Citrix Endpoint ManagementのCitrix Content Collaborationシングルサインオン構成ガイド

Citrix Content CollaborationのSAMLIDプロバイダー(IdP)として機能するようにCitrix Endpoint ManagementサーバーとCitrix Gatewayを構成できます。この構成では、Webブラウザーまたは他のCitrix Filesクライアントを使用してCitrix Content Collaborationにサインオンするユーザーは、ユーザー認証のためにCitrix Endpoint Management環境にリダイレクトされます。Citrix Endpoint Managementによる認証が成功すると、ユーザーはCitrix Content Collaborationアカウントへのサインインに有効なSAMLトークンを受け取ります。

前提条件

すでに構成されているCitrix GatewayおよびCitrix Endpoint Managementサーバーの動作構成。

Citrix Files MDXアプリのSAMLシングルサインオンを構成する

Citrix Endpoint Management ServerをSecure Hubと一緒に使用して、Citrix Files MDXでラップされたアプリケーションへのシングルサインオン(SSO)を行うことができます。このシナリオでは、Secure Hub はCitrix Endpoint ManagementサーバーをIdPとして使用して、Citrix Content Collaborationのサインイン用のSAMLトークンを取得します。

  1. URL https://<Citrix Endpoint Management Server>:4443を使用してCitrix Endpoint Management Serverにサインイン
  2. 構成に移動 > ShareFile
  3. Citrix Content Collaborationサブドメインを入力し、Citrix Files MDXアプリケーションに割り当てる配信グループを選択します。ここで選択した配信グループのユーザーのみが、SSO用のCitrix Endpoint Managementサーバーを使用できます。管理者アカウントログオンで、Citrix Content Collaboration管理者アカウントを入力し、設定を保存します。Citrix Endpoint Management サーバーがCitrix Content Collaboration と通信し、Citrix Content CollaborationコントロールパネルにSAML SSO設定を保存します。

Citrix Files MDXアプリのSAML構成が構成されます。Citrix Files MDXでラップされたアプリケーションを使用したCitrix Content Collaborationへのアクセスのみを許可する場合は、構成は完了です。ただし、MDX以外のCitrix Filesクライアントのアクセスを構成する場合は、構成ガイドを引き続き使用してください。

Citrix Content Collaboration MDX SSOを構成すると、Citrix Endpoint Management サーバーでのユーザープロビジョニングも有効になります。選択した役割の一部であり、Citrix Content Collaborationにアカウントを持たないユーザーは、Citrix Content Collaboration に初めてアクセスする方法に基づいて、Citrix Endpoint Management サーバーによって自動的にプロビジョニングされます。Citrix Endpoint ManagementサーバーがCitrix Content Collaboration ユーザーをプロビジョニングする方法について詳しくは、Knowledge CenterのCTX200431を参照してください。

Citrix Gatewayを構成します

SAML IDプロバイダーとしてのCitrix Endpoint Managementの使用をサポートするには、Citrix Gatewayで次の構成が必要です。

ホームページのリダイレクトを無効にする

を介して送信されるリクエストのデフォルトの動作を無効にする必要があります /cginfra パス。これにより、元の要求された内部URLが、構成されたホームページではなくユーザーに提供されます。

  1. Citrix Endpoint Managementサインインに使用されるCitrix Gateway仮想サーバーの設定を編集します。[その他の設定]に 移動し、 [ホームページにリダイレクト]というラベルの付いたチェックボックスをオフにします :

    Citrix Endpoint Management

  2. ShareFile 設定には、Citrix Endpoint Managementサーバーの内部サーバー名とポートを追加します。例:xms.citrix.lab:8443
  3. AppController 設定には、Citrix Endpoint Managementサーバーのアドレスを入力します。この構成は、指定されたURLへのリクエストを /cginfra 道。

Citrix Content Collaborationセッションポリシーとリクエストプロファイルの作成

  1. 左側のナビゲーションペインのCitrix Gateway構成ユーティリティで、Citrix Gateway > Policies > Session を選択します。
  2. セッションポリシーを作成するには、[ポリシー]タブで[追加…]をクリックし、次のように入力します。 ShareFile_Policy 名前として。
  3. アクションを作成するには、[…]をクリックします。[Citrix Gatewayセッションプロファイルの作成]画面が開きます。
  4. Name」に、セッションプロファイル名として「ShareFile_profile」と入力します。
  5. [クライアントエクスペリエンス]タブ:
    • [ホームページ]に「none」と入力します。
    • セッションタイムアウトには1を入力します。
    • Webアプリケーションへのシングルサインオンを有効にします。
    • クライアントレスアクセスの場合は、 オンに設定します。
    • クライアントレスアクセスの永続的なCookieの場合は、 [許可]に設定します。
    • [資格情報インデックス]で[PRIMARY]を選択します。

