Citrix Application Delivery Managementサービス

SSO Office 365 StyleBook

Microsoft™ Office 365は、Microsoftがサブスクリプションベースで提供する、クラウドベースの生産性およびコラボレーションアプリケーションのスイートです。これは、Exchange、SharePoint、Office、およびSkype for BusinessなどのMicrosoftの一般的なサーバーベースのアプリケーションが含まれています。シングル・サインオン(SSO)により、ユーザーはすべてのエンタープライズ・クラウド・アプリケーションにアクセスできます。

  • 管理コンソールにサインインする管理者を含める
  • エンタープライズ資格情報を使用して、すべての Microsoft Office 365 サービスに対して 1 回限りのサインオンを行います。

SSO Office 365スタイルブックを使用すると、Citrix ADC インスタンスを介してMicrosoft Office 365用のSSOを有効にすることができます。SAMLアイデンティティプロバイダ(IdP)としてCitrix ADC を使用して、SAMLサービスプロバイダとしてMicrosoft Office 365を使用してSAML認証を構成できるようになりました。

このスタイルブックを使用してCitrix ADC インスタンスでMicrosoft Office 365用のSSOを有効にするには、次の手順に従います。

  1. 認証仮想サーバーの構成
  2. SAML IdP ポリシーとプロファイルの設定
  3. 認証仮想サーバーへのポリシーとプロファイルのバインド
  4. インスタンスでの LDAP 認証サーバーおよびポリシーの構成
  5. LDAP 認証サーバーとポリシーを、インスタンスで設定した認証仮想サーバーにバインドします。

この統合が正常に機能するために最低限必要なソフトウェアバージョンを示します。統合プロセスは、同じのより高いバージョンもサポートします。

製品 最低限必要なバージョン
Citrix ADC 11.0, アドバンス/プレミアムライセンス

次の手順は、適切な外部および内部 DNS エントリが既に作成されていることを前提としています。これらのエントリは、認証要求をCitrix ADCで監視されるIPアドレスにルーティングするために不可欠です。

次の手順は、SSO Office 365 StyleBook をビジネスネットワークに実装する際に役立ちます。

SSO Microsoft Office 365 スタイルブックを展開するには

  1. Citrix Application Delivery Management(ADM)で、[ アプリケーション ]>[ スタイルブック]に移動します。[ スタイルブック ]ページには、Citrix ADM で使用可能なすべてのスタイルブックが表示されます。下にスクロールして、 SSO Office 365 スタイルブックを見つけます。[ 構成を作成] をクリックします。
  2. StyleBookがユーザーインターフェイスページとして開きます。ここで、このStyleBookで定義されているすべてのパラメーターに対して値を入力できます。
  3. 次のパラメーターの値を入力します。
    1. アプリケーション名。ネットワークに展開する SSO Microsoft Office 365 構成の名前。

    2. 認証仮想 IP アドレス。Microsoft Office 365 SAML IdPポリシーがバインドされているCitrix ADC AAA仮想サーバーで使用される仮想IPアドレス。

    SSO Office 365 アプリケーション名

  4. [SSL証明書設定] セクションで、SSL 証明書の名前と証明書キーを入力します。

    これは Office 365 サービスプロバイダー証明書ではありません。このSSL証明書は、Citrix ADC インスタンスの仮想認証サーバーにバインドされます。

  5. ローカルストレージフォルダからそれぞれのファイルを選択します。また、秘密鍵パスワードを入力して、暗号化された秘密鍵を PEM 形式でロードすることもできます。

    認証仮想 IP の SSL 証明書

  6. [ 証明書の詳細設定 ] チェックボックスをオンにすることもできます。ここでは、証明書の有効期限通知期間などの詳細を入力したり、証明書の有効期限モニターを有効または無効にすることができます。

  7. SSL 証明書でCitrix ADC にCAパブリック証明書をインストールする必要がある場合は、オプションで[認証仮想 IPのSSL CA証明書]チェックボックスをオンにできます。上記の [証明書 の詳細設定] セクションで [CA 証明書 です] を選択してください。

  8. [ SSO Office 365LDAP 設定 ] セクションで、Office 365 ユーザーを認証するために次の詳細を入力します。ドメインユーザーが企業のメールアドレスを使用してCitrix ADC インスタンスにログオンできるようにするには、次のように構成します。

    1. LDAP(Active Directory)ベース。認証を許可する Active Directory(AD)内にユーザーアカウントが存在するドメインの基本ドメイン名を入力します。例: dc=netscaler,dc=com

    2. LDAP(Active Directory)バインドDN。AD ツリーを参照する権限を持つドメインアカウント (構成を容易にするために電子メールアドレスを使用) を追加します。例: cn=Manager,dc=netscaler,dc=com

    3. LDAP (Active Directory) バインド DN パスワード。認証用のドメインアカウントのパスワードを入力します。

    4. このセクションで入力する必要があるその他のフィールドは次のとおりです。

      1. Citrix ADC がユーザーを認証するために接続するLDAPサーバーIPアドレス。

      2. LDAP サーバーの FQDN 名。

        注:

        上記の 2 つのうち少なくとも 1 つ、LDAP サーバーの IP アドレスまたは FQDN 名を指定する必要があります。

      3. Citrix ADC がユーザーを認証するために接続するLDAPサーバーポート(デフォルトは389です)。LDAPSは636を使用している。

      4. LDAPホスト名。検証がオン(デフォルトではオフ)の場合、ホスト名を使用して LDAP 証明書を検証します。

      5. LDAP ログイン名属性。ログイン名の抽出に使用されるデフォルトの属性は「sAMAccountName」です。

      6. その他のオプションの LDAP 設定。

      SSO Office 365 のActive Directory (LDAP) の設定

  9. SAML IdP 証明書 セクションでは、SAML アサーションに使用される SSL 証明書の詳細を指定できます。

    1. 証明書名。SSL 証明書の名前を入力します。

    2. 証明書ファイル。ローカルシステム上のディレクトリから SSL 証明書ファイルを選択します。

    3. 証明書キーの形式。ドロップダウンリストボックスから、証明書と秘密キーファイルの形式を選択します。サポートされている形式は、.pem と.der 拡張子です。

    4. 証明書キー名。証明書の秘密キーの名前を入力します。

    5. 証明書キーファイル。ローカルシステムから証明書の秘密キーを含むファイルを選択します。

    6. 秘密鍵パスワード: 秘密鍵ファイルを保護するパスフレーズを入力します。

    [ 証明書の詳細設定 ] チェックボックスをオンにすることもできます。ここでは、証明書の有効期限通知期間などの詳細を入力したり、証明書の有効期限モニターを有効または無効にすることができます。

    SAML IdP 証明書

  10. 上記の SAML IdP証明書でCitrix ADC にCA パブリック証明書をインストールする必要がある場合は、オプションで「SAML IdP CA証明書」を選択できます。上記の [ 証明書の詳細設定] セクションで [CA 証明書か ] を選択してください。

  11. [ SAML SP 証明書 ] セクションで、Office 365 SSL パブリック証明書について次の詳細を入力します。この証明書は、着信SAML認証要求を検証するためにCitrix ADC インスタンスによって使用されます。

    1. 証明書名。SSL 証明書の名前を入力します。

    2. 証明書ファイル。ローカルシステム上のディレクトリから SSL 証明書ファイルを選択します。

    3. 証明書キーの形式。ドロップダウンリストボックスから、証明書と秘密キーファイルの形式を選択します。サポートされている形式は、.pem と.der 拡張子です。

    [ 証明書の詳細設定 ] チェックボックスをオンにすることもできます。ここでは、証明書の有効期限通知期間などの詳細を入力したり、証明書の有効期限モニターを有効または無効にすることができます。

    SAML SP 証明書

  12. SAML Idp設定 ]セクションでは、手順3で作成したCitrix ADC AAA仮想サーバーで使用されるSAML IdPプロファイルとポリシーを作成して、Citrix ADCインスタンスをSAML IDプロバイダーとして構成できます。

    1. SAML 発行者名。このフィールドには、認証仮想サーバーのパブリック FQDN を入力します。例:https://\<Citrix ADC_VIP_Address\>/saml/login

    2. 名前識別子式。SAMLアサーションで送信されたSAML名識別子を抽出するために評価されるCitrix ADC 式を入力します。例:"HTTP.REQ.USER.ATTRIBUTE(2).B64ENCODE"

    3. 署名アルゴリズム: SAML 要求/応答を検証/署名するアルゴリズムを選択します (デフォルトは「RSA-SHA256」)。

    4. ダイジェスト方式。SAML 要求/応答のハッシュをダイジェストする方法を選択します (デフォルトは「SHA256」)。

    5. オーディエンスの名前。サービスプロバイダ (Microsoft Office 365) を表すエンティティ名または URL を入力します。

    6. SAML サービスプロバイダー (SP) ID。(オプション)Citrix ADC アイデンティティプロバイダは、このIDに一致する発行者名からのSAML認証要求を受け入れます。

    7. アサーションコンシューマサービスの URL。ユーザー認証が成功した後、Citrix ADC IDプロバイダーがSAMLアサーションを送信する必要があるサービスプロバイダーのURLを入力します。アサーション・コンシューマ・サービス URL は、アイデンティティ・プロバイダ・サーバー・サイトまたはサービス・プロバイダ・サイトで開始できます。

    8. このセクションには、その他のオプションのフィールドを入力できます。たとえば、次のオプションを設定できます。

      1. SAML 属性名。SAML アサーションで送信されるユーザー属性の名前。

      2. SAML 属性のフレンドリ名。SAML アサーションで送信されるユーザー属性のフレンドリ名。

      3. SAML 属性の PI 式。デフォルトでは、次のCitrix ADC ポリシー(PI)式が使用されます:HTTP.REQ.USER.ATTRIBUE(1)。このフィールドは、LDAP サーバ(メール)から送信される最初のユーザー属性を SAML 認証属性として指定します。

      4. ユーザー属性の形式を選択します。

        これらの値は、発行された SAML アサーションに含まれます。

        ヒント

        Microsoft Office 365アプリをサポートするためにこれらの設定がテストされているため、デフォルト設定のままにすることをお勧めします。

      SSO Office 365 スタイルブックのオプションフィールド

  13. ターゲットインスタンス ]をクリックし、このMicrosoft Office 365 SSO構成を展開するCitrix ADC インスタンスを選択します。[ 作成 ]をクリックして構成を作成し、選択したCitrix ADC インスタンスに構成を展開します。

    ターゲットインスタンス

    ヒント

    実際の構成を実行する前に、[ Dry Run ]を選択して、StyleBookによってターゲットCitrix ADCインスタンスに作成された構成オブジェクトを表示することをお勧めします。

SSO Office 365 StyleBook