインするユーザー名。

送信プロキシのパスワード送信プロキシにログインするパスワード。

NTLM 認証送信プロキシで NTLM 認証を必要とするかどうかを指定します。

信頼される証明書この Edge サービスに信頼されている証明書を追加します。PEM 形式の証明書を選択し、トラストストアに追加するには「+」記号をクリックします。トラストストアから証明書を削除するには「-」記号をクリックします。デフォルトでは、エイリアス名は PEM 証明書のファイル名です。別の名前を指定するには、エイリアスのテキストボックスを編集します。






注: TCP ポート 80 は Edge Service Manager によって使用されているため、Content Gateway では UnifiedAccess Gateway のポート 80 での HTTP トラフィックは許可されません。


Content Gateway の設定

ノードを確立し、構成ファイルにバンドルされる設定を事前に行うには、Workspace ONE UEM Console でContent Gateway の設定を行います。これにより、インストール後にサーバで手動で設定を行う必要がなくなります。

設定には、プラットフォーム、構成モデル、関連ポートの選択、必要に応じて SSL 証明書のアップロードが含まれます。

Workspace ONE UEM Console バージョン 9.6 以降では、Content Gateway ノードを設定するときに、UnifiedAccess Gateway (UAG) が推奨されるインストールタイプです。このオプションを使用して、Unified AccessGateway で新しい Content Gateway を設定したり、既存の Content Gateway を Unified Access Gateway に移行したりすることができます。


VMware, Inc. 120

Unified Access Gateway での Content Gateway の設定に関する詳細については、UAG ドキュメントの「UnifiedAccess Gateway の Workspace ONE UEM コンポーネント」を参照してください。移行の詳細については、『Content Gateway の Unified Access Gateway への移行』ドキュメントを参照してください。

手順

1 選択した組織グループで、[グループと設定] - [すべての設定] - [システム] - [エンタープライズ統合] - [ContentGateway] の順に移動します。

2 [Content Gateway を有効にする] を [有効] に設定します。

Content Gateway 設定のロックを解除するには、[オーバーライド] を選択しなければならない場合があります。

3 [追加] をクリックします。


VMware, Inc. 121

4 表示されるフィールドに入力して、Content Gateway インスタンスを設定します。

a [インストールタイプ] を設定します。

設定説明

インストールタイプ Content Gateway サーバのオペレーティングシステムを選択します。

b [コンテンツ構成] の設定を行います。

設定説明

構成タイプ n [基本] – リレーコンポーネントを持たないエンドポイント構成。

n [リレー] – リレーコンポーネントを持つエンドポイント構成。

名前この Content Gateway インスタンスをコンテンツリポジトリ、リポジトリテンプレート、または RFS ノードに接続するときにこのインスタンス選択するために使用する一意の名前を指定します。

Content Gateway リレーアドレスリレー構成を実装する場合は、インターネットから Content Gateway リレーへのアクセスに使用する URL を入力します。

Content Gateway リレーポートリレー構成を実装する場合は、リレーサーバのポートを入力します。

Content Gateway エンドポイントアドレス

Content Gateway エンドポイントのホスト名を入力してください。設定されたポートにバインドされた公開 SSL 証明書は、このエントリに対して有効である必要があります。

Content Gateway エンドポイントポートエンドポイントサーバのポートを入力します。

c [コンテンツ SSL 証明書] の設定を行います。

設定説明

公開 SSL 証明書（Linux の要件に必要）必要に応じて、Content Gateway インストーラがポートにバインドするように、完全なチェーンを含む PKCS12 (.pfx) 証明書ファイルをアップロードします。完全なチェーンには、パスワード、サーバ証明書、中間証明書、ルート証明書、およびプライベートキーが含まれます。

注: PFX ファイルに証明書チェーン全体が含まれていることを確認するには、Certutil やOpenSSL などのコマンドラインツールを使用して、certutil -dump

myCertificate.pfx や openssl pkcs12 -in myCertificate.pfx -nokeys などの

コマンドを実行できます。これらのコマンドを実行すると、完全な証明書情報が表示され

ます。

要件は、プラットフォームおよび SSL の設定によって異なります。

SSL エラーを無視（非推奨）自己署名証明書を使用している場合は、この機能を有効にすることを検討してください。

有効にすると、Content Gateway は証明書の信頼エラーと証明書名の不一致を無視します。

ICAP プロキシの設定は Workspace ONE UEM Console バージョン 9.7 ではサポートされていません。しかし、既存の設定は編集できます。ICAP プロキシの設定の詳細については、https://support.workspaceone.com/articles/115001675368を参照してください。

5 [追加] を選択します。

6 [保存] を選択します。


VMware, Inc. 122

https://support.air-watch.com/articles/115001675368

https://support.air-watch.com/articles/115001675368

次のステップ

設定時に、Content Gateway のプラットフォームと構成モデルを指定します。UEM Console で設定を行った後、インストーラをダウンロードするか、追加のノードを設定するか、または設定済みのノードを管理します。

Content Gateway の基本（エンドポイントのみの）デプロイモデル

VMware Content Gateway の基本エンドポイントデプロイモデルは、一般公開されている DNS を持つサーバにインストールされている製品の単一インスタンスです。

基本デプロイモデルでは、VMware Content Gateway は通常、構成されたポート上のトラフィックを VMwareContent Gateway に転送する DMZ のロードバランサの背後にある内部ネットワークにインストールされます。その後、VMware Content Gateway は内部のコンテンツリポジトリに直接接続します。すべてのデプロイ構成は、ロードバランシングとリバースプロキシをサポートします。

基本エンドポイントの Content Gateway サーバは、デバイスサービスと通信します。デバイスサービスは、エンドユーザーのデバイスを正しい Content Gateway に接続します。

基本エンドポイントが DMZ にインストールされている場合は、VMware Content Gateway が必要なポートを介してさまざまな内部リソースにアクセスできるように、適切なネットワークの変更を行う必要があります。このコンポ

ーネントを DMZ のロードバランサの背後にインストールすると、VMware Content Gateway を実装するためのネットワーク変更の数が最小限に抑えられます。パブリック DNS は、VMware Content Gateway をホストするサーバを直接ポイントしないため、セキュリティが強化されます。

Content Gateway のリレーエンドポイントデプロイモデル

リレーエンドポイントのデプロイモデルアーキテクチャには、個別のロールを持つ VMware Content Gateway の2 つのインスタンスが含まれています。

VMware Content Gateway のリレーサーバは、DMZ に配置され、設定されたポートを介してパブリック DNS からアクセスできます。


VMware, Inc. 123

Content Gateway にアクセスする時に使用されるデフォルトのポートは 443 です。VMware Content Gatewayエンドポイントサーバは、内部リソースをホストする内部ネットワークにインストールされます。このサーバには、リレーサーバが解決できる内部 DNS レコードが必要です。このデプロイモデルは、内部リソースに直接接続するサーバから一般に公開されているサーバを分離することで、セキュリティがさらに強化されます。

エンドポイントサーバのロールは、デバイスによって要求された内部リポジトリまたはコンテンツに接続することです。リレーサーバは定期的に健全性チェックを実行し、エンドポイントがアクティブで利用可能であることを確認します。

これらのコンポーネントは、共有サーバまたは専用サーバにインストールできます。同じサーバで実行されている他

のアプリケーションがパフォーマンスに影響を与えないようにするために、専用サーバに VMware ContentGateway をインストールしてください。

Unified Access Gateway 上の Secure Email Gateway

Secure Email Gateway は、メールインフラストラクチャを保護し、Mobile Email Management (MEM) 機能を提供する、Workspace ONE UEM のコンポーネントです。

前提条件

Unified Access Gateway で Secure Email Gateway を設定する前に、Workspace ONE UEM コンソールを使用して Secure Email Gateway を設定する必要があります。ノードを設定したら、自動生成された Secure EmailGateway の設定 GUID を書き留めておきます。詳細については、Secure Email Gatewayドキュメントを参照してください。

注: 頭字語 SEG を使用して Secure Email Gateway を表すこともあります。

注: Secure Email Gateway は、すべての Unified Access Gateway バージョンでサポートされています。


VMware, Inc. 124

https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/1905/WS1-Secure-Email-Gateway/GUID-AWT-INTRO-SEG.html

手順

1 [全般設定 > Edge Service の設定 > Secure Email Gateway の設定] に移動して、ギアアイコンをクリックします。

2 [はい] を選択して Secure Email Gateway の設定を有効にします。

3 次の設定を行います。


API サーバ URL Workspace ONE UEM API サーバの URL [http[s]://]hostname[:port]

宛先 URL にはプロトコル、ホスト名または IP アドレス、およびポート番号が含まれている必要があります。例：https://load-balancer.example.com:8443

Unified Access Gateway は API サーバから Secure Email Gateway の設定を取り出します。

API サーバのユーザー名 API サーバにログインするユーザー名。

注: 管理者アカウントには最低でも Secure Email Gateway のロールに関連付けられた権限が必要です。

API サーバのパスワード API サーバにログインするパスワード。

Secure Email Gateway サーバのホスト名 Edge 設定を構成するために使用されるホスト名。

MEM 構成 GUID Workspace ONE UEM Mobile Email Management 構成 ID。この ID は、WorkspaceONE UEM コンソール上で Mobile Email Management を構成するときに自動生成されます。構成 GUID は、UEM Console の「Mobile Email Management 構成」ページに表示されます。

送信プロキシのホスト送信プロキシがインストールされるホスト。Unified Access Gateway は送信プロキシ経由で API サーバに接続します（構成されている場合）。

送信プロキシのポート送信プロキシのポート。

送信プロキシのユーザー名送信プロキシにログインするユーザー名。

送信プロキシのパスワード送信プロキシにログインするパスワード。

信頼される証明書この Edge サービスに信頼されている証明書を追加します。PEM 形式の証明書を選択し、トラストストアに追加するには「+」記号をクリックします。トラストストアから証明書を削除するには「-」記号をクリックします。デフォルトでは、エイリアス名は PEM 証明書のファイル名です。別の名前を指定するには、エイリアスのテキストボックスを編集します。

ホストエントリ /etc/hosts ファイルに追加する詳細情報を入力します。各エントリには、IP アドレス、ホスト名、オプションのホスト名エイリアスが順にスペース区切りで含まれています。たとえば、

10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias のようになります。複数のホストエントリを追加するには「+」記号をクリックします。

注: ホストエントリは、[保存] をクリックした後にのみ保存されます。



VMware, Inc. 125

デプロイ環境の使用事例の追加

Unified Access Gateway は、同じアプライアンスの複数の Edge サービスを使用してデプロイできます。たとえば、Horizon と Web リバースプロキシおよび Unified Access Gateway と VMware Tunnel、ContentGateway、および Web リバースプロキシなどです。

