Citrix Content Collaboration シングルサインオン構成ガイド(デュアルアイデンティティプロバイダー)

このドキュメントでは、単一のCitrix Content Collaboration アカウントのIDプロバイダー(IdP)としてCitrix Endpoint Management とActive Directory フェデレーションサービス(ADFS)の両方を使用する構成について説明します。この構成では、ADFS サーバー上のトークン署名証明書を Citrix Endpoint Management サーバー上の SAML 証明書と同じにすることができます。これにより、単一のCitrix Content Collaboration アカウントが提供され、次のことが可能になります。

  • MDXでラップされたアプリケーションのIdPとしてCitrix Endpoint Management を使用します。Citrix Files MDXアプリケーションを使用して、モバイルデバイスから真のシングルサインオン(SSO)エクスペリエンスを提供します。
  • Web アプリケーションへの SSO 用の SAML IdP として ADFS を使用します。

前提条件

  • Citrix Content Collaborationアカウントに構成されたMDX用のシングルサインオン機能を備えた、Citrix Endpoint Management 10.xサーバー。
  • ADFS は、インフラストラクチャ内にインストールおよび構成されています。
  • シングルサインオンを構成できるCitrix Content Collaboration 内の管理者アカウントへのアクセス。

ADFS トークン署名証明書の準備

Citrix Content Collaboration にSSO用のADFSを構成する場合、秘密キーなしでADFSトークン署名証明書をCitrix Content Collaborationコントロールパネルにアップロードする必要があります。ADFS は、1 年の有効期限でトークン署名とトークンの復号化に使用する自己署名証明書を生成します。ただし、自己署名証明書には秘密キーが含まれています。

1 年になると、自己署名証明書は、有効期限の 15 日前に自動証明書ロールオーバーを使用して更新され、プライマリ証明書になります。これにより、既存の SSO 信頼関係がすべて失敗します。この構成では、Citrix Endpoint Management コンソールからの SAML 証明書が 3 年の有効期限でエクスポートされます。証明書の有効期間はカスタマイズ可能で、トークン署名証明書を 1 年マークで更新する必要性が軽減されます。

SAML 証明書を生成する

  1. Citrix Gateway のGUIにサインインします。
  2. [ トラフィック管理] > [SSL]に移動します。
  3. [ はじめに ] セクションで、[ ルート CA 証明書ウィザード] を選択します。

    デュアル IdP 1

秘密キーを作成するように求められます。

  1. [ Key Filename ] フィールドに、キーの名前を入力します。
  2. キーサイズ、2048。
  3. 公衆指数値, 3.
  4. [ Create ] をクリックしてキーを作成します。

    デュアル IdP 2

次に、証明書署名要求 (CSR) を作成します。

  1. [ 要求ファイル名] フィールドに、CSR の名前を入力します。
  2. キーファイル名PEM 形式はあらかじめ入力されています。
  3. ダイジェストメソッドSHA256 に設定します。
  4. [ 識別名フィールド]に、組織に関する情報を入力します。
  5. 属性フィールドでは、チャレンジパスワードは必要ありません。ただし、 会社名 を追加することはできます。
  6. 作成」 をクリックして、CSRリクエストを完了します。

    デュアル IdP 3 デュアル IdP 4

最後の手順では、SAML 証明書を作成します。

  1. [ 証明書ファイル名] フィールドに、証明書の名前を入力します。
  2. 証明書形式 には PEM があらかじめ入力されています。
  3. 証明書要求ファイル名 には、前の手順で作成した CSR が反映されます。
  4. [ キー形式] のデフォルトは PEM です。
  5. 証明書 の有効期間 を日数で指定します。この例では、作成される証明書は 3 年の証明書なので、 1095と入力します。
  6. キーファイル名 は、最初のステップから事前に入力されます。
  7. [ 作成 ] をクリックして証明書を作成します。

    デュアル IdP 5

  8. 証明書を作成したら、Citrix Gateway に証明書をインストールする必要がないため、ウィザードを終了できます。
  9. [ キャンセル ] をクリックし、[ はい ] をクリックして、SSL GUI のメイン画面に戻ることを確認します。

SAML 証明書のエクスポート

これで、新しく作成した証明書をエクスポートし、Citrix Gateway をキーオフして、Citrix Endpoint Management サーバーおよびADFSで使用する必要があります。Citrix Endpoint Management では、証明書とキーがCitrix Endpoint Management 用に正しくフォーマットされているため、前の手順で作成した saml_dualidp.cer**ファイルと saml_dualidp.key ファイルが必要です。手順に従って、組み込みの SAML 証明書を置き換える際に、Citrix Endpoint Management サーバーにファイルをアップロードするために使用できる場所にファイルを保存します。

