OktaをIDプロバイダーとして接続

Citrix Cloud Japanでは、ワークスペースにサインインする利用者を認証するためのIDプロバイダーとして使用して、Oktaを使用できます。 Okta組織をCitrix Cloud Japanに接続することにより、Citrix Workspaceのリソースにアクセスする利用者に共通のサインイン操作を提供できます。

ワークスペース構成でOkta認証を有効にした後、利用者のサインイン操作は変化します。 Okta認証を選択すると、シングルサインオンではなく、フェデレーションIDによるサインイン環境となります。 利用者は、Oktaサインインページからワークスペースにサインインしますが、Citrix DaaS（Citrix Virtual Apps and Desktopsサービスの新名称）からアプリまたはデスクトップを起動するときにもう一度認証する必要があります。 シングルサインオンを有効にし、2つ目のログオンプロンプトが表示されないようにするには、Citrix Cloud JapanでCitrixフェデレーション認証サービスを使用する必要があります。 詳しくは、「Citrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化」を参照してください。

前提条件

Cloud Connector

Active Directoryドメインで、Citrix Cloud Connectorソフトウェアのインストール先となるサーバーが少なくとも2台必要です。 Cloud Connectorは、Citrix Cloud Japanとリソースの間で通信するために必要です。 Cloud Connectorの可用性を高めるため、サーバーは2台用意することをCitrixではお勧めします。 これらのサーバーは、次の要件を満たしている必要があります：

• 「Citrix Cloud Connectorの要件」に記載されている要件を満たしている。
• 他のCitrixコンポーネントはインストールされておらず、Active Directoryドメインコントローラーではなく、リソースの場所のインフラストラクチャに不可欠なマシンでもない。
• Active Directory（AD）ドメインに参加している。 ワークスペースリソースとユーザーが複数のドメインに存在する場合は、各ドメインにCloud Connectorを少なくとも2つインストールする必要があります。 詳しくは、「Active DirectoryでのCloud Connector展開シナリオ」を参照してください。
• ユーザーがCitrix Workspaceを介してアクセスするリソースにアクセスできるネットワークに接続済み。
• インターネットに接続済み。 詳しくは、「サービス接続要件」を参照してください。

Cloud Connectorのインストールについて詳しくは、以下の記事を参照してください：

• Cloud Connectorをインストールする
• コマンドラインからCloud Connectorをインストールする

Oktaドメイン

OktaをCitrix Cloud Japanに接続する場合、組織のOktaドメインを指定する必要があります。 Citrixは、次のOktaドメインをサポートしています：

• okta.com
• okta-eu.com
• oktapreview.com

Citrix Cloud JapanでOktaカスタムドメインを使用することもできます。 Okta Webサイトの「Okta URLドメインのカスタマイズ」で、カスタムドメインの使用に関する重要な考慮事項をレビューします。

組織のカスタムドメインを見つける方法について詳しくは、Okta Webサイトで「自身のOktaドメインの検索」を参照してください。

Okta OIDC Webアプリケーション

OktaをIDプロバイダーとして使用するには、まずCitrix Cloud Japanで使用できるクライアント資格情報を使用してOkta OIDC Webアプリケーションを作成する必要があります。 アプリケーションを作成して構成したら、クライアントIDとクライアントシークレットをメモします。 Okta組織の接続時に、これらの値をCitrix Cloud Japanに入力します。

このアプリケーションを作成および構成するには、この記事の次のセクションを参照してください：

• Okta OIDC Webアプリケーション統合の作成
• Okta OIDC Webアプリケーションの構成

ワークスペースURL

Oktaアプリケーションの作成時には、Citrix Cloud JapanからのワークスペースURLを入力する必要があります。 ワークスペースURLを見つけるには、Citrix Cloud Japanメニューから ［ワークスペース構成］ を選択します。 ワークスペースURLは、［アクセス］ タブに表示されます。

重要:

後でワークスペースURLを変更する場合、Oktaアプリケーションの構成を新しいURLによって更新する必要があります。 そうしないと、ワークスペースからのサインアウト時に問題が発生する可能性があります。

Okta APIトークン

Citrix Cloud JapanでOktaをIDプロバイダーとして使用するには、Okta組織のAPIトークンが必要です。 Okta組織で読み取り専用の管理者アカウントを使用し、このトークンを作成します。 このトークンは、Okta組織内のユーザーとグループを読み取れる必要があります。

APIトークンを作成するには、この記事の「Okta APIトークンの作成」を参照してください。 APIトークンについて詳しくは、Oktaウェブサイトで「APIトークンの作成」を参照してください。

重要:

APIトークンを作成する際には、トークンの値をメモしてください（たとえば、値を一時的にプレーンテキストドキュメントにコピーしてください）。 Oktaではこの値が一度だけ表示され、「Citrix Cloud JapanをOkta組織に接続する」の手順を実行する直前にトークンを作成する場合があります。