複数のサービスを使用して Unified Access Gateway をデプロイする場合の考慮事項

複数の Edge サービスを同時にデプロイする前に、次の重要な考慮事項に注意してください。

n ネットワーク要件を理解して適合する。DMZ ベースの Unified Access Gateway アプライアンスのファイアウォールルールを参照してください。

n サイジングのガイドラインに従う。OVF テンプレートウィザードによる Unified Access Gateway のデプロイトピックでサイジングのオプションの選択のセクションを参照してください。

n プロキシパターンに重複がある場合、Horizon Connection Server は有効な Web リバースプロキシで動作しません。したがって、Horizon と Web リバースプロキシインスタンスの両方が同じ Unified AccessGateway インスタンス上のプロキシパターンを使用して構成され有効になっている場合は、Horizon 設定からプロキシパターン「/」を削除し、Web リバースプロキシのパターンを保持して重複を防ぎます。Web リバースプロキシインスタンスのプロキシパターン「/」を保持すると、ユーザーが Unified Access Gateway の URLをクリックしたときに、正しい Web リバースプロキシのページが表示されます。Horizon 設定のみが構成されている場合、上記の変更は必要ありません。

n VMware Tunnel、Content Gateway、および Web リバースプロキシを組み合わせたサービスで UnifiedAccess Gateway をデプロイするときに、すべてのサービスに同じポート 443 を使用する場合は、すべてのサービスに一意の外部ホスト名が必要です。TLS ポート共有についてを参照してください。

n 管理ユーザーインターフェイスを使用して異なる Edge サービスを構成することができ、必要に応じて以前の設定をインポートすることができます。PowerShell を使用してデプロイするときは、INI ファイルによって本番環境でデプロイを実行できるようになります。

n Horizon Blast と VMware Tunnel が同じ Unified Access Gateway アプライアンス上で有効になっている場合、VMware Tunnel は 443 または 8443 以外の別のポート番号を使用するように構成する必要があります。ポート 443 または 8443 を VMware Tunnel で使用する場合は、個別の Unified Access Gateway アプライアンス上で Horizon Blast サービスをデプロイする必要があります。


VMware, Inc. 126

TLS/SSL 証明書を使用した UnifiedAccess Gateway の構成 5Unified Access Gateway アプライアンスでは TLS/SSL 証明書を構成する必要があります。

注: Unified Access Gateway アプライアンスに構成する TLS/SSL 証明書は、Horizon、Horizon Air、Web リバースプロキシのみに適用されます。


n Unified Access Gateway アプライアンスの TLS/SSL 証明書の構成

Unified Access Gateway アプライアンスの TLS/SSL 証明書の構成クライアントが Unified Access Gateway アプライアンスに接続するには、TLS/SSL が必要です。クライアントに面した Unified Access Gateway アプライアンスと、TLS/SSL 接続を終了させる中間サーバには、TLS/SSL サーバ証明書が必要です。

TLS/SSL サーバ証明書は、認証局 (CA) によって署名されています。CA は、証明書とその作成者の身元を保証する信頼された機関です。証明書が信頼された CA によって署名されている場合は、証明書の検証を求めるメッセージは表示されず、追加の構成をしなくてもシンクライアントデバイスから接続できます。

デフォルトの TLS/SSL サーバ証明書は、Unified Access Gateway アプライアンスのデプロイ時に生成されます。本番環境では、デフォルト証明書をできるだけ早く置き換えることをお勧めします。デフォルト証明書は、信頼された

CA によって署名されていません。デフォルト証明書は、本番環境以外でのみ使用してください。

正しい証明書タイプの選択

Unified Access Gateway では、異なるタイプの TLS/SSL 証明書を使用できます。デプロイに適したタイプの証明書を選択することが重要です。各タイプの証明書は、証明書を使用できるサーバの数に応じてコストが異なります。

どのタイプの証明書を選択した場合でも、証明書の完全修飾ドメイン名 (FQDN) を使用し、VMware のセキュリティに関する推奨事項に従ってください。内部ドメインの範囲内の通信にも、シンプルなサーバ名や IP アドレスは使用しないでください。

単一サーバ名証明書

特定のサーバのサブジェクト名を含む証明書を生成できます。たとえば、dept.example.com のような証明書で

す。

VMware, Inc. 127

このタイプの証明書が役立つのは、たとえば、証明書を必要とする Unified Access Gateway アプライアンスが 1 つのみの場合です。

証明書署名要求を認証局 (CA) に送信するときは、証明書に関連付けるサーバ名を指定します。ユーザーが指定したサーバ名を Unified Access Gateway アプライアンスが解決でき、証明書に関連付けられた名前とそのサーバ名が一致することを確認します。

サブジェクトの別名

サブジェクトの別名 (SAN) は、発行する証明書に追加できる属性です。この属性は、証明書にサブジェクト名 (URL)を追加して、複数のサーバを検証できるようにするために使用します。

たとえば、ロードバランサの背後にある Unified Access Gateway アプライアンスに対して、ap1.example.com、

ap2.example.com、および ap3.example.com という 3 つの証明書が発行されるとします。ロードバランサのホ

スト名を表す Subject Alternative Names (SAN)（この例では、horizon.example.com など）を追加することに

より、証明書は、クライアントが指定したホスト名に一致するため、有効になります。

証明書署名要求を認証局 (CA) に送信する場合は、コモンネームおよび SAN 名として外部インターフェイスのロードバランサの仮想 IP アドレス (VIP) を指定します。ユーザーが指定したサーバ名を Unified Access Gateway アプライアンスが解決でき、証明書に関連付けられた名前とそのサーバ名が一致することを確認します。

証明書はポート 443 で使用されます。

ワイルドカード証明書

ワイルドカード証明書は、複数のサービスで使用できるようにするために生成されます。たとえば、

*.example.com のような証明書です。

ワイルドカードは、多数のサーバが証明書を必要とする場合に便利です。Unified Access Gateway アプライアンスの他に、環境内の他のアプリケーションが TLS/SSL 証明書を必要とする場合は、それらのサーバに対してもワイルドカード証明書を使用できます。ただし、他のサービスと共有されるワイルドカード証明書を使用する場合、VMwareHorizon 製品のセキュリティは、それらのサービスのセキュリティにも依存します。

注: ワイルドカード証明書は、単一レベルのドメインでのみ使用できます。たとえば、*.example.com というサ

ブジェクト名を含むワイルドカード証明書は、サブドメイン dept.example.com では使用できますが、

dept.it.example.com では使用できません。

Unified Access Gateway アプライアンスにインポートする証明書は、クライアントマシンによって信頼される必要があります。また、ワイルドカードまたはサブジェクトの別名 (SAN) 証明書を使用して Unified Access Gatewayのすべてのインスタンスと任意のロードバランサに適用できる必要もあります。

証明書ファイルの 1 行 PEM 形式への変換

Unified Access Gateway REST API を使用して証明書設定を構成したり、PowerShell スクリプトを使用したりするには、証明書を証明書チェーンおよびプライベートキーの PEM 形式のファイルに変換し、.pem ファイルを埋め込

み改行文字を含む 1 行形式に変換する必要があります。


VMware, Inc. 128

Unified Access Gateway を構成する場合、変換の必要が生じる可能性がある証明書のタイプは 3 つ考えられます。

n 必ず Unified Access Gateway アプライアンス用に TLS/SSL サーバ証明書をインストールして構成する必要があります。

n スマートカード認証を使用する予定の場合、スマートカードに配置する証明書用に信頼された CA が発行する証明書をインストールして構成する必要があります。

n スマートカード認証を使用する予定の場合、Unified Access Gateway アプライアンスにインストールされるSAML サーバ証明書用に CA が署名したルート証明書をインストールして構成することを推奨します。

これらすべての証明書のタイプで、証明書を証明書チェーンが含まれる PEM 形式に変換するために同じ手順を実行します。TLS/SSL サーバ証明書とルート証明書の場合、各ファイルをプライベートキーが含まれる PEM ファイルにも変換します。次に、各 .pem ファイルを JSON 文字列で Unified Access Gateway REST API に渡すことのできる

1 行形式に変換する必要があります。

前提条件

n 証明書ファイルがあることを確認します。このファイルは PKCS#12（.p12 または .pfx）形式、あるいは Java

JKS または JCEKS 形式にできます。

n 証明書を変換するために使用する openssl コマンドラインツールについて理解しておきます。https://

www.openssl.org/docs/apps/openssl.htmlを参照してください。

n 証明書が Java JKS または JCEKS 形式の場合、.pem ファイルに変換する前に、最初に証明書を .p12 また

は .pks 形式に変換するための Java keytool コマンドラインツールについて理解しておきます。

手順

1 証明書が Java JKS または JCEKS 形式の場合、keytool を使用して証明書を .p12 または .pks 形式に変換し

ます。

重要: この変換中、変換元と変換先で同じパスワードを使用します。

2 証明書が PKCS#12（.p12 または .pfx）形式の場合、または証明書を PKCS#12 形式に変換した後には、

openssl を使用して証明書を .pem ファイルに変換します。

たとえば、証明書の名前が mycaservercert.pfx の場合、次のコマンドを使用して証明書を変換します。

openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pem

openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem

openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem

3 mycaservercert.pem を編集し、不要な証明書エントリをすべて削除します。このファイルには、1 つの SSL

サーバ証明書の後に、必要なすべての中間 CA 証明書とルート CA 証明書を含めてください。

4 次の UNIX コマンドを使用して各 .pem ファイルを JSON 文字列で Unified Access Gateway REST API に渡す

ことのできる値に変換します。

awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' cert-name.pem

この例で、cert-name.pem は証明書ファイルの名前です。証明書はこの例のようになります。


VMware, Inc. 129

https://www.openssl.org/docs/apps/openssl.html

https://www.openssl.org/docs/apps/openssl.html

図 5-1. 単一行の証明書ファイル

この新しい形式では、埋め込み改行文字を含む 1 行に証明書のすべての情報が置かれます。中間証明書がある場合は、中間証明書も 1 行形式に変換し、最初の証明書に追加して両方の証明書が同じ行に存在するようにしてください。

これで、https://communities.vmware.com/docs/DOC-30835のブログ記事「Using PowerShell to DeployVMware Unified Access Gateway」に添付されている PowerShell スクリプトをこれらの .pem ファイルとともに

使用して、Unified Access Gateway の証明書を構成できるようになりました。または、JSON 要求を作成し、これを使用して証明書を構成することもできます。

次のステップ

CA 署名の証明書で、デフォルトの自己署名証明書を更新できます。SSL サーバの署名入り証明書の更新を参照してください。スマートカード認証については、 Unified Access Gateway アプライアンスでの証明書またはスマートカード認証の構成を参照してください。

TLS や SSL 通信に使用されるセキュリティプロトコルと暗号化スイートの変更

ほとんどの場合、デフォルト設定を変更する必要はありませんが、クライアントと Unified Access Gateway アプライアンス間の通信を暗号化するために使用されるセキュリティプロトコルと暗号化アルゴリズムは構成できます。

デフォルト設定では、匿名 DH アルゴリズムを除く 128 ビットまたは 256 ビット AES 暗号化のいずれかを使用する暗号化スイートが含まれており、これらは強度によって並べ替えられます。デフォルトでは、TLS v1.1 と TLS v1.2が有効になっています TLS v1.0 と SSL v3.0 は無効になっています。

前提条件

n Unified Access Gateway REST API について理解しておきます。この API の仕様は、Unified Access Gatewayがインストールされている仮想マシンの次の URL で使用できます：https://access-point-

appliance.example.com:9443/rest/swagger.yaml。


VMware, Inc. 130


n 暗号化スイートとプロトコルを構成するための次に示す特定のプロパティについて理解しておきます。

cipherSuites、ssl30Enabled、tls10Enabled、tls11Enabled、および tls12Enabled。

手順

1 使用するプロトコルと暗号化スイートを指定するための JSON 要求を作成します。

次の例ではデフォルト設定になっています。

{

"cipherSuites":

"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA",

"ssl30Enabled": "false",

"tls10Enabled": "false",

"tls11Enabled": "true",

"tls12Enabled": "true"

}

2 curl や postman などの REST クライアントを使用し、JSON 要求を使用して Unified Access Gateway REST

API を呼び出し、プロトコルと暗号化スイートを構成します。

この例で、access-point-appliance.example.com は Unified Access Gateway アプライアンスの完全修飾ドメイン名です。

curl -k -d @- -u 'admin' -H "Content-Type: application/json" -X PUT https://access-point-

appliance.example.com:9443/rest/v1/config/system < ~/ciphers.json

ciphers.json は前の手順で作成した JSON 要求です。

指定した暗号化スイートとプロトコルが使用されます。


VMware, Inc. 131

DMZ での認証の設定 6Unified Access Gateway を最初にデプロイするときに、Active Directory のパスワード認証がデフォルトとしてセットアップされます。ユーザーが Active Directory のユーザー名とパスワードを入力すると、これらの資格情報が認証のためにバックエンドシステムを介して送信されます。

