デュアルIDプロバイダー向けのCitrixContent Collaborationシングルサインオン構成ガイド

このドキュメントでは、単一のCitrix Content Collaboration アカウントのIDプロバイダー（IdP）としてCitrix Endpoint Management とActive Directory フェデレーションサービス（ADFS）の両方を使用する構成について説明します。結果の構成により、ADFSサーバーのトークン署名証明書をCitrix Endpoint ManagementサーバーのSAML証明書と同じにすることができます。これにより、単一のCitrix Content Collaborationアカウントが次の目的で提供されます。

• MDXでラップされたアプリのIdPとしてCitrix Endpoint Managementを使用します。Citrix Files MDXアプリケーションを使用して、モバイルデバイスから真のシングルサインオン（SSO）エクスペリエンスを提供します。
• WebアプリケーションへのSSOのSAML IdPとしてADFSを使用します。

前提条件

• Citrix Content Collaborationアカウントに構成されたMDX用のシングルサインオン機能を備えた、Citrix Endpoint Management 10.xサーバー。
• インフラストラクチャ内にインストールおよび構成されたADFS。
• シングルサインオンを構成する機能を備えたCitrix Content Collaboration内の管理者アカウントへのアクセス。

ADFSトークン署名証明書の準備

Citrix Content Collaboration にSSO用のADFSを構成する場合、秘密キーなしでADFSトークン署名証明書をCitrix Content Collaborationコントロールパネルにアップロードする必要があります。ADFSは、有効期限が1年のトークン署名とトークン復号化に使用される自己署名証明書を生成します。ただし、自己署名証明書には秘密鍵が含まれています。

1年の時点で、自己署名証明書は、有効期限の15日前に自動証明書ロールオーバーを使用して更新され、プライマリ証明書になります。これにより、既存のすべてのSSO信頼関係が失敗します。この構成の場合、Citrix Endpoint ManagementコンソールからのSAML認定は、有効期限が3年でエクスポートされます。証明書の有効期間はカスタマイズ可能であり、トークン署名証明書を1年の時点で更新する必要性を軽減します。

SAML証明書を生成する

1. Citrix Gateway GUIにサインインします。
2. Traffic Management > SSLに移動します。

3. [ はじめに]セクションで、[ ルートCA証明書ウィザード]を選択します。

   

これで、秘密鍵を作成するように求められます。

1. [ キーファイル名] フィールドに、キーの名前を入力します。
2. キーサイズ、2048。
3. 公指数値、3。

4. [ 作成] をクリックしてキーを作成します。

   

次のステップは、証明書署名要求（CSR）を作成することです。

1. 「 要求ファイル名」 フィールドに、CSRの名前を入力します。
2. キーファイル名 と PEM 形式は事前に入力されています。
3. ダイジェスト方法 を SHA256に設定します。
4. [ 識別名]フィールドに、組織に関する情報を入力します。
5. 属性フィールドでは、チャレンジパスワードは必要ありません。ただし、 会社名 は追加できます。

6. [ 作成] をクリックして、CSR要求を完了します。

   

最後のステップは、SAML証明書を作成することです。

1. [証明書ファイル名] フィールドに、証明書の名前を入力します。
2. 証明書フォーマットに は、 PEMが事前に入力されています。
3. 証明書要求ファイル名 は、前の手順で作成したCSRを反映しています。
4. キーフォーマットの デフォルトは PEMです。
5. 証明書を有効にする 有効期間 （日数）を指定します。この例では、作成された証明書は3年の証明書であるため、 1095と入力します。
6. キーファイル名 は、最初のステップから事前に入力されています。

7. [ 作成] をクリックして証明書を作成します。

   

8. 証明書を作成した後、Citrix Gatewayに証明書をインストールする必要がないため、ウィザードを終了できます。
9. [ キャンセル ]をクリックし、[ はい ]をクリックして、 SSL GUIのメイン画面に戻ることを確認します。

SAML証明書をエクスポートする

次に、Citrix Endpoint ManagementサーバーとADFSで使用するために、新しく作成した証明書とキーをCitrix Gatewayからエクスポートする必要があります。Citrix Endpoint Managementの場合、 saml_dualidp.cer ファイルと saml_dualidp.key 証明書とキーはCitrixEndpoint Management用にすでに適切にフォーマットされているため、前の手順で作成されたファイル。**手順に従ってファイルを保存し、組み込みのSAML証明書を置き換えるときにCitrix Endpoint Managementサーバーにアップロードするために使用できる場所にファイルを保存します。

