概念実証:Okta とCitrix Secure Workspace AccessによるSaaSアプリケーションへの安全なアクセス

概要

ユーザーがSaaSベースのアプリケーションを多く消費するにつれて、組織はすべての認可アプリケーションを統一し、認証標準を適用しながらユーザーのログイン操作を簡素化できる必要があります。組織は、データ・センターの範囲外に存在していても、これらのアプリケーションをセキュリティで保護できる必要があります。Citrix Workspaceでは、組織はSaaSアプリへの安全なアクセスを提供します。

このシナリオでは、ユーザーはActive DirectoryまたはOkta をプライマリユーザーディレクトリとして使用してCitrix Workspaceに対して認証を行います。Okta は、定義された SaaS アプリケーションセットに対してシングルサインオンサービスも提供します。

Active Directory とOkta SSO

Active Directory とOkta SSO

Citrix Secure Workspace Access サービスがCitrixサブスクリプションに割り当てられている場合、画面ベースのウォーターマークの適用、印刷/ダウンロードアクションの制限、画面の取得制限、キーボードの難読化、信頼できないリンクからのユーザーの保護など、強化されたセキュリティポリシーが適用されます。Okta ベースの SaaS アプリケーションの上に表示されます。

次のアニメーションは、Okta がSSOを提供し、Citrix Secure Workspace Access で保護されたSaaSアプリケーションにアクセスするユーザーを示しています。

Okta SSOデモ

このデモでは、ユーザーがCitrix Workspace内からアプリケーションを起動するIDP起動SSOフローを示します。この PoC ガイドでは、SPが開始する SSO フローもサポートしています。このフローでは、ユーザーは好みのブラウザから SaaS アプリに直接アクセスしようとします。

前提:

  • Okta は、Office 365 と他の SaaS アプリに SSO を提供するように既に構成されています
  • ユーザーは Okta ポータルに正常にサインインし、Office 365 と他の SaaS アプリを起動できます
  • Citrixワークスペースは、ユーザーのプライマリIDディレクトリとしてActive DirectoryまたはOkta を使用して構成されています。

この概念実証ガイドでは、次の方法について説明します。

  1. Citrix Workspace のセットアップ
  2. プライマリ・ユーザー・ディレクトリの統合
  3. SaaS アプリケーションにシングルサインオンを組み込む
  4. ウェブサイトフィルタリングポリシーを定義する
  5. 構成を検証する

Citrix Workspace のセットアップ

環境を設定するための最初の手順は、Citrix Workspaceを組織用に準備することです。これには、

  1. ワークスペース URL の設定
  2. 適切なサービスの有効化

ワークスペースの URL を設定

  1. Citrix Cloudに接続して管理者アカウントでログインする
  2. Citrix Workspaceで、左上のメニューから[ ワークスペース構成 ]にアクセスします
  3. [ アクセス ] タブで、組織の一意の URL を入力し、[有効] を選択します。

ワークスペースのURL

サービスを有効にする

[サービスインテグレーション] タブで、次のサービスを有効にして SaaS アプリへの安全なアクセスをサポートします。

  1. ゲートウェイ
  2. Secure Browser

Workspace Services

確認

Citrix Workspaceでは、サービスとURL設定の更新にしばらく時間がかかります。ブラウザから、カスタムワークスペース URL がアクティブであることを確認します。ただし、プライマリユーザーディレクトリが定義されて構成されるまで、ログオンを使用できません。

プライマリ・ユーザー・ディレクトリの統合

ユーザーが Workspace に対して認証できるようにするには、 プライマリ・ユーザー・ディレクトリ を構成する必要があります。Workspace 内のアプリに対するすべての要求はセカンダリ ID へのシングルサインオンを使用するため、プライマリユーザーディレクトリはユーザーが必要とする唯一のアイデンティティです。

組織は次のプライマリ・ユーザー・ディレクトリのいずれかを使用できます

  • Active Directory: Active Directory 認証を有効にするには、 Cloud Connectorのインストール ガイドに従って、クラウドコネクタを Active Directory ドメインコントローラーと同じデータセンター内に展開する必要があります。
  • 時間ベースのワンタイムパスワードを使用する Active Directory: Active Directory ベースの認証には、時間ベースのワンタイムパスワード (TOTP) を使用した多要素認証を含めることもできます。このガイドはこの認証オプションを有効にするために必要な手順について説明します。
  • Azure Active Directory: ユーザーは、Azure Active Directory の ID を使用して Citrix Workspace に認証できます。このオプションの設定の詳細については、このガイドを参照してください。
  • Citrix Gateway: 組織はオンプレミスの Citrix Gateway を使用して、Citrix Workspace の ID プロバイダーとして機能できます。このガイドにより、統合の詳細が提供されます。
  • Okta: 組織では、Citrix Workspace のプライマリユーザーディレクトリとして Okta を使用できます。このガイドによりオプションの構成手順が提供されます。

Okta をシングルサインオンプロバイダーとして追加

Okta アプリをCitrix Workspaceに正常に統合するには、管理者が次の操作を実行する必要があります。

  • SAML ログイン URL の識別
  • IdP 発行者の URI を特定する
  • SAML アイデンティティプロバイダのセットアップ
  • SaaS アプリの設定
  • SaaS アプリを認証する
  • IdP ルーティングの設定

SAML ログイン URL の識別

  • Okta に管理者としてログインする
  • アプリケーションの選択
  • Citrix Workspaceに追加するアプリケーションを選択します。この例では、Microsoft Office 365 を使用しています。
  • [ 全般] で、 正しいアプリ埋め込みリンクが見つかるまで下にスクロールします 。これは、Citrix Workspaceの SAML ログインURLとして使用されます。

SAML ログインURL

IdP 発行者の URI を特定する

  • 管理者としてCitrix Cloudにログインする
  • [ ID とアクセス管理 ] セクションで、[ API アクセス] を選択します。
  • 顧客 ID パラメータを取得します。これは、次の形式で IdP 発行者 URI を作成するために使用されます。 https://citrix.com/<customerID>

IdP 発行者URI

SAML アイデンティティプロバイダのセットアップ

Okta は、SAMLアイデンティティプロバイダとしてCitrix Workspaceを使用する必要があり、その結果、Okta はSAML構成でサービスプロバイダになります。

  • Okta に管理者としてログインする
  • [ セキュリティ ] → [ ID プロバイダー]
  • [ ID プロバイダーの追加 ]-> [ SAML 2.0 IdP を追加] を選択します

![SAML IdP 01(/en-us/tech-zone/learn/media/poc-guides_access-control-okta-sso_okta-add-saml-idp-01.png)をセットアップする]

  • 名前を入力してください
  • IdP ユーザー名には、次の式を使用します: idpUser.User.Username (大文字と小文字が区別されます)
  • 一致は Okta ユーザー名または電子メールである必要があります
  • 一致するものが見つからない場合は、[ Okta サインインページにリダイレクト] を選択します
  • IdP 発行者 URI の場合は、URLhttps://citrix.com/<customerID>を使用します。CustomerId は IdP 発行者の URI セクションから取得されています

![SAML IdP 02(/en-us/tech-zone/learn/media/poc-guides_access-control-okta-sso_okta-add-saml-idp-02.png)をセットアップする]

  • Citrix CloudからシングルサインオンURLとSSL証明書を取得できるようになるまで、プロセスのこの部分は開いたままにします。

SaaS アプリの設定

  • Citrix Cloudで、[ゲートウェイ]タイルから[ 管理 ]を選択します。

![SaaSアプリケーション01(/en-us/tech-zone/learn/media/poc-guides_access-control-okta-sso_add-saas-app-01.png)をセットアップする]

  • [ Web/SaaS アプリを追加] を選択します
  • テンプレートの選択ウィザードで、[ スキップ]
  • これは SaaS アプリなので、[ 社内ネットワークの外]
  • [アプリケーションの詳細] ウィンドウで、 アプリケーションの名前を入力します
  • URL については、「アイデンティティ SAML ログイン URL」 セクションからアプリ埋め込みリンクを使用します
  • 拡張セキュリティポリシーでは、関連ドメインフィールドを使用して、セキュリティで保護する URL を決定します。前の手順で追加した URL に基づいて、関連するドメインが 1 つ自動的に追加されます。その特定の関連ドメインは、Okta アプリケーションリンクに関連付けられています。強化されたセキュリティポリシーでは、実際のアプリケーションに関連するドメインが必要です。多くの場合、 *.<companyID>.SaaSApp.com (*.citrix.slack.com の例として)

![SaaS アプリ 02(/en-us/tech-zone/learn/media/poc-guides_access-control-okta-sso_add-saas-app-02.png)をセットアップする]

  • [ セキュリティの強化 ] ウィンドウで、環境に適切なセキュリティポリシーを選択します。
  • [ シングルサインオン ] ウィンドウで、[ ダウンロード ] を選択して PEM ベースの証明書を取得します。
  • [ コピー ] ボタンを選択して、ログイン URL をキャプチャします

![SaaS アプリ 03(/en-us/tech-zone/learn/media/poc-guides_access-control-okta-sso_add-saas-app-03.png)をセットアップする]

  • Okta 設定に戻ります。[ ID プロバイダの追加 ] ダイアログは引き続き表示されるはずです
  • IdPシングルサインオンURLの場合は、前の手順からコピーしたCitrixログインURLを使用します。次のようになります。https://app.netscalergateway.net/ngs/<customerid>/saml/login?APPID=2347894324327
  • IdP 署名証明書で、ダウンロードされた PEM 証明書の眉です

![SaaSアプリケーション04(/en-us/tech-zone/learn/media/poc-guides_access-control-okta-sso_add-saas-app-04.png)をセットアップする]

  • ウィザードが完了したら、 アサーションコンシューマーサービスの URLと対象ユーザー URIをコピーします。

![SaaSアプリケーション05(/en-us/tech-zone/learn/media/poc-guides_access-control-okta-sso_add-saas-app-05.png)をセットアップする]

  • Citrix構成に切り替えます。
  • [ シングルサインオン ] ウィンドウの [ アサーション URL] で、[SAML ID プロバイダー] セクションから取得したアサーションコンシューマーサービスの URL 項目を使用します。
  • 対象ユーザーには、SAML ID プロバイダーのセクションから取得した対象ユーザー URI 項目を使用します。
  • 名前 ID の形式と名前 ID は、電子メールのままにすることができます。Okta は、電子メールアドレスを使用して Okta ユーザーに関連付けます。

![SaaSアプリ 06(/en-us/tech-zone/learn/media/poc-guides_access-control-okta-sso_add-saas-app-06.png)をセットアップする]

  • [ 保存] を選択します
  • [ 完了] を選択

SaaS アプリを認証する

  • Citrix Cloudで、メニューから[ ライブラリ ]を選択します

![SaaS アプリ 01(/en-us/tech-zone/learn/media/poc-guides_access-control-okta-sso_authorize-saas-app-01.png)を認証する]

  • SaaS アプリを見つけて、[ 登録者を管理]
  • アプリを起動する権限のある適切なユーザー/グループを追加します。

![SaaS アプリ 02(/en-us/tech-zone/learn/media/poc-guides_access-control-okta-sso_authorize-saas-app-02.png)を認証する]

IdP ルーティングの設定

これまでのところ、構成はIDP起動起動プロセスをサポートしており、ユーザーはCitrix Workspace内からアプリを起動します。ユーザーが直接 URL を使用してアプリを起動する SP が開始するプロセスを有効にするには、Okta に IdP ルーティングルールを定義する必要があります。

  • Okta 管理コンソールで、[ セキュリティ ] → [ ID プロバイダー] を選択します。
  • ルーティングルールの選択
  • [ ルーティングルールの追加] を選択します。
  • ルールの名前を指定します
  • このIDプロバイダーを使用する]オプションで、以前に作成したCitrix IDプロバイダーを選択します。

Okta アイデンティティプロバイダーのルーティングルール

  • アクティブ化を選択します

*注:インバウンド SAML 設定が不完全であるため、設定中、Okta 管理者が Okta 管理コンソールにログインできない場合があります。この場合、管理者は次のアドレスで Okta 環境にアクセスして IdP ルーティングルールをバイパスできます。 https://companyname.okta.com/login/default*

検証

IDP が開始する検証

  • Citrix Workspaceにユーザーとしてログインする
  • 設定された SaaS アプリケーションを選択します。
  • Okta サインオンプロセスが簡単に表示されることを観察する
  • SaaS アプリが正常に起動する

SPが開始する検証

  • ブラウザを起動する
  • SaaS アプリケーションの会社定義の URL に移動します
  • ブラウザは認証のためにOkta にリダイレクトされ、次にCitrix Workspaceにリダイレクトされます
  • ユーザーがプライマリユーザーディレクトリで認証されると、SaaS アプリが起動し、Okta はシングルサインオンを提供します

