デュアルIDプロバイダー向けのCitrixContent Collaborationシングルサインオン構成ガイド

このドキュメントでは、単一のCitrix Content Collaboration アカウントのIDプロバイダー(IdP)としてCitrix Endpoint Management とActive Directory フェデレーションサービス(ADFS)の両方を使用する構成について説明します。結果の構成により、ADFSサーバーのトークン署名証明書をCitrix Endpoint ManagementサーバーのSAML証明書と同じにすることができます。これにより、単一のCitrix Content Collaborationアカウントが次の目的で提供されます。

  • MDXでラップされたアプリのIdPとしてCitrix Endpoint Managementを使用します。Citrix Files MDXアプリケーションを使用して、モバイルデバイスから真のシングルサインオン(SSO)エクスペリエンスを提供します。
  • WebアプリケーションへのSSOのSAML IdPとしてADFSを使用します。

前提条件

  • Citrix Content Collaborationアカウントに構成されたMDX用のシングルサインオン機能を備えた、Citrix Endpoint Management 10.xサーバー。
  • インフラストラクチャ内にインストールおよび構成されたADFS。
  • シングルサインオンを構成する機能を備えたCitrix Content Collaboration内の管理者アカウントへのアクセス。

ADFSトークン署名証明書の準備

Citrix Content Collaboration にSSO用のADFSを構成する場合、秘密キーなしでADFSトークン署名証明書をCitrix Content Collaborationコントロールパネルにアップロードする必要があります。ADFSは、有効期限が1年のトークン署名とトークン復号化に使用される自己署名証明書を生成します。ただし、自己署名証明書には秘密鍵が含まれています。

1年の時点で、自己署名証明書は、有効期限の15日前に自動証明書ロールオーバーを使用して更新され、プライマリ証明書になります。これにより、既存のすべてのSSO信頼関係が失敗します。この構成の場合、Citrix Endpoint ManagementコンソールからのSAML認定は、有効期限が3年でエクスポートされます。証明書の有効期間はカスタマイズ可能であり、トークン署名証明書を1年の時点で更新する必要性を軽減します。

SAML証明書を生成する

  1. Citrix Gateway GUIにサインインします。
  2. トラフィック管理に移動します > SSL
  3. [はじめに] セクションで、[ルートCA証明書ウィザード]を選択します。

    デュアルIdP1

これで、秘密鍵を作成するように求められます。

  1. [キーファイル名] フィールドに、キーの名前を入力します。
  2. キーサイズ、2048。
  3. 公指数値、3。
  4. [作成] をクリックしてキーを作成します。

    デュアルIdP2

次のステップは、証明書署名要求(CSR)を作成することです。

  1. 要求ファイル名」 フィールドに、CSRの名前を入力します。
  2. キーファイル名PEM 形式は事前に入力されています。
  3. ダイジェスト方法SHA256に設定します。
  4. [識別名]フィールドに、組織に関する情報を入力します。
  5. 属性フィールドでは、チャレンジパスワードは必要ありません。ただし、 会社名 は追加できます。
  6. [作成] をクリックして、CSR要求を完了します。

    デュアルIdP3 デュアルIdP4

最後のステップは、SAML証明書を作成することです。

  1. [証明書ファイル名] フィールドに、証明書の名前を入力します。
  2. 証明書フォーマットに は、 PEMが事前に入力されています。
  3. 証明書要求ファイル名 は、前の手順で作成したCSRを反映しています。
  4. キーフォーマットの デフォルトは PEMです。
  5. 証明書を有効にする 有効期間 (日数)を指定します。この例では、作成された証明書は3年の証明書であるため、 1095と入力します。
  6. キーファイル名 は、最初のステップから事前に入力されています。
  7. [作成] をクリックして証明書を作成します。

    デュアルIdP5

  8. 証明書を作成した後、Citrix Gatewayに証明書をインストールする必要がないため、ウィザードを終了できます。
  9. [キャンセル]をクリックし、[はい]をクリックして、 SSL GUIのメイン画面に戻ることを確認します。

SAML証明書をエクスポートする

次に、Citrix Endpoint ManagementサーバーとADFSで使用するために、新しく作成した証明書とキーをCitrix Gatewayからエクスポートする必要があります。Citrix Endpoint Managementの場合、 saml_dualidp.cer ファイルと saml_dualidp.key 証明書とキーはCitrixEndpoint Management用にすでに適切にフォーマットされているため、前の手順で作成されたファイル。**手順に従ってファイルを保存し、組み込みのSAML証明書を置き換えるときにCitrix Endpoint Managementサーバーにアップロードするために使用できる場所にファイルを保存します。

