Citrix Workspace™

カスタムドメインの構成

ユーザーが cloud.com ドメインの代わりに、またはそれに加えてカスタムドメインを使用してストアにアクセスできるようにすることができます。ドメインを所有している必要があり、各ドメインは1つのストアにのみアクセスするために使用できます。

各cloud.com URLには、リンクされたカスタムURLを設定できます。

前提条件

  • 新しく登録されたドメイン、またはすでに所有しているドメインのいずれかを選択できます。ドメインはサブドメイン形式 (your.company.com) である必要があります。Citrixはルートドメイン (company.com) のみの使用をサポートしていません。

  • Citrix Workspaceアクセス用のカスタムドメインとして専用ドメインを使用することをお勧めします。これにより、必要に応じてドメインを簡単に変更できます。

  • カスタムドメインにはCitrixの商標を含めることはできません。完全なリストについては、Cloud Software Group Trademark Guidelines を参照してください。
  • 選択したドメインは、パブリックDNSで構成されている必要があります。ドメイン構成に含まれるCNAMEレコード名と値は、Citrixによって解決可能である必要があります。プライベートDNS構成はサポートされていません。

カスタムドメインの構成

カスタムドメインを設定すると、URLまたは証明書の種類を変更することはできません。削除することしかできません。選択したドメインがDNSにすでに構成されていないことを確認してください。カスタムドメインを構成する前に、既存のCNAMEレコードをすべて削除してください。

注:

カスタムURLを追加し、SAMLを構成する場合、Citrix Cloud™のプロビジョニングには24時間かかります。

カスタムドメインの追加

  1. Citrix Cloud にサインインします。

  2. Citrix Cloudメニューから、ワークスペース構成を選択し、次にアクセスを選択します。

  3. Access」タブの「Stores」テーブルで、カスタムURLを追加したいクラウドURLに対して「Add custom domain」を選択します (最初に作成するカスタムURLは、プライマリクラウドURLに関連付けられている必要があります)。

    ドメインを追加

  4. Overview」ページに表示される情報を読み、「Next」を選択します。

  5. Provide a URL」ページで、選択したドメインを入力します。「Confirm that you or your company own the URL provided」を選択して、指定されたドメインを所有していることを確認し、TLS証明書管理の優先設定を選択します。証明書の更新が自動的に処理されるため、「managed」を選択することをお勧めします。詳細については、「Providing a renewed certificate」を参照してください。「Next」をクリックします。

    このページに警告が表示された場合は、強調表示された問題を修正して続行します。

    独自の証明書を提供するように選択した場合、手順に追加のステップを完了する必要があります。

    選択したドメインのプロビジョニングには時間がかかります。プロビジョニングの進行中に、ページを開いたまま待つか、閉じるかを選択できます。

    ドメインを確認

  6. プロビジョニングが完了するまで「Provide a URL」ページを開いたままにしている場合、「Configure your DNS」ページが自動的に開きます。ページを閉じた場合は、「Access」タブからカスタムドメインの「Continue」ボタンを選択します。

    設定を完了

  7. このステップは、DNSレジストラが提供する管理ポータルで実行します。選択したカスタムドメインのCNAMEレコードを追加し、割り当てられたAzure Traffic Managerを指すようにします。

    Configure your DNS」ページからトラフィックマネージャーのアドレスをコピーします。例のアドレスは次のとおりです。

    wsp-cd-eastus2-production-traffic-manager-profile-1-123456.trafficmanager.net

    DNSにCertificate Authority Authorization (CAA) レコードが設定されている場合、Let’s Encryptがドメインの証明書を生成できるようにするレコードを追加します。Let’s Encryptは、Citrixがカスタムドメインの証明書を生成するために使用する認証局 (CA) です。CAAレコードの値は次のとおりである必要があります: 0 issue “letsencrypt.org”

    DNSを設定

  8. DNSプロバイダーでCNAMEレコードを設定したら、「CNAMEレコードを検出」を選択して、DNS構成が正しいことを確認します。CNAMEレコードが正しく構成されている場合、「CNAME構成」セクションの横に緑色のチェックマークが表示されます。

    このページに警告が表示された場合は、強調表示された問題を修正して続行してください。

    DNSプロバイダーでCAAレコードを設定している場合、別の「CAA構成」が表示されます。「CAAレコードを検出」を選択して、DNS構成が正しいことを確認します。CAAレコード構成が正しい場合、「CAA構成」セクションの横に緑色のチェックマークが表示されます。

    DNS構成が検証されたら、「次へ」をクリックします。

    CNAMEレコードの構成

  9. これはオプションの手順です。独自の証明書を追加することを選択した場合は、「独自の証明書を追加」ページで必要な情報を入力します。

    注:

    パスワードで保護された証明書はサポートされていません。

    このページに警告が表示された場合は、強調表示された問題を修正して続行してください。 証明書が以下の条件を満たしていることを確認してください。

    • PEMエンコードされている必要があります。
    • 少なくとも今後30日間は有効である必要があります。
    • カスタムWorkspace URL専用である必要があります。ワイルドカード証明書は使用できません。
    • 証明書のコモンネームはカスタムドメインと一致している必要があります。
    • 証明書のSANはカスタムドメイン用である必要があります。追加のSANは許可されません。
    • 証明書の有効期間は10年を超えてはなりません。

    独自の証明書を追加

    注:

    安全な暗号化ハッシュ関数 (SHA-256 以降) を使用した証明書を使用することをお勧めします。証明書の更新はお客様の責任で行ってください。証明書の有効期限が切れているか、まもなく切れる場合は、「更新された証明書を提供する」セクションを参照してください。

  10. ドメインのプロビジョニングページに表示される情報を読み、指示を承認します。続行する準備ができたら、同意して続行を選択します。

    この最終的なプロビジョニング手順には時間がかかる場合があります。操作が完了するまでページを開いたまま待つことも、ページを閉じることもできます。

    ドメインをプロビジョニング

カスタムドメインの削除

お客様からカスタムドメインを削除すると、カスタムドメインを使用してCitrix Workspaceにアクセスする機能が削除されます。カスタムドメインを削除した後、Citrix Workspaceにはcloud.comアドレスを使用してのみアクセスできます。

カスタムドメインを削除する際は、CNAMEレコードがDNSプロバイダーから削除されていることを確認してください。

カスタムドメインを削除するには、

  1. Citrix Cloudにサインインします。

  2. Citrix Cloudメニューから、ワークスペース構成 > アクセスを選択します。

  3. Accessタブでカスタムドメインのコンテキストメニュー (…) を展開し、Delete custom domainを選択します。

    ドメインを削除

  4. カスタムドメインの削除ページに表示される情報を読み、指示を承認します。続行する準備ができたら、削除を選択します。

    カスタムドメインの削除には時間がかかります。操作が完了するまでページを開いたまま待つことも、ページを閉じることもできます。

    複数のカスタムドメインをオンボードしている場合、他のすべてのカスタムドメインが削除されるまで、デフォルトのクラウドURLに関連付けられているカスタムドメインを削除することはできません。

    削除の確認(/ja-jp/citrix-workspace/media/delete-multi-custom-domain-confirm.png)

更新された証明書の提供

  1. Citrix Cloudにサインインします。

  2. Citrix Cloudメニューから、ワークスペース構成 > アクセスを選択します。

  3. 証明書の有効期限が30日以内になると、カスタムドメインに警告が表示されます。

    証明書の有効期限切れ(/ja-jp/citrix-workspace/media/renew-certificate-warning-multi-custom-domain.png)

  4. 警告をクリックして、証明書更新ウィザードを開きます。

    証明書の更新(/ja-jp/citrix-workspace/media/update-your-own-certificate-multi-custom-domain.png)

  5. 証明書の更新ページで必要な情報を入力し、保存します。

このページに警告が表示された場合は、強調表示された問題を修正して続行してください。

証明書は、カスタムドメインが作成されたときと同じ要件を満たしている必要があります。詳細については、「カスタムドメインの追加」を参照してください。

IDプロバイダーの構成

Oktaの構成

Citrix Workspaceアクセス用のIDプロバイダーとしてOktaを使用している場合は、次の手順を実行します。

  1. Oktaインスタンスの管理者ポータルにサインインします。このインスタンスには、Citrix Cloudで使用されるアプリケーションが含まれています。

  2. アプリケーションを展開し、メニューでアプリケーションを選択します。

    Oktaを構成する(/ja-jp/citrix-workspace/media/configure-okta-1.png)

  3. Citrix Cloudにリンクされているアプリケーションを開きます。
  4. 一般設定セクションで編集を選択します。

    一般設定(/ja-jp/citrix-workspace/media/configure-okta-2.png)

  5. General SettingsLOGINセクションで、Sign-in redirect URIsの値を追加します。既存の値を置き換えずに新しい値を追加します。新しい値は次の形式である必要があります: <https://your.company.com/core/login-okta>

  6. 同じセクションで、Sign-out redirect URIsの別の値を追加します。既存の値を置き換えずに新しい値を追加します。新しい値は次の形式である必要があります: <https://your.company.com>

    新しい値を追加する(/ja-jp/citrix-workspace/media/configure-okta-3.png)

  7. 新しい構成を保存するには、Saveをクリックします。

注:

カスタムドメインでSAMLを構成するには、SAML構成に記載されている手順に従ってください。

OAuthポリシーとプロファイルの構成

重要

Citrix CloudとCitrix Gateway、またはAdaptive Authentication HAペアをリンクする既存のOAuthポリシーとプロファイルは、OAuth資格情報が失われた場合にのみ更新する必要があります。このポリシーを変更すると、Citrix CloudとWorkspaces間のリンクが切断され、Workspacesへのログイン機能に影響を与えるリスクがあります。

シトリックス ゲートウェイの構成

Citrix Cloud管理者は、暗号化されていないクライアントシークレットにアクセスできます。これらの資格情報は、IDおよびアクセス管理 > 認証内のCitrix Gatewayリンクプロセス中にCitrix Cloudによって提供されます。OAuthプロファイルとポリシーはCitrix管理者によって作成されます。これは、接続プロセス中にCitrix Gateway上で手動で作成されます。

Citrix Gateway接続プロセス中に提供されたクライアントIDと暗号化されていないクライアントシークレットが必要です。これらの資格情報はCitrix Cloudによって提供され、安全に保存されています。 暗号化されていないシークレットは、Citrix ADCインターフェースまたはコマンドラインインターフェース (CLI) の両方を使用してOAuthポリシーとプロファイルを作成するために必要です。

Citrix管理者にクライアントIDとシークレットが提供された場合のUIの例を次に示します。

注:

Citrix Gatewayが接続された後、管理者は暗号化されていないシークレットのコピーを取得できません。接続プロセス中に資格情報を保存する必要があります。

接続を作成する

シトリックス クラウドの使用

Citrix Gatewayインターフェースを使用して別のOAuthプロファイルとポリシーを追加するには、次の手順を実行します。

  1. メニューから、セキュリティ > AAA - アプリケーショントラフィック > OAuth IDPを選択します。既存のOAuthポリシーを選択し、追加をクリックします。

    OAuthポリシーを追加する

  2. プロンプトが表示されたら、新しいOAuthポリシーの名前を、前の手順で選択した既存のポリシーとは異なるように変更します。Citrixは、その名前にcustom-URLを追加することを推奨しています。

    OAuthポリシー名を変更する

  3. Citrix Gateway GUIで、既存のOAuthプロファイルを作成します
  4. 同じGUIメニューで、追加をクリックします。

    ポリシーの追加(/ja-jp/citrix-workspace/media/using-citrix-cloud-3.png)

  5. Citrix Gateway GUIで、新しいOAuthポリシーを既存の認証、承認、および監査仮想サーバーにバインドします。

  6. セキュリティ > 仮想サーバー > 編集に移動します。

    ポリシーの作成(/ja-jp/citrix-workspace/media/using-citrix-cloud-4.png)

コマンドラインインターフェイス (CLI) の使用

重要

OAuth資格情報のコピーが安全に保存されていない場合は、Citrix Gatewayを切断して再接続する必要があります。既存のOAuthプロファイルを、Citrix Cloud Identity and Access Managementから提供された新しいOAuth資格情報で更新してください。この手順は推奨されず、古い資格情報が回復不能な場合にのみ使用してください。

  1. PuTTYなどのSSHツールを使用して、Citrix Gatewayインスタンスに接続します。

  2. OAuthプロファイルとOAuthポリシーを作成します。認証OAuthIDPプロファイルを追加します。

    "CustomDomain-OAuthProfile" -clientID "<clientID>" -clientSecret "<unencrypted client secret>" -redirectURL "https://hostname.domain.com/core/login-cip" -audience "<clientID>" -sendPassword ON

    add authentication OAuthIDPPolicy "CustomDomain-OAuthPol" -rule true -action "CustomDomain-OAuthProfile"

