オンプレミスのCitrix GatewayをIDプロバイダーとして接続
Citrix Cloud Japanでは、オンプレミスのCitrix GatewayをIDプロバイダーとして使用して、ワークスペースにサインインする利用者が認証されるようにできます。
Citrix Gateway認証を使用すると、以下のことを実行できます:
- 引き続き、既存のCitrix Gatewayでユーザーを認証するため、Citrix Workspace経由でオンプレミスのVirtual Apps and Desktopsのリソースにアクセスできます。
- Citrix WorkspaceでCitrix Gatewayの認証、承認、および監査(AAA:authentication, authorization, and auditing)機能を使用します。
- パススルー認証、スマートカード、セキュアトークン、条件付きアクセスポリシー、フェデレーション、その他多くの機能を使用しながら、ユーザーに必要なリソースへのCitrix Workspace経由のアクセスを提供できます。
ヒント:
「Citrix IDと認証の概要」教育コースで、サポートされているIDプロバイダーの詳細をご覧ください。「Citrix Identity and Access Managementの計画」モジュールには、このIDプロバイダーをCitrix Cloud Japanに接続してCitrix Workspaceの認証を有効にする方法を説明した短い動画があります。
サポートされるバージョン
Citrix Gateway認証は、次のオンプレミス製品バージョンでの使用がサポートされています:
- Citrix Gateway 12.1 54.13 Advanced Edition以降
- Citrix Gateway 13.0 41.20 Advanced Edition以降
前提条件
Cloud Connector
Citrix Cloud Connectorソフトウェアのインストール先となるサーバーが少なくとも2台必要です。これらのサーバーは、次の要件を満たしている必要があります:
- 「Citrix Cloud Connectorの要件」に記載されているシステム要件を満たしている。
- 他のCitrixコンポーネントはインストールされておらず、Active Directoryドメインコントローラーではなく、リソースの場所のインフラストラクチャに不可欠なマシンでもない。
- サイトが存在するドメインに参加している。ユーザーが複数のドメインにあるサイトのアプリケーションにアクセスする場合は、各ドメインにCloud Connectorを少なくとも2つインストールする必要があります。
- サイトに接続可能なネットワークに接続している。
- インターネットに接続済み。詳しくは、「サービス接続要件」を参照してください。
- Cloud Connectorの可用性を高めるため、サーバーは2台用意することをCitrixではお勧めします。インストール後、Citrix Cloud JapanはCloud Connectorによりサイトを検出して通信できるようになります。
Cloud Connectorのインストールについて詳しくは、以下の記事を参照してください:
Active Directory
Citrix Gateway認証を有効にする前に、次のタスクを実行します:
- ワークスペース利用者にActive Directory(AD)のユーザーアカウントがあることを確認します。ADアカウントがない利用者は、ワークスペースにサインインできません。
- 利用者のADアカウントのユーザープロパティが入力されていることを確認します。Citrix Cloud Japanでは、利用者がサインインする際、ユーザーコンテキストを決定するためにこれらのプロパティが必要とされます。これらのプロパティが入力されていないと、利用者がワークスペースにサインインできません。これらのプロパティには以下が含まれます:
- メールアドレス
- 表示名
- 共通名
- SAMアカウント名
- ユーザープリンシパル名
- OID
- SID
- Active Directory(AD)をCitrix Cloud Japanアカウントに接続します。このタスクでは、「Cloud Connector」セクションの説明に従い、準備したサーバーにCloud Connectorソフトウェアをインストールします。Cloud Connectorにより、Citrix Cloud Japanがオンプレミス環境と通信できるようになります。手順については、「Azure Active DirectoryをCitrix Cloud Japanに接続する」を参照してください。
- Citrix Gateway認証を使用してフェデレーションを実行している場合、ADユーザーをフェデレーションプロバイダーと同期します。Citrix Cloud Japanでは、サインインするワークスペース利用者のADユーザー属性が必要とされます。
要件
Citrix Gatewayの拡張ポリシー
Citrix Gateway認証では、クラシックポリシーが廃止されたため、オンプレミスGatewayの拡張ポリシーを使用する必要があります。拡張ポリシーでは、IDプロバイダーチェーンなどのオプションを含むCitrix Cloud Japanの多要素認証がサポートされています。現在クラシックポリシーを使用している場合、Citrix Cloud JapanでCitrix Gateway認証を使用するには、新しい拡張ポリシーを作成する必要があります。拡張ポリシーを作成する際に、クラシックポリシーのアクション部分を再利用できます。
署名用証明書
Citrix Workspaceの利用者を認証するためにGatewayを構成する場合、GatewayはOpenID Connectプロバイダーとして機能します。Citrix Cloud JapanとGateway間のメッセージはOIDCプロトコルに準拠し、デジタル署名トークンが含まれます。したがって、これらのトークンに署名するための証明書を構成する必要があります。この証明書は、公的証明機関(CA)から発行される必要があります。私的CAが発行した証明書は使用できません。Citrix Cloud Japanに私的なCA証明書を提供する手段がないためです。そのため、信頼できる証明書チェーンを確立できません。署名用の証明書を複数構成する場合、各メッセージでこれらのキーがローテーションされます。