  1. Citrix Gatewayのトラフィック管理> SSL[ ツール]で、証明書の管理/ キー / CSRをクリックします 。
  2. [証明書 の管理]ページで、[変更日]をクリックすると、最新のファイルが一番上に表示されます。これで、前の手順で新しく作成された3つのファイルが表示されます。表示されない場合は、1ページに25個以上のアイテムを表示できます。

    デュアルIdP6

  3. を選択 saml_dualidp.cer ファイルを作成し、[ダウンロード]を選択します。**選択した場所に保存します。
  4. 前の手順に従ってください saml_dualidp.key ファイル。**
  5. 前のページに戻るには、[戻る] をクリックします。

次に、ADFSサーバーが理解できるファイル形式で証明書とキーをエクスポートします。

  1. 以前と同じ[ツール] セクションで、 エクスポートするオプションを選択します PKCS#12 。
  2. [ファイルの選択]フィールドに、次のように入力します saml_dualidp.pfx 。**
  3. [証明書ファイル名]フィールドで、[ファイルの選択] 、[変更日]の順に選択し、[ saml_dualidp.cer ファイル。**[開く] をクリックします。
  4. Key Filename」フィールドで、Choose File, Date Modifiedを選択し、saml_dualidp.key ファイルを選択します。[開く] をクリックします。
  5. エクスポートパスワードを入力します。
  6. PEMパスフレーズを提供します。
  7. [OK] をクリックしてエクスポートを終了します。

次に、.pfxファイルをCitrix Gatewayからネットワーク上の場所にコピーする必要があります。

  1. もう一度[ツール]メニューから、 [証明書の管理]オプションを選択します / キー / CSR 。
  2. 新しく作成したものを選択します saml_dualidp.pfx ファイルを選択し、[ダウンロード]を選択します。**
  3. ローカルでアクセス可能な場所にファイルを保存します。
  4. Citrix Gatewayのウィンドウを閉じます。

SAML証明書の作成プロセスが完了しました。

新しく作成したトークン署名証明書をADFSにアップロードします

最初の手順は、ADFSサーバーで証明書のロールオーバーを無効にすることです。

  1. ADFSサーバーへのリモート接続を作成します。
  2. デフォルトでは、ADFSにより、AutoCertificateRolloverは自己署名証明書を1年の時点で更新できます。新しく作成されたトークン署名証明書をアップロードするには、この機能を無効にする必要があります。
  3. ADFSサーバーで 管理者 としてPowerShellを実行します。
  4. タイプ: Get-ADFSProperties
  5. AutoCertificateRolloverを無効にするには: Set-ADFSProperties -AutoCertificateRollover $false

次に、以前にエクスポートしたものをインポートする必要があります saml_dualidp.pfx トークン署名証明書として使用できるように、ADFSサーバーにファイルします。**

  1. ADFS サーバーを右クリックし、[スタート] > [ファイル名を指定して実行] > [mmc と入力]、Enter を選択してスナップインを開きます。
  2. [ファイル]をクリックします > Add/Remove スナップイン
  3. 使用可能なスナップインセクションから [証明書] を選択し、[追加] をクリックします。
  4. [コンピューターアカウント]を選択し、[次へ]をクリックします。
  5. [ローカルコンピューター][完了]の順に選択し、[OK]をクリックします。
  6. [コンソールルート] で、[証明書] > [個人] > [証明書] を展開します。
  7. [証明書]フォルダーを右クリックして、[すべてのタスク] > インポートを選択します。
  8. [ようこそ]画面で、[次へ]をクリックします。
  9. を参照してください saml_dualidp.pfx 以前に保存したファイルで、[開く]をクリックします。**
  10. [次へ]を選択し、秘密鍵のパスワードを入力して、もう一度[次へ]を 選択します。
  11. [すべての証明書を個人証明書ストアに配置する] を選択して、[次へ] をクリックします。
  12. [完了] をクリックしてインポートを完了し、MMCスナップインを閉じます。

