Citrix ADC

オンプレミスCitrix GatewayをIDプロバイダーとしてCitrix Cloudに使用

Citrix Cloudでは、オンプレミスのCitrix GatewayをIDプロバイダーとして使用してワークスペースにサインインする利用者が認証されるようにできます。

Citrix Gateway認証を使用すると、以下のことを実行できます:

  • 引き続き、既存のCitrix Gatewayでユーザーを認証するため、Citrix Workspace経由でオンプレミスのVirtual Apps and Desktopsのリソースにアクセスできます。
  • Citrix Workspaceでは、Citrix Gateway の認証、承認、および監査機能を使用します。
  • パススルー認証、スマートカード、セキュアトークン、条件付きアクセスポリシー、フェデレーション、その他多くの機能を使用しながら、ユーザーに必要なリソースへのCitrix Workspace経由のアクセスを提供できます。

Citrix Gateway認証は、次の製品バージョンでの使用がサポートされています:

  • Citrix Gateway 13.0 41.20 Advanced Edition以降
  • Citrix Gateway 12.1 54.13 Advanced Edition以降

前提条件

  • クラウドコネクタ-Citrix Cloud Connectorソフトウェアをインストールするには、少なくとも2台のサーバーが必要です。

  • Active Directory -必要なチェックを実行します。

  • Citrix Gatewayの要件

    • クラシックポリシーの非推奨のため、オンプレミスゲートウェイで高度なポリシーを使用します。

    • Citrix Workspaceへのサブスクライバを認証するためにゲートウェイを構成する場合、ゲートウェイはOpenID Connectプロバイダーとして機能します。Citrix CloudとGateway間のメッセージはOIDCプロトコルに準拠し、デジタル署名トークンが含まれます。したがって、これらのトークンに署名するための証明書を構成する必要があります。

    • クロック同期-ゲートウェイはNTP時刻に同期する必要があります。

詳しくは、「前提条件」を参照してください。

オンプレミスのCitrix GatewayでOAuthIdPポリシーを作成します

重要:

Citrix Cloud >[アイデンティティおよびアクセス管理]>[認証]タブで、クライアントID、シークレット、およびリダイレクトURLを生成しておく必要があります 。詳細については、「 オンプレミスのCitrix GatewayをCitrix Cloudに接続する」を参照してください。

OAuth IdP認証ポリシーの作成には、次のタスクが含まれます。

  1. OAuth IdP プロファイルを作成します。

  2. OAuth IdP ポリシーを追加します。

  3. OAuth IdP ポリシーを認証仮想サーバーにバインドします。

  4. 証明書をグローバルにバインドします。

CLI を使用した OAuth IdP プロファイルの作成

コマンドプロンプトで次を入力します。

add authentication OAuthIDPProfile <name> [-clientID <string>][-clientSecret ][-redirectURL <URL>][-issuer <string>][-audience <string>][-skewTime <mins>] [-defaultAuthenticationGroup <string>]

add authentication OAuthIdPPolicy <name> -rule <expression> [-action <string> [-undefAction <string>] [-comment <string>][-logAction <string>]

add authentication ldapAction <name> -serverIP <IP> -ldapBase "dc=aaa,dc=local"

ldapBindDn <administrator@aaa.local> -ldapBindDnPassword <password> -ldapLoginName sAMAccountName

add authentication policy <name> -rule <expression> -action <string>

bind authentication vserver auth_vs -policy <ldap_policy_name> -priority <integer> -gotoPriorityExpression NEXT

bind authentication vserver auth_vs -policy <OAuthIDPPolicyName> -priority <integer> -gotoPriorityExpression END

bind vpn global –certkey <>
<!--NeedCopy-->

GUI を使用した OAuth IdP プロファイルの作成

  1. セキュリティ > AAA —アプリケーショントラフィック > ポリシー > 認証 > 高度なポリシー > OAuth IDPに移動します。

    ![Oauth-IDP-navigation](/en-us/citrix-adc/media/oauth-navigation-to-idp.png)

  2. OAuth IDP ページで、[ プロファイル ] タブを選択し、[ 追加] をクリックします。

  3. OAuth IdP プロファイルを設定します。

    注:

    • Citrix Cloud >[アイデンティティとアクセス管理]>[認証]タブからクライアントID、シークレット、およびリダイレクトURLの値をコピーして貼り付けて 、Citrix Cloudへの接続を確立します。

    • 発行者名の例にゲートウェイ URL を正しく入力します。 https://GatewayFQDN.com

    • また、クライアント ID を [ オーディエンス ] フィールドにもコピーして貼り付けます。

    • パスワードを送信:シングルサインオンサポートの場合、このオプションを有効にします。デフォルトでは、このオプションは無効になっています。

  4. [ 認証 OAuth IDP プロファイルの作成 ] 画面で、次のパラメータの値を設定し、[ 作成] をクリックします。

    • Name :認証プロファイルの名前。文字、数字、またはアンダースコア文字(_)で始まり、文字、数字、ハイフン(-)、ピリオド(.)ポンド(#)、スペース()、アットマーク(@)、等号(=)、コロン(:)、およびアンダースコア文字のみを含める必要があります。プロファイルの作成後は変更できません。

