デュアルIDプロバイダーのCitrix Content Collaboration シングルサインオン構成ガイド

このドキュメントでは、単一のCitrix Content Collaboration アカウントのIDプロバイダー(IdP)としてCitrix Endpoint Management とActive Directory フェデレーションサービス(ADFS)の両方を使用する構成について説明します。その結果、ADFSサーバー上のトークン署名証明書を、Citrix Endpoint Management サーバー上のSAML証明書と同じにすることができます。これにより、単一のCitrix Content Collaboration アカウントが提供されます。

  • MDXラップアプリのIdPとしてCitrix Endpoint Management を使用します。Citrix Files MDXアプリケーションを使用して、モバイルデバイスから真のシングルサインオン(SSO)エクスペリエンスを提供します。
  • ADFS を Web アプリケーションへの SSO の SAML IdP として使用します。

前提条件

  • Citrix Content Collaborationアカウントに構成されたMDX用のシングルサインオン機能を備えた、Citrix Endpoint Management 10.xサーバー。
  • インフラストラクチャ内にインストールおよび構成された ADFS。
  • シングルサインオンを構成できるCitrix Content Collaboration 内の管理者アカウントへのアクセス。

ADFS トークン署名証明書の準備

Citrix Content Collaboration にSSO用のADFSを構成する場合、秘密キーなしでADFSトークン署名証明書をCitrix Content Collaborationコントロールパネルにアップロードする必要があります。ADFS は、自己署名証明書を生成します。この証明書は、1 年の有効期限でトークン署名およびトークン復号化に使用されます。ただし、自己署名証明書には秘密キーが含まれています。

1 年マークでは、自己署名証明書は、有効期限の 15 日前に自動証明書ロールオーバーを使用して更新され、プライマリ証明書になります。これにより、既存の SSO 信頼関係がすべて失敗します。この構成では、Citrix Endpoint Management コンソールからのSAML証明書が3年間の有効期限でエクスポートされます。証明書の有効期間はカスタマイズ可能で、トークン署名証明書を1年マークで更新する必要性が軽減されます。

SAML 証明書の生成

  1. Citrix Gateway のGUIにサインインします。
  2. [ トラフィック管理] > [SSL]に移動します。
  3. [ はじめ に] セクションで、[ ルート CA 証明書ウィザード]を選択します。

    デュアル IdP 1

これで、秘密キーを作成するように求められます。

  1. [ Key Filename ] フィールドに、キーの名前を入力します。
  2. キーサイズ、2048。
  3. パブリック指数の値、3.
  4. [ Create ] をクリックしてキーを作成します。

    デュアル IdP 2

次のステップは、証明書署名要求 (CSR) を作成することです。

  1. [ 要求ファイル名 ] フィールドに、CSR の名前を入力します。
  2. キーファイル名PEM 形式はあらかじめ入力されています。
  3. ダイジェスト方式SHA256に設定します。
  4. [ 識別名フィールド]で、組織に関する情報を入力します。
  5. 属性フィールドでは、チャレンジパスワードは必要ありません。ただし、 会社名は 追加できます。
  6. 作成 」をクリックして、CSRリクエストを完了します。

    デュアル IdP 3 デュアル IdP 4

最後のステップは、SAML 証明書を作成することです。

  1. [ 証明書ファイル名 ] フィールドに、証明書の名前を入力します。
  2. 証明書形式 には PEMがあらかじめ入力されています。
  3. 証明書要求ファイル名 には、前の手順で作成した CSR が反映されます。
  4. キー形式 はデフォルトで PEMになります。
  5. 証明書 の有効期間 を指定します (日数)。この例では、作成された証明書は 3 年間の証明書であるため、 1095と入力します。
  6. キーファイル名は 、最初のステップから事前に入力されています。
  7. [ Create ] をクリックして証明書を作成します。

    デュアル IdP 5

  8. 証明書を作成したら、Citrix Gateway に証明書をインストールする必要がないため、ウィザードを終了できます。
  9. [ Cancel ] をクリックし、[ YES ] をクリックして、SSL GUI のメイン画面に戻ることを確認します。

SAML 証明書のエクスポート

Citrix Endpoint ManagementサーバーとADFSで使用するために、新しく作成した証明書とキーをCitrix Gatewayからエクスポートする必要があります。Citrix Endpoint Management では、証明書と キーがCitrix En *d point Management用に適切にフォーマットされているため、前の手順で作成したsaml_dualidp.c* erファイルとsaml_dualidp.keyファイルが必要です。手順に従って、組み込みのSAML証明書を置き換えるときに、Citrix Endpoint Management サーバーにファイルをアップロードするために使用できる場所にファイルを保存してください。

