Citrix Cloud

SAMLをIDプロバイダーとしてCitrix Cloudに接続する(Technical Preview)

Citrix Cloudでは、ワークスペースにサインインする利用者を認証するためのIDプロバイダーとして使用して、SAML(セキュリティアサーションマークアップランゲージ)を使用できます。オンプレミスのActive Directory(AD)でSAML 2.0をサポートしている場合は、選択したSAMLプロバイダーを使用できます。

注:

  • この機能は、現在Technical Preview段階です。Technical Preview機能は、Citrixではテスト環境でのみ使用することをお勧めします。
  • この記事では、Active Directoryのみを使用したCitrix CloudでのSAML 2.0の設定について説明します。SAML 2.0でシングルサインオン(SSO)を使用する予定の場合は、How to Integrate Azure AD with SAML 2.0 Tech Preview(CTX312150)を参照してください。

前提条件

Citrix CloudでSAML認証を使用する場合、次の要件があります:

  • SAML 2.0をサポートするSAMLプロバイダー
  • オンプレミスのActive Directoryドメイン
  • リソースの場所に展開され、オンプレミスのADドメインに参加している2つのCloud Connector。Cloud Connectorは、Citrix Cloudがリソースの場所と通信するために使用されます。
  • SAMLプロバイダーとのAD統合

Cloud Connector

Citrix Cloud Connectorソフトウェアのインストール先となるサーバーが少なくとも2台必要です。Cloud Connectorの可用性を高めるため、サーバーは2台用意することをお勧めします。これらのサーバーは、次の要件を満たしている必要があります:

  • Cloud Connectorの技術詳細」に記載されているシステム要件を満たしている。
  • 他のCitrixコンポーネントはインストールされておらず、Active Directoryドメインコントローラーではなく、リソースの場所のインフラストラクチャに不可欠なマシンでもない。
  • リソースが存在するドメインに参加している。ユーザーが複数のドメインにあるリソースにアクセスする場合は、各ドメインにCitrix Cloudを少なくとも2つインストールする必要がある。
  • 利用者がCitrix Workspaceを介してアクセスするリソースにアクセスできるネットワークに接続済み。
  • インターネットに接続済み。詳しくは、「システムおよび接続要件」を参照してください。

Cloud Connectorのインストールについて詳しくは、「Cloud Connectorのインストール」を参照してください。

Active Directory

SAML認証を構成する前に、次のタスクを実行します:

  • ワークスペース利用者にActive Directory(AD)のユーザーアカウントがあることを確認します。SAML認証が構成されている場合、ADアカウントがない利用者はワークスペースにサインインできません。
  • 利用者のADアカウントのユーザープロパティが入力されていることを確認します。Citrix Cloudでは、利用者がCitrix Workspaceにサインインする際、ユーザーコンテキストを決定するためにこれらのプロパティが必要とされます。これらのプロパティが入力されていないと、利用者がサインインできません。これらのプロパティには以下が含まれます:
    • メールアドレス
    • 表示名(オプション)
    • 共通名
    • SAMアカウント名
    • ユーザープリンシパル名
    • オブジェクトGUID
    • SID
  • オンプレミスのActive Directory(AD)にCloud Connectorを展開して、ADをCitrix Cloudアカウントに接続します。
  • ADユーザーをSAMLプロバイダーに同期します。Citrix Cloudでは、サインインするワークスペース利用者のADユーザー属性が必要とされます。

Active DirectoryとのSAML統合

SAML認証を有効にする前に、オンプレミスのADをSAMLプロバイダーと統合する必要があります。この統合により、SAMLプロバイダーはSAMLアサーションで次の必要なADユーザー属性をCitrix Cloudに渡すことができます:

  • SecurityIDentifier(SID)
  • objectGUID(OID)
  • userPrincipalName(UPN)
  • Mail(メール)

正確な統合手順はSAMLプロバイダーによって異なりますが、通常統合プロセスには、次のタスクが含まれます:

  1. ADドメインに同期エージェントをインストールして、ドメインとSAMLプロバイダー間の接続を確立します。
  2. 上記のADユーザー属性にマップするカスタム属性がまだない場合は、カスタム属性を作成してADにマップします。このタスクの一般的な手順は、この記事のカスタムSAML属性の作成およびマッピングで説明されています。
  3. ADユーザーをSAMLプロバイダーに同期します。

注:

前述の必要なADユーザー属性にマップするカスタム属性を既に作成済みの場合は、さらにカスタム属性を作成してマップする必要はありません。代わりに、Citrix CloudでSAMLプロバイダーからメタデータを構成するときに、既存のカスタム属性を使用してください。

ADとSAMLプロバイダーの統合について詳しくは、SAMLプロバイダーの製品ドキュメントを参照してください。

タスクの概要

ワークスペース利用者のSAML認証を設定するには、次のタスクを実行します:

