XenMobile Server

Citrix FilesでのSAMLによるシングルサインオン

XenMobileとShareFileを構成して、SAML(Security Assertion Markup Language:セキュリティアサーションマークアップランゲージ)を使用したCitrix Filesモバイルアプリへのシングルサインオン(SSO:Single Sign-On)アクセスを提供することができます。この機能には次のものが含まれます:

  • MAM SDK対応か、MDX Toolkitを使用してラップされたCitrix Filesアプリ
  • ラップされていないCitrix Filesクライアント(Webサイト、Outlook Plug-in、同期クライアントなど)

  • ラップされたCitrix Filesアプリの場合。Citrix Filesモバイルアプリを介してCitrix Filesにログオンするユーザーは、ユーザー認証のためにSecure Hubにリダイレクトされ、SAMLトークンを取得します。認証が成功した後で、Citrix Files MobileアプリからShareFileにSAMLトークンが送信されます。最初のログオンの後、ユーザーはSSOを介してCitrix Filesモバイルアプリにアクセスできます。また、毎回ログオンしなくても、Secure MailのメールにShareFileからドキュメントを添付できます。
  • ラップされていないCitrix Filesクライアントの場合。WebブラウザーまたはほかのCitrix Filesクライアントを介してCitrix Filesにログオンするユーザーは、XenMobileにリダイレクトされます。XenMobileで認証されると、ユーザーはShareFileに送信されたSAMLトークンを取得します。最初のログオンの後は、毎回ログオンしなくてもユーザーはSSOを介してCitrix Filesクライアントにアクセスできます。

XenMobileをShareFileのSAML IDプロバイダー(IDP)として使用するには、この記事で説明するように、Enterpriseアカウントを使用するようにXenMobileを構成する必要があります。または、Storage Zone Connectorでのみ動作するようにXenMobileを構成することもできます。詳しくは、「ShareFileをXenMobileと使用する」を参照してください。

詳細なリファレンスアーキテクチャ図については、「アーキテクチャ」を参照してください。

前提条件

XenMobileおよびCitrix FilesアプリにSSOを構成する前に、以下の前提条件を満たす必要があります:

  • MAM SDKまたは互換性があるバージョンのMDX Toolkit(Citrix Filesモバイルアプリ用)。

    詳しくは、「XenMobileの互換性」を参照してください。

  • 互換性があるバージョンのCitrix FilesモバイルアプリとSecure Hub。
  • ShareFile管理者アカウント
  • XenMobileとShareFile間の確認された接続

ShareFileアクセスを構成する

ShareFileのためにSAMLを設定する前に、以下のようにShareFileアクセス情報を入力します。

  1. XenMobile Webコンソールで、[構成]の[ShareFile] をクリックします。[ShareFile] 構成ページが開きます。

    ShareFile構成の設定

  2. 次の設定を構成します:

    • ドメイン: ShareFileサブドメイン名を入力します。例:example.sharefile.com
    • デリバリーグループに割り当て: ShareFileと共にSSOを使用するデリバリーグループを選択または検索します。
    • ShareFile管理者アカウントログオン
    • ユーザー名: ShareFile管理者のユーザー名を入力します。このユーザーには管理特権が必要です。
    • パスワード: ShareFile管理者のパスワードを入力します。
    • ユーザーアカウントのプロビジョニング: この設定は無効のままにします。ユーザープロビジョニングにShareFile User Management Toolを使用します。「ユーザーアカウントと配布グループのプロビジョニング」を参照してください。
  3. [接続のテスト] をクリックして、ShareFile管理者アカウントのユーザー名とパスワードが特定のShareFileアカウントに対して認証されることを検証します。

  4. [保存] をクリックします。

    • XenMobileがShareFileと同期して、ShareFileの ShareFile発行者/エンティティIDログインURL の設定が更新されます。

    • [構成]>[ShareFile] ページにアプリの内部名が表示されます。アプリの内部名は、後述の「Citrix Files.comのSSO設定を変更する」で説明する手順を完了するために必要になります。

ラップされたCitrix Files MDXアプリ用のSAMLの設定

ラップされたCitrix Files MDXアプリを使用したシングルサインオン構成にCitrix Gatewayを使用する必要はありません。Webサイト、Outlook Plug-in、同期クライアントなど、ラップされていないCitrix Filesクライアントのアクセスを構成するには、「ほかのCitrix FilesクライアントのためにCitrix Gatewayを構成する」を参照してください。

