Citrix Cloudを介したOktaでの認証
Citrix Endpoint Managementでは、Citrix Cloudを介したOkta資格情報による認証をサポートしています。この認証方法は、Citrix WorkspaceアプリまたはCitrix Secure Hubを介してMDMに登録するユーザーのみが利用できます。Citrix Endpoint ManagementでWorkspaceが有効になっている場合、ユーザーはCitrix Workspaceアプリからリソースにアクセスします。Citrix WorkspaceとCitrix Endpoint Managementの統合を有効にしない場合、ユーザーはCitrix Secure Hubからリソースにアクセスします。
MAMに登録しているデバイスは、Okta資格情報を使用してCitrix Cloud経由で認証できません。Citrix Secure HubをMDM+MAMで使用するには、Citrix Endpoint ManagementでMAM登録にCitrix Gatewayを使用するよう構成します。詳しくは、「Citrix GatewayとCitrix Endpoint Management」を参照してください。
Citrix Endpoint Managementは、Citrix CloudサービスであるCitrix IDを使用して、Oktaへのフェデレーションを行います。Oktaに直接接続するのではなく、Citrix IDプロバイダーを使用することをお勧めします。
Citrix Endpoint Managementでは、次のプラットフォームでOktaによる認証をサポートしています:
- Apple Business ManagerまたはApple School Managerに登録されていないiOSおよびmacOSデバイス
- Apple Business Managerに登録されているiOSおよびmacOSデバイス
- Android Enterpriseデバイス(プレビュー)、BYOD(Bring Your Own Device)および完全管理モード用
Citrix Cloudを介したOktaによる認証には、次の制限があります:
- Citrix Endpoint Managementローカルアカウントでは使用できません。
- 登録招待状のOktaによる認証はサポートしていません。登録URLを含む登録招待状をユーザーに送信する場合は、ユーザーはOktaではなくLDAPを使用して認証します。
前提条件
- Oktaユーザー資格情報
- Active Directoryのユーザーグループは、Oktaのユーザーグループと一致する必要があります。
- Active Directoryのユーザー名とメールアドレスは、Oktaのものと一致する必要があります。
- ディレクトリサービスの同期のためにCitrix Cloud ConnectorがインストールされたCitrix Cloudアカウント
- Citrix Gateway。完全なシングルサインオンエクスペリエンスを実現するには、証明書ベースの認証を有効にすることをCitrixではお勧めします。モバイルアプリケーション管理(MAM:Mobile Application Management)登録のために、Citrix GatewayでLDAP認証を使用する場合、登録中にエンドユーザーには二重認証プロンプトが表示されます。詳しくは、「クライアント証明書、または証明書とドメイン認証の組み合わせ」を参照してください。
- Citrix Endpoint ManagementでWorkspaceが有効になっていない場合はCitrix Secure Hub。
- Citrix Endpoint ManagementでWorkspaceが有効になっている場合はCitrix Workspaceアプリ。Citrix Workspace統合を有効にする方法について詳しくは、「ワークスペースの構成」を参照してください。
- Android Enterpriseの登録プロファイルで、[ユーザーにデバイス管理の許否を許可] を [オフ] にする必要があります。ユーザーがデバイス管理を拒否した場合、登録の際にIDプロバイダーを使用して認証することができなくなります。詳しくは、「登録セキュリティ」を参照してください。
この機能は、Workspaceを有効にしているかどうかに関係なく構成できます。
Citrix Endpoint ManagementでWorkspaceが有効になっている場合の構成
Citrix Endpoint ManagementをCitrix Workspaceと統合する場合、Citrix Cloudを介してOktaで認証を構成する一般的な手順は次のとおりです:
- OktaをIDプロバイダーとして使用するようにCitrix Cloudを構成する
- Citrix Workspaceの認証方法としてOktaを構成する
IDプロバイダーとしてOktaを使用するようにCitrix Cloudを構成し、Citrix Workspaceの認証方法としてOktaをセットアップするには、「OktaをIDプロバイダーとしてCitrix Cloudに接続する」を参照してください。
構成が完了したら、Citrix Workspaceアプリからユーザーデバイスを登録できます。
Citrix Endpoint ManagementでWorkspaceが有効になっていない場合の構成
Citrix WorkspaceがCitrix Endpoint Managementで有効になっていない場合、Citrix Cloudを介してOktaで認証を構成する一般的な手順は次のとおりです:
- OktaをIDプロバイダーとして使用するようにCitrix Cloudを構成する
- Citrix IDをCitrix Endpoint ManagementのIDPタイプとして構成する
OktaをIDプロバイダーとして使用するようにCitrix Cloudを構成する
Citrix CloudでOktaを構成する方法については、「OktaをIDプロバイダーとしてCitrix Cloudに接続する」を参照してください。
Citrix IDをCitrix Endpoint ManagementのIDPタイプとして構成する
この構成は、Citrix Secure Hubを介して登録するユーザーにのみ適用されます。Citrix CloudでAzure Active Directoryを構成したら、次のようにCitrix Endpoint Managementを構成します。
-
Citrix Endpoint Managementコンソールで [設定]>[IDプロバイダー(IDP)] に移動し、[追加] をクリックします。
-
[IDプロバイダー(IDP)] ページで、次の項目を構成します:
- IDP名: 作成するIdP接続が識別できる一意の名前を入力します。
- IDPの種類: [Citrix IDプロバイダー] を選択します。
- 認証ドメイン: 該当するCitrix Cloudドメインを選択します。Citrix Cloudの [IDおよびアクセス管理]>[認証] ページに表示されるドメインを選択してください。
-
[次へ] をクリックします。[IDPクレームの使用状況] ページで、次の項目を構成します:
- ユーザー識別子の種類: このフィールドは [userPrincipalName] に設定します。オンプレミスのActive DirectoryとOktaで、すべてのユーザーが同じ識別子で構成されていることを確認してください。Citrix Endpoint Managementは、この識別子を使用して、IDプロバイダーのユーザーをオンプレミスのActive Directoryユーザーにマップします。
- ユーザー識別子の文字列: このフィールドは自動入力されます。
この構成後、ドメインに参加しているCitrix Secure Hubユーザーは、Citrix Secure Hubを使用してOkta資格情報でサインオンできます。Citrix Secure Hubでは、MAMデバイスのクライアント証明書認証を使用します。
Citrix Secure Hubの認証フロー
Citrix Endpoint Managementは次のフローにより、Citrix Secure Hubを介して登録されたデバイス上のIDプロバイダーとしてOktaを使用してユーザーを認証します:
- Citrix Secure Hubを起動します。
- Citrix Secure Hubが認証要求をCitrix IDに渡し、Citrix IDがこの要求をOktaに渡します。
- ユーザーはユーザー名とパスワードを入力します。
- Oktaがユーザーを検証し、Citrix IDにコードを送信します。
- Citrix IDがコードをCitrix Secure Hubに送信し、Citrix Secure HubがコードをCitrix Endpoint Managementサーバーに送信します。
- Citrix Endpoint Managementがコードとシークレットを使用してIDトークンを取得し、IDトークンに含まれるユーザー情報を検証します。Citrix Endpoint ManagementはセッションIDを返送します。