ChromeOS向けCitrix Workspaceアプリ

IDプロバイダーとしてMicrosoft Azureを使用したCitrix Workspaceアプリのシングルサインオン

March 22, 2024

寄稿者:

ChromeOSデバイスのSecurity Assertion Markup Language（SAML）シングルサインオン（SSO）を構成できます。Microsoft Entra ID（旧称Azure Active Directory）をSAML IDプロバイダーとして使用し、Google Adminをサービスプロバイダー（SP）として使用します。

この機能は、管理対象ユーザーに対してのみ設定できます。ユースケースとして、Azure上に作成されたローカルActive Directory（AD）にCitrix VMを追加しました。Azure上にオンプレミスのADベースのVMがあり、Microsoft Entra IDユーザーがいる場合は、この記事の説明に従ってください。

前提条件

次の前提条件には管理者特権が必要です：

Active Directory（AD）

環境でアクティブなドメインコントローラーをインストールして構成します。詳しくは、「サーバーマネージャーを使用してAD DSをインストールする」を参照してください。サーバーマネージャーを使用してActive Directoryドメインサービスをインストールするには、手順1～19を実行します。
証明機関（CA）

CAをインストールします。詳しくは、「証明機関をインストールします」を参照してください。

証明機関は、次のいずれかのマシンにインストールして構成できます：
- 新しい専用マシン
- 既存のCAマシン
- Citrix Cloud Connectorへのこの証明機関コンポーネントのインストール
- Active Directoryマシン
Citrix CloudおよびCitrix Cloud Connector

Citrix Cloudを初めて使用する場合は、リソースの場所を定義し、コネクタを構成します。実稼働環境には、少なくとも2つのCloud Connectorを展開することをお勧めします。Citrix Cloud Connectorのインストール方法については、「Cloud Connectorのインストール」を参照してください。
Azure Portalのグローバル管理者アカウント

Microsoft Entra IDのグローバル管理者である必要があります。この権限は、Entra IDをIDプロバイダーとして使用するようにCitrix Cloudを構成するのに役立ちます。接続してEntra IDを使用するときにCitrix Cloudが要求する権限について詳しくは、「Citrix Cloud用のAzure Active Directoryの権限」を参照してください。
フェデレーション認証サービス（オプション）。

詳しくは、「Citrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化」を参照してください。
Google管理コンソールのグローバル管理者アカウント
Citrix Workspaceアプリ

開始

開始するには、次の手順を実行します：

インストールされているソフトウェアまたは役割を構成する前に、すべてのマシンをドメインに参加させます。
それぞれのマシンにCitrix Cloud Connectorソフトウェアをインストールしますが、まだ何も設定しないでください。
それぞれのマシンにCitrix FASをインストールしますが、まだ何も構成しないでください。

Azure ADをIDプロバイダーとして使用するようにCitrix Cloudを構成する方法

注：

すべての前提条件を満たしていることを確認してください。

Entra IDをCitrix Cloudに接続するには、「Azure Active DirectoryをCitrix Cloudに接続する」を参照してください。
管理者をEntra IDからCitrix Cloudに追加するには、「Azure ADからCitrix Cloudに管理者を追加する」を参照してください。
Entra IDを使用してCitrix Cloudにサインインするには、「Azure ADを使用してCitrix Cloudにサインインする」を参照してください。
高度なEntra ID機能を有効にするには、「高度なAzure AD機能を有効にする」を参照してください。
更新されたアプリのEntra IDに再接続するには、「アプリのアップデートに対応するためAzure ADに再接続する」を参照してください。
Entra IDに再接続するには、「アプリのアップデートに対応するためAzure ADに再接続する」を参照してください。
Entra ID Connectとアカウントを同期するには、「アカウントを同期する」を参照してください。

オンプレミスのADアカウントをEntra IDと同期することをお勧めします。

注：

Citrix Workspace構成でフェデレーションIDプロバイダーセッションのログインプロンプトを無効にします。

Azure PortalでMicrosoft AzureとChromeOSの間にSSOとユーザープロビジョニングをセットアップ

Microsoft Entra IDテナントとGoogle for ChromeOSの間でSSOのプロビジョニングを設定すると、エンドユーザーはChromeOSデバイスのGoogleサインイン画面ではなく、Azure認証ページにサインインできるようになります。

