PoCガイド:Google IdPによるCitrix DaaSでの非ドメイン参加デスクトップの構成

概要

Google Cloud Identityは、ユーザーとグループを一元管理するサービスとしてのアイデンティティ(IDaaS)ソリューションです。Google Cloud Identity は、Google と Active Directory や Azure Active Directory などの他のアイデンティティプロバイダーとの間で ID を統合するように設定できます。ただし、多くの組織では、(Active Directory Directory経由ではなく)ドメイン結合ソリューションをサポートする必要がありますが、Citrix DaaSがGoogle Cloud Identity 認証をサポートしていれば、これを実現できます。

次のガイドでは、Citrix DaaSを使用してWindowsおよびLinuxの非ドメイン参加仮想マシン、マシンカタログ、およびデリバリーグループを作成および構成するための要件と手順について説明します。

要件と前提条件

  • 現在のCitrix DaaS サブスクリプション。
  • シングルセッションの Windows 10/11 およびサポートされている Linux 仮想マシン
  • Citrix VDA 2203 またはそれ以降。
  • ランデブー v2 を有効にする必要があります
  • Cloud Connector: オンプレミスのハイパーバイザーにマシンをプロビジョニングする場合にのみ必要です。
  • Google Cloud プラットフォームのデベロッパーアカウント。

ドメインに参加していないVDAでは、サービス継続性はサポートされていません。

アイデンティティプロバイダーとして Google をCitrix Cloud に接続

既に Google Cloud を使用しており、その中にユーザーが作成されていることを前提としています。

サービスアカウントの作成

このタスクを完了するには、Google Cloud Platform開発者アカウントが必要です。

  1. Google Cloud コンソールにログインします
  2. ダッシュボードのサイドバーから「 IAM & Admin 」を選択し、「 サービスアカウント」を選択します。

    DaaS の設定 DaaS ![の設定 DaaS の設定](/en-us/tech-zone/learn/media/poc-guides_citrix-daas-google-chrome-identity_service3.png)

  3. [アカウントの作成] を選択します。

    DaaS の設定

  4. [サービスアカウントの詳細] で、サービスアカウント名とサービスアカウントIDを入力します。

    DaaS の設定

  5. [完了] を選択します。

サービスアカウントキーの作成

  1. サービスアカウントページで 、作成したサービスアカウントを選択します。
  2. キー 」タブを選択し、「 キーを追加」>「新しいキーを作成」を選択します。

    DaaS の設定

  3. デフォルトのJSONキータイプオプションは選択したままにします。
  4. [作成] を選択します。後でアクセスできる安全な場所にキーを保存します。GoogleをIDプロバイダーとして接続するときは、Citrix Cloudコンソールに秘密キーを入力します。

    DaaS の設定

ドメイン全体の委任を構成

  1. Admin SDK APIを有効にします:
  2. Google Cloud Platform メニューから [ API とサービス] > [有効な API とサービス ] を選択します。

    DaaS の設定

  3. コンソールの上部にある [APIとサービスの有効化] を選択します。APIライブラリのホームページが表示されます。

    DaaS の設定

  4. [Admin SDK API] を検索し、結果リストから選択します。

    DaaS の設定

  5. [有効] をクリックします。

    DaaS の設定

  6. サービスアカウントのAPIクライアントを作成します:
  7. Google Cloud Platform メニューから [ IAM と管理者] > [サービスアカウント ] を選択し、先ほど作成したサービスアカウントを選択します。

    DaaS の設定

  8. サービスアカウントの [詳細] タブの、[詳細設定] を展開します。

    DaaS の設定

  9. [ ドメイン全体の委任] で、クライアント ID をコピーして [ Google Workspace 管理コンソールを表示] を選択します。

    DaaS の設定

  10. 該当する場合は、使用するGoogle Workspace管理者アカウントを選択します。Google管理コンソールが表示されます。
  11. Google 管理画面のサイドバーから [ セキュリティ] > [アクセスとデータコントロール] > [API コントロール ] を選択します。

    DaaS の設定

  12. [ドメイン全体の委任] で、[ドメイン全体の委任を管理]をクリックします。

    DaaS の設定

  13. [新しく追加] を選択します。

    DaaS の設定

  14. [ クライアント ID] に、ステップ C でコピーしたサービスアカウントのクライアント ID を貼り付けます。

    DaaS の設定

  15. OAuth スコープでは、次のスコープをカンマ区切りの1 行に入力します。 https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.domain.readonly
  16. [Authorize] を選択します。