  1. Citrix Gateway の「 トラフィック管理」>「SSL」で、「 ツール」で 「証明書/キー/CSRの管理」をクリックします。
  2. [ 証明書の管理 ] ページで、[ 更新日 ] をクリックすると、最新のファイルが一番上に表示されます。これで、前の手順で新しく作成された 3 つのファイルが表示されます。表示されない場合は、1 ページあたり 25 件を超える項目を表示できます。

    デュアル IdP 6

  3. saml_dualidp.cer ファイルを選択し、[ ダウンロード ] を選択します。任意の場所に保存します。
  4. saml_dualidp.key ファイルの前の手順に従います。
  5. 前のページに戻るには、[ 戻る ] をクリックします。

次に、証明書とキーを ADFS サーバーが理解できるファイル形式でエクスポートします。

  1. 前と同じ ツール セクションで、[ PKCS #12 をエクスポート ] オプションを選択します。
  2. 「ファイルを選択」 フィールドに「 saml_dualidp.pfx 」と入力します。
  3. [ 証明書ファイル名 ] フィールドで、[ ファイルを選択]、[更新日 ] の順に選択し、 saml_dualidp.cer ファイルを選択します。[ 開く] をクリックします。
  4. キーファイル名 」フィールドで、 「ファイルを選択」、「更新日 」の順に選択し、 saml_dualidp.key ファイルを選択します。[ 開く] をクリックします。
  5. エクスポートパスワードを入力します
  6. PEM パスフレーズを入力します。
  7. [ OK] をクリックしてエクスポートを終了します。

ここで、.pfxファイルをCitrix Gateway からネットワーク上の場所にコピーする必要があります。

  1. もう一度 [ ツール] メニューから、[ 証明書/キー/ CSR の管理 ] オプションを選択します。
  2. 新しく作成した saml_dualidp.pfx ファイルを選択し、[ ダウンロード ] を選択します。
  3. ローカルにアクセス可能な場所にファイルを保存します。
  4. Citrix Gateway のウィンドウを閉じます。

SAML 証明書の作成プロセスが完了しました。

新しく作成したトークン署名証明書を ADFS にアップロードする

最初の手順では、ADFS サーバーで証明書のロールオーバーを無効にします。

  1. ADFS サーバーへのリモート接続を作成します。
  2. 既定では、ADFS は、自己署名証明書を 1 年マークで更新する自動証明書ロールオーバーを有効にします。新しく作成したトークン署名証明書をアップロードするには、この機能を無効にする必要があります。
  3. ADFS サーバーで 管理者 として PowerShell を実行します。
  4. タイプ:Get-ADFSProperties
  5. 自動証明書のロールオーバーを無効にする手順は、次のとおりです。Set-ADFSProperties -AutoCertificateRollover $false

その後、以前にエクスポートした saml_dualidp.pfx ファイルを ADFS サーバーにインポートして、トークン署名証明書として使用できるようにする必要があります。

  1. ADFS サーバーを右クリックし、[実行] > [mmc] の順にクリックし、[Enter] を選択してスナップインを開きます。
  2. [ ファイル] > [スナップインの追加と削除]をクリックします。
  3. [使用可能なスナップイン] セクションで、[ 証明書] を選択し、[ 追加] をクリックします。
  4. [ コンピュータアカウント] を選択し、[ 次へ] をクリックします。
  5. [ ローカルコンピュータ] を選択し、[ 完了 ] をクリックして [ OK ] をクリックします。
  6. コンソールルートで、[ 証明書] > [個人] > [証明書] を展開します
  7. [証明書] フォルダを右クリックし、[ すべてのタスク] > [インポート]を選択します。
  8. [ようこそ] 画面で、[ 次へ] をクリックします。
  9. 前に保存した saml_dualidp.pfx ファイルを参照し、[ 開く ] をクリックします。
  10. [ 次へ]を選択し、秘密キーのパスワードを入力し、もう一度 [ 次へ] を選択します。
  11. [ すべての証明書を次のストアに配置する]、[個人] を選択し、 [ 次へ ] をクリックします。
  12. [ 完了 ] をクリックしてインポートを完了し、MMC スナップインを閉じます。

