Citrix Cloud

Oktaをワークスペース認証用のSAMLプロバイダーとして構成する

この記事では、Citrix CloudとSAMLプロバイダー間でOkta SAMLアプリケーションおよび接続を構成するために必要な手順について説明します。いくつかの手順では、SAMLプロバイダーの管理コンソールで実行するアクションについて説明します。

前提条件

この記事のタスクを完了する前に、次の前提条件を満たしていることを確認してください:

  • Citrixサポートが、Citrix CloudでEnableSamlLogoutSigningAndPostおよび SendNameIDPolicyInSAMLRequest機能を有効にしている。これらの機能はリクエストに応じて有効になります。これらの機能について詳しくは、「Oktaを使用したSAMLに必要なクラウド機能」を参照してください。
  • 次のOktaドメインのいずれかを使用するOkta Organizationがある:
    • okta.com
    • okta-eu.com
    • oktapreview.com
  • Active Directory(AD)をOkta Organizationと同期している。
  • Okta Organizationで [認証要求に署名する] が有効になってる。
  • シングルログアウト(SLO)が、Citrix CloudとOkta SAMLアプリケーションの両方内で構成されている。SLOが構成され、エンドユーザーがCitrix Workspaceからサインアウトすると、OktaおよびOkta SAMLアプリケーションを共有する他のすべてのサービスプロバイダーからもサインアウトします。

Oktaを使用したSAMLに必要なクラウド機能

この記事のタスクを完了する前に、Citrixサポートに問い合わせて、次のCitrix Cloud機能を有効にする必要があります:

  • EnableSamlLogoutSigningAndPost: この機能は、Citrix CloudでのデフォルトのSAMLログアウト動作を、署名なしのREDIRECT SLO要求から署名付きのPOST SLO要求に変更します。
  • SendNameIDPolicyInSAMLRequest: この機能により、Citrix CloudはSAML要求でNameIDポリシーを [Unspecified] としてSAMLプロバイダーに提供できるようになります。この機能は、Oktaでのみ使用可能です。

これらの機能をリクエストするには、Citrixアカウントにサインインし、CitrixサポートWebサイトからチケットを開きます。

要件

この記事には、Okta管理コンソールでSAMLアプリケーションを作成するタスクが含まれています。このアプリケーションには、Citrix CloudリージョンのSAML署名証明書が必要です。

重要:

署名証明書はPEM形式でエンコードする必要があります。Citrix Cloudは、他のエンコーディング形式での署名証明書を受け入れません。

この証明書は、次の場所にある抽出ツールを使用して、リージョンのCitrix Cloud SAMLメタデータから抽出できます。https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract。必要なときに提供できるように、事前にCitrix Cloud SAML証明書を取得しておくことをお勧めします。

このセクションの手順では、次の場所にある抽出ツールを使用して署名証明書を取得する方法について説明します。https://www.rcfed.com/SAMLWSFed/MetadataCertificateExtract

リージョンのCitrix Cloudメタデータを取得するには、以下の手順を実行します:

  1. 選択した抽出ツールに、Citrix CloudリージョンのメタデータURLを入力します:

    • 欧州連合、米国、およびアジア太平洋南部の各リージョンの場合は、「https://saml.cloud.com/saml/metadata」と入力します。
    • 日本リージョンの場合は「 https://saml.citrixcloud.jp/saml/metadata」と入力します。
    • Citrix Cloud Governmentリージョンの場合は、「https://saml.cloud.us/saml/metadata」と入力します。
  2. [Load] をクリックします。抽出された証明書が、入力したURLの下に表示されます。
  3. [Download] をクリックして証明書をPEM形式でダウンロードします。

Okta ADエージェントでアカウントを同期

OktaをSAMLプロバイダーとして使用するには、まず、オンプレミスActive DirectoryとOktaを統合する必要があります。そのためには、ドメイン内にOkta ADエージェントをインストールし、Okta OrganizationにActive Directoryを追加します。Okta Active Directoryエージェントを展開するためのガイダンスについては、Okta Webサイトで「Get started with Active Directory integration(Active Directoryの統合を開始する) 」を参照してください。

その後、Active DirectoryユーザーおよびグループをOktaにインポートします。インポート時には、Active Directoryアカウントに関連付けられている以下の値を含めます:

  • メール
  • SID
  • UPN
  • OID

Active DirectoryユーザーおよびグループをOkta Organizationと同期するには:

  1. Okta Active Directoryエージェントをインストールして構成します。詳しい手順については、Okta Webサイトの次の記事を参照してください:
  2. 手動インポートまたは自動インポートを実行して、Active DirectoryユーザーおよびグループをOktaに追加します。Oktaのインポート方法と手順について詳しくは、Okta Webサイトで「Manage Active Directory users and groups(Active Directoryユーザーとグループの管理)」を参照してください。

