Citrix GatewayのCitrix Content Collaborationシングルサインオン構成ガイド

Citrix ADC AAA機能を使用してCitrix Gateway ADCを構成し、SAML IDプロバイダーとして機能させることができます。

この構成では、Webブラウザーまたは他のCitrix Filesクライアントを使用してCitrix Content Collaborationにサインインするユーザーは、ユーザー認証が有効になっているSAML IPポリシーを使用してCitrix Gateway上の仮想サーバーにリダイレクトされます。Citrix Gatewayを使用した認証が成功すると、ユーザーはCitrix Content Collaborationアカウントへのサインインに有効なSAMLトークンを受け取ります。

この構成は、SP証明書をCitrix GatewayにインポートしてCitrix ADC AAA仮想サーバーにバインドできるようにするために必要です。このドキュメントでは、Citrix Gatewayがリッスンする認証要求をルーティングするための適切な外部および内部DNSエントリをすでに作成しており、SSL証明書がすでに作成されてCitrix Gatewayにインストールされていることを前提としています。 SSL/HTTPS コミュニケーション。

Citrix Content Collaborationを構成する

  1. 管理者権限を持つユーザーアカウントを使用して、https://subdomain.sharefile.comでアカウントにサインインします。
  2. 設定>管理者設定の選択
  3. セキュリティ> ログオン& [セキュリティポリシー]をクリックし、下にスクロールして[ シングルサインオン構成]を選択します。
  4. [基本設定]で、 [ SAMLを有効にする]をオンにします。
  5. ShareFile発行者内 / エンティティIDフィールドに次のように入力します: https://subdomain.sharefile.com/saml/acs
  6. [ ログインURL] フィールドに、SAMLを使用するときにユーザーがリダイレクトされるURLを入力します。例:https://aaavip.mycompany.com/saml/login
  7. [ ログアウトURL] フィールドに、Web UIで[ログアウト]オプションを選択したときにユーザーのセッションを期限切れにするログアウトURLを入力します。例:https://aaavip.mycompany.com/cgi/tmlogout
  8. X.509証明書の場合、Citrix ADC AAAトラフィックに応答するCitrix GatewayアプライアンスからSSL証明書をエクスポートする必要があります。上記の例では、これは、次の FQDN が割り当てられているものとして参照されています: aaavip.mycompany.com

この証明書をエクスポートするには、以下の手順に従ってください。

  1. 構成ユーティリティを使用してCitrix Gatewayアプライアンスにサインインします。
  2. トラフィック管理を選択します > SSL
  3. 右側の [ツール]の下にある[証明書の管理]を選択します / キー/ CSR 。

    ゲートウェイイメージ1

  4. [証明書 の管理]ウィンドウから、Citrix ADC AAA仮想サーバーに使用している証明書を参照します。証明書を選択し、[ ダウンロード ]ボタンを選択します。証明書を選択した場所に保存します。
  5. ダウンロードした場所から証明書を右クリックし、メモ帳などのテキストエディタで開きます。
  6. 証明書の内容全体をクリップボードにコピーします。
  7. Webブラウザーを使用して、Citrix Content Collaborationアカウントに戻ります。
  8. X.509証明書の場合は、[ 変更]を選択します。クリップボードにコピーした証明書の内容をウィンドウに貼り付けます。

    ゲートウェイイメージ2

  9. [保存] を選択します。

  10. すべての従業員ユーザーがAD資格情報を使用してサインインする必要がある場合は、 [オプションの設定]で[SSOログイン が必要]を[はい]に切り替えます。
  11. SPで開始されたSSO証明書の横にあるリストを選択します。リストから、 HTTP Post(2048ビット証明書)を選択します。
  12. [ はい] をオンにすると、SPによって開始されたSSO証明書が強制的に再生成されます。
  13. [ はい]をオンにしてWeb認証を有効にします。
  14. [ SP-Initiated Auth Context]で、[ Unspecified]を選択します。

    ゲートウェイイメージ3

  15. 画面下部の[ 保存 ]ボタンを選択します。

Citrix Gatewayの構成

SAML IDプロバイダーとしてサポートするには、次の構成が必要です。

  • ドメイン認証用のLDAP認証ポリシーとサーバー
  • 外部とのSSL証明書 / 証明書によって提示されるFQDNに従って構成された内部DNS(ワイルドカード証明書がサポートされています)
  • ShareFileSP証明書
  • SAML IdPポリシーとプロファイル
  • Citrix ADC AAA仮想サーバー

この資料では、LDAP構成、Citrix GatewayでのShareFile SP証明書のインポート、 SAML IDP 設定、およびCitrix ADC AAA仮想サーバー構成について説明します。セットアップの前に、SSL証明書とDNS構成を設定する必要があります。