  1. [IDおよびアクセス管理] で、Active DirectoryをCitrix Cloudに接続するの説明に従って、オンプレミスのADをCitrix Cloudに接続します。
  2. この記事の「Active DirectoryとのSAML統合」で説明されているように、SAMLプロバイダーをオンプレミスのADと統合します。
  3. [IDおよびアクセス管理] で、Citrix CloudのSAML認証の構成を実行します。このタスクには、SAMLプロバイダーでCitrix CloudからのSAMLメタデータを構成してから、Citrix CloudでSAMLプロバイダーからのメタデータを構成してSAML接続を作成することが含まれます。
  4. [ワークスペース構成] で、SAML認証方法の選択を実行します。

カスタムSAML属性の作成およびマッピング

SAMLプロバイダーでSID、UPN、OID、およびメール属性のカスタム属性を既に構成している場合は、このタスクを実行する必要はありません。SAMLコネクタアプリケーションの作成に進み、手順8で既存のカスタムSAML属性を使用します。

注:

このセクションの手順では、SAMLプロバイダーの管理コンソールで実行するアクションについて説明します。これらのアクションを実行するために使用する特定のコマンドは、選択したSAMLプロバイダーによっては、このセクションで説明するコマンドとは異なる場合があります。このセクションのSAMLプロバイダーコマンドは、例としてのみ提供されています。SAMLプロバイダーが対応するコマンドについて詳しくは、SAMLプロバイダーのドキュメントを参照してください。

  1. SAMLプロバイダーの管理コンソールにサインインし、カスタムユーザー属性を作成するためのオプションを選択します。たとえば、SAMLプロバイダーのコンソールによっては、[Users]>[Custom User Fields]>[New User Field] を選択します。
  2. 次の属性を追加します:
    • cip_sid
    • cip_upn
    • cip_oid
    • cip_email
  3. Citrix Cloudに接続したADを選択します。たとえば、SAMLプロバイダーのコンソールによっては、[Users]>[Directories] を選択します。
  4. ディレクトリ属性を追加するためのオプションを選択します。たとえば、SAMLプロバイダーのコンソールによっては、[Directory Attributes] を選択します。
  5. 属性を追加するためのオプションを選択し、次のAD属性を手順2で作成したカスタムユーザー属性にマップします:
    • objectSidを選択し、cip_sid属性にマップします。
    • userPrincipalNameを選択し、cip_upn属性にマップします。
    • ObjectGUIDを選択し、cip_oid属性にマップします。
    • mailを選択し、cip_email属性にマップします。

SAMLプロバイダーのメタデータの構成

このタスクでは、Citrix CloudのSAMLメタデータを使用してコネクタアプリケーションを作成します。SAMLアプリケーションを構成した後、SAMLメタデータを使用して、コネクタアプリケーションからCitrix CloudへのSAML接続を構成します。

注:

このセクションのいくつかの手順では、SAMLプロバイダーの管理コンソールで実行するアクションについて説明します。これらのアクションを実行するために使用する特定のコマンドは、選択したSAMLプロバイダーによっては、このセクションで説明するコマンドとは異なる場合があります。このセクションのSAMLプロバイダーコマンドは、例としてのみ提供されています。SAMLプロバイダーが対応するコマンドについて詳しくは、SAMLプロバイダーのドキュメントを参照してください。

SAMLコネクタアプリケーションの作成

  1. Citrix Cloud(https://citrix.cloud.com)にサインインします。
  2. Citrix Cloudメニューで、[IDおよびアクセス管理] を選択します。
  3. [SAML 2.0] を見つけ、省略記号メニューから [接続] を選択します。[SAMLの構成] 画面が表示されます。
  4. SAMLプロバイダーの管理コンソールから、属性付き、署名応答付きIDプロバイダーのアプリケーションを追加します。たとえば、プロバイダーのコンソールによっては、[Applications]>[Applications]>[Add App] を選択して [SAML Test Connector (IdP w/ attr w/ sign response)]を選択します。
  5. 必要に応じて、表示名を入力してアプリを保存します。
  6. Citrix Cloudの [SAMLの構成] 画面の [SAMLメタデータ][ダウンロード] を選択します。メタデータXMLファイルが別のブラウザータブに表示されます。
  7. コネクタアプリケーションについて、次の詳細を入力します:
    • Audienceフィールドに、https://saml.cloud.comと入力します。
    • Recipientフィールドに、https://saml.cloud.com/saml/acsを入力します。
    • ACS URL検証のフィールドに、https://saml.cloud.com/saml/acsを入力します。
    • ACS URLのフィールドに、https://saml.cloud.com/saml/acsを入力します。
    • 単一のログアウトURLのフィールドに、https://saml.cloud.com/saml/logout/callbackを入力します。
  8. カスタムSAML属性をアプリケーションのパラメーター値として追加します。