  1. Citrix Gateway の[ トラフィック管理]>[SSL]で、[ ツール]で[ 証明書/キー/CSRの管理]をクリックします。
  2. [ 証明書の管理 ] ページで、[ 更新日] をクリックすると、最新のファイルが一番上に表示されます。これで、前の手順で新しく作成された 3 つのファイルが表示されます。それらが表示されない場合は、1 ページあたり 25 以上の項目を表示できます。

    デュアル IdP 6

  3. saml_dualidp.cer ファイルを選択し、「 ダウンロード」を選択します。任意の場所に保存します。
  4. saml_dualidp.key ファイルの前の手順に従います。
  5. 前のページ に戻るには、[戻る ] をクリックします。

次に、ADFS サーバーが認識するファイル形式で証明書とキーをエクスポートします。

  1. 以前と同じ [ ツール ] セクションで、[ PKCS #12 をエクスポート] オプションを選択します。
  2. 「ファイルを選択」 フィールドに、 saml_dualidp.pfxと入力します。
  3. [ 証明書ファイル名] フィールドで、[ファイルの選択]、[更新日] を選択し、 saml_dualidp.cer ファイルを選択します。[開く] をクリックします。
  4. Key Filename」フィールドで、Choose File, Date Modifiedを選択し、saml_dualidp.key ファイルを選択します。[開く] をクリックします。
  5. エクスポートパスワードを入力します。
  6. PEM パスフレーズを指定します。
  7. [ OK ] をクリックしてエクスポートを終了します。

ここで、Citrix Gateway からネットワーク上の場所に.pfxファイルをコピーする必要があります。

  1. もう一度 [ ツール ] メニューから、[ 証明書/キー/CSR の管理] オプションを選択します。
  2. 新しく作成した saml_dualidp.pfx ファイルを選択し、[ ダウンロード] を選択します。
  3. ローカルでアクセス可能な場所にファイルを保存します。
  4. Citrix Gateway のウィンドウを閉じます。

SAML 証明書の作成プロセスが完了しました。

新しく作成したトークン署名証明書を ADFS にアップロード

最初のステップは、ADFS サーバーで証明書のロールオーバーを無効にします。

  1. ADFS サーバーへのリモート接続を作成します。
  2. 既定では、ADFS では、自動証明書ロールオーバーが 1 年マークの自己署名証明書を更新できます。新しく作成されたトークン署名証明書をアップロードするには、この機能を無効にする必要があります。
  3. ADFS サーバーで PowerShell を 管理者 として実行します。
  4. タイプ: Get-ADFSProperties
  5. 自動証明書ロールオーバーを無効にする手順は、次のとおりです。 Set-ADFSProperties -AutoCertificateRollover $false

その後、以前にエクスポートした saml_dualidp.pfx ファイルを ADFS サーバーにインポートして、トークン署名証明書として使用できるようにする必要があります。

  1. ADFS サーバーを右クリックし、[スタート] > [ファイル名を指定して実行] > [mmc と入力]、Enter を選択してスナップインを開きます。
  2. [ ファイル] > [スナップインの追加と削除] の順にクリックします。
  3. [利用可能なスナップイン] セクションで、[ 証明書] を選択し、[ 追加] をクリックします。
  4. [ コンピュータアカウント] を選択し、[ 次へ] をクリックします。
  5. [ ローカルコンピュータ ]、[ 完了] の順に選択し、[ OK] をクリックします。
  6. [コンソールルート] で、[証明書] > [個人] > [証明書] を展開します。
  7. [証明書] フォルダを右クリックし、[ すべてのタスク] > [インポート]を選択します。
  8. [ようこそ] 画面で、[ 次へ] をクリックします。
  9. 前に保存した saml_dualidp.pfx ファイルを参照し、[ 開く] をクリックします。
  10. [ 次へ] を選択し、秘密キーのパスワードを入力し、もう一度 [ 次へ ] を選択します。
  11. [すべての証明書を個人証明書ストアに配置する] を選択して、[次へ] をクリックします。
  12. [ 完了 ] をクリックしてインポートを完了し、MMC スナップインを閉じます。