  3. OAuthPolicyを、既存のポリシーよりも低い優先度で、正しい認証、承認、および監査仮想サーバーにバインドします。この例では、既存のポリシーの優先度が10であるため、新しいポリシーには20を使用します。認証仮想サーバーをバインドします。

    "CitrixGatewayAAAvServer" -policy "CustomDomain-OAuthPol" -priority 20

アダプティブ認証の構成

重要

OAuth プロファイルの暗号化されたシークレットと暗号化パラメータは、Adaptive Authentication のプライマリ HA ゲートウェイとセカンダリ HA ゲートウェイで異なります。プライマリ HA ゲートウェイから暗号化されたシークレットを取得し、これらのコマンドもプライマリ HA ゲートウェイで実行してください。

Citrix Cloud 管理者は、暗号化されていないクライアントシークレットにアクセスできません。OAuth ポリシーとプロファイルは、プロビジョニングフェーズ中に Citrix Adaptive 認証サービスによって作成されます。OAuth プロファイルを作成するには、ns.conf ファイルから取得した暗号化されたシークレットと CLI コマンドを使用する必要があります。これは Citrix ADC UI を使用して実行することはできません。新しいカスタム URL OAuthPolicy を、既存の認証、承認、および監査仮想サーバーにバインドします。この際、既存の認証、承認、および監査仮想サーバーにバインドされている既存のポリシーよりも高い優先度番号を使用します。優先度番号が低いものが最初に評価されます。既存のポリシーを優先度 10 に、新しいポリシーを優先度 20 に設定して、正しい順序で評価されるようにします。

  1. PuTTY などの SSH ツールを使用して、Adaptive Authentication プライマリノードに接続します。

    show ha node

    認証の適応

  2. プライマリ HA ゲートウェイの実行中の構成内で、既存の OAuth プロファイルを含む行を見つけます。

    sh runn | grep oauth

  3. すべての暗号化パラメータを含め、Citrix ADC CLI から出力をコピーします。

    出力のコピー

  4. 前の手順でコピーした行を変更します。それを使用して、クライアント ID の暗号化されたバージョンを使用して OAuth プロファイルを作成できる新しい CLI コマンドを構築します。すべての暗号化パラメータを含める必要があります。

    以下の例は、両方の更新を網羅しています。

    add authentication OAuthIDPProfile "CustomDomain-OAuthProfile" -clientID b1656835-20d1-4f6b-addd-1a531fd253f6 -clientSecret <long encrypted client Secret> -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2023_04_19_09_12_25 -redirectURL "https://hostname.domain.com/core/login-cip" -audience b1656835-20d1-4f6b-addd-1a531fd253f6 -sendPassword ON

    add authentication OAuthIDPPolicy "CustomDomain-OAuthPol" -rule true -action "CustomDomain-OAuthProfile"

  5. OAuthPolicyを、既存のポリシーよりも低い優先度で、適切な認証、承認、および監査仮想サーバーにバインドします。すべての適応型認証展開における認証、承認、および監査仮想サーバー名は、auth_vs です。このインスタンスでは、既存のポリシーの優先度が10であると仮定しているため、新しいポリシーには20が使用されます。

    bind authentication vserver "auth_vs" -policy "CustomDomain-OAuthPol" -priority 20

既知の制限事項

カスタムドメインソリューションの既知の制限事項を以下に示します。

  • 作成する最初のカスタムドメインは、デフォルトのクラウドURLにリンクされている必要があります。デフォルトのクラウドURLにカスタムドメインが作成された後、マルチURL機能を通じて追加された他のクラウドURLにカスタムドメインを追加できます。
  • 複数のカスタムドメインをオンボードしている場合、他のすべてのカスタムドメインが削除されるまで、デフォルトのクラウドURLに関連付けられているカスタムドメインを削除することはできません。
  • この機能は、Windows版Citrix Workspaceアプリバージョン2305および2307ではサポートされていません。最新のサポートされているバージョンに更新してください。
  • Google認証を使用したカスタムドメインでのログオンはサポートされていません。
カスタムドメインの構成