Azure Active Directoryを使用したシングルサインイン

Endpoint Managementでは、次のシナリオでAzure Active Directoryの資格情報を使用したシングルサインインがサポートされます:

  • Citrix Secure Hubによるユーザー登録(AndroidまたはiOS)
  • RBACユーザー役割でのEndpoint Management Self Help Portalに対する認証
  • 管理者のEndpoint Managementコンソールに対する認証
  • Endpoint Managementでの、Citrix Cloud APIにより取得したトークンによるRESTサービス用パブリックAPIに対する管理者の認証。
  • 詳しくは、『Public API for REST Services』(PDF)のセクション3.3.2「Login (Cloud Credentials)」を参照してください。

Endpoint Managementは、Citrix CloudサービスであるCitrix IDプラットフォームを使用して、Azure Active Directoryへのフェデレーションを行います。CitrixIDプラットフォームはIDプロバイダー(Identiry Provider:IDP)サービスです。

このサービスを設定するには、Azure Active DirectoryをIDプロバイダーとして使用するようにCitrix Cloudを構成します。次に、Citrix IDプラットフォームをEndpoint ManagementのIDPタイプとして構成します。これで、ユーザーがAzure Active Directoryの資格情報を使用してSecure Hubにログオンできるようになります。Secure Hubでは、MAMデバイスのクライアント証明書認証を使用します。

Azure Active Directoryに直接接続するのではなく、Citrix IDプラットフォームを使用することをお勧めします。

Azure Active Directoryを使用したシングルサインインの前提条件

  • 証明書ベースの認証で構成されたNetScaler Gateway
  • Secure Hub 10.7.20(最小バージョン)
  • Azure Active Directoryユーザーの資格情報

Azure Active DirectoryをIDプロバイダーとして使用するようにCitrix Cloudを構成する

Citrix CloudでAzure Active Directoryを構成するには、次の手順に従います。

  1. https://citrix.cloud.comでCitrix Cloudアカウントにサインインします。

  2. Citrix Cloudメニューから [IDおよびアクセス管理] ページに移動し、Azure Active Directoryに接続します。

    Citrix Cloud画面の画像

  3. 管理者のサインインURLを入力し、[接続]をクリックします。

    Citrix Cloud画面の画像

  4. サインインすると、Azure Active DirectoryアカウントがCitrix Cloudに接続されます。[IDおよびアクセス管理]>[認証] ページに、Citrix CloudアカウントとAzure ADアカウントへのサインインに使用するアカウントが表示されます。

    Citrix Cloud画面の画像

Citrix IDプラットフォームをEndpoint ManagementのIDPタイプとして構成する

Citrix CloudでAzure Active Directoryを構成したら、次のようにEndpoint Managementを構成します。

  1. Endpoint Managementコンソールで [設定]>[IDプロバイダー(IDP)] に移動し、[追加]をクリックします。

  2. [IDプロバイダー(IDP)] ページで、次の項目を構成します。

    IDP構成画面の画像

    • IDP名: 作成するIDP接続が識別できる一意の名前を入力します。
    • IDPの種類: [Citrix IDプラットフォーム] を選択します。
    • 認証ドメイン: 該当するCitrix Cloudドメインを選択します。Citrix Cloudの [IDおよびアクセス管理]>[認証] ページに表示されるドメインを選択してください。
  3. [次へ] をクリックします。[IDPクレームの使用状況] ページで、次の項目を構成します。

    IDP構成画面の画像

    • ユーザー識別子の種類: このフィールドは [userPrincipalName] に設定します。
    • ユーザー識別子の文字列: このフィールドは自動入力されます。
  4. [次へ] を選択して [概要] ページを確認し、[保存]をクリックします。

    これで、Secure Hubユーザー、Endpoint Managementコンソール、Self Help PortalユーザーがAzure Active Directoryの資格情報を使用してサインインできるようになります。

Endpoint Managementの管理者とユーザーの認証フロー

Endpoint ManagementコンソールとEndpoint Management Self Help Portalのサインイン画面には、[会社の資格情報でサインイン]リンクが表示されます。

Endpoint Managementのサインインの画像

リンクをクリックして、Azure Active Directory資格情報を入力します。認証に成功した場合、今後Endpoint Managementへのアクセスでサインインは不要になります。

ドメイン参加デバイスからEndpoint ManagementコンソールまたはSelf Help Portalにサインインし、[会社の資格情報でサインイン]リンクをクリックした場合:Endpoint Managementによりシングルサインオンが行われます。認証プロンプトは表示されません。

Secure Hubの認証フロー

Citrix IDプラットフォームをIDPとして使用するようにEndpoint Managementを構成している場合、Secure Hubを介して登録済みのデバイスのSecure Hub認証フローは次のようになります。

  1. Secure Hubを起動します。
  2. Secure Hubが認証要求をCitrix IDプラットフォームに渡し、プラットフォームがこの要求をAzure Active Directoryに渡します。
  3. ユーザーはユーザー名とパスワードを入力します。
  4. Azure Active Directoryがユーザーを検証し、Citrix IDプラットフォームにコードを送信します。
  5. Citrix IDプラットフォームがコードをSecure Hubに送信し、Secure HubがコードをEndpoint Managementに送信します。
  6. Endpoint Managementがコードとシークレットを使用してIDトークンを取得し、IDトークンに含まれるユーザー情報を検証します。Endpoint ManagementはセッションIDを返送します。

ドメイン参加デバイスのユーザーは、Azure Active Directoryの資格情報を使用してシングルサインオンを行うことができます。Endpoint Managementローカルアカウントでは、シングルサインオンは使用できません。