これで、ADFS のトークン署名証明書を変更する必要があります。

  1. ADFS サーバーで、サーバーマネージャーのダッシュボードから、[ ツール] > [ADFS 管理] を選択します。
  2. ADFS 管理コンソールの左側で、[ サービス] > [証明書] を展開します。
  3. [ アクション ] メニューで、[ トークン署名証明書の追加] を選択し、新しくインポートしたトークン署名証明書を選択します。
  4. 新しく追加されたトークン署名証明書は、セカンダリ証明書として追加されます。あなたはそれをプライマリにする必要があります。
  5. [ サービス ] を展開し、[ 証明書] を選択します。
  6. [ セカンダリ トークン署名証明書] をクリックします。
  7. 右側の [ 操作 ] ウィンドウで、[ プライマリとして設定] を選択します。確認のプロンプトで [ はい ] をクリックします。

Citrix Endpoint Management 構成

Citrix Endpoint Management で同じ証明書を使用するには、2つの操作を実行する必要があります。

Citrix Endpoint Management SAML証明書のバックアップ

  1. Citrix Endpoint Management サーバーにサインインし、右上の歯車アイコンをクリックし、[ 設定] で [ 証明書] を選択します。
  2. SAML 証明書を強調表示し、[ エクスポート] をクリックします。
  3. 秘密鍵もエクスポートするように選択し、「 OK」をクリックします。
  4. 証明書を安全な場所に保存します。

新しい SAML 証明書のインストール

  1. Citrix Endpoint Management サーバーにサインインし、歯車アイコンをクリックし、[ 設定 ] で [ 証明書] をクリックします。
  2. [ インポート] をクリックし、次のオプションを選択します。
    • インポート:証明書
    • 使用方法:SAML
    • 証明書のインポート: ワークステーションまたはネットワークを参照して、以前にエクスポートした saml_dualidp.cer ファイルを探します。
    • 秘密キーファイル: ワークステーションを参照して、以前にエクスポートした saml_dualidp.key ファイルを探します。
    • パスワード: 秘密キーのパスワードを入力します。
    • 説明: 他の人がその機能を知るのに十分な詳細を入力します。
  3. [ インポート ] をクリックして完了します。

    デュアル IdP 7

  4. Citrix Endpoint Management サーバーで、[ 構成]、[ ShareFile]の順にクリックします。
  5. 以前の設定がある場合は、画面の右下にある [ 保存 ] をクリックします。この手順では、前の手順で作成したX.509証明書を使用してCitrix Content Collaboration アカウントを更新します。また、現在の SSO 構成設定を上書きします。これらの設定は、次のセクションで説明する手順で変更されます。
  6. Citrix Content Collaboration がまだ構成されていない場合は、[ ドメイン ]フィールドにCitrix Content Collaboration アカウントを入力します。
  7. Citrix Files MDXアプリケーションにアクセスできるデリバリーグループを選択します。
  8. Citrix Content Collaboration のユーザー名を入力します。これはローカルの管理ユーザーアカウントです。
  9. Citrix Content Collaboration のパスワードを入力します(Active Directory パスワードではありません)。
  10. ユーザーアカウントのプロビジョニングオフのままにします (特にユーザー管理ツールを使用している場合)。
  11. 保存 ]をクリックして、Citrix Endpoint Management でCitrix Content Collaborationの設定を完了します。

    デュアル IdP 8

Citrix Content Collaboration のシングルサインオン構成チェック

Citrix Endpoint Management とADFSの両方がCitrix Content Collaboration 用に構成されたら、以下の手順に従ってSSO設定を検証します。

  1. Web UIを使用してCitrix Content Collaboration アカウントにログインし、「 管理」、「 シングルサインオンの構成 」の順に選択します。
  2. 発行者/エンティティ ID: ADFS 構成内の識別子名と同一である必要があります。
  3. ログイン URL: ADFS へのログイン URL (例: https://adfs.company.com/adfs/ls)。
  4. ログアウト URL: ADFS へのログアウト URL (例: https://adfs.company.com/adfs/ls/?wa=wsignout1.0)。これは、ADFS のログアウトポイントとして追加する必要があります (まだ追加されていない場合)。
  5. Web 認証を有効にする: はい
  6. SPが開始する認証コンテキスト: フォーム認証用の ユーザー名とパスワード または統合認証(ADFSサーバーの構成に応じて)オプションを選択します。

    デュアル IdP 9

テスト

デバイスをCitrix Endpoint Managementに再登録し、アプリをダウンロードし、MDX SSOが機能しているかどうかを確認します。また、SP で開始された認証https://[subdomain].sharefile.com/saml/loginを使用してテストを実行することもできます。