1. Citrix Gatewayのトラフィック管理> SSLの[ ツール]で、証明書の管理/ キー / CSRをクリックします 。

2. [証明書 の管理]ページで、[ 変更日]をクリックすると、最新のファイルが一番上に表示されます。これで、前の手順で新しく作成された3つのファイルが表示されます。表示されない場合は、1ページに25個以上のアイテムを表示できます。

   

3. を選択 saml_dualidp.cer ファイルを作成し、[ダウンロード]を選択します。**選択した場所に保存します。
4. 前の手順に従ってください saml_dualidp.key ファイル。**
5. 前のページに戻るには、[ 戻る] をクリックします。

次に、ADFSサーバーが理解できるファイル形式で証明書とキーをエクスポートします。

1. 以前と同じ[ ツール]セクションで、エクスポートするオプションを選択します PKCS#12 。
2. [ファイルの選択]フィールドに、次のように入力します saml_dualidp.pfx 。**
3. [証明書ファイル名]フィールドで、[ファイルの選択] 、[変更日]の順に選択し、[ saml_dualidp.cer ファイル。**［開く］ をクリックします。
4. 「Key Filename」フィールドで、Choose File, Date Modifiedを選択し、saml_dualidp.key ファイルを選択します。［開く］ をクリックします。
5. エクスポートパスワードを入力します。
6. PEMパスフレーズを提供します。
7. [ OK] をクリックしてエクスポートを終了します。

次に、.pfxファイルをCitrix Gatewayからネットワーク上の場所にコピーする必要があります。

1. もう一度[ ツール ]メニューから、 [証明書の管理]オプションを選択します / キー / CSR 。
2. 新しく作成したものを選択します saml_dualidp.pfx ファイルを選択し、[ダウンロード]を選択します。**
3. ローカルでアクセス可能な場所にファイルを保存します。
4. Citrix Gatewayのウィンドウを閉じます。

SAML証明書の作成プロセスが完了しました。

新しく作成したトークン署名証明書をADFSにアップロードします

最初の手順は、ADFSサーバーで証明書のロールオーバーを無効にすることです。

1. ADFSサーバーへのリモート接続を作成します。
2. デフォルトでは、ADFSにより、AutoCertificateRolloverは自己署名証明書を1年の時点で更新できます。新しく作成されたトークン署名証明書をアップロードするには、この機能を無効にする必要があります。
3. ADFSサーバーで 管理者 としてPowerShellを実行します。
4. タイプ： Get-ADFSProperties。
5. AutoCertificateRolloverを無効にするには： Set-ADFSProperties -AutoCertificateRollover $false

次に、以前にエクスポートしたものをインポートする必要があります saml_dualidp.pfx トークン署名証明書として使用できるように、ADFSサーバーにファイルします。**

1. ADFS サーバーを右クリックし、[スタート] > [ファイル名を指定して実行] > ［mmc と入力］、Enter を選択してスナップインを開きます。
2. [ ファイル]をクリックします > Add/Removeスナップイン。
3. 使用可能なスナップインセクションから[ 証明書] を選択し、[追加]をクリックします。
4. [ コンピューターアカウント]を選択し、[ 次へ]をクリックします。
5. [ ローカルコンピューター ]、[ 完了]の順に選択し、[ OK]をクリックします。
6. [コンソールルート] で、[証明書] > [個人] > [証明書] を展開します。
7. [証明書]フォルダーを右クリックして、[ すべてのタスク] > インポートを選択します。
8. [ようこそ]画面で、[ 次へ]をクリックします。
9. を参照してください saml_dualidp.pfx 以前に保存したファイルで、[開く]をクリックします。**
10. [ 次へ]を選択し、秘密鍵のパスワードを入力して、もう一度[ 次へ]を 選択します。
11. ［すべての証明書を個人証明書ストアに配置する］ を選択して、［次へ］ をクリックします。
12. [ 完了] をクリックしてインポートを完了し、MMCスナップインを閉じます。