キーをVPNグローバルにバインドする必要がありますこれらのキーがないと、利用者はサインイン後にワークスペースに正常にアクセスできません。
クロック同期
OIDCのデジタル署名されたメッセージにはタイムスタンプが含まれているため、GatewayはNTP時間に同期される必要があります。クロックが同期されていない場合、Citrix Cloud Japanでのトークンの有効性チェックでトークンが古いと判断されます。
タスクの概要
Citrix Gateway認証を設定するには、次のタスクを実行します:
- [IDおよびアクセス管理] でGatewayへの接続を構成します。この手順では、GatewayのクライアントID、シークレット、リダイレクトURLを生成します。
- Gatewayで、Citrix Cloud Japanから生成された情報を使用してOAuth IDプロバイダー拡張ポリシーを作成します。これによりCitrix Cloud JapanがオンプレミスGatewayに接続できるようになります。手順については、以下の記事を参照してください:
- Citrix Gateway 12.1:オンプレミスCitrix GatewayをIDプロバイダーとしてCitrix Cloudに使用
- Citrix Gateway 13.0:オンプレミスCitrix GatewayをIDプロバイダーとしてCitrix Cloudに使用
- [ワークスペース構成] で、利用者のCitrix Gateway認証を有効にします。
Citrix Gateway認証を構成する
- Citrix Cloud Japanメニューで、[IDおよびアクセス管理] を選択します。
- [認証] タブの [Citrix Gateway] で省略記号メニューをクリックし、[接続] を選択します。
- オンプレミスGatewayの完全修飾ドメイン名を入力して [検出] をクリックします。 Citrix Cloud Japanが正常にFQDNを検出したら、[続行] をクリックします。
- オンプレミスGatewayとの接続を作成します:
- Citrix Cloud Japanで表示されるクライアントID、シークレット、リダイレクトURLをコピーします。 また、この情報のコピーをダウンロードし、参照用としてオフラインで安全に保存します。この情報は生成後、Citrix Cloud Japanで表示することはできなくなります。
- Gatewayで、Citrix Cloud JapanのクライアントID、シークレット、リダイレクトURLを使用してOAUth IDプロバイダー拡張ポリシーを作成します。手順については、以下の記事を参照してください:
- Citrix Gateway 12.1の場合:オンプレミスCitrix GatewayをIDプロバイダーとしてCitrix Cloudに使用
- Citrix Gateway 13.0の場合:オンプレミスCitrix GatewayをIDプロバイダーとしてCitrix Cloudに使用
- [テストして終了] をクリックします。Citrix Cloud Japanは、Gatewayが到達可能であり、正しく構成されていることを確認します。
ワークスペース利用者のCitrix Gateway認証を有効にする
- Citrix Cloud Japanメニューから、[ワークスペース構成] を選択します。
- [認証] タブで [Citrix Gateway] を選択します。
- [利用者のエクスペリエンスに与える影響を了承しています] を選択して [保存] をクリックします。
トラブルシューティング
最初の手順として、この記事の「前提条件」および「要件」セクションを確認します。オンプレミス環境に必要なコンポーネントがすべて揃っており、必要な構成をすべて行ったことを確認してください。これらのアイテムのいずれかが欠落しているか、正しく構成されていないと、Citrix Gatewayでのワークスペース認証が機能しません。
Citrix Cloud JapanとオンプレミスのGatewayとの間で接続の問題が発生した場合、以下の事項を確認してください:
- Gatewayの完全修飾ドメイン名がインターネットで到達可能である。
- Citrix Cloud JapanでGatewayの完全修飾ドメイン名を正しく入力した。
- OAuth IDプロバイダーポリシーの
-issuer
パラメーターにGatewayのURLを正しく入力した(例:-issuer https://GatewayFQDN.com
)。issuer
パラメーターでは大文字と小文字は区別されません。 - Citrix Cloud JapanのクライアントID、シークレット、リダイレクトURLの値が、OAuth IDプロバイダーポリシーの[クライアントID][クライアントシークレット]、[リダイレクトURL]、[オーディエンス]フィールドに正しく入力されている。ポリシーの[オーディエンス]フィールドに正しいクライアントIDが入力されていることを確認します。
- OAuth IDプロバイダー認証ポリシーが正しく構成されている。手順については、以下の記事を参照してください。
- Citrix Gateway 12.1:オンプレミスCitrix GatewayをIDプロバイダーとしてCitrix Cloudに使用
- Citrix Gateway 13.0:オンプレミスCitrix GatewayをIDプロバイダーとしてCitrix Cloudに使用
- ポリシーが「認証ポリシーのバインド」に記載されている手順で、AAA認証サーバーに正しくバインドされていることを確認します。
グローバルカタログサーバー
Gatewayは、ユーザーアカウントの詳細に加えて、ユーザーのドメイン名、Active DirectoryのNETBIOS名、およびルートActive Directoryドメイン名を取得します。Active DirectoryのNETBIOS名を取得するために、Gatewayはユーザーアカウントが存在するActive Directoryを検索します。NETBIOS名はグローバルカタログサーバーに複製されません。