証明書/スマートカード認証、RSA SecurID 認証、RADIUS 認証、および RSA Adaptive Authentication を実行するように Unified Access Gateway サービスを設定できます。

注: Edge サービスには、2 つの要素ユーザー認証方法のうちの 1 つのみを指定できます。方法には、証明書/スマートカード認証、RADIUS 認証、または RSA Adaptive Authentication があります。

注: Active Directory によるパスワード認証は、デプロイに使用できる唯一の認証方法です。


n Unified Access Gateway アプライアンスでの証明書またはスマートカード認証の構成

n Unified Access Gateway での RSA SecurID 認証の構成

n Unified Access Gateway の RADIUS の構成

n Unified Access Gateway での RSA Adaptive Authentication の構成

n Unified Access Gateway SAML メタデータの生成

Unified Access Gateway アプライアンスでの証明書またはスマートカード認証の構成

Unified Access Gateway で X.509 証明書認証を構成すると、クライアントがデスクトップやモバイルデバイス上の証明書や、スマートカードアダプタを使用して認証できます。

証明書による認証は、ユーザーに提供する物（プライベートキーまたはスマートカード）とユーザーに提供する情報（プライベートキーのパスワードまたはスマートカードの PIN）に基づいて行われます。スマートカード認証は、個人が持っているもの（スマートカード）と個人が知っていること (PIN) の両方を検証することによって、2 要素認証を提供します。エンドユーザーは、スマートカードを使用して、リモート側の Horizon デスクトップオペレーティングシステムにログインしたり、スマートカード対応アプリケーションへのアクセス、たとえば、E メール署名用の証明書を使用して送信者の ID を証明する E メールアプリケーションに対して、スマートカードを使用することもできます。

VMware, Inc. 132

この機能を使用すると、Unified Access Gateway サービスに対してスマートカード証明書の認証が実行されます。Unified Access Gateway は、SAML アサーションを使用してエンドユーザーの X.509 証明書とスマートカードのPIN に関する情報を Horizon Server とやりとりします。

証明書失効チェックを構成すると、ユーザー証明書が失効したユーザーは認証されなくなります。証明書は、ユーザ

ーが組織を離れたとき、スマートカードを紛失したとき、別の部門に異動したときなどに失効します。証明書失効リスト (CRL) とオンライン証明書ステータスプロトコル (OCSP) 証明書の失効チェックがサポートされます。CRL は、証明書を発行した CA によって公開される、失効した証明書のリストです。OCSP は、証明書の失効ステータスを取得するために使用される証明書検証プロトコルです。

証明書認証アダプタの構成で CRL と OCSP の両方を構成できます。両方のタイプの証明書失効チェックを構成し、[OCSP の障害時に][ CRL を使用する] チェックボックスを有効にしている場合、OCSP が最初にチェックされ、OCSPで障害が発生した場合には、CRL に戻って失効チェックが実行されます。

注: CRL で障害が発生した場合、OCSP に戻って失効チェックが実行されることはありません。

注: VMware Identity Manager の場合、認証は常に Unified Access Gateway を経由して VMware IdentityManager サービスに渡されます。Unified Access Gateway が Horizon 7 と併用されている場合のみ、UnifiedAccess Gateway アプライアンスでスマートカード認証が実行されるように構成できます。

Unified Access Gateway での証明書認証の設定

証明書による認証は、Unified Access Gateway 管理コンソールから有効にして設定します。

前提条件

n ユーザーから提示された証明書に署名した認証局 (CA) からルート証明書と中間証明書を入手します。証明機関の証明書の取得を参照してください。

n Unified Access Gateway の SAML メタデータがサービスプロバイダに追加され、サービスプロバイダのSAML メタデータが Unified Access Gateway アプライアンスにコピーされていることを確認します。

n （オプション）証明書認証のための有効な証明書ポリシーのオブジェクト識別子 (OID) のリスト。

n 失効チェックのための、CRL のファイルの場所および OCSP サーバの URL。

n （オプション）OCSP 応答署名証明書ファイルの場所。

n 認証の前に同意書が表示される場合には、同意書の内容。

手順


2 [全般設定] の [認証設定] セクションで、[表示] をクリックします。

3 X.509 証明書の行でギアアイコンをクリックします。


VMware, Inc. 133

4 X.509 証明書のフォームを構成します。

アスタリスクは、必須のテキストボックスを示します。他のすべてのテキストボックスはオプションです。


X.509 証明書を有効にする [いいえ] を [はい] に変更すると、証明書認証が有効になります。

*ルートおよび中間 CA 証明書 [選択] をクリックして、アップロードする証明書ファイルを選択します。DER または PEM としてエンコードされた複数のルート CA および中間 CA 証明書を選択できます。

証明書の失効を有効にする [いいえ] を [はい] に変更すると、証明書の失効チェックが有効になります。失効チェックにより、ユーザー証明書が失効したユーザーは認証されなくなります。

証明書の CRL を使用証明書を発行した認証局 (CA) が公開する証明書失効リスト (CRL) を使用して証明書のステータス（失効しているかどうか）を確認するには、このチェックボックスをオンにします。

CRL の場所 CRL を取得するサーバのファイルパスまたはローカルファイルパスを入力します。

OCSP の失効を有効にする証明書検証プロトコルとして Online Certificate Status Protocol (OCSP) を使用して、証明書の失効ステータスを取得するには、このチェックボックスをオンにします。

OCSP で障害が発生したときに CRL を使用 CRL と OCSP の両方を構成し、OCSP チェックが利用できない場合に CRL の使用に戻るには、このチェックボックスをオンにします。

OCSP Nonce を送信する応答時に、OCSP 要求の一意の ID を送信する場合は、このチェックボックスをオンにします。

OCSP URL OCSP による失効を有効にした場合は、失効チェック用の OCSP サーバアドレスを入力します。

証明書の OCSP の URL を使用する OCSP URL を使用するには、このチェックボックスをオンにします。

認証前に同意書を有効にするユーザーが証明書認証を使用して Workspace ONE ポータルにログインする前に同意書ページを表示するには、このチェックボックスをオンにします。


次のステップ

X.509 証明書認証を構成し、ロードバランサの背後で Unified Access Gateway アプライアンスがセットアップされている場合、ロードバランサで Unified Access Gateway が SSL パススルーで構成されており、ロードバランサで SSL を終端させないように構成します。この構成では、Unified Access Gateway とクライアント間で SSL ハンドシェークを確実に実行し、Unified Access Gateway に証明書を渡すことができます。

証明機関の証明書の取得

ユーザーまたは管理者が提示したスマートカード上のすべての信頼されたユーザー証明書について、該当するすべての CA（証明機関）の証明書を取得する必要があります。これらの証明書にはルート証明書が含まれ、ユーザーのスマートカード証明書が中間証明機関によって発行された場合には中間証明書が含まれる場合があります。

ユーザーおよび管理者によって提示されたスマートカード上の証明書に署名した CA のルート証明書または中間証明書を持っていない場合、CA が署名したユーザー証明書またはそれを含むスマートカードから証明書をエクスポートできます。Windows からの CA 証明書の取得を参照してください。


VMware, Inc. 134

手順

u CA の証明書は次のいずれかの発行元から取得します。

n Microsoft Certificate Services を実行する Microsoft IIS サーバ。Microsoft IIS のインストール、証明書の発行、および組織内での証明書配布の詳細については、Microsoft TechNet の Web サイトを参照してください。

n 信頼された CA の公開ルート証明書。これは、スマートカードインフラストラクチャがすでに使用されていて、スマートカードの配布および認証方法が標準化されている環境で最もよく利用されるルート証明書の発行元です。

次のステップ

ルート証明書と中間証明書のいずれかまたは両方をサーバ信頼ストアファイルに追加します。

Windows からの CA 証明書の取得

CA が署名したユーザー証明書またはそれを含むスマートカードがあり、Windows でルート証明書が信頼される場合は、そのルート証明書を Windows からエクスポートできます。ユーザー証明書の発行元が中間証明機関である場合は、その証明書をエクスポートできます。

手順

1 ユーザー証明書がスマートカード上にある場合は、そのスマートカードをリーダに挿入して、ユーザー証明書を個人用ストアに追加します。

ユーザー証明書が個人用ストアに表示されない場合は、リーダソフトウェアを使用してユーザー証明書をファイルにエクスポートします。このファイルは、この操作の手順 4 で使用されます。

2 Internet Explorer で [ツール] - [インターネットオプション] を選択します。

3 [コンテンツ] タブで [証明書] をクリックします。

4 [個人] タブで、使用する証明書を選択し、[表示] をクリックします。

ユーザー証明書がリストに表示されない場合は、[インポート] をクリックして手動でファイルからインポートします。証明書がインポートされると、その証明書をリストから選択できます。

5 [証明のパス] タブで、ツリーの最上位にある証明書を選択して [証明書を表示] をクリックします。

ユーザー証明書が信頼階層の一部として署名されている場合は、署名する証明書が別の上位の証明書によって署

名されていることがあります。親証明書（ユーザー証明書に実際に署名した証明書）をルート証明書として選択

してください。場合によっては発行元が中間 CA となります。

6 [詳細] タブで [ファイルにコピー] をクリックします。

[証明書のエクスポートウィザード] が表示されます。

7 [次へ] - [次へ] をクリックし、エクスポートするファイルの名前と場所を入力します。

8 [次へ] をクリックして、指定した場所にファイルをルート証明書として保存します。

次のステップ

CA 証明書をサーバ信頼ストアファイルに追加します。


VMware, Inc. 135

Unified Access Gateway での RSA SecurID 認証の構成Unified Access Gateway アプライアンスを RSA SecurID サーバの認証エージェントとして構成したら、UnifiedAccess Gateway アプライアンスに RSA SecurID 構成情報を追加する必要があります。

前提条件

n RSA Authentication Manager（RSA SecurID サーバ）がインストールされ、正しく構成されていることを確認します。

n 圧縮ファイル sdconf.rec を RSA SecurID サーバからダウンロードし、サーバ構成ファイルを展開します。

手順



3 RSA SecurID の行でギアアイコンをクリックします。

4 [RSA SecurID] ページを構成します。

RSA SecurID サーバで使用される情報と生成されるファイルは、[SecurID] ページを構成する際に必要です。

オプションアクション

RSA SecurID を有効にする

[いいえ] を [はい] に変更すると、SecurID 認証が有効になります。

*名前名前は securid-auth です。

*反復回数許可される認証試行回数を入力します。これは、RSA SecurID トークンを使用する場合のログイン失敗が許可される最大回数です。デフォルトは、5 回です。

注: 複数のディレクトリが構成されており、追加のディレクトリを使用して RSA SecurID 認証を実装するときは、各 RSASecurID と同じ値を [許可されている認証試行回数] に設定します。この値が同一でない場合、SecurID 認証は失敗します。

*外部ホスト名 Unified Access Gateway インスタンスの IP アドレスを入力します。入力する値は、認証エージェントとして Unified AccessGateway アプライアンスを RSA SecurID サーバに追加するときに使用した値と一致する必要があります。

*内部ホスト名 RSA SecurID サーバの [IP アドレス] プロンプトに割り当てられている値を入力します。

*サーバ構成 [変更] をクリックして、RSA SecurID サーバの構成ファイルをアップロードします。最初に、RSA SecurID サーバから圧縮ファイルをダウンロードしてサーバ構成ファイル（デフォルトの名前は sdconf.rec）を解凍する必要があります。