    • クライアント ID :SP を識別する一意の文字列。認可サーバは、この ID を使用してクライアント設定を推測します。最大長:127。
    • Client Secret — ユーザーと認可サーバーによって確立されたシークレット文字列。最大長:239
    • リダイレクト URL — コード/トークンのポスト先となる SP 上のエンドポイント。
    • 発行者名 — トークンが受け入れられるサーバーのアイデンティティ。最大長:127。例:https://GatewayFQDN.com
    • オーディエンス — IdP によって送信されるトークンのターゲット受信者。これは受信者がチェックするかもしれません。
    • スキュー時間 :このオプションは、Citrix ADCが受信トークンで許可するクロックスキューを分単位で指定します。たとえば、SkewTime が 10 の場合、トークンは (現在の時刻-10) 分から (現在時刻 + 10) 分、つまり 20 分まで有効です。デフォルト値:5。
    • デフォルト認証グループ :nFactor フローで使用できる IdP によってこのプロファイルが選択されたときに、セッション内部グループリストに追加されるグループ。証明書パーティ関連の nFactor フローを識別するための認証ポリシーの式(AAA.USER.IS_MEMBER_OF (「xxx」))で使用できます。最大長:63

    ポリシー評価を簡素化し、ポリシーのカスタマイズに役立つように、このプロファイルのセッションにグループが追加されます。これは、抽出されたグループに加えて認証が成功したときに選択されるデフォルトグループです。最大長:63。

    ![Oauth-IDP-profile-parameters](/en-us/citrix-adc/media/oauth-idp-profile.png)

  5. [ポリシー] をクリックし、[追加] をクリックします。

  6. [ 認証 OAuth IDP ポリシーの作成 ] 画面で、次のパラメータの値を設定し、[ 作成] をクリックします。

    • Name — 認証ポリシーの名前。
    • Action — 以前に作成されたプロファイルの名前。
    • Log Action — リクエストがこのポリシーに一致する場合に使用するメッセージログアクションの名前。必須の提出ではありません。
    • Undefined-Resultアクション :ポリシー評価の結果が未定義(UNDEF)である場合に実行するアクション。必須フィールドではありません。
    • Expression — ポリシーが特定の要求に応答するために使用するデフォルトの構文式。たとえば、trueです。
    • コメント — ポリシーに関するコメント。

    ![Oauth-IDP-policy](/en-us/citrix-adc/media/oauth-idp-policy.png)

注:

SendPassword がオン(デフォルトではオフ)に設定されている場合、ユーザー資格情報は暗号化され、安全なチャネルを介してCitrix Cloudに渡されます。セキュリティで保護されたチャネルを介してユーザー資格情報を渡すと、起動時にCitrix Virtual Apps and DesktopsへのSSOを有効にできます。

OAuthIdP ポリシーと LDAP ポリシーを認証仮想サーバーにバインドする

  1. 設定 > セキュリティ > AAA アプリケーショントラフィック > ポリシー > 認証 > 詳細ポリシー > アクション > LDAPに移動します。

  2. [ LDAP アクション ] 画面で、[ 追加] をクリックします。

  3. [ 認証 LDAP サーバーの作成 ] 画面で、次のパラメータの値を設定し、[ 作成] をクリックします。

    • Name — LDAP アクションの名前
    • サーバ名/サーバ IP — LDAP サーバの FQDN または IP を指定します。
    • [ セキュリティタイプ]、[ポート]、[サーバータイプ]、[タイムアウト] の適切な値を選択する
    • [ 認証] がオンになっていることを確認します
    • ベース DN: LDAP 検索を開始する基本。たとえば、dc=aaa,dc=localなどです。
    • 管理者バインド DN: LDAP サーバーへのバインドのユーザー名。たとえば、admin@aaa.local。
    • 管理者パスワード/パスワードの確認:LDAP をバインドするためのパスワード
    • [ 接続のテスト ] をクリックして、設定をテストします。
    • サーバーログオン名属性:「samAccountName」を選択します。
    • その他のフィールドは必須ではないため、必要に応じて設定できます。
  4. 設定 > セキュリティ > AAA アプリケーショントラフィック > ポリシー > 認証 > 詳細ポリシー > ポリシーにナビゲートして下さい。

  5. [ 認証ポリシー ] 画面で、[ 追加] をクリックします。

  6. [ 認証ポリシーの作成 ] ページで、次のパラメータの値を設定し、[ 作成] をクリックします。

    • Name — LDAP 認証ポリシーの名前。
    • [アクションタイプ] —[ LDAP] を選択します。
    • [アクション] — LDAP アクションを選択します。
    • Expression — ポリシーが特定の要求に応答するために使用するデフォルトの構文式。たとえば、true**です。

Citrix Gateway でのアクティブ/アクティブGSLB展開のサポート

OIDCプロトコルを使用してアイデンティティプロバイダ(IdP)として構成されたCitrix Gateway は、アクティブ/アクティブGSLB展開をサポートできます。Citrix Gateway IdPでのアクティブ/アクティブGSLB展開では、複数の地理的ロケーションで受信したユーザーログイン要求を負荷分散できます。

重要

セキュリティを強化するために、CA証明書をSSLサービスにバインドし、SSLサービスで証明書検証を有効にすることをお勧めします。

GSLB セットアップの設定の詳細については、GSLB のセットアップと設定の例を参照してください

オンプレミスCitrix GatewayをIDプロバイダーとしてCitrix Cloudに使用