Citrix GatewayのCitrix Content Collaborationシングルサインオン構成ガイド

Citrix ADC AAA機能を使用してCitrix Gateway ADCを構成し、SAML IDプロバイダーとして機能させることができます。

この構成では、Webブラウザーまたは他のCitrix Filesクライアントを使用してCitrix Content Collaborationにサインインするユーザーは、ユーザー認証が有効になっているSAML IPポリシーを使用してCitrix Gateway上の仮想サーバーにリダイレクトされます。Citrix Gatewayを使用した認証が成功すると、ユーザーはCitrix Content Collaborationアカウントへのサインインに有効なSAMLトークンを受け取ります。

この構成は、SP証明書をCitrix GatewayにインポートしてCitrix ADC AAA仮想サーバーにバインドできるようにするために必要です。このドキュメントでは、Citrix Gatewayがリッスンする認証要求をルーティングするための適切な外部および内部DNSエントリをすでに作成しており、SSL証明書がすでに作成されてCitrix Gatewayにインストールされていることを前提としています。 SSL/HTTPS コミュニケーション。

Citrix Content Collaborationを構成する

  1. 管理者権限を持つユーザーアカウントを使用して、https://subdomain.sharefile.comでアカウントにサインインします。
  2. 設定>管理者設定の選択
  3. セキュリティ> ログオン& [セキュリティポリシー]をクリックし、下にスクロールして[ シングルサインオン構成]を選択します。
  4. [基本設定]で[SAMLを有効にする]をオンにします。
  5. ShareFile発行者内 / エンティティIDフィールドに次のように入力します: https://subdomain.sharefile.com/saml/acs
  6. [ログインURL] フィールドに、SAMLを使用するときにユーザーがリダイレクトされるURLを入力します。例:https://aaavip.mycompany.com/saml/login
  7. [ログアウトURL] フィールドに、Web UIで[ログアウト]オプションを選択したときにユーザーのセッションを期限切れにするログアウトURLを入力します。例:https://aaavip.mycompany.com/cgi/tmlogout
  8. X.509証明書の場合、Citrix ADC AAAトラフィックに応答するCitrix GatewayアプライアンスからSSL証明書をエクスポートする必要があります。上記の例では、これは、次の FQDN が割り当てられているものとして参照されています: aaavip.mycompany.com

この証明書をエクスポートするには、以下の手順に従ってください。

  1. 構成ユーティリティを使用してCitrix Gatewayアプライアンスにサインインします。
  2. トラフィック管理を選択します > SSL
  3. 右側の **[ツール]の**下にある[証明書の管理]を選択します / キー/ CSR 。

    ゲートウェイイメージ1

  4. [証明書 の管理]ウィンドウから、Citrix ADC AAA仮想サーバーに使用している証明書を参照します。証明書を選択し、[ダウンロード]ボタンを選択します。証明書を選択した場所に保存します。
  5. ダウンロードした場所から証明書を右クリックし、メモ帳などのテキストエディタで開きます。
  6. 証明書の内容全体をクリップボードにコピーします。
  7. Webブラウザーを使用して、Citrix Content Collaborationアカウントに戻ります。
  8. X.509証明書の場合は、[変更]を選択します。クリップボードにコピーした証明書の内容をウィンドウに貼り付けます。

    ゲートウェイイメージ2

  9. [保存] を選択します。

  10. すべての従業員ユーザーがAD資格情報を使用してサインインする必要がある場合は、 [オプションの設定]で[SSOログイン が必要]を[はい]に切り替えます。
  11. SPで開始されたSSO証明書の横にあるリストを選択します。リストから、 HTTP Post(2048ビット証明書)を選択します。
  12. [はい] をオンにすると、SPによって開始されたSSO証明書が強制的に再生成されます。
  13. [はい] をオンにして Web認証を有効にします。
  14. [SP-Initiated Auth Context]で[Unspecified]を選択します。

    ゲートウェイイメージ3

  15. 画面下部の[保存]ボタンを選択します。

Citrix Gatewayを構成します

SAML IDプロバイダーとしてサポートするには、次の構成が必要です。

  • ドメイン認証用のLDAP認証ポリシーとサーバー
  • 外部とのSSL証明書 / 証明書によって提示されるFQDNに従って構成された内部DNS(ワイルドカード証明書がサポートされています)
  • ShareFileSP証明書
  • SAML IdPポリシーとプロファイル
  • Citrix ADC AAA仮想サーバー

この資料では、LDAP構成、Citrix GatewayでのShareFile SP証明書のインポート、 SAML IDP 設定、およびCitrix ADC AAA仮想サーバー構成について説明します。セットアップの前に、SSL証明書とDNS構成を設定する必要があります。

ドメイン認証を構成するには

ドメインユーザーが企業のメールアドレスを使用してサインインできるようにするには、Citrix GatewayでLDAP認証サーバーとポリシーを構成し、それをCitrix ADC AAA VIPにバインドする必要があります。既存のLDAP構成の使用もサポートされています。

  1. 構成ユーティリティの左側のナビゲーションペインで[セキュリティ] > [AAA — アプリケーショントラフィック] > [ポリシー] > [認証] > [基本ポリシー] > [ポリシー] > [LDAP] の順に選択します。
  2. LDAP ポリシーを作成するには、[ポリシー] タブで [追加…] をクリックし、名前として「ShareFile_LDAP_SSO_policy」と入力します。[Action Type][LDAP] を選択します。
  3. [アクション]フィールドで、 + サーバーを追加します。**「 **認証LDAPサーバー の作成」ウィンドウが表示されます。
    • [名前]フィールドに次のように入力します ShareFile_LDAP_SSO_Server 。**
    • サーバーIPの箇条書きを選択します。ADドメインコントローラーの1つのIPアドレスを入力します。DCの負荷分散を行う場合は、冗長性のために仮想サーバーIPを指定することもできます。
    • NSIPがドメインコントローラーとの通信に使用するポートを指定します。LDAPには 389 を使用し、セキュアLDAPには 636 を使用します。
    • [接続設定]で、認証を許可するAD内のユーザーアカウントが存在する ベースDNを 入力します。例OU=ShareFile、DC=ドメイン、DC=COM
    • [Administrator Bind DN] フィールドで、AD ツリーを参照する権限を持つドメインアカウント (構成を容易にするためにメールアドレスを使用) を追加します。構成されているアカウントにパスワードの有効期限がある場合、サインインに問題がないように、サービスアカウントをお勧めします。
    • [Bind DN Password] チェックボックスをオンにし、パスワードを 2 回入力します。
    • [その他の設定] で、[サーバーログオン名] 属性としてsamAccountNameと入力します。
    • グループ属性」 フィールドに、 memberofと入力します。
    • サブ属性」 フィールドに「 CN」と入力します。
    • [詳細] クリックします。
    • 下にスクロールし、[属性フィールド] の [属性 1]mailと入力します。

    ゲートウェイイメージ4

    • [作成] ボタンをクリックして、LDAP サーバの設定を完了します。
    • [LDAPポリシーの構成]で、サーバーメニューから新しく作成したLDAPサーバーを選択し、[式] フィールドにtrueと入力します。

    ゲートウェイイメージ5

[作成] をクリックして、LDAP ポリシーとサーバーの構成を完了します。

SP-CertificateをCitrix Gatewayにインポートするには

  1. 管理者権限を持つユーザーアカウントを使用して、https://subdomain.sharefile.comでアカウントにサインインします。
  2. ページ左/中央近くの設定>管理者設定リンクを選択します。セキュリティ> ログオン& [セキュリティポリシー]をクリックし、下にスクロールして[ シングルサインオン構成]を選択します。
  3. [ オプションの設定] で、[SP が開始する SSO 証明書] の横にある [ HTTP ポスト (2048 ビット証明書)]をクリックし、[表示]をクリックます。
  4. 証明書ハッシュ全体をクリップボードにコピーして、メモ帳などのテキストリーダーに貼り付けます。
  5. フォーマットを確認し、ファイルの最後にある余分なスペースや改行を削除してから、テキストファイルを次のように保存します。 ShareFile_SAML.cer 。**
  6. Citrix Gateway構成ユーティリティに移動します。
  7. [トラフィック管理] > [SSL] > [証明書] > [CA 証明書] に移動します。
  8. [Install] をクリックします。
  9. [証明書のインストール] ウィンドウで、 証明書とキーのペア名を入力します。
  10. [証明書ファイル名] セクションで、[参照]の横のメニューを選択し、[ローカル]を選択します。保存した場所を参照します ShareFile_SAML.cer ファイル。**
  11. ファイルを選択したら、[インストール]を選択します。

SAML IdPポリシーとプロファイルを構成するには

ユーザーがCitrix Content CollaborationにサインインするためのSAMLトークンを受信するには、ユーザーが資格情報を提供しているCitrix ADC AAA仮想サーバーにバインドされているSAML IdPポリシーとプロファイルを構成する必要があります。

