Secure Workspace Access とADFSの統合

要求ルールは、要求パイプラインを通る要求の流れを制御するために必要です。要求ルールは、要求ルールの実行プロセス中に要求フローをカスタマイズするためにも使用できます。クレームの詳細については、「Microsoft社のドキュメント」を参照してください。

Citrix Secure Workspace Access からの要求を受け入れるようにADFSを設定するには、以下の手順を実行する必要があります。

  1. ADFS に要求プロバイダーの信頼を追加します。
  2. Citrix Secure Workspace Access でアプリ構成を完了します。

ADFS にクレームプロバイダーの信頼を追加する

  1. ADFS 管理コンソールを開きます。[ ADFS] > [信頼関係] > [クレームプロバイダの信頼] に移動します。
    1. 右クリックして、[ 要求プロバイダの信頼を追加] を選択します。 要求プロバイダの信頼の追加ウィザード

    2. ADFS へのフェデレーションに使用するアプリを、セキュリティで保護されたワークスペースアクセスに追加します。詳しくは、「Citrix Secure Workspace Access でのアプリ構成」を参照してください。

    注:

    まずアプリを追加し、アプリケーションの SSO 設定セクションから SAML メタデータファイルをダウンロードし、メタデータファイルを ADFS にインポートします。

    SAML メタデータをダウンロードする

    1. クレームプロバイダーの信頼の追加を完了する手順を完了します。要求プロバイダーの信頼の追加が完了すると、要求ルールを編集するウィンドウが表示されます。
    2. [ 受信要求を変換] を使用して要求ルールを追加します要求ルールを追加する
    3. 次の図に示すように、設定を完了します。ADFS が他の要求を受け入れる場合は、その要求を使用して、セキュリティで保護されたワークスペースアクセスで SSO も構成します。 要求ルール設定の完了

これで、ADFSがSAML用のCitrix Secure Workspace Access 信頼するようになったことを確認する要求プロバイダーの信頼を構成しました。

クレームプロバイダの信頼 ID

追加したクレームプロバイダーの信頼 ID を書き留めます。このIDは、Citrix Secure Workspace Access でアプリを構成するときに必要です。 クレームプロバイダの信頼 ID の例

パーティ識別子のリレー

SaaS アプリがすでに ADFS を使用して認証されている場合は、そのアプリに中継側信頼を追加しておく必要があります。このIDは、Citrix Secure Workspace Access でアプリを構成するときに必要です。

リレーパーティ識別子 ID の例

IdP 開始フローでリレー状態を有効にする

RelayState は SAML プロトコルのパラメーターで、ユーザーがサインインして証明書利用者のフェデレーションサーバーに送信された後にアクセスする特定のリソースを識別するために使用されます。RelayState が ADFS で有効になっていない場合、ユーザーはそれを必要とするリソースプロバイダーに対して認証した後にエラーが表示されます。

ADFS 2.0 では、RelayState のサポートを提供するのには、更新プログラムKB2681584 (更新プログラムのロールアップ 2) または KB2790338(更新プログラムのロールアップ 3) をインストールする必要があります。ADFS 3.0 には RelayState サポートが組み込まれています。どちらの場合も、RelayState を有効にする必要があります。

ADFS サーバーで RelayState パラメーターを有効にするには

  1. ファイルを開きます。
    • ADFS 2.0 の場合は、メモ帳に次のファイルを入力します:%systemroot%\ inetpub\ adfs\ ls\ web.config
    • ADFS 3.0 の場合は、メモ帳に次のファイルを入力します:%systemroot%\ ADFS\ Microsoft.IdentityServer.serviceHost.exe.config
  2. Microsoft.IdentityServer.Web セクションで、次のように userelyStateForidpInitiatedSignon の行を追加し、変更を保存します。 <microsoft.identityServer.web> ... <useRelayStateForIdpInitiatedSignOn enabled="true" /> ...</microsoft.identityServer.web>
    • ADFS 2.0 の場合は、 IISReset を実行して IIS を再起動します。
  3. どちらのプラットフォームでも、Active Directory フェデレーションサービスを再起動します。 (adfssrv) service. 注: Windows 2016 または Windows 10 を使用している場合は、次の PowerShell コマンドを使用して有効にします。 Set-AdfsProperties -EnableRelayStateForIdpInitiatedSignOn $true

コマンドへのリンク- https://docs.microsoft.com/en-us/powershell/module/adfs/set-adfsproperties?view=win10-ps

Citrix Secure Workspace Access でのアプリ構成

IdP 開始フローまたは SP 開始フローを設定できます。Citrix Secure Workspace Access でIdPまたはSPが開始するフローを構成する手順は同じですが、SPが開始するフローの場合は、UIの[ 指定されたURL(SP開始)を使用してアプリを起動する ]チェックボックスをオンにする必要があります。

IdP 開始されたフロー

  1. IdP 開始フローを設定するときに、次のように設定します。
  2. SAML SSO 設定。

    ADFS サーバーのデフォルト値は次のとおりです。いずれかの値を変更した場合は、ADFS サーバーのメタデータから正しい値を取得します。ADFS サーバーのフェデレーションメタデータは、そのフェデレーションメタデータエンドポイントからダウンロードできます。そのエンドポイントは、 ADFS > サービス > エンドポイントから確認できます。

    • アサーション URLhttps://<adfs fqdn>/adfs/ls/
    • リレー状態 :IdP が開始したフローでは、リレーステートが重要です。それを正しく構築するには、このリンクに従ってください- https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/jj127245(v=ws.10)

      例: RPID=https%3A%2FDEV98714.service-now.com&relayState=https%3a%2FDEV98714.service-now.com%2F

    • オーディエンスhttp://<adfsfqdn>/adfs/services/trust
    • その他の SAML SSO 構成設定については、次の図を参照してください。詳しくは、「https://docs.citrix.com/en-us/citrix-gateway-service/support-saas-apps.html」を参照してください。

    SAML メタデータ設定

  3. アプリを保存し、ユーザーにサブスクライブします。

SP 開始されたフロー

SP 開始フローの場合は、[ IDP 開始フロー ] セクションでキャプチャされた設定を構成します。さらに、[ 指定した URL (SP 開始) を使用してアプリを起動する ] チェックボックスをオンにします。

Secure Workspace Access とADFSの統合