これで、ADFSでトークン署名証明書を変更する必要があります。

  1. ADFS サーバーで、サーバーマネージャーのダッシュボードから、 [ツール] > [ADFS 管理]を選択します。
  2. ADFS 管理コンソールの左側で、[ サービス] > [証明書] を展開します
  3. 「アクション」メニューで「トークン署名証明書の追加 」を選択し、新しくインポートしたトークン署名証明書を選択します。
  4. 新しく追加されたトークン署名証明書は、セカンダリ証明書として追加されます。あなたはそれをプライマリにする必要があります。
  5. [ サービス ] を展開し、[ 証明書 ] を選択します。
  6. [ セカンダリ トークン署名証明書] をクリックします。
  7. 右側の [ 操作 ] ウィンドウで、[ プライマリに設定] を選択します。確認プロンプトで [ はい ] をクリックします。

Citrix Endpoint Management 構成

Citrix Endpoint Management で同じ証明書を使用するには、2つの操作しか実行できません。

Citrix Endpoint Management SAML 証明書のバックアップ

  1. Citrix Endpoint Management サーバーにサインインし、右上の歯車アイコンをクリックし、[ 設定] で [証明書] を選択します。
  2. SAML 証明書を強調表示し、[ エクスポート] をクリックします。
  3. 秘密鍵もエクスポートすることを選択し、[ OK] をクリックします。
  4. 証明書を安全な場所に保存します。

新しい SAML 証明書のインストール

  1. Citrix Endpoint Management サーバーにサインインし、歯車アイコンをクリックし、[ 設定 ] で [ 証明書 ] をクリックします。
  2. インポート」をクリックし、次のオプションを選択します。
    • インポート:証明書
    • 使用方法:SAML
    • 証明書のインポート: ワークステーションまたはネットワークを参照して、以前にエクスポートした saml_dualidp.cer ファイルを探します。
    • プライベートキーファイル: ワークステーションを参照して、以前にエクスポートした saml_dualidp.key ファイルを探します。
    • パスワード: 秘密キーのパスワードを入力します。
    • 説明: 他の人がその機能を知るために十分な詳細を入力します。
  3. [ インポート ] をクリックして完了します。

    デュアル IdP 7

  4. Citrix Endpoint Management サーバーで、「 設定」、「 ShareFile」の順にクリックします。
  5. 以前の設定がある場合は、画面の右下にある [ 保存 ] をクリックします。この手順では、前の手順で作成したX.509証明書を使用して、Citrix Content Collaboration アカウントを更新します。また、現在の SSO 設定も上書きされます。この設定は、次のセクションで説明する手順で変更されます。
  6. Citrix Content Collaboration がまだ構成されていない場合は、[ ドメイン ]フィールドにCitrix Content Collaboration アカウントを入力します。
  7. Citrix Files MDXアプリケーションにアクセスできるデリバリーグループを選択します。
  8. Citrix Content Collaboration ユーザー名を入力します。これは、ローカルの管理ユーザーアカウントです。
  9. Citrix Content Collaboration のパスワードを入力します(Active Directory のパスワードではありません)。
  10. ユーザーアカウントのProvisioningオフ のままにします(特にユーザー管理ツールを使用している場合)。
  11. 保存 ]をクリックして、Citrix Endpoint Management でCitrix Content Collaborationの設定を完了します。

    デュアル IdP 8

Citrix Content Collaboration シングルサインオン構成チェック

Citrix Endpoint Management とADFSの両方がCitrix Content Collaboration 用に構成されたら、以下の手順に従ってSSO設定を検証します。

  1. Web UIを使用してCitrix Content Collaboration アカウントにログインし、「 管理」、「 シングルサインオンの設定」の順に選択します。
  2. 発行元/エンティティ ID: これは、ADFS 構成内の識別子名と同じである必要があります。
  3. ログイン URL: ADFS へのログイン URL (例:https://adfs.company.com/adfs/ls )。
  4. ログアウト URL: ADFS へのログアウト URL (例:https://adfs.company.com/adfs/ls/?wa=wsignout1.0 )。これは、ADFS のログアウトポイントとして追加する必要があります (まだ行っていない場合)。
  5. Web 認証を有効にする: はい
  6. [SP 開始認証コンテキスト]: [フォーム認証] の [ ユーザー名とパスワード ] または [統合認証] (ADFS サーバーの構成に応じて) オプションを選択します。

    デュアル IdP 9

テスト

デバイスをCitrix Endpoint Management に再登録し、アプリをダウンロードし、MDX SSOが動作しているかどうかを確認します。また、SP で開始された認証https://[subdomain].sharefile.com/saml/loginを使用してテストを実行することもできます。