ネットワークリソースへのモバイルアクセスの設定

モバイルアクセスワークフローの例

これは、モバイルアクセスのアプリケーションとリソースへのリモートアクセスを設定するための高レベルのワークフローです。

  1. SmartConsoleを使用して、セキュリティゲートウェイのMobile Access Software Bladeを有効にします。

  2. Mobile Access Configurationウィザードの手順に従って、次の設定を行います。

    1. モバイルクライアントを選択します。

    2. モバイルアクセスポータルを定義します。

    3. Outlook Web Appなどのアプリケーションを定義します。

    4. ADサーバに接続してユーザ情報を取得します。

  3. ポリシーの種類を選択します。

    • デフォルトでは、SmartConsoleのMobile Accessタブで設定されたレガシーポリシーが使用されます。

    • モバイルアクセスをUnified Access Control Policyに含めるには、Gateway Properties > Mobile Access でこれを選択します。

  4. ポリシーにルールを追加します。

    • レガシーポリシーの場合SmartConsoleでルールを追加します。Security Policies > Shared Policies> Mobile Access > を選択します。Open Mobile Access Policy in SmartConsole

    • 統合アクセス制御ポリシーSmartConsole >Security Policies Access Control Policy でルールを追加します。

  5. Gateway Properties > Mobile Access > Authenticationで認証設定を行います。

  6. このSecurity Gatewayオブジェクトにアクセスコントロールポリシーをインストールします。

    ユーザは、設定されたモバイルアクセスポータルを介して、定義された認証方法でモバイルアプリケーションにアクセスできます。

  7. オプション:証明書認証により、Capsule Workspaceアプリを介してユーザに安全なアクセスを提供します。

    1. セキュリティゲートウェイオブジェクト > Mobile Access > Authenticationで、Settings をクリックし、Require client certificateを選択します。

    2. 証明書の作成と配布ウィザードを使用します(Security Policies > Client Certificates > New)。

    3. ユーザは、Capsule Workspaceアプリをダウンロードします。

    4. Capsule Workspaceアプリを開き、Mobile Access Site Nameと必要な認証(ユーザ名やパスワードなど)を入力します。

モバイルアクセスを有効にする

モバイルアクセスウィザードで設定を行う

ポリシータイプを選択し、ポリシーにルールを追加する

認証設定を行う

 

 

 

 

 

 

ユーザは社内リソースにアクセス可能

ユーザがアプリをダウンロードし、アプリを起動して設定を入力

クライアント用の証明書を生成

アクセスコントロールポリシーをインストール

モバイルアクセスの展開例

これは、内部ネットワークにADとExchangeサーバを持つ Mobile Access Security Gatewayの導入例です。

項目

説明

1

モバイルデバイス

2

モバイルアクセストンネル

3

インターネット(外部ネットワーク)

4

モバイルアクセスセキュリティゲートウェイ

5

内部ネットワークリソース、AD、Exchangeサーバ

このMobile Accessの導入例では、モバイルデバイスがMobile Accessトンネルを使用して内部ネットワークに接続します。モバイルアクセスセキュリティゲートウェイは、パケットを復号し、ユーザを認証します。接続が許可され、モバイルデバイスが内部ネットワークリソースに接続します。

モバイルアクセス設定ウィザードの使用

この手順では、設定ウィザードを使用してセキュリティゲートウェイ上のMobile Access Software Bladeを有効化し、設定する方法について説明します。このサンプル構成では、ADのユーザグループMobile Accessに、内部ネットワークへの接続を許可されたすべてのユーザが含まれています。この展開は、サンプルモバイルアクセス展開(Sample Mobile Access Deployment)に基づいています。

この構成により、次のクライアントは内部リソースに接続することができます。

  • AndroidおよびiOSモバイルデバイス

  • WindowsおよびMacコンピュータ

  • インターネットブラウザで、内部ネットワークへのSSL Network Extender接続が可能

Mobile Accessを設定するには

  1. SmartConsoleでGateways & Serversにアクセスし、Security Gatewayオブジェクトをダブルクリックします。

    General Propertiesウィンドウが開きます。

  2. General Properties > Network Securityセクションで、Mobile Accessを選択します。

    Mobile Access Configuration WizardMobile Accessページが開きます。

  3. インターネットやモバイルデバイスからの接続を許可するよう、セキュリティゲートウェイを設定します。次のオプションを選択します。

    • Web

    • Mobile Devices- 必要なオプションを選択します。

    • Desktops/Laptops-必要なオプションを選択します。

  4. Nextをクリックします。

    Web Portalページが開きます。

  5. モバイルアクセスポータルのプライマリURLを入力します。

    デフォルトはhttps://<IPv4 Address of Security Gateway>/sslvpn

  6. Nextをクリックします。

    Applicationsページが開きます。

  7. 表示するアプリケーションを設定します。

    1. Web Applicationsで、Demo web application (World Clock)が選択されていることを確認します。

    2. Mail/Calendar/Contactsで、Exchangeサーバのドメインを入力し、選択します。

      • Mobile Mail (including push mail notifications)

