オンプレミスCitrix GatewayをIDプロバイダーとしてCitrix Cloudに使用

February 18, 2021

寄稿者:

Citrix Cloudでは、オンプレミスのCitrix GatewayをIDプロバイダーとして使用してワークスペースにサインインする利用者が認証されるようにできます。

Citrix Gateway認証を使用すると、以下のことを実行できます：

引き続き、既存のCitrix Gatewayでユーザーを認証するため、Citrix Workspace経由でオンプレミスのVirtual Apps and Desktopsのリソースにアクセスできます。
Citrix WorkspaceでCitrix Gatewayの認証、承認、および監査（Citrix ADC AAA）機能を使用します。
パススルー認証、スマートカード、セキュアトークン、条件付きアクセスポリシー、フェデレーション、その他多くの機能を使用しながら、ユーザーに必要なリソースへのCitrix Workspace経由のアクセスを提供できます。

Citrix Gateway認証は、次の製品バージョンでの使用がサポートされています：

Citrix Gateway 13.0 41.20 Advanced Edition以降
Citrix Gateway 12.1 54.13 Advanced Edition以降

前提条件

Cloud Connector -Citrix Cloud Connectorソフトウェアをインストールするサーバーが少なくとも2台必要です。
Active Directory -必要なチェックを実行します。
Citrix Gatewayの要件
- 従来のポリシーが廃止されたため、オンプレミスゲートウェイで高度なポリシーを使用します。
- Citrix Workspaceへのサブスクライバーを認証するためにゲートウェイを構成する場合、ゲートウェイはOpenIDConnectプロバイダーとして機能します。Citrix CloudとGateway間のメッセージはOIDCプロトコルに準拠し、デジタル署名トークンが含まれます。したがって、これらのトークンに署名するための証明書を構成する必要があります。
- クロック同期-ゲートウェイはNTP時刻に同期する必要があります。

詳しくは、「前提条件」を参照してください。

オンプレミスのCitrix GatewayでOAuthIdPポリシーを作成します

重要：

Citrix Cloud > Identity and Access Management > AuthenticationタブでクライアントID、シークレットを生成してURLをリダイレクトしておく必要があります。詳しくは、「オンプレミスのCitrix GatewayをCitrix Cloudに接続する」を参照してください。

OAuth IdP認証ポリシーの作成には、次のタスクが含まれます。

OAuthIdPプロファイルを作成します。
OAuthIdPポリシーを追加します。
OAuthIdPポリシーを認証仮想サーバーにバインドします。
証明書をグローバルにバインドします。

CLIを使用したOAuthIdPプロファイルの作成

コマンドプロンプトで、「;」と入力します。

add authentication OAuthIDPProfile <name> [-clientID <string>] [-clientSecret ] [-redirectURL <URL>] [-issuer <string>] [-sendPassword ( ON | OFF )]

add authentication OAuthIdPPolicy <name> -rule <expression> -action <string>

bind authentication vserver <name> [-policy <string> [-priority <positive_integer>] [-gotoPriorityExpression <expression>]] [-portaltheme <string>]

例：

add authentication OAuthIDPProfile oauthidp_staging -clientID <client> -clientSecret <Secret from client> -redirectURL "<url from client>" -issuer <https://GatewayFQDN.com> -sendPassword ON

add authentication OAuthIdPPolicy oauthidp_staging -rule true -action oauthidp_staging

bind authentication vserver auth -policy oauthidp_staging -priority 10 -gotoPriorityExpression next

bind vpn global -certkeyName MyCertKeyName

GUIを使用したOAuthIdPプロファイルの作成

[セキュリティ] > [AAA — アプリケーショントラフィック] > [ポリシー] > [認証] > [高度なポリシー] > [OAuth IDP] に移動します。
[OAuth IDP] ページで、[プロファイル]タブを選択し、[追加]をクリックします。
OAuthIdPプロファイルを構成します。
注：
- Citrix Cloud >［アイデンティティとアクセス管理］>［認証］タブからクライアントID、シークレット、リダイレクトURLの値をコピー＆ペーストして、Citrix Cloudへの接続を確立します。
- 発行者名の 例にゲートウェイURLを正しく入力してください： https://GatewayFQDN.com
- また、クライアントIDをコピーして[オーディエンス] フィールドにも貼り付けます。
- パスワードの送信: シングルサインオンをサポートするには、このオプションを有効にします。デフォルトでは、このオプションは無効になっています。
［作成］ をクリックします。
[OAuth IDP] ページで、[ポリシー] を選択し、[追加]をクリックします。
OAuthIdPポリシーを構成します。
OAuth IdPポリシーを認証、承認、および監査認証仮想サーバーにバインドします。
1. Security > AAA - Application Traffic > Virtual Serversに移動します。
2. ポリシーをバインドする仮想サーバーを選択し、[編集]をクリックします。
3. Advanced Authentication PoliciesでNo OAuth IDP Policyの隣の > をクリックします。
4. [認証OAuthIDPポリシー]ページで、[バインディングの追加]をクリックします。
5. [ポリシーの選択]で、OAuthIdPポリシーを選択します。
6. [バインド]をクリックします。

注

sendPassword が ON（デフォルトではOFF）に設定されている場合、ユーザー資格情報は暗号化され、安全なチャネルを介してCitrix Cloudに渡されます。安全なチャネルを介してユーザー資格情報を渡すことで、起動時にCitrix Virtual Apps and DesktopへのSSOを有効にできます。

Citrix Gatewayでのアクティブ/アクティブGSLB展開のサポート

OIDCプロトコルを使用してIDプロバイダ（IdP）として構成されたCitrix Gatewayは、アクティブ/アクティブGSLB展開をサポートできます。Citrix Gateway IdPのアクティブ/アクティブGSLB展開では、複数の地理的ロケーションで着信ユーザーログイン要求を負荷分散できます。

重要

セキュリティを強化するために、CA証明書をSSLサービスにバインドし、SSLサービスで証明書検証を有効にすることをお勧めします。

GSLB セットアップの構成の詳細については、「GSLB のセットアップと設定の例」を参照してください。

このコンテンツの正式なバージョンは英語で提供されています。Citrix ドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Citrix は機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いの Citrix 製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいは Citrix とのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Citrix は責任を負わないものとします。

オンプレミスCitrix GatewayをIDプロバイダーとしてCitrix Cloudに使用

February 18, 2021

寄稿者:

February 18, 2021

寄稿者: