Product Documentation

Azure Active Directoryを使用したシングルサインイン

2018年6月5日

XenMobile Serviceでは、次のシナリオでAzure Active Directoryの資格情報を使用したシングルサインインがサポートされます。

  • Citrix Secure Hubによるユーザー登録(AndroidまたはiOS)
  • RBACユーザー役割でのXenMobile Self Help Portalに対する認証
  • 管理者のXenMobileコンソールに対する認証
  • XenMobile Serviceでの、Citrix Cloud APIにより取得したトークンによるRESTサービス用XenMobileパブリックAPIに対する管理者の認証。
  • 詳しくは、『XenMobile Public API for REST Services』(PDF)のセクション3.3.2「Login (Cloud Credentials)」を参照してください。

XenMobile Serviceは、Citrix CloudサービスであるCitrix IDプラットフォームを使用して、Azure Active Directoryへのフェデレーションを行います。CitrixIDプラットフォームはIDプロバイダー(Identiry Provider:IDP)サービスです。

このサービスを設定するには、Azure Active DirectoryをIDプロバイダーとして使用するようにCitrix Cloudを構成します。次に、Citrix IDプラットフォームをXenMobile ServerのIDPタイプとして構成します。これで、ユーザーがAzure Active Directoryの資格情報を使用してSecure Hubにログオンできるようになります。Secure Hubでは、MAMデバイスのクライアント証明書認証を使用します。

Azure Active Directoryに直接接続するのではなく、Citrix IDプラットフォームを使用することをお勧めします。

Azure Active Directoryを使用したシングルサインインの前提条件

  • MDMモード、MAM-onlyモード、またはEnterpriseモードで構成されたXenMobile Server
  • 証明書ベースの認証で構成されたNetScaler Gateway
  • Secure Hub 10.7.20(最小バージョン)
  • Azure Active Directoryユーザーの資格情報

Azure Active DirectoryをIDプロバイダーとして使用するようにCitrix Cloudを構成する

Citrix CloudでAzure Active Directoryを構成するには、次の手順に従います。

  1. https://citrix.cloud.comでCitrix Cloudアカウントにサインインします。

  2. Citrix Cloudメニューから [IDおよびアクセス管理] ページに移動し、Azure Active Directoryに接続します。

    Citrix Cloud画面の画像

  3. 管理者のサインインURLを入力し、[接続]をクリックします。

    Citrix Cloud画面の画像

  4. サインインすると、Azure Active DirectoryアカウントがCitrix Cloudに接続されます。[IDおよびアクセス管理]>[認証] ページに、Citrix CloudアカウントとAzure ADアカウントへのサインインに使用するアカウントが表示されます。

    Citrix Cloud画面の画像

Citrix IDプラットフォームをXenMobile ServerのIDPタイプとして構成する

Citrix CloudでAzure Active Directoryを構成したら、次のようにXenMobile Serverを構成します。

  1. XenMobileコンソールで [設定]>[IDプロバイダー(IDP)] に移動し、[追加]をクリックします。

  2. [IDプロバイダー(IDP)] ページで、次の項目を構成します。

    IDP構成画面の画像

    • IDP名: 作成するIDP接続が識別できる一意の名前を入力します。
    • IDPの種類: [Citrix IDプラットフォーム] を選択します。
    • 認証ドメイン: 該当するCitrix Cloudドメインを選択します。Citrix Cloudの [IDおよびアクセス管理]>[認証] ページに表示されるドメインを選択してください。
  3. [次へ] をクリックします。[IDPクレームの使用状況] ページで、次の項目を構成します。

    IDP構成画面の画像

    • ユーザー識別子の種類: このフィールドは [userPrincipalName] に設定します。
    • ユーザー識別子の文字列: このフィールドは自動入力されます。
  4. [次へ] を選択して [概要] ページを確認し、[保存]をクリックします。

    これで、Secure Hubユーザー、XenMobileコンソール、Self Help PortalユーザーがAzure Active Directoryの資格情報を使用してサインインできるようになります。

XenMobileの管理者とユーザーの認証フロー

XenMobileコンソールとXenMobile Self Help Portalのサインイン画面には、[会社の資格情報でサインイン]リンクが表示されます。

XenMobileのサインイン画面の画像

リンクをクリックして、Azure Active Directory資格情報を入力します。認証に成功した場合、今後XenMobileへのアクセスでサインインは不要になります。

ドメイン参加デバイスからXenMobileコンソールまたはSelf Help Portalにサインインし、[会社の資格情報でサインイン]リンクをクリックした場合、XenMobileによりシングルサインオンが行われます。認証プロンプトは表示されません。

Secure Hubの認証フロー

Citrix IDプラットフォームをIDPとして使用するようにXenMobileを構成している場合、Secure Hubを介して登録済みのデバイスのSecure Hub認証フローは次のようになります。

  1. Secure Hubを起動します。
  2. Secure Hubが認証要求をCitrix IDプラットフォームに渡し、プラットフォームがこの要求をAzure Active Directoryに渡します。
  3. ユーザーはユーザー名とパスワードを入力します。
  4. Azure Active Directoryがユーザーを検証し、Citrix IDプラットフォームにコードを送信します。
  5. Citrix IDプラットフォームがコードをSecure Hubに送信し、Secure HubがコードをXenMobile Serverに送信します。
  6. XenMobileがコードとシークレットを使用してIDトークンを取得し、IDトークンに含まれるユーザー情報を検証します。XenMobileはセッションIDを返送します。

ドメイン参加デバイスのユーザーは、Azure Active Directoryの資格情報を使用してシングルサインオンを行うことができます。XenMobileローカルアカウントでは、シングルサインオンは使用できません。