OktaをIDプロバイダーとしてCitrix Cloudに接続する(Technical Preview)

Citrix Cloudでは、ワークスペースにサインインする利用者を認証するためのIDプロバイダーとして使用して、Oktaを使用できます。Okta組織をCitrix Cloudに接続することにより、Citrix Workspaceのリソースにアクセスする利用者に共通のサインイン操作を提供できます。

ワークスペース構成でOkta認証を有効にした後、利用者のサインイン操作は変化します。Okta認証を選択すると、シングルサインオンではなく、フェデレーションIDによるサインイン環境となります。利用者は、Oktaサインインページからワークスペースにサインインしますが、Citrix Virtual Apps and Desktopsサービスからアプリまたはデスクトップを起動するときにもう一度認証する必要があります。シングルサインオンを有効にし、2つ目のログオンプロンプトが表示されないようにするには、Citrix CloudでCitrixフェデレーション認証サービスを使用する必要があります。詳しくは、「Citrix CloudにCitrixフェデレーション認証サービスを接続する」を参照してください。

注:

Okta認証は、現在Technical Preview段階です。Technical Preview機能は、テスト環境でのみ使用することをお勧めします。

前提条件

Cloud Connector

Active Directoryドメインで、Citrix Cloud Connectorソフトウェアのインストール先となるサーバーが少なくとも2台必要です。Cloud Connectorは、Citrix Cloudとリソースの場所の間で通信するために必要です。Cloud Connectorの可用性を高めるため、サーバーは2台用意することをお勧めします。これらのサーバーは、次の要件を満たしている必要があります:

  • Cloud Connectorの技術詳細」に記載されている要件を満たしている。
  • 他のCitrixコンポーネントはインストールされておらず、Active Directoryドメインコントローラーではなく、リソースの場所のインフラストラクチャに不可欠なマシンでもない。
  • Active Directory(AD)ドメインに参加している。ワークスペースリソースとユーザーが複数のドメインに存在する場合は、各ドメインにCloud Connectorを少なくとも2つインストールする必要があります。詳しくは、「Active DirectoryでのCloud Connector展開シナリオ」を参照してください。
  • ユーザーがCitrix Workspaceを介してアクセスするリソースにアクセスできるネットワークに接続済み。
  • インターネットに接続済み。詳しくは、「インターネット接続の要件」を参照してください。

Cloud Connectorのインストールについて詳しくは、「Cloud Connectorのインストール」を参照してください。

Oktaドメイン

OktaをCitrix Cloudに接続する場合、組織のOktaドメインを指定する必要があります。シトリックスは、次のOktaドメインをサポートしています:

  • okta.com
  • okta-eu.com
  • oktapreview.com

Citrix CloudでOktaカスタムドメインを使用することもできます。Okta Webサイトの「Okta URLドメインのカスタマイズ」で、カスタムドメインの使用に関する重要な考慮事項をレビューします。

組織のカスタムドメインを見つける方法について詳しくは、Okta Webサイトで「自身のOktaドメインの検索」を参照してください。

Okta OIDC Webアプリケーション

OktaをIDプロバイダーとして使用するには、まずCitrix Cloudで使用できるクライアント資格情報を使用してOkta OIDC Webアプリケーションを作成する必要があります。アプリケーションを作成して構成したら、クライアントIDとクライアントシークレットをメモします。Okta組織の接続時に、これらの値をCitrix Cloudに入力します。

このアプリケーションを作成および構成するには、この記事の次のセクションを参照してください:

ワークスペースURL

Oktaアプリケーションの作成時には、Citrix CloudからのワークスペースURLを入力する必要があります。ワークスペースURLを見つけるには、Citrix Cloudメニューから [ワークスペース構成] を選択します。ワークスペースURLは、[アクセス] タブに表示されます。

重要:

後でワークスペースURLを変更する場合、Oktaアプリケーションの構成を新しいURLによって更新する必要があります。そうしないと、ワークスペースからのログオフ時に問題が発生する可能性があります。

Okta APIトークン

Citrix CloudでOktaをIDプロバイダーとして使用するには、Okta組織のAPIトークンが必要です。Okta組織で読み取り専用の管理者アカウントを使用し、このトークンを作成します。このトークンは、Okta組織内のユーザーとグループを読み取れる必要があります。

APIトークンを作成するには、この記事の「Okta APIトークンの作成」を参照してください。APIトークンについて詳しくは、Oktaウェブサイトで「APIトークンの作成」を参照してください。

重要:

APIトークンを作成する際には、トークンの値をメモしてください(たとえば、値を一時的にプレーンテキストドキュメントにコピーしてください)。Oktaではこの値が一度だけ表示され、「Citrix CloudをOkta組織に接続」の手順を実行する直前にトークンを作成する場合があります。

Okta ADエージェントとアカウントの同期

OktaをIDプロバイダーとして使用するには、まず、オンプレミスActive DirectoryとOktaを統合する必要があります。そのためには、ドメイン内にOkta ADエージェントをインストールし、Okta組織にActive Directoryを追加します。Okta Active Directoryエージェントを展開するためのガイダンスについては、Okta Webサイトで「Okta Active Directoryエージェントの展開」を参照してください。その後、Active DirectoryユーザーおよびグループをOktaにインポートします。インポート時には、Active Directoryアカウントに関連付けられているSID、UPN、およびOIDの値を含めます。

注:

ワークスペースでCitrix Gatewayサービスを使用している場合、Active DirectoryアカウントをOkta組織と同期する必要はありません。

Active DirectoryユーザーおよびグループをOkta組織と同期するには:

  1. Okta Active Directoryエージェントをインストールして構成します。完全な手順については、Oktaウェブサイトで「Okta Active Directoryエージェントのインストールと構成」を参照してください。
  2. 手動インポートまたは自動インポートを実行して、Active DirectoryユーザーおよびグループをOktaに追加します。Oktaのインポート方法と手順ついて詳しくは、Oktaウェブサイトで「Active Directoryユーザーのインポート」を参照してください。

Okta OIDC Webアプリケーションの作成

  1. Okta管理コンソールの [Applications] から [Applications] を選択します。
  2. [Add Application] をクリックしてから、[Create New App] をクリックします。
  3. [Sign in method][OpenID Connect] を選択し、[Create] をクリックします。[Platform] のデフォルト値(Web)は変更されません。
  4. アプリケーション名を入力します。
  5. [Login redirect URIs] に「https://accounts.cloud.com/core/login-okta」を入力します。
  6. [Logout redirect URIs] に、Citrix CloudからのワークスペースURLを入力します。
  7. [保存] をクリックします。

Okta OIDC Webアプリケーションの構成

この手順では、Citrix Cloudに必要な設定によってOkta OIDC Webアプリケーションを構成します。Citrix Cloudでは、ワークスペースへのサインイン時にOktaを介して利用者を認証するため、これらの設定が必要です。

  1. Oktaアプリケーション構成ページの [General Settings] で、[Edit] をクリックします。
  2. [Allowed grant types] で、以下のオプションを選択します:
    • Authorization Code
    • Refresh Token
    • Implicit (Hybrid)
    • Allow ID Token with implicit grant type
    • Allow Access Token with implicit grant type
  3. [保存] をクリックします。
  4. アプリケーションへのユーザーまたはグループアクセスの許可:
    1. [Assignments] タブから [Assign] を選択してから、[Assign to People] または [Assign to Groups] を選択します。
    2. ワークスペースへのアクセスを許可するユーザーまたはグループを選択します。すべてのユーザーにアクセスを許可するには、[Assign to Groups] を選択してから [Everyone] を選択します。
  5. [完了] をクリックします。
  6. アプリケーション属性を追加します。これらの属性では大文字と小文字が区別されます。
    1. Oktaコンソールメニューから、 [Directory]>[Profile Editor] の順に選択します。
    2. Oktaユーザープロファイルを見つけ、[Profile] を選択します。[Attributes] で、[Add attribute] を選択します。
    3. 次の情報を入力します:
      • Display Name:cip_sid
      • Variable Name:cip_sid
      • Description:Active Directoryユーザーセキュリティ識別子
      • Attribute Length:1より大きい
      • Attribute Required:Yes
    4. [Save and Add Another] をクリックします。
    5. 次の情報を入力します:
      • Display Name:cip_upn
      • Variable Name:cip_upn
      • Description:ADユーザープリンシパル名
      • Attribute Length:1より大きい
      • Attribute Required:Yes
    6. [Save and Add Another] をクリックします。
    7. 次の情報を入力します:
      • Display Name:cip_oid
      • Variable Name:cip_oid
      • Description:ADユーザーGUID
      • Attribute Length:1より大きい
      • Attribute Required:Yes
    8. [保存] をクリックします。
  7. アプリケーションの属性マッピングの編集:
    1. Oktaコンソールから [Directory]>[Directory Integrations] の順に選択します。
    2. 以前に統合したADを選択します。詳しくは、「Okta ADエージェントとアカウントの同期」を参照してください。
    3. [Settings] タブで、[Edit Mappings] を選択します。
    4. 次の属性をマップします:
      • appuser.objectSidを選択し、cip_sid属性にマップします。
      • appuser.userNameを選択し、cip_upn属性にマップします。
      • appuser.externalIdを選択し、cip_oid属性にマップします。
    5. [Save Mappings] をクリックします。
    6. [Apply updates now] をクリックします。

Okta APIトークンの作成

  1. 読み取り専用管理者アカウントを使用して、Oktaコンソールにサインインします。
  2. Oktaコンソールメニューから、[Security]>[API] の順に選択します。
  3. [Tokens] タブを選択してから、[Create Token] を選択します。
  4. トークンの名前を入力します。
  5. [Create Token] をクリックします。
  6. トークン値をコピーします。Okta組織のCitrix Cloudへの接続時に、この値を入力します。

Citrix CloudをOkta組織に接続

  1. https://citrix.cloud.comでCitrix Cloudにサインインします。
  2. Citrix Cloudメニューで、[IDおよびアクセス管理] を選択します。
  3. [Okta] を見つけ、省略記号メニューから [接続] を選択します。
  4. [Okta URL] にOktaドメインを入力します。
  5. [Okta APIトークン] に、Okta組織のAPIトークンを入力します。
  6. [クライアントID][クライアントシークレット] に、Oktaアプリケーションの資格情報を入力します。Oktaコンソールからこれらの値をコピーするには、[アプリケーション] を選択し、Oktaアプリケーションを見つけます。[クライアント資格情報] で、[クリップボードにコピー] ボタンを各値に対して使用します。
  7. [テストして終了] をクリックします。Citrix CloudでOktaの詳細が確認され、接続がテストされます。

ワークスペースのOkta認証を有効にする

  1. Citrix Cloudメニューから [ワークスペース構成]>[認証] の順に選択します。
  2. [Okta] を選択します。プロンプトが表示されたら、[利用者のエクスペリエンスに与える影響を了承しています。] を選択します。
  3. [承諾] をクリックして権限の要求を承諾します。