*名前 ID のサフィックス

nameId には @somedomain.com と入力します。ドメイン名などの追加コンテンツを RADIUS サーバまたは RSA SecurIDサーバに送信するために使用されます。たとえば、ユーザーが user1 としてログインすると、サーバには[email protected] が送信されます。

Unified Access Gateway の RADIUS の構成強力な RADIUS の 2 要素認証の使用をユーザーに要求するように Unified Access Gateway を構成できます。RADIUS サーバ情報は Unified Access Gateway アプライアンス上で構成します。


VMware, Inc. 136

RADIUS サポートは、サードパーティのさまざまな 2 要素認証オプションを提供します。Unified Access Gatewayで RADIUS 認証を使用するには、ネットワーク上で Unified Access Gateway からアクセス可能な構成済みのRADIUS サーバが必要です。

ユーザーがログインして RADIUS 認証が有効になっている場合、ユーザーは RADIUS 認証ユーザー名とパスコードをログインダイアログボックスに入力します。RADIUS サーバが RADIUS Access-Challenge を発行すると、Unified Access Gateway は 2 つ目のダイアログボックスを表示してユーザーにチャレンジレスポンスのテキスト入力を求めます。たとえば、SMS テキストまたはその他のアウトオブバンドメカニズムを使用してユーザーに提供されたコードなどです。RADIUS パスコード入力とチャレンジレスポンス入力のサポートは、テキストベースの入力のみに制限されます。正しいチャレンジレスポンステキストが入力されると認証が完了します。

RADIUS サーバがユーザーに RADIUS パスコードとして Active Directory パスワードの入力を要求する場合、Horizon を使用する管理者は Unified Access Gateway の Horizon Windows シングルサインオン機能を有効にできます。それによって、RADIUS 認証が完了したときにユーザーには同じ Active Directory ドメインのパスワードの再入力を要求するプロンプトが表示されなくなります。

RADIUS 認証の構成

Unified Access Gateway アプライアンスでは、RADIUS 認証を有効にして、RADIUS サーバの設定を入力し、認証タイプを RADIUS 認証に変更する必要があります。

前提条件

n 認証マネージャのサーバとして使用するサーバに RADIUS ソフトウェアがインストールされ構成されていることを確認します。RADIUS サーバをセットアップし、Unified Access Gateway の RADIUS 要求を設定します。RADIUS サーバの設定に関する詳細については、RADIUS ベンダーのセットアップガイドを参照してください。

次の RADIUS サーバ情報は必須です

n RADIUS サーバの IP アドレスまたは DNS 名。

n 認証ポート番号。認証ポートは、通常 1812 です。

n 認証タイプ。認証タイプには、PAP（パスワード認証プロトコル）、CHAP（チャレンジハンドシェイク認証プロトコル）、MSCHAP1 および MSCHAP2（Microsoft チャレンジハンドシェイク認証プロトコル、バージョン1 および 2）があります。

n RADIUS プロトコルメッセージで暗号化および復号化に使用される RADIUS 共有シークレット。

n RADIUS 認証に必要な特定のタイムアウトおよび再試行の値。

手順




VMware, Inc. 137

3 RADIUS の行でギアアイコンをクリックします。

オプションアクション

RADIUS を有効にする

[いいえ] を [はい] に変更すると、RADIUS 認証が有効になります。

名前* 名前は radius-auth です

認証タイプ* RADIUS サーバでサポートされている認証プロトコルを入力します。PAP、CHAP、MSCHAP1、MSCHAP2 のいずれかを入力します。

共有シークレット

*RADIUS 共有シークレットを入力します。

許可されている認

証試行回数*RADIUS を使用してログインする場合のログイン失敗が許可される最大回数を入力します。デフォルトは、3 回です。

RADIUS サーバへの試行回数*

再試行の合計回数を入力します。プライマリサーバが反応しない場合、サービスは決められた時間が経つまで待機してから再試行します。

秒単位のサーバタイムアウト*

RADIUS サーバのタイムアウトを秒単位で入力します。この時間が経過しても RADIUS サーバが応答しない場合には、再試行が送信されます。

RADIUS サーバのホスト名*

RADIUS サーバのホスト名または IP アドレスを入力します。

認証ポート* Radius 認証のポート番号を入力します。ポートは、通常 1812 です。

レルムプリフィックス

（オプション）ユーザーアカウントの場所はレルムと呼ばれます。

レルムのプリフィックス文字列を指定すると、ユーザー名が RADIUS サーバに送信されるときに、その文字列が名前の先頭に追加されます。たとえば、jdoe というユーザー名が入力され、レルムのプリフィックスとして DOMAIN-A\ が指定された場合は、DOMAIN-A\jdoe というユーザー名が RADIUS サーバに送信されます。これらのフィールドを構成しない場合は、入力したユーザー名だけが送信されます。

レルムのサフィッ

クス

（オプション）レルムのサフィックスを構成すると、その文字列はユーザー名の末尾に追加されます。たとえば、サフィックスが

@myco.com の場合は、[email protected] というユーザー名が RADIUS サーバに送信されます。

名前 ID のサフィックス

NameId には @somedomain.com と入力します。ドメイン名などの追加コンテンツを RADIUS サーバまたは RSA SecurIDサーバに送信するために使用されます。たとえば、ユーザーが user1 としてログインすると、サーバには[email protected] が送信されます。

ログインページのパスフレーズのヒ

ント

正しい RADIUS パスコードの入力をユーザーに促すために、ユーザーログインページに表示するテキスト文字列を入力します。たとえば、このフィールドに [Active Directory パスワード、それから SMS パスコード] と設定すると、ログインページのメッセージでは [Active Directory パスワード、それから SMS パスコードを入力してください] のように表示されます。デフォルトのテキスト文字列は、[RADIUS Passcode] です。

基本的な MS-CHAPv2 検証を有効にする

[いいえ] を [はい] に変更すると、基本的な MS-CHAPv2 検証が有効になります。このオプションが [はい] に設定されている場合、RADIUS サーバからの応答の追加検証はスキップされます。デフォルトでは、完全な検証が実行されます。

セカンダリサーバを有効にする

[いいえ] を [はい] に変更して、セカンダリ RADIUS サーバを構成し高可用性環境を構築します。セカンダリサーバの情報は、手順 3 の説明に従って構成します。



VMware, Inc. 138

Unified Access Gateway での RSA Adaptive Authentication の構成RSA Adaptive Authentication は、Active Directory に対するユーザー名とパスワードだけの認証よりも強固な複数要素の認証を実現するよう実装できます。Adaptive Authentication により、リスクレベルとポリシーに基づいて、ユーザーのログイン試行が監視され、認証されます。

Adaptive Authentication が有効になっている場合は、RSA Policy Management アプリケーションでセットアップされるリスクポリシーで指定されたリスク指標、およびアダプティブ認証の Unified Access Gateway 構成を使用して、ユーザー名とパスワードでユーザー認証を行うかどうかや、ユーザー認証に追加情報が必要かどうかが決定

されます。

サポートされている RSA Adaptive Authentication 認証方法

Unified Access Gateway でサポートされている RSA Adaptive Authentication による強固な認証方法は、電話、E メール、または SMS テキストメッセージ経由のアウトオブバンド認証とチャレンジ質問です。サービス上で、提供できる RSA Adaptive Authentication 認証方法を有効にします。RSA Adaptive Authentication ポリシーにより、使用されるセカンダリ認証方法が決まります。

アウトオブバンド認証は、ユーザー名とパスワードに加えて、追加検証の送信を必要とするプロセスです。ユーザー

は RSA Adaptive Authentication サーバに登録する際に、サーバ構成に応じて、メールアドレス、電話番号、またはその両方を提供します。追加検証が必要な場合は、提供されたチャネルを使用して、RSA AdaptiveAuthentication サーバからワンタイムパスコードが送信されます。ユーザーは、自身のユーザー名とパスワードに加えて、そのパスコードを入力します。

チャレンジ質問では、ユーザーに対し、RSA Adaptive Authentication サーバに登録する際に一連の質問に回答するよう求めます。登録のために尋ねる質問の数、およびログインページで表示するチャレンジ質問の数は設定可能です。

RSA Adaptive Authentication サーバによるユーザーの登録

アダプティブ認証を使用して認証を行うためには、RSA Adaptive Authentication データベースで、ユーザーのプロビジョニングを行う必要があります。ユーザーは、ユーザー名とパスワードで初めてログインしたときに、RSAAdaptive Authentication データベースに追加されます。RSA Adaptive Authentication のサービスでの構成内容に応じて、ユーザーはログインするときにメールアドレス、電話番号、テキストメッセージングサービス番号 (SMS)を提供するよう求められたり、チャレンジ質問に返答するよう求められたりします。

注: RSA Adaptive Authentication では、ユーザー名での国際文字の使用は許可されていません。ユーザー名でのマルチバイト文字の使用を許可する場合は、RSA サポートに問い合わせて、RSA Adaptive Authentication と RSAAuthentication Manager を構成してください。

Unified Access Gateway での RSA Adaptive Authentication の構成

サービス上で RSA Adaptive Authentication を構成するには、RSA Adaptive Authentication を有効にします。有効にするには、適用するアダプティブ認証方法を選択し、Active Directory の接続情報と証明書を追加します。

前提条件

n セカンダリ認証に使用する認証方法で正しく構成されている RSA Adaptive Authentication。


VMware, Inc. 139

n SOAP エンドポイントアドレスおよび SOAP ユーザー名についての詳細。

n Active Directory 構成情報および有効な Active Directory SSL 証明書。

手順



3 RSA Adaptive Authentication の行でギアアイコンをクリックします。

4 お使いの環境に適切な設定を選択します。

注: アスタリスクは、必須フィールドを示します。その他のフィールドはオプションです。


RSA AA アダプタを有効にする [いいえ] を [はい] に変更すると、RSA Adaptive Authentication が有効になります。

名前* 名前は rsaaa-auth です。

SOAP エンドポイント* RSA Adaptive Authentication アダプタとサービスを統合する SOAP エンドポイントアドレスを入力します。

SOAP ユーザー名* SOAP メッセージへの署名に使用されるユーザー名とパスワードを入力します。

SOAP パスワード* RSA Adaptive Authentication SOAP API のパスワードを入力します。

RSA ドメイン Adaptive Authentication サーバのドメインアドレスを入力します。

OOB メールを有効にする [はい] を選択すると、メールメッセージを使用してエンドユーザーにワンタイムパスコードを送信するアウトオブバンド認証が有効になります。

OOB SMS を有効にする [はい] を選択すると、SMS のテキストメッセージを使用してエンドユーザーにワンタイムパスコードを送信するアウトオブバンド認証が有効になります。

SecurID を有効にする SecurID を有効にするには、[はい] を選択します。ユーザーは、RSA トークンとパスコードの入力を求められます。

秘密の質問を有効にする認証に登録とチャレンジ質問を使用する場合は、[はい] を選択します。

登録のための質問数* ユーザーが Authentication Adapter サーバに登録するときにセットアップする必要がある質問数を入力します。

チャレンジのための質問数* ユーザーがログインするために正しく回答する必要があるチャレンジ質問数を入力します。

許可されている認証試行回数* ログインしようとしているユーザーに対し、チャレンジ質問を表示する回数を入力します。ユ

ーザーの試行回数がこの回数を超えると、認証失敗になります。

ディレクトリのタイプ* サポートされているディレクトリは、Active Directory だけです。

SSL を使用ディレクトリ接続に SSL を使用する場合、[はい] を選択します。Active Directory SSL 証明書を [ディレクトリ証明書] フィールドに追加します。