ウェブサイトフィルタリングポリシーを定義する

Citrix Secure Workspace Access サービスは、SaaSおよびWebアプリ内でWebサイトフィルタリングを提供し、フィッシング攻撃からユーザーを保護するのに役立ちます。以下に、Web サイトフィルターポリシーを設定する方法を示します。

  • Citrix Cloudから、Secure Workspace Access タイル内で管理する

Citrix Secure Workspace Access 1

  • このガイドに従って「 エンドユーザー認証の設定 」ステップと「 SaaS、Web および仮想アプリケーションへのエンドユーザーアクセスの設定 」の手順は完了です。[コンテンツアクセスの設定]を選択します。
  • [編集] を選択します。
  • **ウェブサイトカテゴリを絞り込むオプションを有効にします**
  • [ ブロックされたカテゴリ ] ボックスで、[ 追加]
  • ユーザーのアクセスをブロックするカテゴリを選択してください

Citrix Secure Workspace Access 2

  • 適用可能なカテゴリをすべて選択したら、[ 追加]

Citrix Secure Workspace Access 3

  • 許可されたカテゴリについても同じ操作を行います
  • リダイレクトされたカテゴリについても同じ操作を行います。これらのカテゴリは、セキュアブラウザインスタンスにリダイレクトされます。
  • 必要に応じて、管理者は、カテゴリの定義に使用したのと同じプロセスに従って、特定の URL について、拒否、許可、およびリダイレクトされたアクションをフィルタリングできます。ウェブサイトの URL はカテゴリよりも優先されます。

構成を検証する

IDP が開始する検証

  • Citrix Workspaceにユーザーとしてログインする
  • 設定された SaaS アプリケーションを選択します。セキュリティ強化が無効になっている場合、アプリはローカルブラウザー内で起動します。それ以外の場合は、埋め込みブラウザーが使用されます。
  • ユーザーがアプリに自動的にサインオン
  • 適切な拡張セキュリティポリシーが適用される
  • 構成されている場合は、SaaS アプリ内で、ブロック、許可、およびリダイレクトされたカテゴリにある URL を選択します
  • 構成されている場合は、ブロック、許可、リダイレクトされた URL にある SaaS アプリ内の URL を選択します。
  • SaaS アプリが正常に起動する

SPが開始する検証

  • ブラウザを起動する
  • SaaS アプリケーションの会社定義の URL に移動します
  • ブラウザは、認証のためにブラウザをCitrix Workspaceにリダイレクトします
  • ユーザーがプライマリユーザーディレクトリで認証されると、強化されたセキュリティが無効になっている場合は、ローカルブラウザーで SaaS アプリが起動します。強化されたセキュリティが有効な場合、セキュアブラウザインスタンスは SaaS アプリを起動します

トラブルシューティング

強化されたセキュリティポリシーが失敗する

ユーザーは、強化されたセキュリティポリシー (透かし、印刷、またはクリップボードアクセス) が失敗することがあります。通常、これは SaaS アプリケーションが複数のドメイン名を使用しているために発生します。SaaS アプリケーションのアプリケーション構成設定に、 関連ドメインのエントリがありました

![SaaS アプリ 02(/en-us/tech-zone/learn/media/poc-guides_access-control-okta-sso_add-saas-app-02.png)をセットアップする]

強化されたセキュリティポリシーは、関連するドメインに適用されます。不足しているドメイン名を識別するために、管理者はローカルブラウザーで SaaS アプリにアクセスし、次の操作を実行できます。

  • ポリシーが失敗するアプリのセクションに移動します
  • Google ChromeとMicrosoft Edge(Chromium版)では、ブラウザの右上にある 3 つのドットを選択してメニュー画面を表示します。
  • [ その他のツール] を選択します。
  • 開発者ツールの選択
  • 開発者ツールで、[ ソース] を選択します。これは、アプリケーションのそのセクションのアクセスドメイン名のリストを提供します。アプリのこの部分で強化されたセキュリティポリシーを有効にするには、 それらのドメイン名をアプリ構成内の関連ドメインフィールドに入力する必要があります 。関連するドメインは、次のように追加する必要があります。*.domain.com

セキュリティ強化トラブルシューティング 01