      • ActiveSync Applications

      • Outlook Web App

      Mobile Access Portalには、Demo WebとOutlook Web Appのアプリケーションへのリンクが表示されます。モバイルデバイスのクライアントには、他のアプリケーションへのリンクが表示されます。

  8. Nextをクリックします。

    Active Directoryページが開きます。

  9. ADドメインを選択し、ユーザ名とパスワードを入力します。

  10. Connectをクリックします。

    セキュリティゲートウェイは、ADサーバに接続できることを確認します。

  11. Nextをクリックします。

    Usersページが開きます。

    Addをクリックし、グループMobile Accessを選択します。

  12. Nextをクリックし、Finishをクリックします。.

    Mobile Access Configuration Wizardが閉じます。

  13. クリックOK

    Gateway Propertiesウィンドウが閉じます。

モバイル接続の許可

Mobile Access Configurationウィザードでは、Mobile Access Software Bladeの有効化と設定を行います。コンピュータやデバイスのVPNクライアントからの接続を許可するには、ファイアウォールルールを追加する必要があります。Exchangeサーバ用のホストノードオブジェクトを作成します。他のオブジェクトはすべて事前に定義されています。

名前

発信元

宛先

VPN

サービス

アクション

インストール

追跡

モバイルアクセスユーザ

Any

ExchngSrvr

RemoteAccess

HTTP
HTTPS
MSExchange

許可

モバイルアクセスGW

ログ記録

RemoteAccessVPNコミュニティから Exchangeサーバへのすべての接続が許可されます。許可されるプロトコルは、HTTP、HTTPS、MS Exchangeのみです。このルールは、Security GatewayのMobileAccessGWグループにインストールされます。

アプリケーションへのアクセスの定義

SmartConsoleのSecurity Policiesページで、ユーザがMobile Accessアプリケーションにアクセスするためのルールを定義します。設定ウィザードで選択されたアプリケーションは、このページに自動的に追加されます。また、これらのSmartConsoleオブジェクトを含むルールを作成、編集することができます。

  • ユーザとユーザグループ

  • モバイルアクセスアプリケーション

  • モバイルアクセスセキュリティゲートウェイ

シングルサインオンの有効化

SSO(シングルサインオン)機能を有効にすると、Mobile Accessセッション中に使用するアプリケーションに対して1度だけ認証を行うことができます。ユーザがMobile Access Portalにログインするために入力する認証情報は、異なるモバイルアクセスアプリケーションの認証に自動的に再利用することができます。SSOのユーザ認証情報は、そのセッションのためにモバイルアクセスセキュリティゲートウェイに安全に保存され、ユーザが異なるリモートデバイスからログインした場合にも再び使用されます。セッションが完了すると、認証情報はデータベースファイルに保存されます。

デフォルトでは、HTTPを使用する新しいMobile AccessアプリケーションでSSOが有効になっています。ほとんどのWebアプリケーションは、指定されたWebフォームでユーザを認証します。Mobile Access Portalからの認証情報を使用するように、アプリケーションのSSOを設定できます。ユーザがアプリケーションごとに再ログインする必要はありません。

  1. SmartConsoleで、Security Policies > Shared Policies > Mobile Accessにアクセスします。

  2. Open Mobile Access Policy in SmartDashboardをクリックします。

  3. Mobile Accessタブで、Additional Settings > Single Sign-Onを選択します。

    Single Sign-Onページが開きます。

  4. アプリケーションを選択してEditをクリックします。

    アプリケーションプロパティウィンドウが開き、Single Sign Onページが表示されます。

  1. Application Single Sign-On Method セクションで、Advanced を選択し、Edit をクリックします。

    Advancedウィンドウが開きます。

  2. This application reuses the portal credentials. Users are not promptedを選択します。

  3. クリックOK

  4. This application uses a Web form to accept credentials from usersを選択します。

  5. クリックOK

  6. ポリシーをインストールします。