次に、ADFSのトークン署名証明書を変更する必要があります。

1. ADFSサーバーで、サーバーマネージャーダッシュボードから[ ツール]を選択します >ADFS管理。
2. ADFS管理コンソールの左側で、[ サービス]を展開します >証明書。
3. [ アクション ]メニューで、[ トークン署名証明書の追加]を選択し、新しくインポートされたトークン署名証明書を選択します。
4. 新しく追加されたトークン署名証明書は、セカンダリ証明書として追加されます。あなたはそれをプライマリにする必要があります。
5. [ サービス]を展開し、[ 証明書]を選択します。
6. セカンダリ トークン署名証明書をクリックします。
7. 右側の[ 操作]ウィンドウで、[ プライマリとして設定]を選択します。確認プロンプトで[ はい] をクリックします。

Citrix Endpoint Managementの構成

Citrix Endpoint Managementで同じ証明書を使用するには、2つのアクションを実行するだけで済みます。

Citrix Endpoint ManagementSAML証明書のバックアップ

1. Citrix Endpoint Managementサーバーにサインインし、右上にある歯車のアイコンをクリックしてから、 [設定]で[ 証明書]を選択します。
2. SAML証明書を強調表示し、[ エクスポート]をクリックします。
3. 秘密鍵もエクスポートすることを選択し、[ OK]をクリックします。
4. 証明書は安全な場所に保管してください。

新しいSAML証明書をインストールする

1. Citrix Endpoint Managementサーバーにサインインし、歯車のアイコンをクリックしてから、[ 設定 ]で[ 証明書]をクリックします。
2. [ インポート]をクリックして、次のオプションを選択します。
   • インポート：証明書
   • 用途：SAML
   • 証明書のインポート：以前にエクスポートされたワークステーションまたはネットワークを参照します saml_dualidp.cer ファイル。**
   • 秘密鍵ファイル：ワークステーションを参照して、以前にエクスポートされたものを探します saml_dualidp.key ファイル。**
   • パスワード： 秘密鍵のパスワードを入力します。
   • 説明： 他の人がその機能を知るのに十分な詳細を入力します。

3. [ インポート] をクリックして完了します。

   

4. Citrix Endpoint Managementサーバーで、[ 構成]、[ ShareFile]の順にクリックします。
5. 以前の構成がある場合は、画面の右下にある[ 保存 ]をクリックします。この手順では、Citrix Content Collaborationアカウントを前の手順で作成したX.509証明書で更新します。また、次のセクションで概説する手順で変更される現在のSSO構成設定を上書きします。
6. Citrix Content Collaborationがまだ構成されていない場合は、[ ドメイン] フィールドにCitrix Content Collaborationアカウントを入力します。
7. Citrix Files MDXアプリケーションにアクセスできる配信グループを選択します。
8. Citrix Content Collaborationのユーザー名を入力します。これはローカル管理ユーザーアカウントです。
9. Citrix Content Collaborationのパスワード（Active Directoryのパスワードではありません）を入力します。
10. ユーザーアカウントのプロビジョニングはオフのままにします （特にユーザー管理ツールを使用している場合）。

11. ［ 保存 ］をクリックして、Citrix Endpoint Management でCitrix Content Collaborationの設定を完了します。

    

Citrix Content Collaborationのシングルサインオン構成チェック

Citrix Endpoint ManagementとADFSの両方がCitrix Content Collaboration用に構成されたら、以下の手順に従ってSSO設定を検証します。

1. WebUIを使用してCitrixContent Collaborationアカウントにサインインし、[ 管理]、[ シングルサインオンの構成 ]ページの順にクリックします。
2. Issuer/EntityID： これは、ADFS構成内の識別子名と同じである必要があります。
3. ログインURL： ADFSへのログインURL（例： https://adfs.company.com/adfs/ls）。
4. ログアウトURL： ADFSへのログアウトURL（例： https://adfs.company.com/adfs/ls/?wa=wsignout1.0）。まだ追加していない場合は、ADFSのログアウトポイントとして追加する必要があります。
5. Web認証を有効にする： はい

6. SPで開始される認証コンテキスト： [フォーム認証の ユーザー名とパスワード] または[統合認証]オプションを選択します（ADFSサーバーの構成に応じて）。

   

テスト

デバイスをCitrix Endpoint Managementに再登録し、アプリをダウンロードして、MDX SSOが機能しているかどうかを確認します。また、SP で開始された認証https://[subdomain].sharefile.com/saml/loginを使用してテストを実行することもできます。