読み取り専用のAPIユーザーアカウントを追加する

このタスクでは、Citrix Cloudへの読み取り専用APIアクセス権を持つGoogle Workspaceユーザーアカウントを作成します。このアカウントは他の目的には使用されず、他の特権もありません。

  1. Google管理メニューから、[ディレクトリ]>[ユーザー]を選択します。

    DaaS の設定

  2. [新しいユーザーの追加] を選択して、適切なユーザー情報を入力します。

    DaaS の設定

  3. [新しいユーザーの追加] を選択して、アカウント情報を保存します。

    DaaS の設定

  4. 読み取り専用ユーザーアカウントのカスタムロールを作成します:
  5. Google管理メニューから、[アカウント]>[管理者ロール]を選択します 。

    DaaS の設定

  6. [新しいロールの作成] を選択します。

    DaaS の設定

  7. 新しいロールの名前を入力します。例:API読み取り専用

    DaaS の設定

  8. 次に、[続行] を選択します。
  9. [管理API権限] で、次の権限を選択します:
    • [ユーザー]>[読み取り]
    • [グループ]>[読み取り]
    • ドメイン管理

    DaaS の設定

  10. [続行] を選択してから、[ロールを作成]を選択します。

    DaaS の設定

  11. 以前に作成した読み取り専用ユーザーアカウントにカスタムロールを割り当てます。
  12. カスタムロールの詳細ページの [管理] ペインで、[ユーザーへの割り当て]を選択します。

    DaaS の設定

  13. 読み取り専用ユーザーアカウントの名前の入力を開始し、ユーザーリストから選択します。

    DaaS の設定

  14. [ロールの割り当て] を選択します。

    DaaS の設定

  15. ユーザーページ ([ディレクトリ] > [ユーザー]) に戻って役割の割り当てを確認し、読み取り専用のユーザーアカウントを選択します。カスタムロールの割り当ては、[管理者ロールと権限]の下に表示されます。

GoogleをCitrix Cloudに接続する

次のステップは、Google CloudをIDプロバイダーとして使用するようにCitrix DaaSを構成することです。最初のステップは、Google Cloud Identity をグローバルに設定することです。

  1. Citrix Cloudにサインインします。
  2. Citrix Cloudメニューで、[IDおよびアクセス管理] を選択します。

    DaaS の設定

  3. 「Google」を見つけ、省略記号(…)メニューから [接続] を選択します。

    DaaS の設定

  4. [ファイルのインポート] を選択してから、サービスアカウントのキーを作成したときに保存したJSONファイルを選択します。このアクションにより、作成したGoogle Cloudサービスアカウントの秘密キーとメールアドレスがインポートされます。

    DaaS の設定

  5. [偽装ユーザー] に、読み取り専用APIユーザーアカウントの名前を入力します。
  6. [次へ] を選択します。Citrix Cloudは、Googleアカウントの詳細を確認し、接続をテストします。

    DaaS の設定

  7. リストされている関連ドメインを確認します。正しい場合は、[確認]を選択して構成を保存します。

ワークスペースのGoogle認証を有効にする

Google Cloud Identity が設定されたので、ワークスペースの設定を切り替えて使用してください。

  1. Citrix Cloudメニューから [ワークスペース構成]>[認証] の順に選択します。

    DaaS の設定

  2. [Google] を選択します。メッセージが表示されたら、[ 購読者体験への影響を理解しています] を選択し、[ 保存] をクリックします。

    DaaS の設定

Windows 仮想マシンを作成

Citrix DaaS がサポートする任意のハイパーバイザーまたはハイパースケーラーに Windows 仮想マシンを作成します。この場合、Google Cloud が使用されています。仮想マシンを作成したら、次の手順に従います。

  1. 仮想マシンへの RDP
  2. Citrix Virtual Delivery
    Agent の最新かつ正しいOSタイプリリースをダウンロードしてください

  3. VDAセットアップVDAを実行する

  4. [ マスター MCS イメージの作成] を選択し、[ 次へ] をクリックします。 VDA

  5. [次へ] をクリックします。 VDA

  6. デプロイに必要な追加コンポーネントを選択し 、[ 次へ] をクリックします。 VDA

  7. マシン作成サービスに自動的に実行させる」を選択し、「 次へ」をクリックします。 VDA

  8. [次へ] をクリックします。 VDA

  9. 自動」を選択し、「 次へ」をクリックします。 VDA

  10. 概要ページを確認して、「 インストール」をクリックします。 VDA

  11. インストールが完了したら、[ Finish ] をクリックしてマシンを再起動します。 VDA

  12. マシンが再起動したら、次のレジストリ値を編集します。HKEY_LOCAL_MACHINE\ SOFTWARE\ Citrix\ VirtualDesktopAgent VDA