ドメイン認証を構成するには

ドメインユーザーが企業のメールアドレスを使用してサインインできるようにするには、Citrix GatewayでLDAP認証サーバーとポリシーを構成し、それをCitrix ADC AAA VIPにバインドする必要があります。既存のLDAP構成の使用もサポートされています。

  1. 構成ユーティリティの左側のナビゲーションペインで[セキュリティ] > [AAA — アプリケーショントラフィック] > [ポリシー] > [認証] > [基本ポリシー] > [ポリシー] > [LDAP] の順に選択します。
  2. LDAP ポリシーを作成するには、[ポリシー] タブで [追加…] をクリックし、名前として「ShareFile_LDAP_SSO_policy」と入力します。[Action Type][LDAP] を選択します。
  3. [アクション]フィールドで、 + サーバーを追加します。**「 **認証LDAPサーバー の作成」ウィンドウが表示されます。
    • [名前]フィールドに次のように入力します ShareFile_LDAP_SSO_Server 。**
    • サーバーIPの箇条書きを選択します。ADドメインコントローラーの1つのIPアドレスを入力します。DCの負荷分散を行う場合は、冗長性のために仮想サーバーIPを指定することもできます。
    • NSIPがドメインコントローラーとの通信に使用するポートを指定します。LDAPには 389 を使用し、セキュアLDAPには 636 を使用します。
    • [接続設定]で、認証を許可するAD内のユーザーアカウントが存在する ベースDNを 入力します。例OU=ShareFile、DC=ドメイン、DC=COM
    • [ Administrator Bind DN ] フィールドで、AD ツリーを参照する権限を持つドメインアカウント (構成を容易にするためにメールアドレスを使用) を追加します。構成されているアカウントにパスワードの有効期限がある場合、サインインに問題がないように、サービスアカウントをお勧めします。
    • [Bind DN Password] チェックボックスをオンにし、パスワードを 2 回入力します。
    • [その他の設定] で、[サーバーログオン名] 属性としてsamAccountNameと入力します。
    • グループ属性」 フィールドに、 memberofと入力します。
    • サブ属性」 フィールドに「 CN」と入力します。
    • [詳細] クリックします。
    • 下にスクロールし、[属性フィールド] の [属性 1]mailと入力します。

    ゲートウェイイメージ4

    • [ 作成 ] ボタンをクリックして、LDAP サーバの設定を完了します。
    • [ LDAPポリシーの構成]で、サーバーメニューから新しく作成したLDAPサーバーを選択し、[ 式]フィールドに「true」と入力します。

    ゲートウェイイメージ5

[ 作成 ] をクリックして、LDAP ポリシーとサーバーの構成を完了します。

SP-CertificateをCitrix Gatewayにインポートするには

  1. 管理者権限を持つユーザーアカウントを使用して、https://subdomain.sharefile.comでアカウントにサインインします。
  2. ページ左/中央近くの設定>管理者設定リンクを選択します。セキュリティ> ログオン& [セキュリティポリシー]をクリックし、下にスクロールして[ シングルサインオン構成]を選択します。
  3. [ オプションの設定] で、[SP が開始する SSO 証明書] の横にある [ HTTP ポスト (2048 ビット証明書)]をクリックし、[表示]をクリックます。
  4. 証明書ハッシュ全体をクリップボードにコピーして、メモ帳などのテキストリーダーに貼り付けます。
  5. フォーマットを確認し、ファイルの最後にある余分なスペースや改行を削除してから、テキストファイルを次のように保存します。 ShareFile_SAML.cer 。**
  6. Citrix Gateway構成ユーティリティに移動します。
  7. [トラフィック管理] > [SSL] > [証明書] > [CA 証明書] に移動します。
  8. [Install] をクリックします。
  9. [証明書 のインストール]ウィンドウで、証明書とキーのペア名を入力します。
  10. [証明書ファイル名] セクションで、[ 参照 ]の横のメニューを選択し、[ ローカル]を選択します。保存した場所を参照します ShareFile_SAML.cer ファイル。**
  11. ファイルを選択したら、[ インストール]を選択します。

SAML IdPポリシーとプロファイルを構成するには

ユーザーがCitrix Content CollaborationにサインインするためのSAMLトークンを受信するには、ユーザーが資格情報を提供しているCitrix ADC AAA仮想サーバーにバインドされているSAML IdPポリシーとプロファイルを構成する必要があります。