    このフィールドを作成 このカスタム属性を割り当て
    cip_sid cip_sidまたは既存のSID属性
    cip_upn cip_upnまたは既存のUPN属性
    cip_oid cip_oidまたは既存のOID属性
    cip_email cip_emailまたは既存のメール属性
  9. ワークスペース利用者をユーザーとして追加して、アプリケーションへのアクセスを許可します。

SAMLプロバイダーのメタデータをCitrix Cloudに追加

  1. SAMLプロバイダーからSAMLメタデータを取得します。次の画像は、このファイルのイメージ例です: SAMLメタデータファイル
  2. Citrix Cloudの [SAMLの構成] 画面で、SAMLプロバイダーのメタデータファイルから次の値を入力します:
    • [エンティティID] で、メタデータのEntityDescriptor要素からentityIDの値を入力します。 SAMLメタデータファイルのエンティティID

    • [認証要求に署名する][はい] を選択してCitrix Cloudが認証要求に署名できるようにして、Citrix Cloudによるものであり、悪意のあるアクターによるものではないことを保証します。安全なSAML応答のためにSAMLプロバイダーが使用する許可リストにCitrix ACS URLを追加する場合は、[いいえ] を選択します。
    • [SSOサービスURL] で、使用するバインドメカニズムのURLを入力します。HTTP-POSTまたはHTTP-Redirectバインドのいずれかを使用できます。メタデータファイルで、HTTP-POSTまたは HTTP-Redirectのいずれかのバインド値を持つSingleSignOnService要素を見つけます。 SAMLメタデータファイルからのSSOサービスURL

    • [バインドメカニズム] で、メタデータファイルから選択したSSOサービスURLのバインドに一致するメカニズムを選択します。
    • [SAML応答] で、SAMLプロバイダーがSAML応答とSAMLアサーションに使用する署名方法を選択します。デフォルトでは、Citrix Cloudはこのフィールドで指定されたとおりに署名されていない応答を拒否します。
  3. SAMLプロバイダーの管理コンソールで、次のアクションを実行します:
    • SAML署名アルゴリズムにSHA-256を選択します。
    • X.509証明書をPEMファイルとしてダウンロードします。
  4. Citrix Cloudの [SAMLの構成] 画面で、[ファイルのアップロード] を選択し、前の手順でダウンロードしたPEMファイルを選択します。
  5. [続行] を選択してアップロードを完了します。
  6. [認証コンテキスト] で、使用するコンテキストとCitrix Cloudがコンテキストを適用する厳格さのレベルを選択します。[最小] を選択した場合、選択したコンテキスト、およびより厳格なコンテキストで認証を実施します。[完全一致] を選択した場合、選択したコンテキストでのみ認証を実施します。たとえば、[Transport Layer Security(TLS)] コンテキストと [最小] レベルを選択した場合、Citrix Cloudは、TLS、X.509証明書、統合Windows認証、およびKerberosのコンテキストでSAML応答を受け入れます。[ユーザー名とパスワード]および[パスワード保護転送]コンテキストを使用した応答は拒否されます。SAMLプロバイダーが認証コンテキストをサポートしていない場合、または認証コンテキストを使用しないことを選択した場合は、[未指定] および [最小] を選択します。
  7. [ログアウトURL] で、SAMLプロバイダーのメタデータファイルからHTTP-Redirectバインディングを使用したSingleSignOnService要素を見つけ、URLを入力します。
  8. Citrix Cloudの次のデフォルトの名前属性値が、SAMLプロバイダーの管理コンソールの対応する属性値と一致することを確認します。SAMLプロバイダーの値が異なる場合は、Citrix Cloudでこれらの値を変更して、SAMLプロバイダーと一致させることができます。
    • ユーザーの表示名の属性名displayName
    • ユーザーの名の属性名givenName
    • ユーザーの姓の属性名familyName
  9. Citrix Cloudで、SAMLプロバイダーからのカスタムSAML属性を入力します。
    • [セキュリティ識別子(SID)の属性名] に、カスタムSID属性名を入力します。デフォルト値はcip_sidです。
    • [ユーザープリンシパル名(UPN)の属性名] に、カスタムUPN属性名を入力します。デフォルト値はcip_upnです。
    • [メールの属性名] では、カスタムメール属性名を入力します。デフォルト値はcip_emailです。
    • [ADオブジェクト識別子(OID)の属性名] に、カスタムOID属性名を入力します。デフォルト値はcip_oidです。
  10. [テストして終了] を選択して、正常に接続を構成したことを確認します。

ワークスペースのSAML認証を有効にする

  1. Citrix Cloudメニューから、[ワークスペース構成]を選択します。
  2. [認証] タブを選択します。
  3. [SAML 2.0] を選択します。
SAMLをIDプロバイダーとしてCitrix Cloudに接続する(Technical Preview)