以下の手順がiOSおよびAndroidのアプリおよびデバイスに当てはまります。ラップされたCitrix Files MDXアプリ用にSAMLを構成するには:

  1. MDX ToolkitでCitrix Filesモバイルアプリをラップします。MDX Toolkitによるアプリのラップについて詳しくは、「MDX Toolkitによるアプリのラップ」を参照してください。

  2. XenMobileコンソールで、ラップされたCitrix Filesモバイルアプリをアップロードします。MDXアプリをアップロードする方法について詳しくは、「MDXアプリをXenMobileに追加するには」を参照してください。

  3. SAML設定の検証:上記の手順で構成した管理者のユーザー名とパスワードでShareFileにログオンします。

  4. ShareFileおよびXenMobileが同じタイムゾーンで構成されていることを確認します。構成したタイムゾーンに関して、XenMobileに正しい時刻が表示されていることを確認します。そうでない場合、SSOが失敗する可能性があります。

Citrix Filesモバイルアプリの検証

  1. ユーザーデバイスにSecure Hubをインストールして構成します。

  2. XenMobile StoreからCitrix Filesモバイルアプリをダウンロードしてインストールします。

  3. ユーザー名やパスワードの入力を求められずにCitrix Filesが開始されます。

Secure Mailによる検証

  1. まだ行っていない場合は、ユーザーデバイスにSecure Hubをインストールして構成します。

  2. XenMobile StoreからSecure Mailをダウンロード、インストール、および設定します。

  3. 新規メールを開いて [Citrix Filesから添付] をタップします。メールに添付できるファイルがユーザー名とパスワードを入力しなくても表示されます。

ほかのCitrix FilesクライアントのためにCitrix Gatewayを構成する

Webサイト、Outlook Plug-in、SyncクライアントなどのラップされていないCitrix Filesクライアントへのアクセスを構成するには、以下のようにCitrix Gatewayを構成して、SAML IDプロバイダーとしてのXenMobileの使用をサポートする必要があります。

  • ホームページのリダイレクトを無効にする。
  • Citrix Filesのセッションポリシーとプロファイルを作成する。
  • Citrix Gateway仮想サーバーにポリシーを構成する。

ホームページのリダイレクトを無効にする

/cginfraパスから送られる要求に対するデフォルトの動作を無効にします。この操作により、ユーザーは、構成されたホームページの代わりに本来要求された内部URLを見ることができるようになります。

  1. XenMobileのログオンに使用されるCitrix Gateway仮想サーバーの設定を編集します。Citrix ADCで、[他の設定] に移動して [ホームページにリダイレクト] チェックボックスをオフにします。

    Citrix ADCの画面

  2. [ShareFile](現在のShareFile)の下に、XenMobileの内部サーバー名およびポート番号を入力します。

  3. Citrix Endpoint Managementで、XenMobileのURLを入力します。使用するバージョンのCitrix Gatewayが、古い製品名AppControllerを参照している場合があります。

    この構成により、/cginfraパスを介して入力したURLに対する要求が承認されます。

Citrix Filesのセッションポリシーと要求プロファイルを作成する

以下の設定を構成してCitrix Filesセッションポリシーと要求プロファイルを作成します:

  1. Citrix Gateway構成ユーティリティの左側のナビゲーションペインで、[Citrix Gateway]>[ポリシー]>[セッション] の順にクリックします。

  2. セッションポリシーを作成します。[Policies] タブで [Add] をクリックします。

  3. [Name] ボックスに「ShareFile_Policy」と入力します。

  4. [+] をクリックして操作を作成します。[Create Session Profile] ページが開きます。

    Citrix Gatewayのセッションプロファイル画面

    次の設定を構成します:

    • Name:ShareFile_Profile」と入力します。
    • [Client Experience] タブをクリックし、以下の設定を構成します:
      • Home Page:none」と入力します。
      • Session Time-out (mins):1」と入力します。
      • Single Sign-on to Web Applications: この設定をクリックします。
      • Credential Index:[PRIMARY] をクリックします。
    • [Published Applications] タブをクリックします。

    Citrix Gatewayのセッションプロファイル画面

    次の設定を構成します:

    • ICA Proxy:[ON] を選択します。
    • Web Interface Address: XenMobile ServerのURLを入力します。
    • Single Sign-on Domain: Active Directoryドメイン名を入力します。

      Citrix Gatewayセッションプロファイルを構成するとき、[Single Sign-on Domain] に入力するドメインサフィックスをLDAPに定義するXenMobileドメインエイリアスと一致させる必要があります。

  5. [Create] をクリックしてセッションプロファイルを定義します。

  6. [Expression Editor] をクリックします。

    Citrix Gatewayのセッションプロファイル画面

    次の設定を構成します:

    • Value:NSC_FSRD」と入力します。
    • Header Name:COOKIE」と入力します。
  7. [Create] をクリックしてから、[Close] をクリックします。

    Citrix Gatewayのセッションプロファイル画面

Citrix Gateway仮想サーバーにポリシーを構成する

以下の設定をCitrix Gateway仮想サーバーに構成します。

  1. Citrix Gateway構成ユーティリティの左側のナビゲーションペインで、[Citrix Gateway]>[Virtual Servers] をクリックします。

  2. [Details] ペインでCitrix Gateway仮想サーバーをクリックします。

  3. [編集]をクリックします。

  4. [Configured policies]の[Session policies] をクリックし、[Add binding] をクリックします。

  5. [ShareFile_Policy] を選択します。

  6. このポリシーの優先順位が一覧表示されるほかのポリシーよりも高くなるように、選択したポリシーに対して自動生成される [Priority] の番号を最も小さい数に変更します。例:

    VPN仮想サーバーのセッションポリシーバインディング画面

  7. [Done] をクリックして、Citrix ADC構成を保存します。

Citrix Files.comのSSO設定を変更する

MDXおよび非MDX Citrix Filesアプリの両方に対して以下の変更を行います。

重要:

内部アプリケーション名に新しい番号が追加されます:

  • Citrix Filesアプリの編集または再作成の都度
  • XenMobileでのShareFile設定の変更の都度

このため、Citrix Files WebサイトでログインURLも更新して、更新されたアプリ名を反映する必要があります。

  1. ShareFileアカウント(https://<subdomain>.sharefile.com)にShareFile管理者としてログオンします。

  2. ShareFile Webインターフェイスで [管理] をクリックし、[シングルサインオンの構成] を選択します。

  3. [ログインURL] を以下のように編集します:

    編集前の [ログインURL]の例は次のとおりです:https://xms.citrix.lab/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1

    サンプルのログインURL

    • Citrix Gateway仮想サーバーの外部FQDNおよび「/cginfra/https/」をXenMobile ServerのFQDNの前に挿入し、XenMobileのFQDNの後に「8443」を追加します。

      編集したURLの例は次のとおりです: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=SHareFile_SAML_SP&reqtype=1

    • パラメーター&app=ShareFile_SAML_SPを、Citrix Files内部アプリ名に変更します。内部名はデフォルトで「ShareFile_SAML」です。ただし、構成を変更するたびに、内部名に数字が付加されます(例:ShareFile_SAML_2ShareFile_SAML_3)。アプリの内部名は、[構成]>[ShareFile] ページで調べることができます。

      編集したURLの例は次のとおりです: https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1

    • &nssso=true」をURLの最後に追加します。

      最終的なURLの例は次のとおりです:https://nsgateway.acme.com/cginfra/https/xms.citrix.lab:8443/samlsp/websso.do?action=authenticateUser&app=ShareFile_SAML&reqtype=1&nssso=true

  4. [オプション設定] の下の [Web認証の有効化] チェックボックスをオンにします。

    オプション設定画面

構成を検証する

以下の操作を実行して構成を検証します。

  1. ブラウザーでhttps://<subdomain>sharefile.com/saml/loginにアクセスします。

    Citrix Gatewayのログオンフォームにリダイレクトされます。リダイレクトされない場合は前の構成設定を検証します。

  2. Citrix Gatewayおよび構成したXenMobile環境のユーザー名とパスワードを入力します。

    <subdomain>.sharefile.comのCitrix Filesフォルダーが表示されます。Citrix Filesフォルダーが表示されない場合は、正しいログオン資格情報を入力したかどうか確認します。

Citrix FilesでのSAMLによるシングルサインオン