製品ドキュメント
StoreFront
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
PDFを表示

SAML認証

March 9, 2026
寄稿者: 
C

SAML (Security Assertion Markup Language) は、IDおよび認証製品で使用されるオープン標準です。SAMLを使用すると、StoreFrontを構成して、認証のためにユーザーを外部IDプロバイダーにリダイレクトできます。

内部アクセスには、StoreFrontをSAML認証で構成します。外部アクセスの場合、Citrix GatewayをSAML認証で構成してから、StoreFrontをGatewayパススルー認証で構成します。

StoreFrontには、次のようなSAML 2.0準拠のIDプロバイダー(IdP)が必要です。

  • SAMLバインディング(WS-Federationバインディングではない)を使用するMicrosoft AD Federation Services。詳しくは、CTX220638を参照してください。
  • Citrix Gateway(IdPとして構成)。
  • Microsoft Entra ID。詳しくは、CTX237490を参照してください。

SAMLアサーションには、ユーザーのUPNを含むsaml:Subject属性が含まれている必要があります。StoreFrontは、Active DirectoryでこのUPNを検索します。

Citrix Workspaceアプリを使用して接続する際にストアのSAML認証を有効または無効にするには、認証方法ウィンドウで [SAML認証] を選択します。ストアのSAML認証を有効にすると、デフォルトでそのストアのすべてのWebサイトでも有効になります。特定のWebサイトのSAMLは、認証方法タブで個別に構成できます。

StoreFront™ SAMLエンドポイント

SAMLを構成するには、IDプロバイダーで次のエンドポイントが必要になる場合があります。

  • エンティティIDのURL。これはストアの認証サービスへのパスで、通常は https://[storefront host]/Citrix/[StoreName]Auth です。
  • Assertion Consumer ServiceのURL。通常は https://[storefront host]/Citrix/[StoreName]Auth/SamlForms/AssertionConsumerService です。
  • メタデータサービス。通常は https://[storefront host]/Citrix/[StoreName]Auth/SamlForms/ServiceProvider/Metadata です。

さらに、テストエンドポイントがあり、通常は https://[storefront host]/Citrix/[StoreName]Auth/SamlTest です。

指定したストアのエンドポイントを一覧表示するには、次のPowerShellスクリプトを使用できます。

# Change this value for your Store
$storeVirtualPath = "/Citrix/Store"

$auth = Get-STFAuthenticationService -Store (Get-STFStoreService -VirtualPath $storeVirtualPath)
$spId = $auth.AuthenticationSettings["samlForms"].SamlSettings.ServiceProvider.Uri.AbsoluteUri
$acs = New-Object System.Uri $auth.Routing.HostbaseUrl, ($auth.VirtualPath + "/SamlForms/AssertionConsumerService")
$md = New-Object System.Uri $auth.Routing.HostbaseUrl, ($auth.VirtualPath + "/SamlForms/ServiceProvider/Metadata")
$samlTest = New-Object System.Uri $auth.Routing.HostbaseUrl, ($auth.VirtualPath + "/SamlTest")
Write-Host "SAML Service Provider information:
Entity ID: $spId
Assertion Consumer Service: $acs
Metadata: $md
Test Page: $samlTest"
<!--NeedCopy-->

出力例:

SAML Service Provider information:
Entity ID: https://storefront.example.com/Citrix/StoreAuth
Assertion Consumer Service: https://storefront.example.com/Citrix/StoreAuth/SamlForms/AssertionConsumerService
Metadata: https://storefront.example.com/Citrix/StoreAuth/SamlForms/ServiceProvider/Metadata
Test Page: https://storefront.example.com/Citrix/StoreAuth/SamlTest
<!--NeedCopy-->

メタデータ交換を使用した構成

構成を簡素化するために、IDプロバイダーとサービスプロバイダー(この場合はStoreFront)の間でメタデータ(識別子、証明書、エンドポイント、その他の構成)を交換できます。

IDプロバイダーがメタデータインポートをサポートしている場合、StoreFrontメタデータエンドポイントを指すように設定できます。注:これはHTTPS経由で行う必要があります。

IDプロバイダーからのメタデータを使用してStoreFrontを構成するには、Update-STFSamlIdPFromMetadataコマンドレットを使用します。例:

Get-Module "Citrix.StoreFront*" -ListAvailable | Import-Module

# Remember to change this with the virtual path of your Store.
$StoreVirtualPath = "/Citrix/Store"

$store = Get-STFStoreService -VirtualPath $StoreVirtualPath
$auth = Get-STFAuthenticationService -StoreService $store

# To read the metadata directly from the Identity Provider, use the following:
# Note again this is only allowed for https endpoints
Update-STFSamlIdPFromMetadata -AuthenticationService $auth -Url https://example.com/FederationMetadata/2007-06/FederationMetadata.xml

# If the metadata has already been download, use the following:
# Note: Ensure that the file is encoded as UTF-8
Update-STFSamlIdPFromMetadata -AuthenticationService $auth -FilePath "C:\Users\exampleusername\Downloads\FederationMetadata.xml"
<!--NeedCopy-->

IDプロバイダーの構成

  1. [SAML認証] 行の設定ドロップダウンをクリックし、[IDプロバイダー] をクリックします。

    SAML設定メニューのスクリーンショット

    IDプロバイダーウィンドウのスクリーンショット

  2. [SAMLバインディング][Post] または [Redirect] を選択します。

  3. IDプロバイダーの [アドレス] を入力します。

  4. SAMLトークンの署名に使用される証明書をインポートします。

  5. [OK] を押して変更を保存します。

サービスプロバイダーの構成

  1. [SAML認証] 行の設定ドロップダウンをクリックし、[サービスプロバイダー] をクリックします。

    IDプロバイダーウィンドウのスクリーンショット

  2. オプションで、IDプロバイダーへのメッセージの署名に使用される [署名証明書のエクスポート] を選択します。

  3. オプションで、IDプロバイダーから受信したメッセージの復号化に使用される [暗号化証明書のエクスポート] を選択します。

  4. [サービスプロバイダー識別子] には、ストアの認証サービスが事前に入力されています。

  5. [OK] を押して変更を保存します。

PowerShell

PowerShellの使用:

テスト

SAML統合をテストするには:

  1. SAMLテストページに移動します。StoreFront SAMLエンドポイントを参照してください。
  2. これにより、IDプロバイダーにリダイレクトされます。資格情報を入力します。
  3. IDクレームとアサーションを表示するテストページにリダイレクトされます。

Delivery Controller™によるStoreFrontの信頼の構成

SAML認証を使用する場合、StoreFrontはユーザーの資格情報にアクセスできないため、Citrix Virtual Apps and Desktopsに対して認証できません。したがって、Delivery Controllerを構成してStoreFrontからの要求を信頼するようにする必要があります。Citrix Virtual Apps and Desktopsのセキュリティに関する考慮事項とベストプラクティスを参照してください。

フェデレーション認証サービスを使用したVDAへのシングルサインオン

SAML認証を使用する場合、StoreFrontはユーザーの資格情報にアクセスできないため、VDAへのシングルサインオンはデフォルトでは利用できません。フェデレーション認証サービスを使用してシングルサインオンを提供できます。

SAML認証
March 9, 2026
寄稿者: 
C
March 9, 2026
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.