PoC ガイド:Citrix DaaS での Google Cloud Identity とMicrosoft Active Directory 設定

概要

Google Cloud Identityは、ユーザーとグループを一元管理するサービスとしてのアイデンティティ(IDaaS)ソリューションです。Google Cloud Identity は、Google と Active Directory や Azure Active Directory などの他のアイデンティティプロバイダーとの間で ID を統合するように設定できます。Citrix DaaSでGoogle Cloud Identity プロバイダーを使用するには、確実に成功するための導入計画を立てる必要があります。

この POC ガイドでは、Google Cloud Identity とMicrosoft Active Directory の使用に焦点を当てています。

Microsoft Active Directory

Google Cloud からMicrosoft Active Directory にユーザーを同期する方法はありません。同期はMicrosoft Active Directory からGoogle Cloud。

Citrix DaaS の設定

この最初のステップでは、リソースロケーションを作成し、Citrix Cloud Connectorを展開し、マシンカタログとデリバリーグループを作成して、Citrix DaaSを構成します。最後に、LDAP 認証を使用してデプロイを検証し、すべてが期待どおりに動作するようにします。

  1. ドメインに参加した 2 台の新しい Windows Server 2022 仮想マシンをデプロイします。
  2. Citrix DaaS でリソースロケーションを設定します。
  3. オンプレミスのリソースロケーションを作成します。

    DaaS の設定

  4. Windows Server 2022の仮想マシンで、Citrix Cloud Connectorを作成、ダウンロード、インストールします。

    DaaS の設定

  5. ホスティング接続を設定します。

    DaaS の設定

  6. 2つのVDAを含む「Windows 10 MCS Google IdP」という名前のマシンカタログを作成します。

    DaaS の設定

  7. 「Windows 10 MCS Google IdP」という名前のデリバリーグループを作成します。
  8. デスクトップ「Windows 10 MCS グーグルIdP」を公開します。

    DaaS の設定

  9. ワークスペース URL を変更します。

    DaaS の設定

  10. LDAP を使用してアクセスを検証します。

    DaaS の設定 DaaS ![の設定 DaaS の設定](/en-us/tech-zone/learn/media/poc-guides_citrix-daas-google-chrome-identity_citrix-daas-config9.png)

アイデンティティプロバイダーとして Google をCitrix Cloud に接続

ここでは、すでに Google Cloud IdP を使用しており、Google Cloudでユーザーを作成していることを前提としています。

サービスアカウントの作成

このタスクを完了するには、Google Cloud Platform開発者アカウントが必要です。

  1. Google Cloud コンソールにログインします
  2. ダッシュボードのサイドバーから「 IAM & Admin 」を選択し、「 サービスアカウント」を選択します。

    DaaS の設定 DaaS ![の設定 DaaS の設定](/en-us/tech-zone/learn/media/poc-guides_citrix-daas-google-chrome-identity_service-account3.png)

  3. [アカウントの作成] を選択します。

    DaaS の設定

  4. [サービスアカウントの詳細] で、サービスアカウント名とサービスアカウントIDを入力します。

    DaaS の設定

  5. [完了] を選択します。

サービスアカウントキーの作成

  1. サービスアカウントページで 、作成したサービスアカウントを選択します。
  2. キー 」タブを選択し、「 キーを追加」>「新しいキーを作成」を選択します。

    DaaS の設定

  3. デフォルトのJSONキータイプオプションは選択したままにします。
  4. [作成] を選択します。後でアクセスできる安全な場所にキーを保存します。GoogleをIDプロバイダーとして接続するときは、Citrix Cloudコンソールに秘密キーを入力します。

    DaaS の設定

ドメイン全体の委任を構成

  1. Admin SDK APIを有効にします:
  2. Google Cloud Platform メニューから [ API とサービス] > [有効な API とサービス ] を選択します。

    DaaS の設定

  3. コンソールの上部にある [APIとサービスの有効化] を選択します。APIライブラリのホームページが表示されます。

    DaaS の設定

  4. [Admin SDK API] を検索し、結果リストから選択します。

    DaaS の設定

  5. [有効] をクリックします。

    DaaS の設定

  6. サービスアカウントのAPIクライアントを作成します:
  7. Google Cloud Platform メニューから [ IAM と管理者] > [サービスアカウント ] を選択し、先ほど作成したサービスアカウントを選択します。

    DaaS の設定

  8. サービスアカウントの [詳細] タブの、[詳細設定] を展開します。

    DaaS の設定

  9. [ ドメイン全体の委任] で、クライアント ID をコピーして [ Google Workspace 管理コンソールを表示] を選択します。

    DaaS の設定

  10. 該当する場合は、使用するGoogle Workspace管理者アカウントを選択します。Google管理コンソールが表示されます。
  11. Google管理サイドバーから、[セキュリティ]>[アクセスとデータ管理]>[APIの制御]を選択します。

    DaaS の設定

  12. [ドメイン全体の委任] で、[ドメイン全体の委任を管理]をクリックします。

    DaaS の設定

  13. [新しく追加] を選択します。

    DaaS の設定

  14. [ クライアント ID] に、ステップ C でコピーしたサービスアカウントのクライアント ID を貼り付けます。

    DaaS の設定

  15. [OAuthスコープ] で、次のスコープをコンマ区切りを使用して1行に入力します:

https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.domain.readonly

  1. [Authorize] を選択します。

読み取り専用のAPIユーザーアカウントを追加する

このタスクでは、Citrix Cloudへの読み取り専用APIアクセス権を持つGoogle Workspaceユーザーアカウントを作成します。このアカウントは他の目的には使用されず、他の特権もありません。

  1. Google管理メニューから、[ディレクトリ]>[ユーザー]を選択します。

    DaaS の設定

  2. [新しいユーザーの追加] を選択して、適切なユーザー情報を入力します。

DaaS の設定

  1. [新しいユーザーの追加] を選択して、アカウント情報を保存します。

    DaaS の設定

  2. 読み取り専用ユーザーアカウントのカスタムロールを作成します:
  3. Google管理メニューから、[アカウント]>[管理者ロール]を選択します 。

    DaaS の設定

  4. [新しいロールの作成] を選択します。

    DaaS の設定

  5. 新しいロールの名前を入力します。例:API読み取り専用

    DaaS の設定

  6. 次に、[続行] を選択します。
  7. [管理API権限] で、次の権限を選択します:
    • [ユーザー]>[読み取り]
    • [グループ]>[読み取り]
    • ドメイン管理

    DaaS の設定

  8. [続行] を選択してから、[ロールを作成]を選択します。

    DaaS の設定

  9. 以前に作成した読み取り専用ユーザーアカウントにカスタムロールを割り当てます。
  10. カスタムロールの詳細ページの [管理] ペインで、[ユーザーへの割り当て]を選択します。

    DaaS の設定

  11. 読み取り専用ユーザーアカウントの名前の入力を開始し、ユーザーリストから選択します。

DaaS の設定

  1. [ロールの割り当て] を選択します。

    DaaS の設定

  2. 役割の割り当てを確認するには、ユーザーページ ([ディレクトリ] > [ユーザー]) に戻り、読み取り専用のユーザーアカウントを選択します。
  3. カスタムロールの割り当ては、[管理者ロールと権限]の下に表示されます。

GoogleをCitrix Cloudに接続する

次のステップは、Google CloudをIDプロバイダーとして使用するようにCitrix DaaSを構成することです。最初のステップは、Google Cloud Identity をグローバルに設定することです。

  1. Citrix Cloudにサインインします。
  2. Citrix Cloudメニューで、[IDおよびアクセス管理] を選択します。

    DaaS の設定

  3. 「Google」を見つけ、省略記号(…)メニューから [接続] を選択します。

    DaaS の設定

  4. [ファイルのインポート] を選択してから、サービスアカウントのキーを作成したときに保存したJSONファイルを選択します。このアクションにより、作成したGoogle Cloudサービスアカウントの秘密キーとメールアドレスがインポートされます。