サーバのホスト* Active Directory のホスト名を入力します。

サーバポート Active Directory のポート番号を入力します。

DNS サービスロケーションを使用ディレクトリ接続に DNS サービスロケーションを使用する場合は、[はい] を選択します。

ベース DN アカウント検索を開始する DN を入力します。たとえば、OU=myUnit,DC=myCorp,DC=com のように入力します。


VMware, Inc. 140


バインド DN* ユーザーを検索できるアカウントを入力します。たとえば、

CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。

バインドパスワードバインド DN アカウントのパスワードを入力します。

検索属性ユーザー名を含むアカウント属性を入力します。

ディレクトリ証明書安全な SSL 接続を確立するには、ディレクトリサーバの証明書をテキストボックスに追加します。サーバが複数の場合は、証明機関のルート証明書を追加します。

STARTTLS を使用 STARTTLS を使用するには、[いいえ] を [はい] に変更します。


Unified Access Gateway SAML メタデータの生成SAML メタデータを Unified Access Gateway アプライアンスで生成し、メタデータをサーバと交換して、スマートカード認証に必要な相互信頼を確立する必要があります。

Security Assertion Markup Language (SAML) は、さまざまなセキュリティドメイン間で認証情報および権限情報を記述および交換するための XML ベースの標準です。SAML は、ID プロバイダとサービスプロバイダ間において、SAML アサーションと呼ばれる XML ドキュメントでユーザーに関する情報の受け渡しを行います。このシナリオでは、Unified Access Gateway が ID プロバイダでサーバがサービスプロバイダです。

前提条件

n アプライアンスの時刻が正確になるように、Unified Access Gateway アプライアンスの時計 (UTC) を構成します。たとえば、Unified Access Gateway 仮想マシンでコンソールウィンドウを開き、矢印ボタンを使用して正しいタイムゾーンを選択します。また、ESXi ホストの時刻が NTP サーバと同期されていることを確認し、アプライアンス仮想マシンで実行されている VMware Tools が仮想マシンの時刻を ESXi ホストの時刻と同期することを確認します。

重要: Unified Access Gateway アプライアンスの時計がサーバホストの時計と一致していないと、スマートカード認証が機能しない可能性があります。

n Unified Access Gateway のメタデータに署名するために使用できる SAML 署名証明書を取得します。

注: セットアップに複数の Unified Access Gateway アプライアンスがある場合、特定の SAML 署名証明書を作成して使用することを推奨します。この場合、すべてのアプライアンスを同じ署名証明書で構成し、サーバが

任意の Unified Access Gateway アプライアンスからアサーションを受け入れるようにする必要があります。1つの SAML 署名証明書を使用する場合、すべてのアプライアンスからの SAML メタデータが同じになります。

n まだそのようにしていない場合、SAML 署名証明書を PEM 形式のファイルに変換し、.pem ファイルを 1 行形

式に変換します。証明書ファイルの 1 行 PEM 形式への変換を参照してください。

手順

1 管理ユーザーインターフェイスの [手動構成] セクションで、[選択] をクリックします。

2 [詳細設定] セクションで、[SAML ID プロバイダ設定] ギアアイコンをクリックします。


VMware, Inc. 141

3 [証明書の提供] チェックボックスを選択します。

4 プライベートキーファイルを追加するには、[選択] をクリックして、証明書のプライベートキーファイルを見つけます。

5 証明書チェーンファイルを追加するには、[選択] をクリックして、証明書チェーンファイルを見つけます。


7 [ホスト名] テキストボックスにホスト名を入力し、ID プロバイダの設定をダウンロードします。

その他のサービスプロバイダで使用される SAML 認証子の作成

Unified Access Gateway アプライアンスで SAML メタデータを生成したら、そのデータをバックエンドサービスプロバイダにコピーできます。このデータのサービスプロバイダへのコピーは、Unified Access Gateway を ID プロバイダとして使用できるようにするための SAML 認証子の作成手順に含まれます。

Horizon Air サーバの場合は、製品ドキュメントで固有の手順を確認してください。

Unified Access Gateway へのサービスプロバイダ SAML メタデータのコピー

Unified Access Gateway を ID プロバイダとして使用できるように SAML 認証子を作成して有効にすると、そのバックエンドシステムに SAML メタデータを生成し、メタデータを使用して Unified Access Gateway アプライアンスにサービスプロバイダを作成できます。このデータ交換により、ID プロバイダ (Unified Access Gateway) とバックエンドサービスプロバイダ（Horizon Connection Server など）の間で信頼が確立されます。

前提条件

Unified Access Gateway の SAML 認証子をバックエンドサービスプロバイダのサーバに作成済みであることを確認します。

手順

1 サービスプロバイダ SAML メタデータを取得します。このメタデータは一般に XML ファイル形式です。

手順については、サービスプロバイダのドキュメントを参照してください。

手順はサービスプロバイダごとに異なります。たとえば、ブラウザを開き、https://connection-server.example.com/SAML/metadata/sp.xml などの URL を入力する必要があります。

次に、[別名で保存] コマンドを使用して Web ページを XML ファイルに保存できます。このファイルの内容は次のテキストで始まります。

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ...

2 Unified Access Gateway 管理ユーザーインターフェイスの [手動設定] セクションで、[選択] をクリックします。

3 [詳細設定] セクションで、[SAML サーバプロバイダ設定] ギアアイコンをクリックします。

4 [サービスプロバイダ名] テキストボックスに、サービスプロバイダ名を入力します。

5 [メタデータ XML] テキストボックスに、手順 1 で作成したメタデータファイルを貼り付けます。


VMware, Inc. 142


これで、Unified Access Gateway とサービスプロバイダが認証情報および権限情報を交換できるようになりました。


VMware, Inc. 143

Unified Access Gateway デプロイのトラブルシューティング 7さまざまな手順で、自社環境に Unified Access Gateway をデプロイするときに発生する問題を診断および修正できます。

トラブルシューティングの手順を使用して問題の原因を調べ、解決を試みることも、VMware のテクニカルサポートから支援を受けることもできます。


n Edge サービスセッションの統計情報の監視

n デプロイされたサービスの健全性の監視

n デプロイに関する問題のトラブルシューティング

n 問題のトラブルシューティング：ID ブリッジ

n 問題のトラブルシューティング：Cert-to-Kerberos

n エンドポイントコンプライアンスのトラブルシューティング

n 管理ユーザーインターフェイスでの証明書の検証のトラブルシューティング

n ファイアウォールおよび接続の問題のトラブルシューティング

n root ログインの問題のトラブルシューティング

n Unified Access Gateway アプライアンスからのログの収集

n Unified Access Gateway 設定のエクスポート

n Unified Access Gateway 設定のインポート

n 問題のトラブルシューティング：Content Gateway

n 高可用性のトラブルシューティング

n セキュリティのトラブルシューティング：ベストプラクティス

Edge サービスセッションの統計情報の監視Unified Access Gateway は、各 Edge サービスのアクティブなセッションに関する情報を提供します。管理ユーザーインターフェイスの各 Edge サービスから、デプロイされたサービスが設定され、正常に実行していることをすぐに確認することができます。

VMware, Inc. 144

手順

1 [サポート設定] > [Edge サービスセッションの統計情報] に移動します。

2 [サポート設定] セクションで、[Edge サービスセッションの統計情報] ギアアイコンをクリックします。

図 7-1. Edge サービスセッションの統計情報

n [Edge サービス] には、セッションの統計情報が表示される特定の Edge サービスが一覧表示されます。

n [セッションの合計] は、アクティブなセッションと非アクティブなセッションの合計を示します。

n [アクティブな] [（ログイン）セッション] は、進行中の認証済みセッションの数を示します。

n [非アクティブなセッション] は、未認証セッションの数を示します。

n [失敗したログイン試行] は、失敗したログイン試行の数を示します。

n [セッションのハイウォーターマーク] は、特定の時点での同時実行セッションの最大数を示します。

n [PCoIP セッション] は、PCoIP で確立されたセッションの数を示します。

n [BLAST セッション] は、Blast で確立されたセッションの数を示します。

n [トンネルセッション] は、Horizon トンネルで確立されたセッションの数を示します。

表 7-1. Edge サービスセッションの統計情報の例

[Edge サービス]

[セッションの合計]

[アクティブな（ログイン）

セッション]

[非アクティブなセッショ

ン][失敗したログイン試行]

[セッションのハイウォーターマーク]

[PCoIP セッション]

[BLAST セッション]

[トンネルセッション]

Horizon 11 0 11 8 11 0 0 0

リバースプロキシ (jira)

10 0 10 10 10 - - -

リバースプロキシ (sp_blr)

11 0 11 11 11 - - -

リバースプロキシ

(sp_https_saml)

4 0 4 0 5 - - -


VMware, Inc. 145

[Edge サービス]

[セッションの合計]

[アクティブな（ログイン）

セッション]

[非アクティブなセッショ

ン][失敗したログイン試行]

[セッションのハイウォーターマーク]

[PCoIP セッション]

[BLAST セッション]

[トンネルセッション]

リバースプロキシ

(sp_multi_domain)

8 0 8 8 8 - - -

VMwareTunnel

1 1 0 0 1 - - -

[合計] 45 1 44 37 - - -

監視セッション統計 API

ここにリストされているパラメータは、前回の監視間隔でキャプチャされたセッション統計情報を示します。

[URL の呼び出し:] https://<UAGIP>:9443/rest/v1/monitor/stats

表 7-2. Horizon View

属性説明

totalSessions アクティブなセッションと非アクティブなセッションの合計を示します。

管理ユーザーインターフェイス：[セッションの合計]。

highWaterMarkOfSessions 特定の時点での同時実行セッションの最大数を示します。

管理ユーザーインターフェイス：[セッションのハイウォーターマーク]。

authenticatedSessions 進行中の認証済みセッション（ログイン済みセッション）の数を示します。

管理ユーザーインターフェイス：[アクティブな（ログイン）セッション]。

unauthenticatedSessions 非認証セッションの数を示します。

管理ユーザーインターフェイス：[非アクティブなセッション]。

failedLoginAttempts ログイン試行の失敗した数を示します。

管理ユーザーインターフェイス：[失敗したログイン試行]

userCount 現在認証されている一意のユーザー数を示します。

[BLAST ]

sessions アクティブな BLAST セッションの数を示します。

maxSessions 承認された BLAST セッションの数を示します。

[ PCoIP ]

sessions デスクトップまたはアプリケーションの起動中に作成されたアクティブな PCoIP セッションの数を示します。

maxSessions 特定の時点での同時実行 PCoIP セッションの最大数を示します。

[VMware Tunnel ]

sessions View Client を介した認証で作成されたアクティブな VMware Tunnel セッションの数を示します。

maxSessions 特定の時点での同時実行 VMware Tunnel セッションの最大数を示します。


VMware, Inc. 146

表 7-3. Web リバースプロキシ

属性説明

totalSessions アクティブなセッションと非アクティブなセッションの合計を示します。

管理ユーザーインターフェイス：[セッションの合計]。

highWaterMarkOfSessions 特定の時点での同時実行セッションの最大数を示します。

管理ユーザーインターフェイス：[セッションのハイウォーターマーク]。

authenticatedSessions 進行中の認証済みセッション（ログイン済みセッション）の数を示します。

管理ユーザーインターフェイス：[アクティブな（ログイン）セッション]。

unauthenticatedSessions 非認証セッションの数を示します。

管理ユーザーインターフェイス：[非アクティブなセッション]。

failedLoginAttempts ログイン試行の失敗した数を示します。

管理ユーザーインターフェイス：[失敗したログイン試行]。

userCount 現在認証されている一意のユーザー数を示します。

[backendStatus ]

status バックエンドアプリケーションに接続可能かどうかを示します。（実行中、接続不能）

reason ステータスと理由を示して説明します。（接続可能、エラーの詳細）

[kcdStatus ]

status kcd サーバに接続可能かどうかを示します。（実行中、接続不能）

reason ステータスと理由を示して説明します。（接続可能、エラーの詳細）

表 7-4. VMware Tunnel

属性説明

identifier VMware Tunnel サービスが有効であることを示します。

status VMware Tunnel サービス（vpnd サービス）のステータス。

reason VMware Tunnel サービスのステータスと理由を示して説明します。「起動」または「停止」のラベルはサービスの状態を示します。たとえば、サービスが起動して実行しているときは接続可能で、サービスが停止してい