次に、ADFSのトークン署名証明書を変更する必要があります。

  1. ADFSサーバーで、サーバーマネージャーダッシュボードから[ツール]を選択します > ADFS管理
  2. ADFS管理コンソールの左側で、[サービス]を展開します > 証明書
  3. [アクション]メニューで、[トークン署名証明書の追加]を選択し、新しくインポートされたトークン署名証明書を選択します。
  4. 新しく追加されたトークン署名証明書は、セカンダリ証明書として追加されます。あなたはそれをプライマリにする必要があります。
  5. [サービス] を展開し、[証明書]を選択します。
  6. セカンダリ トークン署名証明書をクリックします。
  7. 右側の[操作] ウィンドウで、[プライマリとして設定]を選択します。確認プロンプトで[はい] をクリックします。

Citrix Endpoint Managementの構成

Citrix Endpoint Managementで同じ証明書を使用するには、2つのアクションを実行するだけで済みます。

Citrix Endpoint ManagementSAML証明書のバックアップ

  1. Citrix Endpoint Managementサーバーにサインインし、右上にある歯車のアイコンをクリックしてから、 [設定][証明書]を選択します。
  2. SAML証明書を強調表示し、[エクスポート]をクリックします。
  3. 秘密鍵もエクスポートすることを選択し、[OK]をクリックします。
  4. 証明書は安全な場所に保管してください。

新しいSAML証明書をインストールする

  1. Citrix Endpoint Managementサーバーにサインインし、歯車のアイコンをクリックしてから、[設定][証明書]をクリックします。
  2. [インポート]をクリックして、次のオプションを選択します。
    • インポート:証明書
    • 用途:SAML
    • 証明書のインポート:以前にエクスポートされたワークステーションまたはネットワークを参照します saml_dualidp.cer ファイル。**
    • 秘密鍵ファイル:ワークステーションを参照して、以前にエクスポートされたものを探します saml_dualidp.key ファイル。**
    • パスワード: 秘密鍵のパスワードを入力します。
    • 説明: 他の人がその機能を知るのに十分な詳細を入力します。
  3. [インポート] をクリックして完了します。

    デュアルIdP7

  4. Citrix Endpoint Managementサーバーで、[構成][ShareFile]の順にクリックします。
  5. 以前の構成がある場合は、画面の右下にある[保存]をクリックします。この手順では、Citrix Content Collaborationアカウントを前の手順で作成したX.509証明書で更新します。また、次のセクションで概説する手順で変更される現在のSSO構成設定を上書きします。
  6. Citrix Content Collaborationがまだ構成されていない場合は、[ドメイン] フィールドにCitrix Content Collaborationアカウントを入力します。
  7. Citrix Files MDXアプリケーションにアクセスできる配信グループを選択します。
  8. Citrix Content Collaborationのユーザー名を入力します。これはローカル管理ユーザーアカウントです。
  9. Citrix Content Collaborationのパスワード(Active Directoryのパスワードではありません)を入力します。
  10. ユーザーアカウントのプロビジョニングオフのままにします (特にユーザー管理ツールを使用している場合)。
  11. 保存 ]をクリックして、Citrix Endpoint Management でCitrix Content Collaborationの設定を完了します。

    デュアルIdP8

Citrix Content Collaborationのシングルサインオン構成チェック

Citrix Endpoint ManagementとADFSの両方がCitrix Content Collaboration用に構成されたら、以下の手順に従ってSSO設定を検証します。

  1. WebUIを使用してCitrixContent Collaborationアカウントにサインインし、[管理][シングルサインオンの構成]ページの順にクリックします。
  2. Issuer/EntityID: これは、ADFS構成内の識別子名と同じである必要があります。
  3. ログインURL: ADFSへのログインURL(例: https://adfs.company.com/adfs/ls)。
  4. ログアウトURL: ADFSへのログアウトURL(例: https://adfs.company.com/adfs/ls/?wa=wsignout1.0)。まだ追加していない場合は、ADFSのログアウトポイントとして追加する必要があります。
  5. Web認証を有効にする: はい
  6. SPで開始される認証コンテキスト: [フォーム認証の ユーザー名とパスワード] または[統合認証]オプションを選択します(ADFSサーバーの構成に応じて)。

    デュアルIdP9

テスト

デバイスをCitrix Endpoint Managementに再登録し、アプリをダウンロードして、MDX SSOが機能しているかどうかを確認します。また、SP で開始された認証https://[subdomain].sharefile.com/saml/loginを使用してテストを実行することもできます。

デュアルIDプロバイダー向けのCitrixContent Collaborationシングルサインオン構成ガイド