    Citrix Endpoint Management 2

  6. [セキュリティ]タブで、[デフォルトの承認アクション]**を[許可]に設定します。

    Citrix Endpoint Management 3

  7. [公開アプリケーション]タブ:
    • ICAプロキシの場合は、[オン]を選択します。
    • 図のように、[Web Interface Address]に、Citrix Endpoint ManagementサーバーのURLを入力します。
    • Single Sign-on Domain」にActive Directoryドメイン名を入力します。

    Citrix Endpoint Management 4

    Citrix Gatewayセッションプロファイルを構成する場合、[シングルサインオンドメイン] フィールドに入力するドメインサフィックスは、LDAPで定義されているCitrix Endpoint Managementドメインエイリアスと一致する必要があります。

  8. [作成] をクリックして、セッションプロファイルの定義を終了します。
  9. のために ShareFile_Policy 式、クラシックポリシーに切り替え、式エディタをクリックします。**
  10. を使用して式を指定します NSC_FSRD とCOOKIEのヘッダー名**

    Citrix Endpoint Management 5

  11. [完了][作成][閉じる]の順にクリックします。

    Citrix Endpoint Management 6

Citrix Gateway仮想サーバーにポリシーを構成する

  1. 左側のナビゲーションペインのCitrix Gateway構成ユーティリティで、 Citrix Gateway>Virtual Serversを選択します。
  2. [詳細] ペインで、Citrix Gateway仮想サーバーをクリックし、[編集]をクリックします。
  3. 構成済みポリシーに 移動 > セッションポリシーをクリックし、[バインディングの追加]クリックします。
  4. を選択 ShareFile_Policy 。**
  5. 挿入されたポリシーの自動生成された優先順位番号を編集して、リストされている他のポリシーと比較して最小の番号(最高の優先順位)になるようにします。

    Citrix Endpoint Management 7

  6. [Done] をクリックして、Citrix Gateway構成を保存します。

シングルサインオン設定を変更する

  1. Citrix Content Collaboration管理者としてアカウントにサインインします。
  2. Webインターフェイスで、 [管理者設定] に移動します > セキュリティ > ログインする & セキュリティポリシーを選択し、 シングルサインオン設定までスクロールダウンします。
  3. ログインURLを編集します。

    Citrix Endpoint Management 9

    • Citrix Endpoint ManagementsaサーバーのFQDNの前にCitrix Gateway仮想サーバーの外部FQDN「plus /cginfra/https/」を挿入し、FQDNの後に「:8443」を追加します。
    • パラメータを変更します & app=ShareFile_SAML_SP アプリケーションの内部名を使用します。内部名は ShareFile_SAML デフォルトですが、構成を変更するたびに、内部名が変更されて番号が追加されます (ShareFile_SAML2, ShareFile_SAML3, 等々)。**
    • 追加 & nssso=true URLの最後まで。**たとえば、次のようになります:https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true

アプリを編集または再作成するたびに、内部アプリケーション名が更新され、名前に番号が追加されます。また、更新されたアプリケーション名を反映するようにログインURLを更新する必要があります。次の例は、内部アプリケーション名がから変更されたときにログインURLを変更する必要がある方法を示しています。 “ShareFile_SAML” に “ShareFile_SAML2”

  1. [オプション設定]で[Web認証を有効 にする]チェックボックスをクリックします。

    Citrix Endpoint Management 10

  2. [保存] をクリックします。

構成を検証します

  1. https://subdomain.sharefile.com/saml/loginに移動します。Citrix Gatewayサインインフォームにリダイレクトされます。
  2. 構成したCitrix GatewayおよびCitrix Endpoint Managementサーバー環境に有効なユーザー資格情報を使用してサインインします。subdomain.sharefile.comのCitrix Filesフォルダーが表示されます。
Citrix Endpoint ManagementのCitrix Content Collaborationシングルサインオン構成ガイド