るときは VMware Tunnel サーバに接続できません。

totalSessions VMware Tunnel クライアントを介した認証で作成されたアクティブな VMware Tunnel セッションの数を示します。

connections VMware Tunnel サーバからのアクティブな送信接続数を示します。

upTime VMware Tunnel サービスのアクティブな（実行中の）時間を示します。

apiConnectivity VMware Tunnel サーバから API への接続。たとえば、「True」または「False」です。

awcmConnectivity VMware Tunnel サーバから AWCM への接続。たとえば、「True」または「False」です。

cascadeMode カスケード情報を提供します。たとえば、基本モードの場合は「オフ」、カスケード設定の場合は「フロントエ

ンド」または「バックエンド」です。


VMware, Inc. 147

デプロイされたサービスの健全性の監視

管理ユーザーインターフェイスの [Edge 設定] から、デプロイされたサービスが設定され、正常に実行していることを素早く確認することができます。

図 7-2. 健全性チェック

サービスの前に丸印が表示されます。色の意味は以下のとおりです。

n 空白の丸印は、設定が構成されていないことを示します。

n 赤色の丸印は、サービスが停止していることを示します。

n 黄色の丸印は、サービスが一部実行されていることを示します。

n 緑色の丸印は、サービスが問題なく実行していることを示します。

デプロイに関する問題のトラブルシューティング

自社環境に Unified Access Gateway をデプロイするときに、問題が発生する場合があります。デプロイに関する問題の診断および修正には、さまざまな手順を使用できます。

インターネットからダウンロードしたスクリプトを実行するときにセキュリティの警告が表示される

この PowerShell スクリプトが、実行しようとしているスクリプトであることを確認してから、PowerShell コンソールで次のコマンドを実行します。

unblock-file .\uagdeploy.ps1

ovftool コマンドが見つからない

Windows マシンに OVF Tool ソフトウェアをインストールしていること、またスクリプトが使用する場所にインストールされていることを確認します。


VMware, Inc. 148

プロパティ netmask1 における無効なネットワーク

このメッセージは、netmask0、netmask1 または netmask2 を示す場合があります。netInternet、netManagementNetwork、および netBackendNetwork など、3 つの各ネットワークの INI ファイルで値が設定されていることを確認します。

サポートされないオペレーティングシステムの識別子という警告メッセージ

SUSE Linux Enterprise Server 12.0 64 ビットの指定されたオペレーティングシステム識別子 (id:85) が、選択されたホストでサポートされないという警告メッセージが表示されます。これは、別の Linux（64 ビット）のオペレーティングシステム識別子にマッピングされます。

この警告メッセージは無視してください。サポートされるオペレーティングシステムに自動的にマッピングされます。

ロケータがオブジェクトを参照していない

このエラーは、vSphere OVF Tool が使用する target= の値が vCenter Server 環境で正しくないことを通知しています。vCenter Server のホストやクラスタを参照するために使用される target の形式の例については、https://communities.vmware.com/docs/DOC-30835 にある表を参照してください。トップレベルオブジェクトは次のように指定されます。

target=vi://[email protected]:[email protected]/

オブジェクトには、次のレベルで使用する可能性がある名前が表示されます。

target=vi://[email protected]:[email protected]/Datacenter1/

target=vi://[email protected]:[email protected]/Datacenter1/host

target=vi://[email protected]:[email protected]/Datacenter1/host/Cluster1/

or

target=vi://[email protected]:[email protected]/Datacenter1/host/esxhost1

target で使用されるフォルダ名、ホスト名、クラスタ名では大文字小文字が区別されます。

エラーメッセージ：「Unable to retrieve client certificate fromsession: sessionId（セッションからクライアント証明書を取得できません：

sessionId）」

n ユーザー証明書がブラウザに正しくインストールされていることを確認します。

n デフォルトの TLS プロトコルバージョン 1.1 および 1.2 がブラウザおよび Unified Access Gateway で有効になっていることを確認します。


VMware, Inc. 149



Chrome ブラウザで起動した VMware vSphere Web Client を使用して、Unified Access Gateway ova をデプロイできない

Client Integration Plugin を、vSphere Web Client に ova ファイルをデプロイするために使用するブラウザにインストールする必要があります。Chrome ブラウザにプラグインをインストールした後、ブラウザがインストールされていないことを示すエラーメッセージが表示され、ソースの場所に ova ファイルの URL を入力できなくなります。これは、Chrome ブラウザの問題であり、Unified Access Gateway ova には関係しません。Unified AccessGateway ova をデプロイするための別のブラウザを使用することをお勧めします。

VMware vSphere HTML4/5 Web Client を使用して Unified Access Gatewayova をデプロイできない

「プロパティに無効な値が指定されました」のようなエラーに遭遇した可能性があります。この問題は、Unified Access

Gateway ova とは無関係です。代わりに vSphere FLEX クライアントを使用して ova をデプロイすることをお勧めします。

VMware vSphere 6.7 HTML5 Web Client を使用して Unified Access Gatewayova をデプロイできない

VMware vSphere 6.7 HTML5 Web Client の [デプロイプロパティ] ページでフィールドが欠落していることがあります。この問題は、Unified Access Gateway ova とは無関係です。代わりに vSphere FLEX クライアントを使用して ova をデプロイすることをお勧めします。

VMware Identity Manager の Chrome から XenApp を起動できない

Unified Access Gateway を Web リバースプロキシとして VMware Identity Manager からデプロイした後、Chrome ブラウザから XenApp を起動できないことがあります。

この問題を解決するには以下の手順に従います。

1 以下の REST API を使用して VMware Identity Manager サービスから機能フラグorgUseNonNPAPIForCitrixLaunch を無効にします。

PUT https://fqdn/SAAS/jersey/manager/api/tenants/settings?tenantId=tenantname

{ "items":[ {"name":"orgUseNonNPAPIForCitrixLaunch","value": "false"} ] }

with the following two headers:

Content-Type application/vnd.vmware.horizon.manager.tenants.tenant.config.list+json

Authorization HZN value_of_HZN_cookie_for_admin_user

2 変更が有効になるまで 24 時間待機するか、VMware Identity Manager サービスを再起動します。

n Linux でサービスを再起動するには、仮想アプライアンスにログインして次のコマンドを実行します：service horizon-workspace restart

n Windows でサービスを再起動するには、次のスクリプトを実行します：install_dir\usr\local\horizon

\scripts\horizonService.bat restart


VMware, Inc. 150

問題のトラブルシューティング：ID ブリッジ自社環境で Kerberos に対する証明書または SAML-to-Kerberos を構成するときに、問題が発生する場合があります。これらの問題の診断および修正には、さまざまな手順を使用できます。

KDC サーバとバックエンドアプリケーションサーバの健全性を監視。

管理ユーザーインターフェイスの [Edge 設定] から、デプロイされたサービスが設定され、正常に実行していることを素早く確認することができます。

図 7-3. 健全性チェック - リバースプロキシ設定

サービスの前に丸印が表示されます。色の意味は以下のとおりです。

n 赤色の丸印：ステータスが赤色の場合は、以下のいずれかの可能性があることを示します。

n Unified Access Gateway と Active Directory 間の接続の問題

n Unified Access Gateway と Active Directory 間のポートのブロックの問題

注: TCP および UDP ポート 88 が Active Directory マシンで開かれていることを確認します。

n アップロードされたキータブファイルのプリンシパル名とパスワードの認証情報が正しくない可能性があります。

n 緑色の丸印：ステータスが緑色の場合は、Unified Access Gateway がキータブファイルで提供されている認証情報を使用して Active Directory にログインできることを意味します。

Kerberos コンテキストの作成エラー：クロックスキューが大きすぎます

次のエラーメッセージ：

ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-

a8d9-5e288ac800fe]: Error creating kerberos context.

Identity bridging may not work

javax.security.auth.login.LoginException: Clock skew too great"


VMware, Inc. 151

は、Unified Access Gateway の時間と Active Directory サーバの時間の同期が大幅にずれている場合に表示されます。Unified Access Gateway の正確な UTC 時間に一致するように Active Directory サーバ上で時間をリセットします。

Kerberos コンテキストの作成エラー：名前またはサービスが不明です

次のエラーメッセージ：

wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context.

Identity bridging may not work

javax.security.auth.login.LoginException: Name or service not known

は、設定したレルムに Unified Access Gateway が到達できないか、キータブファイルのユーザーの詳細を使用して KDC に接続できない場合に表示されます。以下を確認します。

n キータブファイルが正しい SPN ユーザーアカウントパスワードを使用して生成され、Unified AccessGateway にアップロードされる。

n バックエンドアプリケーションの IP アドレスとホスト名がホストエントリに正しく追加される。

ユーザーの Kerberos トークンの受信エラー: [email protected]、エラー:Kerberos 委譲エラー: メソッド名: gss_acquire_cred_impersonate_name: 不明な GSS 障害。マイナーコードに詳細情報が提供されている可能性があります。

"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server not found

in Kerberos database"

このメッセージが表示される場合は、以下を確認してください。

n ドメイン間の信頼が機能している。

n ターゲット SPN 名が正しく構成されている。

問題のトラブルシューティング：Cert-to-Kerberos自社環境で Cert-to-Kerberos を構成するときに、問題が発生する場合があります。これらの問題の診断および修正には、さまざまな手順を使用できます。

エラーメッセージ：Internal error.Please contact your administrator（内部エラーです。管理者にお問い合わせください。）

/opt/vmware/gateway/logs/authbroker.log でメッセージの詳細を確認します

"OSCP validation of CN=clientCert, OU=EUC, O=<org name>, ST=<state name>, C=IN failed with

"Could not send OCSP request to responder: Connection refused (Connection refused) , will

attempt CRL validation"

これは、[X.509 証明書] で構成された OCSP URL にアクセスできない、または正しくない場合に表示されます。


VMware, Inc. 152

OCSP 証明書が無効の場合のエラー

"revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify

signing certificate for OCSP responder:http://asdkad01/ocsp". will attempt CRL validation."

は、OCSP に対して無効な証明書がアップロードされた場合、または OCSP 証明書が失効した場合に表示されます。

OCSP 応答の検証が失敗した場合のエラー

"WARN ocsp.BouncyCastleOCSPHandler: Failed to verify OCSP response:

CN=asdkAD01.Asdk.ADrevocation.RevocationCheck: 08/23 14:25:49,975" [tomcat-http--26] WARN

revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify

signing certificate for OCSP responder: http://asdkad01/ocsp". will attempt CRL validation."