Linux 仮想マシンの作成

このステップでは、Linux仮想マシンVDAがインストールされます。仮想マシンは、Citrix DaaSがサポートする任意のハイパーバイザーまたはハイパースケーラーで作成できます。この場合、Google Cloud が使用されています。このプロセス中に、Citrix VDAもインストールされます。このプロセス中のサポートについては、 以下のCitrix ブログ投稿を参照してください

前提条件

  1. SSH VDA VDA経由でLinux VDAをインストールします

  2. インストールエラーが予想されます。インストールが完了したら、次のコマンドを実行します。 sudo apt --fix-broken install

  3. 次のコマンドで MCS ベースイメージを作成します。 sudo /opt/Citrix/VDA/sbin/deploymcs.sh

  4. 仮想マシンをシャットダウンし、スナップショットを作成します。Linuxマシンカタログを作成するときには、スナップショットを使用してください。

マシンカタログの作成

  1. [マシンカタログ]をクリックし、[ マシンカタログの作成]をクリックします。 VDA

  2. マシンタイプを選択し次へをクリックしますVDA

  3. マシン管理オプションを選択し、 次へをクリックしますVDA

  4. デスクトップエクスペリエンスの種類を選択し 、デスクトップ専用の場合は [ 次へ] をクリックします。 VDA

  5. マスターイメージ、VDAの機能レベルを選択し、 次へをクリックしますVDA

  6. ストレージタイプを選択し、[ 次へ] をクリックします。 VDA

  7. 作成する仮想マシンの数を選択し、ゾーンを選択して、[ 次へ] をクリックします。 VDA

  8. ID タイプに「非ドメイン参加」を選択し、デスクトップの名前を入力して、「次へ」をクリックします。 VDA

  9. 概要ページで、マシンカタログの名前を入力して、「 完了」をクリックします。 VDA

  10. マシンカタログは現在作成中です。完了したら、デリバリーグループの作成に進みます。 VDA

  11. 手順を繰り返してLinuxマシンカタログを作成します。

デリバリーグループの作成

  1. デリバリーグループ]を選択し、[ デリバリーグループの作成]をクリックします。 VDA

  2. 追加するデスクトップとマシンの数を選択し、[ 次へ] をクリックします。 VDA

  3. ユーザー割り当てタイプを選択し、[ 次へ] をクリックします。 VDA

  4. ライセンスの種類を選択し、[ 次へ] をクリックします。 VDA

  5. 概要を確認し、デリバリーグループを指定して名前を表示し、「 完了」をクリックします。 VDA

  6. 手順を繰り返してLinuxデリバリーグループを作成します。

ランデブーCitrix ポリシーの作成

  1. 管理 」をクリックして、Citrix DaaS Webスタジオを開きます。 VDA

  2. ポリシー 」(VDA)をクリックします

  3. ポリシーVDAの作成 」をクリックします。

  4. ランデブープロトコル設定を探し、「選択」をクリックします。 VDA

  5. [ 許可] を選択し、[ 保存] をクリックします。 VDA

  6. 次のVDA 」をクリックします

  7. デリバリーグループごとにポリシーの割り当て方法を選択しますVDA

  8. ドロップダウンでデリバリーグループを選択し、「 有効 」が選択されていることを確認して、「 保存」をクリックします。 VDA

  9. [次へ] をクリックします。 VDA

  10. [ ポリシーを有効にする] を選択し、ポリシーに名前を付けて、[ 完了] をクリックします。 VDA
  11. これで、ランデブープロトコルポリシーが有効になりました。 VDA

デスクトップを割り当て

  1. Citrix Cloudのホームページで、「 ライブラリを表示」をクリックします。 VDA

  2. ドメインに参加していないGCPデスクトップの省略記号をクリックし、[利用者の管理]VDA)を選択します。

  3. まず、ユーザーの名前を入力してから、ユーザーを選択します。 VDA

  4. ユーザーが登録したら、画面を閉じます。 VDA

  5. ドメインに参加していないLinuxデスクトップについても同じ手順を繰り返しますVDA

デスクトップを起動

  1. ワークスペースの URL に接続すると、Google 認証に誘導されます。メールアドレスとパスワードを入力して、[ 次へ] をクリックします。 VDA

  2. 起動するデスクトップを選択します。 VDA