次の手順で、このプロセスの概要を説明します。

  1. Citrix Gateway構成ユーティリティを開き[セキュリティ] > [AAA アプリケーショントラフィック] > [ポリシー] > [認証] > [高度なポリシー] > [SAML IdP]に移動します。
  2. [ポリシー]タブで、[追加]ボタンを選択します。
  3. [Create Authentication SAML IDP Policy]ウィンドウで、ポリシーの名前を次のように入力します。 ShareFile_SSO_Policy 。**
  4. [アクション]フィールドの右側で、 + 新しいを追加するためのサイン Action/Profile 。
  5. 次のような名前を入力します ShareFile_SSO_Profile メタデータのインポートのチェックボックスを削除します。古いバージョンのNetScalerを実行している場合、このチェックボックスが存在しない可能性があります。
  6. [アサーションコンシューマサービスのURL] フィールドに、Citrix Content CollaborationアカウントのURLに続けて入力します /saml/acs: Ex. https://subdomain.sharefile.com/saml/acs
  7. [IDP証明書名] フィールドで、Citrix ADC AAA認証仮想サーバーを保護するために使用されるCitrix Gatewayにインストールされている証明書を参照します。
  8. [SP証明書名] フィールドで、メニューを選択し、以前にインポートしてCA証明書として追加したSP証明書を参照します。
  9. サインアサーションの場合は、 ASSERTIONのままにします。
  10. 送信パスワードをクリアします。
  11. [発行者名] フィールドに、Citrix ADC AAAトラフィックのURLを入力します。例– https://aaavip.mycompany.com
  12. サービスプロバイダーIDは 空白のままにします。
  13. 署名されていないリクエストを拒否するをクリアします。
  14. 署名アルゴリズムRSA-SHA256
  15. ダイジェスト方式SHA256
  16. SAMLバインディングの場合は、 POSTを選択します。
  17. [詳細] クリックします。
  18. [オーディエンス] フィールドで、Citrix Content CollaborationアカウントのURLを入力します。
  19. Skew Timeには5と入力します。これにより、クライアント、Citrix Gateway、およびCitrix Content Collaborationの間で5分間の時間差が生じます。
  20. [名前IDの形式]で[一時的]を選択します。
  21. 名前ID式」 フィールドに、次のように入力します: aaa.user.attribute(1)。NetScaler 11. xを使用している場合は、 http.req.user.attribute(1)と入力します。

    ゲートウェイイメージ6

  22. [作成] をクリックしてSAML IdPプロファイルの設定を完了し、[SAML IdPポリシーの作成]ウィンドウに戻ります。
  23. 式フィールド で、次の式を追加します: HTTP.REQ.URL.CONTAINS(“saml”)
  24. [作成] をクリックして、SAML IdP構成を完了します。

    ゲートウェイイメージ7

Citrix ADC AAA仮想サーバーを構成するには

従業員がサインインしようとすると、企業の資格情報を利用するために、Citrix Gateway Citrix ADC AAA仮想サーバーにリダイレクトされます。この仮想サーバーは、Citrix GatewayでホストされているIPアドレスへの外部および内部DNS解決に加えて、SSL証明書を必要とするポート443でリッスンします。次の手順では、これらがすでに存在している必要があります。DNSの名前解決がすでに行われていること、およびSSL証明書がCitrix Gatewayアプライアンスにすでにインストールされていることを前提としています。

  1. 構成ユーティリティで、[セキュリティ]に移動します > AAA –アプリケーショントラフィック > 仮想サーバークリックし、[追加]ボタンを選択します。
  2. 認証仮想サーバー」 ウィンドウから、名前とIPアドレスを入力します。
  3. 下にスクロールして、[認証] チェックボックスと[状態] チェックボックスがオンになっていることを確認します

    ゲートウェイイメージ8

  4. [続行] をクリックします。
  5. [証明書]セクションで、[サーバー証明書なし]をクリックします。
  6. [サーバー証明書キー]ウィンドウで、[バインド]をクリックします。
  7. [SSL証明書]で、Citrix ADC AAA SSL証明書を選択し、[挿入]を選択します。注:これはShareFileSP証明書ではありません
  8. [バインド]をクリックし、[続行]をクリックします。
  9. [高度な認証ポリシー]オプションから、[認証ポリシーなし]をクリックします。
  10. [ポリシーのバインド]ページから、[ポリシー]を選択し、[ ShareFile_LDAP_SSO_Policy 以前に作成されました。**
  11. [選択][バインド] (デフォルトのまま)の順にクリックして、 [認証仮想サーバー]画面に戻ります。
  12. [高度な認証ポリシー]で、[SAMLI DPポリシーなし]をクリックします。
  13. [ポリシー] で、ShareFile_SSO_POLICY を選択します。[Select]をクリックします。
  14. [ポリシーのバインド] ページ(デフォルトのまま)で、[バインド][閉じる]の順にクリックします。
  15. [続行][完了] をクリックします。

構成を検証する

  1. https://subdomain.sharefile.com/saml/loginに移動します。これで、Citrix Gatewayサインインフォームにリダイレクトされます。
  2. 構成した環境に有効なユーザー資格情報を使用してサインインします。subdomain.sharefile.comのフォルダが表示されます。
Citrix GatewayのCitrix Content Collaborationシングルサインオン構成ガイド