は、OCSP 応答の検証に失敗すると表示される場合があります。

エラーメッセージ：Unable to retrieve client certificate from session:<sessionId>（セッションからクライアント証明書を取得できません：<sessionId>）

このメッセージが表示される場合：

n X.509 証明書の設定を確認し、構成されているかどうかを判断します。

n X.509 証明書の設定が構成されている場合：クライアント側のブラウザにインストールされているクライアント証明書をチェックし、X.509 証明書設定の [ルートおよび中間 CA 証明書] フィールドにアップロードされているものと同じ認証局 (CA) によって発行されたものであるかを確認します。

エンドポイントコンプライアンスのトラブルシューティング自社環境でエンドポイントコンプライアンスチェックのプロバイダをデプロイするときに、問題が発生する場合があります。デプロイに関する問題の診断および修正には、さまざまな手順を使用できます。

注: Esmanager.log は、コンプライアンスチェックに使用されるデバイスの MAC アドレスに関する情報を記録

します。これは、デバイスに複数の NIC がある場合、または異なるネットワークへのスイッチがある場合にエンドポイントコンプライアンスチェックに使用される MAC アドレスを特定するのに便利です。

Unified Access Gateway に「不正なクライアント認証情報」と表示される

Unified Access Gateway は、OPSWAT API を呼び出して、提供されるクライアントキーおよびクライアントシークレットを検証します。認証情報が不正な場合、設定は保存されず、その結果

Bad client credentials（不正なクライアント認証情報）

というエラーが発生します。

[ユーザー名] と [パスワード] フィールドに正しいクライアントキーとクライアントシークレットが入力されていることを確認します。


VMware, Inc. 153

クライアント認証情報を生成するには、アプリケーションをここ https://gears.opswat.com/o/app/register に登録します。

Unified Access Gateway に「DNS がホスト https://gears.opswat.com を解決できません」と表示される

ping コマンドを使用して、地域の gears.opswat.com の IP アドレスを検出します。

次に、ping コマンドからの IP アドレスを使用して https://gears.opswat.com の /etc/hosts エントリを作

成します。管理ユーザーインターフェイスから Horizon の設定に移動し、[ホストエントリ] に View Edge Serviceの値を指定します。

Unified Access Gateway に「ホスト https://gears.opswat.com に接続中に要求がタイムアウトしました」と表示される

これは、gears.opswat.com のホストエントリが UAG で正しく構成されていない場合、または https://

gears.opswat.com で接続要求が受け入れられない場合に発生します。

管理ユーザーインターフェイスでの証明書の検証のトラブルシューティング

証明書の PEM 形式を検証する時にエラーが発生した場合は、以下のエラーメッセージで詳細を確認してください。

ここで、エラーを引き起こす可能性のあるシナリオの一覧が示されます。

エラー問題

PEM 形式が無効です。BEGIN 形式が間違っている可能性があります。詳細についてはログを参照してください。

PrivateKey BEGIN 証明書が無効です。

PEM 形式が無効です。例外メッセージ：----END RSA PRIVATE KEY が見つかりません。詳細についてはログを参照してください。

PrivateKey END 証明書が無効です。

PEM 形式が無効です。例外メッセージ：RSA プライベートキーの作成中に問題が発生しました：java.lang.IllegalArgumentException：バイト[] からシーケンスを構築できませんでした：ストリームが破損しています- 範囲外の長さが見つかりました。詳細についてはログを参照してください。

証明書の PrivateKey が破損しています。

PEM 文字列から証明書を解析できませんでした。詳細についてはログを参照してください。

PublicKey BEGIN 証明書が無効です。

不正な形式の PEM データが見つかりました。詳細についてはログを参照してください。

PublicKey END 証明書が無効です。

不正な形式の PEM データが見つかりました。詳細についてはログを参照してください。

証明書の PublicKey が破損しています。

チェーンを構築するためのターゲット/終了証明書がありません。ターゲット/終了証明書がありません。

証明書チェーンのパスを構築できません。すべてのターゲット証明書が

無効です。中間/ルート証明書が欠落している可能性があります。構築する証明書チェーンがありません。

あいまいなエラー：複数の証明書チェーンが見つかり、どのチェーンが返

されるのかが不明です

複数の証明書チェーンがあります。


VMware, Inc. 154

HTTPS://GEARS.OPSWAT.COM/O/APP/REGISTER

エラー問題

証明書チェーンのパスを構築できません。

CertificateExpiredException: 20171206054737GMT+00:00 で証明書は期限切れです。詳細についてはログを参照してください。

証明書の期限が切れました。

PEM 形式で証明書をアップロード中にエラーメッセージ「ストリームで予期しないデータが検出されました」が表示されます。

証明書チェーンのリーフ証明書と中間証明書の間に空の行または追加の

属性がありません。リーフ証明書と中間証明書の間に空の行を追加する

と問題が解決されます。

図 7-4. 例

ファイアウォールおよび接続の問題のトラブルシューティング

各種のツールおよび tcpdump や curl などのコマンドを使用して、Unified Access Gateway インスタンスからフ

ァイアウォールや接続などのネットワーク関連の問題を監視、テスト、およびトラブルシューティングできます。

tcpdump をインストールして実行

tcpdump は、トラブルシューティングやテストの目的で TCP パケットを分析するために使用できるコマンドライン

ツールです。

Unified Access Gateway インスタンスに tcpdump をインストールしていない場合は、コマンドラインから次のコ

マンドを実行して tcpdump をインストールします。

/etc/vmware/gss-support/install.sh

次の例は tcpdump の使用量を示します。

n 特定のポートでトラフィックを監視するには次のコマンドを実行します。

注: ポート 8443 を指定する場合は、UDP 8443 が外部ファイアウォールによってブロックされていないことを確認します。

a tcpdump -i eth0 -n -v udp port 8443

b tcpdump -i eth0 -n -v tcp port 8443

c tcpdump -i any -n -v port 22443

n 次のコマンドを実行して、RADIUS サーバと Unified Access Gateway の間で送受信されるパケットを追跡します。

nslookup <radius-server-hostname>

tracepath <radius-server-hostname>

tcpdump -i any -n -v port 1812


VMware, Inc. 155

n 次のコマンドを実行して、RSA SecurID サーバと Unified Access Gateway の間で送受信されるパケットを追跡します。

nslookup <rsa-auth-server-hostname>

tracepath <rsa-auth-server-hostname>

curl コマンドの使用

curl コマンドを使用して、ネットワーク接続に関する情報を取得することもできます。

n 次のコマンドを実行して、バックエンド接続サーバまたは Web サーバへの接続をテストします。

curl -v -k https://<hostname-or-ip-address>:443/

バックエンドサーバ接続の問題は、esmanager.log ファイルで確認できます。

07/14 07:29:03,882[nioEventLoopGroup-7-1]ERROR

view.ViewEdgeService[onFailure: 165][]: Failed to resolve hostname

address in proxyDestinationUrl:xref:mbxxx-cs.xyz.in

n PCoIP 4172 や Blast 22443 などのバックエンド仮想デスクトップへの接続を tcpdump を使用してテストする

ことはできません。デスクトップは、セッションの準備が完了するまでこれらのポート番号をリッスンしないた

めです。これらのポートで発生する可能性のある接続障害については、ログを参照してください。

n Horizon フレームワークチャネルの TCP 接続については、次のコマンドを実行します。

curl -v telnet://<virtualdesktop-ip-address>:32111

n Horizon MMR/CDR の TCP 接続については、次のコマンドを実行します。


n 次のコマンドを実行して、Unified Access Gateway から仮想デスクトップへのポート接続をテストします。このコマンドを実行する前に、仮想デスクトップへのセッションがアクティブであることを確認します。


PowerShell コマンド

特定のポートの接続状態を監視するには、PowerShell コマンドラインから次のコマンドを実行します。

1 Test-NetConnection <uag-hostname-or-ip-address> -port 443



root ログインの問題のトラブルシューティング正しいユーザー名とパスワードで Unified Access Gateway コンソールに root としてログインして、「不正なログインです (Login incorrect)」というエラーが返される場合は、キーボードマッピングの問題を確認し、root パスワードをリセットします。


VMware, Inc. 156

ログインエラーが発生する場合は、いくつかの原因が考えられます。

n 使用されているキーボードが Unified Access Gateway のキーボード定義に従って特定のパスワード文字を正しくマップしていない。

n パスワードの有効期限が切れている。root パスワードは、OVA ファイルを展開してから 365 日後に有効期限が切れます。

n アプライアンスのデプロイ時に、パスワードが正しく設定されなかった。これは、Unified Access Gateway の古いバージョンの既知の問題です。

n パスワードを忘れた。

キーボードが文字を正しくマッピングしていることをテストするには、「Login:」ユーザー名プロンプトに対してパスワードを入力します。これで、パスワードの各文字を表示でき、誤って解釈された文字がないかを確認することが

できます。

他の原因が考えられる場合は、アプライアンスの root パスワードをリセットしてください。

注: root パスワードをリセットするには、以下の条件を満たす必要があります。

n vCenter Server へのログインアクセス権がある。

n vCenter Server のログインパスワードを知っている。

n アプライアンスコンソールへのアクセス権がある。

アプライアンスの Grub 2 ブートローダメニューのパスワードを設定している場合は、この手順の一部としてそのパスワードを入力する必要があります。

手順

1 vCenter Server からアプライアンスを再起動し、すぐにコンソールに接続します。

2 Photon OS のスプラッシュ画面が表示されたら、すぐに「e」を押して GNU GRUB 編集メニューに切り替えます。


VMware, Inc. 157

3 GNU GRUB 編集メニューで、linux で始まる行の最後に移動し、スペースを追加して /$photon_linux root=

$rootpartition rw init=/bin/bash と入力します。これらの値を追加すると、GNU GRUB 編集メニューは

次のようになります。

注: FIPS アプライアンスの場合、fips=1 は表示されているとおりに行の最後に保持されます。

4 F10 キーを押し、bash コマンドプロンプトで [passwd] と入力してパスワードを変更します。

passwd

New password:

Retype new password:

passwd: password updated successfully

5 アプライアンスを再起動します。 reboot -f

n アプライアンスの起動後に、新しく設定したパスワードを使用して root としてログインします。


VMware, Inc. 158

Grub2 パスワードについて

root ログインには Grub2 パスワードを使用できます。

Unified Access Gateway 3.1 以降では、Grub2 編集パスワードがデフォルトで設定されます。

ユーザー名は root で、パスワードは、Unified Access Gateway のデプロイ時に設定した root パスワードと同じです。マシンにログインして明示的にリセットしない限り、このパスワードがリセットされることはありません。

注: 任意のコマンドを使用してマシンにログインし、root パスワードを手動で変更しても、Grub2 パスワードはリセットされません。これらは、相互に排他的です。デプロイ時のみ、同じパスワードが両方に対して設定されます

（UAG バージョン 3.1 以降）。

Unified Access Gateway アプライアンスからのログの収集管理ユーザーインターフェイスの [サポート設定] セクションから UAG-log-archive.zip ファイルをダウンロー

ドします。zip ファイルには、Unified Access Gateway アプライアンスからのすべてのログが含まれています。

ログレベルの設定

ログレベル設定は管理ユーザーインターフェイスから管理することができます。[サポート設定] 画面に移動して、[ログレベルの設定] を選択します。生成可能なログレベルは INFO、WARNING、ERROR および DEBUG です。ログレベルはデフォルトで INFO に設定されます。