Active Directory環境でグローバルカタログサーバーを使用する場合、これらのサーバーで構成されたLDAPアクションはCitrix Cloud Japanで機能しません。代わりに、LDAPアクションで個別のActive Directoryを構成する必要があります。複数のドメインまたはフォレストがある場合、複数のLDAPポリシーを構成できます。
KerberosまたはIDプロバイダーチェーンを使用したシングルサインオンのActive Directory検索
Kerberosか、利用者のサインインにSAMLまたはOIDCプロトコルを使用するまたは外部IDプロバイダーを使用する場合、Active Directory参照が構成されていることを確認します。Gatewayでは、利用者のActive DirectoryユーザープロパティとActive Directory構成プロパティを取得するためにActive Directory参照が必要です。
認証がサードパーティのサーバーによって処理される場合でも、LDAPポリシーが構成されていることを確認してください。これらのポリシーを構成するには、以下のタスクを実行して既存のログインスキーマプロファイルに第2の認証要素を追加します:
- Active Directoryから属性およびグループの抽出のみを実行するLDAP認証サーバーを作成します。
- LDAP拡張認証ポリシーを作成します。
- 認証ポリシーラベルを作成します。
- プライマリIDプロバイダーのあとの次の要素として認証ポリシーラベルを定義します。
LDAPを第2の認証要素として追加するには
- LDAP認証サーバーを作成します:
- [System]>[Authentication]>[Basic Policies]>[LDAP]>[Servers]>[Add] を選択します。
-
[Create Authentication LDAP Server] ページで次の情報を入力します:
- [Choose Server Type] で [LDAP] を選択します。
- [Name]でサーバーのフレンドリ名を入力します。
- [Server IP] を選択してからLDAPサーバーのIPアドレスを入力します。
- [Security Type] で必要なLDAPセキュリティの種類を選択します。
- [Server Type] で [AD] を選択します。
- [Authentication] ではチェックボックスをオンにしないでください。この認証サーバーは、Active Directoryからユーザー属性とグループを抽出するだけで認証用ではないので、チェックボックスはオフにする必要があります。
-
[Other Settings]で、次の情報を入力します:
- [Server Logon Name Attribute] で、UserPrincipalNameを選択します。
- [Group Attribute] でmemberOfを選択します。
- [Sub Attribute Name] でcnを選択します。
- LDAP拡張認証ポリシーを作成します。
- [Security]>[AAA - Application Traffic]>[Policies]>[Authentication]>[Advanced Policies]>[Policy]>[Add] を選択します。
-
[Create Authentication Policy] ページで次の情報を入力します:
- [Name] でポリシーのフレンドリ名を入力します。
- [Action Type] で [LDAP] を選択します。
- [Action] で作成済みのLDAP認証サーバーを選択します。
- [Expression] でTRUEと入力します。
- [作成] をクリックしてこの構成を保存します。
- 認証ポリシーラベルを作成します:
- [Security]>[AAA - Application Traffic]>[Policies]>[Authentication]>[Advanced Policies]>[Policy Label]>[Add] を選択します。
- [Name] で認証ポリシーラベルのフレンドリ名を入力します。
- ログインスキーマでLSCHEMA_INTを選択します。
- [Policy Binding] の [Select Policy] で、作成済みのLDAP拡張認証ポリシーを選択します。
- [GoTo Expression] でENDを選択します。
- [Bind] をクリックして、構成を完了します。
- LDAP認証ポリシーラベルをプライマリIDプロバイダーの次の要素として定義します:
- [System]>[Security]>[AAA - Application Traffic]>[Virtual Servers] を選択します。
- プライマリIDプロバイダーのバインディングを含む仮想サーバーを選択して、[Edit] を選択します。
- [Advanced Authentication Policies] で既存の [Authentication Policy] バインディングを選択します。
- プライマリIDプロバイダーのバインディングを選択して、[Edit Binding] を選択します。
- [Policy Binding] ページの [Select Next Factor] で、作成済みのLDAP拡張認証ポリシーを選択します。
- [Bind] をクリックして、構成を保存します。
多要素認証のデフォルトパスワード
ワークスペース利用者に多要素認証を使用する場合、Gatewayではシングルサインオンのデフォルトパスワードとして最後の要素のパスワードが使用されます。このパスワードは、利用者がワークスペースにサインインする際にCitrix Cloud Japanに送信されます。環境内でLDAP認証の後に別の要素が続く場合、Citrix Cloud Japanに送信されるデフォルトパスワードとしてLDAPパスワードを構成する必要があります。LDAP要素に対応するログインスキーマで、SSOCredentialsを有効にします。