詳しくは、次のトピックを参照してください：

Googleの記事「Microsoft AzureとChromeOS間のSSOおよびユーザープロビジョニングを設定する」。

および

Microsoftチュートリアル「チュートリアル：Microsoft Entra SSOとGoogle Cloud/G Suite Connector by Microsoftの統合」。

Azure PortalでSSOを設定するには、以下の手順を実行します：

Microsoft Entra IDポータルでエンタープライズアプリケーションを作成します。詳しくは、Googleの記事「Microsoft AzureとChromeOS間のSSOおよびユーザープロビジョニングを設定する」で手順1を参照してください。

SSO Azure

手順1で作成したエンタープライズアプリケーションに1人または複数のユーザーを割り当てます。詳しくは、Googleの記事「Microsoft AzureとChromeOS間のSSOおよびユーザープロビジョニングを設定する」で手順2を参照してください。
SAMLを使用してSSOを設定します。詳しくは、Googleの記事「Microsoft AzureとChromeOS間のSSOおよびユーザープロビジョニングを設定する」で手順3を参照してください。

注：

Google管理ポリシーでSAMLポリシーを作成した後、基本SAML構成を変更することをお勧めします。

SAMLベースのシングルサインオン用にAzure PortalでURLを設定すると、アプリケーションの表示は次のようになります。

検証チェックポイント

ストアURLを入力すると、Azure IDプロバイダーのサインインページが表示されます。表示されなかった場合は、「Azure PortalでMicrosoft AzureとChromeOSの間にSSOとユーザープロビジョニングをセットアップする」の手順を再度確認してください。

Google管理コンソールでSAML SSOプロファイルを構成する

ドメインとユーザーを追加し、OUを作成します。詳しくは、「A complete guide to Google Organizational Units」を参照してください。
IDプロバイダーとしてMicrosoft Entra IDを使用してSAML SSOプロファイルを作成します。詳しくは、「Configuring SAML single sign-on (SSO) for Azure AD Users」を参照してください。

検証チェックポイント

Chromebookを使用する場合は、Azure認証情報を使用してCitrix Workspaceアプリにサインインできる必要があります。ブラウザーにストアURLを入力する場合は、サインインできる必要があります。

SAML SSO Chrome拡張機能を使用したChromeOS向けCitrix WorkspaceアプリのSSOの構成

SAML拡張機能を使用してSSOを構成するには、次の手順を実行します：

Chromeデバイス上で、ChromeアプリのSAML SSO拡張機能をインストールして構成します。

拡張機能をインストールするには、 SAML SSO for Chrome Appsをクリックします。
この拡張機能は、SAML Cookieをブラウザーから取得して、ChromeOS向けCitrix Workspaceに提供します。

Citrix WorkspaceアプリがSAML Cookieを取得できるようにするには、次のポリシーを構成します。以下はJSONデータです：

{
"allowlist": {
    "Value": [
        {
            "appId": "haiffjcadagjlijoggckpgfnoeiflnem",
            "domain": "login.microsoftonline.com"
        }
    ]
}
}
<!--NeedCopy-->

検証チェックポイント

Azure IDプロバイダーストアとSSO拡張機能を使用してCitrix Workspaceアプリを起動する場合、Citrix Workspaceアプリへのサインインが成功する必要があります。

FASを展開して仮想アプリとデスクトップへのSSOを可能にする

仮想アプリと仮想デスクトップへのSSOを可能にするために、フェデレーション認証サービス（FAS）を展開できます。

注：

FASがない場合は、Active Directoryのユーザー名とパスワードの入力を求められます。詳しくは、「Citrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化」を参照してください。

このコンテンツの正式なバージョンは英語で提供されています。Cloud Software Groupドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Cloud Software Groupは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いのCloud Software Group製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいはCloud Software Groupとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Cloud Software Groupは責任を負わないものとします。

この情報は役に立ちましたか?

IDプロバイダーとしてMicrosoft Azureを使用したCitrix Workspaceアプリのシングルサインオン

March 22, 2024

寄稿者:

March 22, 2024

寄稿者:

この記事の概要

前提条件
開始
Azure ADをIDプロバイダーとして使用するようにCitrix Cloudを構成する方法
Azure PortalでMicrosoft AzureとChromeOSの間にSSOとユーザープロビジョニングをセットアップ
Google管理コンソールでSAML SSOプロファイルを構成する
SAML SSO Chrome拡張機能を使用したChromeOS向けCitrix WorkspaceアプリのSSOの構成
FASを展開して仮想アプリとデスクトップへのSSOを可能にする

この情報は役に立ちましたか?