Okta SAMLアプリケーションをワークスペース認証用で構成する

  1. SAMLアプリケーションを追加および構成する権限を持つ管理者アカウントを使用して、Okta Organizationにサインインします。
  2. 管理コンソールで、[Applications]>[Applications]>[Create App Integration] を選択し、[SAML 2.0] を選択します。[Next] を選択します。

    SAMLがサインイン方法として選択されたOktaコンソール

  3. [App Name] にアプリケーションのフレンドリ名を入力します。[Next] を選択します。

    アプリ名フィールドが強調表示されたSAML統合作成の構成画面

  4. [SAML Settings] セクションで、Citrix Cloudサービスプロバイダー(SP)接続を構成します:
    1. [Single sign-on URL] に、Citrix Cloudの顧客のCitrix Cloudリージョンに対応するURLを入力します:
      • 顧客IDが欧州連合、米国、およびアジア太平洋南部の各リージョンの場合は、「https://saml.cloud.com/saml/acs」と入力します。
      • 顧客IDが日本リージョンの場合は、「https://saml.citrixcloud.jp/saml/acs」を入力します。
      • 顧客IDがCitrix Cloud Governmentリージョンの場合は、「https://saml.cloud.us/saml/acs」と入力します。
    2. [Use this for Recipient and Destination URL] を選択します。
    3. [Audience URI(SP Entity ID)] に、Citrix Cloudの顧客のCitrix Cloudリージョンに対応するURLを入力します:
      • 顧客IDが欧州連合、米国、およびアジア太平洋南部の各リージョンの場合は、「https://saml.cloud.com」と入力します。
      • 顧客IDが日本リージョンの場合は、「https://saml.citrixcloud.jp」を入力します。
      • 顧客IDがCitrix Cloud Governmentリージョンの場合は、「https://saml.cloud.us」と入力します。
    4. [Name ID Format][Unspecified] を選択します。Citrix CloudがSAML要求内で送信するNameIDポリシーは、Okta SAMLアプリケーション内で指定されたNameID形式と一致する必要があります。これらの項目が一致しない場合、[認証要求に署名する] を有効にすると、Oktaでエラーが発生します。
    5. [Application username][Okta username] を選択します。

      次の図は、この構成の例として、米国、EU、およびアジア太平洋南部リージョンの正しい構成を示しています:

      設定が構成されたOktaコンソールのSAML設定

      重要:

      [Name ID] 設定は、[Unspecified] で構成される必要があります。この設定に別の値を使用すると、SAMLサインインが失敗します。

    6. [Show Advanced Settings] をクリックし、次の設定を構成します:
      • [Reponse][Signed] を選択します。
      • [Assertion Signature][Signed] を選択します。
      • [Signature Algorithm][RSA-SHA256] を選択します。
      • [Assertion Encryption][Unencrypted] を選択します。
    7. [Signature Certificate] で、Citrix CloudリージョンのSAML署名証明書をPEM形式でアップロードします。SAML署名証明書を取得する手順については、この記事の「要件」を参照してください。
    8. [Enable Single Logout][Allow application to initiate Single Logout] を選択します。
    9. [Single sign-on URL] に、Citrix Cloudリージョンに対応するURLを入力します:
      • 欧州連合、米国、およびアジア太平洋南部の各リージョンの場合は、「https://saml.cloud.com/saml/logout/callback」と入力します。
      • 日本リージョンの場合は「 https://saml.citrixcloud.jp/saml/saml/logout/callback」と入力します。
      • Citrix Cloud Governmentリージョンの場合は、「https://saml.cloud.us/saml/logout/callback」と入力します。
    10. [SP Issuer] で、[Audience URI(SP Entity ID) に上記の手順(このタスクの手順4c)で入力した値を入力します。
    11. [Signed Requests][Validate SAML requests with signature certificates] を選択します。

      次の図は、米国、EU、およびアジア太平洋南部リージョンの正しい構成を示しています:

      設定が構成されたOktaコンソールの詳細なSAML設定

    12. 残りのすべての詳細設定については、デフォルト値を使用します。

      デフォルト値を使用したOktaコンソールの詳細設定

  5. [Attribute Statements (optional)] で、[Name][Name format][Value] に次の表の値を入力します:

    Name Name format Value
    cip_email Unspecified user.email
    cip_upn Unspecified user.cip_upn
    cip_oid Unspecified user.cip_oid
    cip_sid Unspecified user.cip_sid
    displayName Unspecified user.displayName
    firstName Unspecified user.firstName
    lastName Unspecified user.lastName

    属性が設定されたOktaコンソール

  6. [Next] を選択します。Oktaの構成ステートメントが表示されます。

    Oktaの構成ステートメント

  7. [Are you a customer or partner?][I’m an Okta customer adding an internal app] を選択します。
  8. [App type][This is an internal app that we have created] を選択します。
  9. [Finish] を選択して構成を保存します。SAMLアプリケーションのプロファイルページが表示され、[Sign On] タブの内容が表示されます。

構成後、[Assignments] タブを選択し、ユーザーとグループをSAMLアプリケーションに割り当てます。

Oktaをワークスペース認証用のSAMLプロバイダーとして構成する