各ログレベルで収集される情報の種類についての説明は以下のとおりです。

表 7-5. ログレベル

レベル収集される情報の種類

INFO INFO レベルは、サービスの進行状況をハイライトする情報メッセージを示します。

ERROR ERROR レベルは、発生してもサービスをそのまま実行できる場合があるエラーイベントを示します。

WARNING WARNING レベルは潜在的に有害な状況を示します。しかし通常は回復可能か、または無視しても問題ありません。

DEBUG 問題のデバッグ、アプライアンスの内部状態の表示または操作、環境内のデプロイシナリオのテストに一般的に役立つイベントを指定します。

ログの収集

管理ユーザーインターフェイスの [サポート設定] セクションからログの zip ファイルをダウンロードします。

これらのログファイルはアプライアンスの /opt/vmware/gateway/logs ディレクトリから収集されます。

次の表で、ZIP ファイルに含まれるさまざまなファイルについて説明します。

表 7-6. トラブルシューティングに役立つシステム情報が含まれるファイル

ファイル名説明 Linux コマンド（該当する場合）

rpm-version.log Unified Access Gateway アプライアンスのバージョン。

ipv4-forwardrules アプライアンス上で設定された IPv4 転送ルール。


VMware, Inc. 159


df.log アプライアンス上のディスクの使用量についての情報が含まれています。 df -a -h --total

netstat.log 開いているポートと既存の TCP 接続についての情報が含まれています。 netstat -anop

netstat-s.log アプライアンスの作成時からのネットワーク統計情報（送信/受信バイト数など）。

netstat -s

netstat-r.log アプライアンス上に作成された静的ルート。 netstat -r

uag_config.json、

uag_config.ini、

uagstats.json

すべての設定を json および ini ファイルとして表示する、UnifiedAccess Gateway アプライアンスの全体的な設定。

ps.log ログのダウンロード時に実行中のプロセスが含まれます。 ps -elf --width 300

ifconfig.log アプライアンスのネットワークインターフェイスの設定。 ifconfig -a

free.log ログのダウンロード時の RAM の可用性。 free

top.log ログのダウンロード時のメモリ使用量順に並べ替えられたプロセスのリ

スト。

top -b -o %MEM -n 1

iptables.log IPv4 の IP テーブル。 iptables-save

ip6tables.log IPv6 の IP テーブル。 ip6tables-save

w.log アップタイム、マシン上の現在のユーザー、およびそのプロセスに関する

情報。

w

systemctl.log 現在アプライアンスで実行されているサービスのリスト。 systemctl

resolv.conf ローカルクライアントを既知のすべての DNS サーバに直接接続する場合

hastats.csv ノードごとの統計情報と、各バックエンドタイプ（Edge ServiceManager、VMware Tunnel、Content Gateway）の統計情報の合計が含まれています。

表 7-7. Unified Access Gateway のログファイル


supervisord.log スーパーバイザ（Edge Service Manager、管理者および AuthBrokerのマネージャ）のログ。

esmanager-x.log、

esmanager-std-out.logアプライアンスで実行されるバックエンドプロセスを示す EdgeService Manager のログ。

audit.log すべての管理ユーザー操作の監査ログ。

authbroker.log Radius および RSA SecurID 認証を処理する AuthBroker プロセスからのログメッセージが含まれています。

admin.log、admin-std-

out.log管理者 GUI のログ。ポート 9443 で Unified Access Gateway RESTAPI を提供するプロセスからのログメッセージが含まれます。

bsg.log Blast Secure Gateway からのログメッセージが含まれます。

SecurityGateway_xxx.l

ogPCoIP Secure Gateway からのログメッセージが含まれます。

utserver.log UDP トンネルサーバからのログメッセージが含まれます。


VMware, Inc. 160


activeSessions.csv アクティブな Horizon または WRP セッションのリスト。

haproxy.conf TLS ポート共有の HA プロキシ構成パラメータが含まれます。

vami.log デプロイ中にネットワークインターフェイスを設定する vami コマンド

の実行からのログメッセージが含まれます。

content-gateway.log、

content-gateway-

wrapper.log、

0.content-gateway-

YYYY-mm.dd.log.zip

Content Gateway からのログメッセージが含まれます。

admin-zookeeper.log Unified Access Gateway 構成を保存するために使用されるデータレイヤーに関連したログメッセージが含まれます。

tunnel.log XML API 処理の一部として使用されるトンネルプロセスからのログメッセージが含まれます。このログを表示するには、Horizon 設定でトンネルを有効にする必要があります。

tunnel-snap.tar.gz VMware Tunnel サーバとプロキシのログを含む tar 形式ファイル。

aw-appliance-

agent.logアプライアンスエージェント（Workspace ONE UEM サービスの起動用）のログ。

config.yml Content Gateway の構成とログレベルの詳細が含まれます。

smb.conf SMB クライアント構成が含まれます。

smb-connector.conf SMB プロトコルとログレベルの詳細が含まれます。

末尾が「-std-out.log」のログファイルには、さまざまなプロセスの stdout に書き込まれる情報が含まれ、通

常は空のファイルです。

Unified Access Gateway 設定のエクスポート管理ユーザーインターフェイスから Unified Access Gateway 構成の設定を JSON 形式と INI 形式の両方でエクスポートします。

Unified Access Gateway 構成の設定をすべてエクスポートし、JSON 形式または INI 形式で保存できます。エクスポートされた INI ファイルを使用し、Powershell スクリプトを使用して Unified Access Gateway をデプロイすることができます。

手順

1 [サポート設定] - [エクスポート] Unified Access Gateway 設定に移動します。

2 [JSON] または [INI] をクリックして Unified Access Gateway 設定をいずれかの形式でエクスポートします。両方の形式で設定を保存するには、[ログアーカイブ] ボタンをクリックします。

ファイルは、デフォルトで [ダウンロード] フォルダに保存されます。


VMware, Inc. 161

Unified Access Gateway 設定のインポートUnified Access Gateway 管理ユーザーインターフェイスには、設定を JSON 形式でエクスポートするオプションが用意されています。設定を JSON 形式でエクスポートした後、エクスポートした JSON ファイルを使用して、新しくデプロイされたバージョンの Unified Access Gateway アプライアンスを構成できます。

手順

1 [サポート設定] [>] [Unified Access Gateway 設定のエクスポート] に移動します。

2 [JSON] をクリックして、Unified Access Gateway の設定を JSON 形式でエクスポートします。

ファイルは、デフォルトで [ダウンロード] フォルダに保存されます。

3 古い Unified Access Gateway アプライアンスを削除するか、静止モードにして後で削除します。

4 Unified Access Gateway アプライアンスの新しいバージョンをデプロイします。

5 以前にエクスポートした JSON ファイルをインポートします。

問題のトラブルシューティング：Content Gateway自社環境で Content Gateway を構成するときに、問題が発生する場合があります。次の手順を使用して、問題の診断と修正を行うことができます。

NetApp サーバでホストされている共有を使用するユーザーの同期、ダウンロード、およびアップロードに関する問題。

構成ファイルを手動で変更するには、次の手順を実行します。

1 vSphere Client にログインする

2 Content Gateway が構成されている Unified Access Gateway コンソールを開きます。

3 /opt/airwatch/content-gateway/conf に移動する

4 config.ymlファイルを編集する

5 パラメータ aw.fileshare.jcifs.active のフラグ値を true に変更します。デフォルト値は false です。

6 次のコマンドを使用して Content Gateway サービスを再起動します。

$ service content-gateway restart

高可用性のトラブルシューティング

自社環境で高可用性を設定するときに、問題が発生する場合があります。これらの問題の診断および修正には、さま

ざまな手順を使用できます。

1 Unified Access Gateway コンソールにログインします。

2 ip addr コマンドを実行して、構成済みの仮想 IP アドレスが eth0 インターフェイスに割り当てられているか

どうかを確認します。


VMware, Inc. 162

3 仮想 IP アドレスが eth0 インターフェイスと同じサブネット内に割り当てられていることを確認します。クライアントマシンからアクセス可能であることを確認します。接続に問題がある場合は、仮想 IP アドレスが一意でなく、すでに物理マシンまたは仮想マシンに割り当てられている可能性があります。

4 ログバンドルの haproxy.conf ファイルでは、現在のクラスタに関連する構成が利用可能です。次に例を示し

ます。

server uag1 127.0.0.1:XXXX .....

server uag2 <IP of machine 2>:XXXX ....

server uag3 <IP of machine 3>:XXXX ....

バックエンドの構成は Unified Access Gateway で構成されたものに基づいています。

n Horizon および Web リバースプロキシの使用事例の場合は lb_esmanageris。

n Content Gateway の使用事例の場合は lb_cg_server。

n トンネルの使用事例の場合は lb_tunnel_server。

5 ログバンドルの haproxy.conf ファイルには、クライアント接続ソース、対応する送信された接続、および接

続を処理する Unified Access Gateway サーバについての詳細が表示されます。次に例を示します。

2018-11-27T07:21:09+00:00 ipv6-localhost haproxy[15909]:

incoming:::ffff:<IP of Client:xxxx> backend:lb_esmanager

connecting-server:uag2/<IP of uag2> connecting-through:<IP of master

node:xxxx> wait-time:1 connect-time:0 total-incoming:1 total-outgoing:1

total-to-server:1

6 統計情報を表示する方法については、「Unified Access Gateway アプライアンスからのログの収集」を参照してください。

表 7-8. CSV ファイルの例

列名説明

scur このサーバによって処理される同時接続の現在の数を示します。

smax 現在のアップタイム中にこのサーバによって処理される同時接続のハイウォーターマーク。

stot 現在のアップタイム中にこのサーバによって処理される接続の合計数を示します。

bin このサーバに送信される合計バイト数を示します。

bout このサーバから受信される合計バイト数を示します。

status サーバのステータスを示します。たとえば、起動しているか停止しているかを示します。これは、このサーバで実行された最

後の健全性チェックに基づいています。

7 以下の場合、複数のマスターノードの選択の問題が発生することがあります。

n クラスタを形成するためのノード上で異なるグループ ID または仮想 IP アドレスが設定されている。

n 仮想 IP アドレスと eth0 が異なるサブネットに存在する。

n Unified Access Gateway の複数の NICS が同じサブネット内で構成されている。


VMware, Inc. 163

セキュリティのトラブルシューティング：ベストプラクティスサービスが Web サーバでロードバランシングデバイスを検出した場合、ネットワークに関するこの追加情報は脆弱性です。これらの問題の診断および修正には、さまざまな手順を使用できます。

ロードバランシングデバイスの有無の検出には、HTTP ヘッダー分析や IP アドレスの Time-To-Live (TTL) 値、IPアドレスの ID 値、TCP 初期シーケンス番号 (ISN) の分析など、さまざまな手法が使用されます。ロードバランサの背後にある Web サーバの正確な数を判断するのは難しいため、報告される数は正確ではない可能性があります。

さらに、Netscape Enterprise Server バージョン 3.6 では、サーバが複数の要求を受信したときに HTTP ヘッダーに誤った "Date:" フィールドが表示されることが知られています。このため、HTTP ヘッダーを分析してロードバ

ランシングデバイスの有無を判断するのは困難です。

また、IP ID および TCP ISN 値の分析によって得られる結果は、スキャンが実行されたときのネットワーク状態に応じて変わる可能性があります。この脆弱性を悪用することにより、侵入者はこの情報を他の情報と組み合わせて使用

し、ネットワークに対する高度な攻撃を仕掛けることができます。

注: ロードバランサの背後にある Web サーバが同一でない場合、HTTP の脆弱性に対するスキャン結果はスキャンごとに異なる可能性があります。

n Unified Access Gateway は、非武装地帯 (DMZ) に通常インストールされるアプライアンスです。以下の手順は、脆弱性スキャナがこの問題を検出することから Unified Access Gateway を保護するのに役立ちます。

n HTTP ヘッダー分析に基づいてロードバランシングデバイスの有無を検出しないようにするには、Network-Time-Protocol (NTP) を使用してすべてのホスト（少なくとも DMZ 内）のクロックを同期させる必要があります。

n IP TTL 値、IP ID 値、および TCP ISN 値を分析して検出を防ぐには、これらの値に対してランダムな番号を生成する TCP/IP 実装を備えたホストを使用します。ただし、現在の使用可能なほとんどのオペレーティングシステムはそのような TCP/IP 実装を備えていません。


VMware, Inc. 164

vmware unified access gateway の導入および設定 - unified … · 2019-07-25 · vmware...

Documents