Workspaceアプリへのシングルサインオンの構成

Azure Active Directoryを使用したシングルサインオン

このセクションでは、ハイブリッドまたはAADに登録されたエンドポイントでドメイン参加済みワークロードを持つIDプロバイダーとしてAzure Active Directory(AAD)を使用して、シングルサインオン(SSO)を実装する方法について説明します。この構成により、AADに登録されているエンドポイントでWindows HelloまたはFIDO2を使用して、Workspaceに対して認証できます。

注:

Windows Helloをスタンドアロン認証として使用する場合、Citrix Workspaceアプリへのシングルサインオンを実現できますが、公開された仮想アプリまたは仮想デスクトップにアクセスするときに、ユーザー名とパスワードの入力を求められます。回避策として、フェデレーション認証サービス(FAS)の実装を検討してください。

前提条件

構成

デバイスでSSOを構成するには、次の手順を実行します:

  1. WindowsのコマンドラインをincludeSSONオプション付きで使用し、Citrix Workspaceアプリをインストールします:

CitrixWorkspaceApp.exe /includeSSON

  1. デバイスを再起動します。

  2. gpedit.mscを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。

  3. [管理用テンプレート]>[Citrixコンポーネント]>[Citrix Workspace]>[ユーザー認証]>[ローカルユーザー名とパスワード] に移動します。

  4. [パススルー認証を有効にします] チェックボックスをオンにします。構成およびセキュリティ設定によっては、パススルー認証を実行するために [すべてのICA接続にパススルー認証を許可します] チェックボックスをオンにします。

  5. Internet Explorerで [ユーザー認証] の設定を変更します。設定を変更するには:

    • コントロールパネルから [インターネットのプロパティ] を開きます。
    • [全般プロパティ] > [ローカルイントラネット] に移動し、[サイト] をクリックします。

    • [ローカルイントラネット] ウィンドウで [詳細設定] をクリックし、信頼済みサイトを追加し、以下の信頼済みサイトを追加して、[閉じる] をクリックします:

      • https://aadg.windows.net.nsatc.net
      • https://autologon.microsoftazuread-sso.com
      • The name of your tenant, for example: https://xxxtenantxxx.cloud.com
  6. テナントのprompt=login属性を無効にして、余分な認証プロンプトを無効にします。詳しくは、「User Prompted for Additional Credentials on Workspace URLs When Using Federated Authentication Providers」を参照してください。Citrixテクニカルサポートに連絡いただければ、テナントのprompt=login属性を無効にし、シングルサインオンを正常に構成できます。

  7. Citrix Workspaceアプリクライアントでのドメインパススルー認証の有効化詳しくは、「ドメインパススルー認証」を参照してください。

  8. Citrix Workspaceアプリのセッションを再起動して、この変更を適用します。

Oktaとフェデレーション認証サービスを使用したシングルサインオン

このセクションでは、ドメイン参加済みデバイスとフェデレーション認証サービス(FAS)を備えたIDプロバイダーのOktaを使用して、シングルサインオン(SSO)を実装する方法について説明します。この構成では、Oktaを使用してWorkspaceに対して認証することで、シングルサインオンを有効にし、2回目のログオンプロンプトを防ぐことができます。この認証メカニズムを機能させるには、Citrix CloudでCitrixフェデレーション認証サービスを使用する必要があります。詳しくは、「Citrix CloudにCitrixフェデレーション認証サービスを接続する」を参照してください。

前提条件

構成

デバイスでSSOを構成するには、次の手順を実行します:

Citrix CloudをOkta組織に接続する

  1. Okta Active Directoryエージェントをダウンロードしてインストールします。詳しくは、「Install the Okta Active Directory agent」を参照してください。

  2. Citrix Cloud(https://citrix.cloud.com)にサインインします。

  3. Citrix Cloudメニューで、[IDおよびアクセス管理] を選択します。

  4. 「Okta」を見つけ、省略記号(…)メニューから [接続] を選択します。

  5. [Okta URL] にOktaドメインを入力します。

  6. [Okta APIトークン] に、Okta組織のAPIトークンを入力します。

  7. [クライアントID][クライアントシークレット] に、先ほど作成したOIDC Webアプリ統合からクライアントIDとシークレットを入力します。Oktaコンソールからこれらの値をコピーするには、[アプリケーション] を選択し、Oktaアプリケーションを見つけます。[クライアント資格情報] で、[クリップボードにコピー] ボタンを各値に対して使用します。

  8. [テストして終了] をクリックします。Citrix CloudでOktaの詳細が確認され、接続がテストされます。

ワークスペースのOkta認証を有効にする

  1. Citrix Cloudメニューから [ワークスペース構成] > [認証] の順に選択します。

  2. [Okta] を選択します。プロンプトが表示されたら、[利用者のエクスペリエンスに与える影響を了承しています。] を選択します。

  3. [承諾] をクリックして権限の要求を承諾します。

フェデレーション認証サービスを有効にする

  1. Citrix Cloudメニューから [ワークスペース構成] を選択し、[認証] を選択します。

  2. [FAS を有効にする] をクリックします。この変更が利用者のセッションに適用されるまで、最大5分かかる場合があります。

[FASを有効にする]ボタンが強調表示された[ワークスペース構成]ページ

その後、Citrix Workspaceからのすべての仮想アプリおよびデスクトップの起動に対してフェデレーション認証がアクティブになります。

FASが有効な[ワークスペース構成]ページ

利用者が自分のワークスペースにログインして、FASサーバーと同じリソースの場所で仮想アプリまたはデスクトップを起動すると、アプリまたはデスクトップは資格情報のプロンプトを表示せずに起動します。

注:

リソースの場所内のすべてのFASサーバーがダウンしているか、またはメンテナンスモードの場合、アプリケーションの起動は成功しますが、シングルサインオンはアクティブになりません。利用者は、各アプリケーションまたはデスクトップにアクセスするためにActive Directory資格情報の入力を求められます。

Workspaceアプリへのシングルサインオンの構成