    DaaS の設定

  5. [偽装ユーザー] に、読み取り専用APIユーザーアカウントの名前を入力します。
  6. [次へ] を選択します。Citrix Cloudは、Googleアカウントの詳細を確認し、接続をテストします。

    DaaS の設定

  7. リストされている関連ドメインを確認します。正しい場合は、[確認]を選択して構成を保存します。

ワークスペースのGoogle認証を有効にする

Google Cloud Identity が設定されたので、ワークスペースの設定を切り替えて使用してください。

  1. Citrix Cloudメニューから [ワークスペース構成]>[認証] の順に選択します。

    DaaS の設定

  2. [Google] を選択します。メッセージが表示されたら、[ 購読者体験への影響を理解しています] を選択し、[ 保存] をクリックします。

    DaaS の設定

Google Cloud ディレクトリ同期の設定

Microsoft Active Directory から Google Cloud にユーザーを同期するように Google Cloud ディレクトリ同期を設定する必要があります。

  1. Google Cloud ディレクトリ同期からツールをダウンロードします
  2. GCDS ツールをインストールします。
  3. ツールを開いて設定します。

    DaaS の設定

  4. Google ドメイン設定の場合:
  5. Google ドメイン名を入力して、「 今すぐ認証」をクリックします。ウェブページが開き、管理者アカウントで認証して変更を承認するように求められます。

    DaaS の設定

  6. LDAP 設定の場合:
  7. 接続タイプを選択し、ホスト名を指定し、ポートを定義し、認証情報を入力します。[ 接続をテスト ] をクリックして検証します。

    DaaS の設定

  8. 一般設定では:
  9. ユーザーアカウント、グループ、およびカスタムスキーマをチェックしてください

    DaaS の設定

  10. ユーザーアカウントの場合:
  11. ユーザー属性 」タブ:「 デフォルトを使用」をクリックし、「LDAP に存在しない Google ドメインユーザーを一時停止または削除しない」を選択します。

    DaaS の設定

  12. ユーザーアカウントの場合:
  13. その他のユーザー属性 」タブ:「 デフォルトを使用」をクリックします。

    DaaS の設定

  14. ユーザーアカウントの場合:
  15. 検索ルール 」タブで、「 デフォルトを使用」をクリックします。

    DaaS の設定

  16. グループで:
  17. 検索ルール 」タブで、「 デフォルトを使用」をクリックします。
  18. カスタム・スキーマ」で、「 スキーマの追加」をクリックします。

    DaaS の設定

  19. 「ユーザーアカウント」で定義されているルールを使用するを選択し、スキーマ名「citrix-schemaを指定します。

    DaaS の設定

  20. [ フィールドを追加 ] をクリックして、以下を作成します。

    DaaS の設定

  21. [OK] をクリックします。

    DaaS の設定

  22. [ 同期 ] をクリックし、[ 同期して変更を適用] をクリックします。

注記:

メニューの [ ファイル] > [名前を付けて保存] をクリックして、設定を保存します。これにより XML ファイルが作成されます。GCDS ツールを閉じると、デフォルトでは設定は保存されません。保存した設定を取得するには、次に開くときに [ファイル] > [最近使ったものを開く] > [youfile.xml ] を選択します。

Google パスワード同期の設定

次に、パスワード同期を設定して Microsoft Active Directory から Google Cloud にパスワードを同期します。 このツールは、すべての Microsoft Active Directory ドメインコントローラにインストールする必要があります。

  1. Google パスワード同期のダウンロード
  2. Google パスワード同期をインストールします。
  3. Google パスワード同期を開きます。

    DaaS の設定

  4. [次へ] をクリックします。

    DaaS の設定

  5. 管理者のメールアドレスを入力し、[ 認証情報をロード] を選択します。プロンプトが表示されたら、JSON ファイルを選択します。[次へ] をクリックします。

    DaaS の設定

  6. [次へ] をクリックします。

    DaaS の設定

  7. [完了] をクリックします。

注記:

パスワード同期をインストールして設定すると、Active Directory ユーザーが AD でパスワードを変更するたびに、更新されたパスワードが Google アカウントに送信されます。 Active Directory のパスワードを Google に強制的に同期させるには、サービスコンソールからパスワード同期サービスを再起動します。 DaaS の設定次の行で再起動するスクリプトを作成することもできますnet stop "password Sync" && net start "password sync"

Google でユーザーを同期

次に、Google Cloud ディレクトリ同期を設定します。 DaaS の設定

  1. [ 同期して変更を適用] をクリックします。

    DaaS の設定

  2. [続行] をクリックします。

    DaaS の設定

  3. [閉じる] をクリックします。

ユーザー設定を変更

デフォルトで作成されると、新しい Google アカウントユーザーは初回ログイン時にパスワードを変更するように設定されます。変更しない場合、最初のログイン後に AD と Google のパスワードが異なります。 これを回避するには、以下の手順に従ってください。

  1. 管理コンソールで、作成したユーザーを選択します。

    DaaS の設定

  2. citrix-schemaが存在し 、情報が入力されていることを確認してください(公開リソースへのアクセスを確保するため)。

    DaaS の設定

  3. 「セキュリティ」で、「 パスワードの変更を要求」を編集します。

    DaaS の設定

  4. ONからOFFに変更して保存します

    DaaS の設定

検証

  1. ワークスペース URL に接続します。Google 認証にリダイレクトされます。メールアドレスを入力し、[ 次へ] をクリックします。

    DaaS の設定

  2. パスワードを入力して [ 次へ] をクリックします。

    DaaS の設定

  3. 「了解」をクリックします。

    DaaS の設定

  4. 公開されたリソースが表示されます。デスクトップをクリックします。

    DaaS の設定

  5. SSO によるデスクトップ起動

    DaaS の設定

GoogleをCitrix Cloudに接続する

次に、Google CloudをIDプロバイダーとして使用するようにCitrix DaaSを構成します。最初のステップは、Google Cloud Identity をグローバルに設定することです。

  1. Citrix Cloudにサインインします。
  2. Citrix Cloudメニューで、[IDおよびアクセス管理] を選択します。

    DaaS の設定

  3. 「Google」を見つけ、省略記号(…)メニューから [接続] を選択します。

    DaaS の設定

  4. [ ファイルのインポート ] を選択し、サービスアカウントキーの作成時に保存した JSON ファイルを選択します。このアクションにより、作成したGoogle Cloudサービスアカウントの秘密キーとメールアドレスがインポートされます。

    DaaS の設定

  5. [偽装ユーザー] に、読み取り専用APIユーザーアカウントの名前を入力します。
  6. [次へ] を選択します。Citrix Cloudは、Googleアカウントの詳細を確認し、接続をテストします。

    DaaS の設定

  7. リストされている関連ドメインを確認します。正しい場合は、[確認]を選択して構成を保存します。

ワークスペースのGoogle認証を有効にする

Google Cloud Identity が設定されたので、ワークスペースの設定を切り替えて使用することができます。

  1. Citrix Cloudメニューから [ワークスペース構成]>[認証] の順に選択します。

    DaaS の設定

  2. [Google] を選択します。 [サブスクライバーエクスペリエンスへの影響を理解している*] を選択し、[保存] をクリックします。**

    DaaS の設定

マシンカタログの作成

このユースケースにはMicrosoft Active Directory がないため、VDAはドメインに参加していません。 詳細はこちらをご覧ください

検証

  1. ワークスペース URL に接続します。Google 認証にリダイレクトされます。メールアドレスを入力し、[ 次へ] をクリックします。

    DaaS の設定

  2. パスワードを入力して [ 次へ] をクリックします。

    DaaS の設定

  3. 「了解」をクリックします。

    DaaS の設定

  4. 公開されたリソースが表示されます。「 デスクトップ」をクリックします。

    DaaS の設定

  5. SSO によるデスクトップ起動

    DaaS の設定

PoC ガイド:Citrix DaaS での Google Cloud Identity とMicrosoft Active Directory 設定