次の手順で、このプロセスの概要を説明します。

  1. Citrix Gateway構成ユーティリティを開き[セキュリティ] > [AAA アプリケーショントラフィック] > [ポリシー] > [認証] > [高度なポリシー] > [SAML IdP]に移動します。
  2. [ ポリシー ]タブで、[ 追加 ]ボタンを選択します。
  3. [ Create Authentication SAML IDP Policy]ウィンドウで、ポリシーの名前を次のように入力します。 ShareFile_SSO_Policy 。**
  4. [アクション]フィールドの右側で、 +新しいを追加するためのサイン Action/Profile 。**
  5. 次のような名前を入力します ShareFile_SSO_Profile メタデータのインポートのチェックボックスを削除します。**古いバージョンのNetScalerを実行している場合、このチェックボックスが存在しない可能性があります。
  6. [ アサーションコンシューマサービスのURL] フィールドに、Citrix Content CollaborationアカウントのURLに続けて入力します /saml/acs: Ex. https://subdomain.sharefile.com/saml/acs
  7. [ IDP証明書名] フィールドで、Citrix ADC AAA認証仮想サーバーを保護するために使用されるCitrix Gatewayにインストールされている証明書を参照します。
  8. [ SP証明書名] フィールドで、メニューを選択し、以前にインポートしてCA証明書として追加したSP証明書を参照します。
  9. サインアサーションの場合は、 ASSERTIONのままにします。
  10. 送信パスワードをクリアします。
  11. [ 発行者名] フィールドに、Citrix ADC AAAトラフィックのURLを入力します。例– https://aaavip.mycompany.com
  12. サービスプロバイダーIDは 空白のままにします。
  13. 署名されていないリクエストを拒否するをクリアします。
  14. 署名アルゴリズムRSA-SHA256
  15. ダイジェスト方式SHA256
  16. SAMLバインディングの場合は、 POSTを選択します。
  17. [詳細] クリックします。
  18. [ オーディエンス] フィールドで、Citrix Content CollaborationアカウントのURLを入力します。
  19. Skew Timeには5と入力します。これにより、クライアント、Citrix Gateway、およびCitrix Content Collaborationの間で5分間の時間差が生じます。
  20. [ 名前IDの形式]で、[ 一時的]を選択します。
  21. 名前ID式」 フィールドに、次のように入力します: aaa.user.attribute(1)。NetScaler 11. xを使用している場合は、 http.req.user.attribute(1)と入力します。

    ゲートウェイイメージ6

  22. [ 作成] をクリックしてSAML IdPプロファイルの設定を完了し、[SAML IdPポリシーの作成]ウィンドウに戻ります。
  23. 式フィールド で、次の式を追加します: HTTP.REQ.URL.CONTAINS(“saml”)
  24. [ 作成] をクリックして、SAML IdP構成を完了します。

    ゲートウェイイメージ7

Citrix ADC AAA仮想サーバーを構成するには

従業員がサインインしようとすると、企業の資格情報を利用するために、Citrix Gateway Citrix ADC AAA仮想サーバーにリダイレクトされます。この仮想サーバーは、Citrix GatewayでホストされているIPアドレスへの外部および内部DNS解決に加えて、SSL証明書を必要とするポート443でリッスンします。次の手順では、これらがすでに存在している必要があります。DNSの名前解決がすでに行われていること、およびSSL証明書がCitrix Gatewayアプライアンスにすでにインストールされていることを前提としています。

  1. 構成ユーティリティで、[ セキュリティ ]に移動します > AAA –アプリケーショントラフィック > 仮想サーバークリックし、[追加]ボタンを選択します。
  2. 認証仮想サーバー」 ウィンドウから、名前とIPアドレスを入力します。
  3. 下にスクロールして、[ 認証]チェックボックスと[ 状態] チェックボックスがオンになっていることを確認します

    ゲートウェイイメージ8

  4. [続行] をクリックします。
  5. [ 証明書 ]セクションで、[ サーバー証明書なし]をクリックします。
  6. [ サーバー証明書キー ]ウィンドウで、[ バインド]をクリックします。
  7. [ SSL証明書]で、Citrix ADC AAA SSL証明書を選択し、[ 挿入]を選択します。注:これはShareFileSP証明書ではありません
  8. [ バインド]をクリックし、[ 続行]をクリックします。
  9. [ 高度な認証ポリシー ]オプションから、[ 認証ポリシーなし]をクリックします。
  10. [ポリシーのバインド]ページから、[ポリシー]を選択し、[ ShareFile_LDAP_SSO_Policy 以前に作成されました。**
  11. [ 選択]、[ バインド] (デフォルトのまま)の順にクリックして、 [認証仮想サーバー]画面に戻ります。
  12. [ 高度な認証ポリシー]で、[ SAMLI DPポリシーなし]をクリックします。
  13. [ ポリシー] で、ShareFile_SSO_POLICY を選択します。[Select]をクリックします。
  14. [ ポリシーのバインド] ページ(デフォルトのまま)で、[ バインド]、[ 閉じる]の順にクリックします。
  15. [続行] と [完了] をクリックします。

構成を検証する

  1. https://subdomain.sharefile.com/saml/loginに移動します。これで、Citrix Gatewayサインインフォームにリダイレクトされます。
  2. 構成した環境に有効なユーザー資格情報を使用してサインインします。subdomain.sharefile.comのフォルダが表示されます。
Citrix GatewayのCitrix Content Collaborationシングルサインオン構成ガイド