Okta ADエージェントでアカウントを同期

OktaをIDプロバイダーとして使用するには、まず、オンプレミスActive DirectoryとOktaを統合する必要があります。 そのためには、ドメイン内にOkta ADエージェントをインストールし、Okta OrganizationにActive Directoryを追加します。 Okta Active Directoryエージェントを展開するためのガイダンスについては、Okta Webサイトで「Get started with Active Directory integration（Active Directoryの統合を開始する） 」を参照してください。

その後、Active DirectoryユーザーおよびグループをOktaにインポートします。 インポート時には、Active Directoryアカウントに関連付けられている以下の値を含めます：

• メール
• SID
• UPN
• OID

注意:

ワークスペースでCitrix Gatewayサービスを使用している場合、Active DirectoryアカウントをOkta組織と同期する必要はありません。

Active DirectoryユーザーおよびグループをOkta Organizationと同期するには：

1. Okta Active Directoryエージェントをインストールして構成します。 詳しい手順については、Okta Webサイトの次の記事を参照してください：
   • Install the Okta Active Directory agent（Okta Active Directoryエージェントのインストール）
   • Configure Active Directory import and account settings（Active Directoryのインポートとアカウント設定の構成）
   • Configure Active Directory provisioning settings（Active Directoryプロビジョニング設定の構成）
2. 手動インポートまたは自動インポートを実行して、Active DirectoryユーザーおよびグループをOktaに追加します。 Oktaのインポート方法と手順について詳しくは、Okta Webサイトで「Manage Active Directory users and groups（Active Directoryユーザーとグループの管理）」を参照してください。

Okta OIDC Webアプリケーション統合の作成

1. Okta管理コンソールの ［Applications］ から ［Applications］ を選択します。
2. ［Create App Integration］ を選択します。
3. ［Sign in method］ で ［OIDC - OpenID Connect］ を選択します。
4. ［Application Type］ で ［Web Application］ を選択します。 ［次へ］ を選択します。
5. ［App Integration Name］ にアプリ統合のフレンドリ名を入力します。
6. ［Grant type］ で、以下のオプションを選択します：
   • Authorization Code（デフォルトで選択済み）
   • Implicit（Hybrid）
7. ［Sign-in redirect URIs］に「https://accounts.citrixcloud.jp/core/login-okta」を入力します。
8. ［Sign-out redirect URIs］ に、Citrix Cloud JapanからのワークスペースURLを入力します。
9. ［Assignments］ の ［Controlled access］ で、アプリ統合を割り当てるのが組織の全員または指定したグループのみか、または後からアクセスを割り当てるのかを選択します。
10. ［Save］ を選択します。 アプリ統合を保存すると、コンソールにアプリケーション構成ページが表示されます。
11. ［Client Credentials］ セクションで、［Client ID］ と ［Client Secret］ の値をコピーします。 Citrix Cloud JapanをOkta組織に接続するときに、これらの値を使用します。

Okta OIDC Webアプリケーションの構成

この手順では、Citrix Cloud Japanに必要な設定でOkta OIDC Webアプリケーションを構成します。 Citrix Cloud Japanでは、ワークスペースへのサインイン時にOktaを介して利用者を認証するため、これらの設定が必要です。

1. （オプション）暗黙的な許可タイプのクライアント権限を更新します。 この付与タイプに最小限の権限を許可する場合に、この手順の実行を選択できます。
   1. Oktaアプリケーション構成ページの ［General Settings］ で、［Edit］ をクリックします。
   2. ［Application］ セクションの ［Client acting on behalf of user］ で ［Allow Access Token with implicit grant type］ をオフにします。
   3. ［Save］ を選択します。
2. アプリケーション属性を追加します。 これらの属性では大文字と小文字が区別されます。
   1. Oktaコンソールメニューから、［Directory］>［Profile Editor］の順に選択します。
   2. Okta ［User］（デフォルト） プロファイルを選択します。 Oktaが ［User］ プロファイルページを表示します。
   3. ［Attributes］ で、［Add attribute］ を選択します。
   4. 次の情報を入力します：
      • Display Name：cip_email
      • Variable Name：cip_email
      • Description：Active Directoryユーザーセキュリティ識別子
      • Attribute Length：1より大きい値
      • Attribute Required：Yes
   5. ［Save and Add Another］ を選択します。
   6. 次の情報を入力します：
      • Display Name：cip_sid
      • Variable Name：cip_sid
      • Description：Active Directoryユーザーセキュリティ識別子
      • Attribute Length：1より大きい値
      • Attribute Required：Yes
   7. ［Save and Add Another］ を選択します。
   8. 次の情報を入力します：
      • Display Name：cip_upn
      • Variable Name：cip_upn
      • Description：ADユーザープリンシパル名
      • Attribute Length：1より大きい値
      • Attribute Required：Yes
   9. ［Save and Add Another］ を選択します。
   10. 次の情報を入力します：
       • Display Name：cip_oid
       • Variable Name：cip_oid
       • Description：ADユーザーGUID
       • Attribute Length：1より大きい値
       • Attribute Required：Yes
   11. ［Save］ を選択します。
3. アプリケーションの属性マッピングの編集：
   1. Oktaコンソールから、［Directory］>［Profile Editor］の順に選択します。
   2. Active Directoryのactive_directoryプロファイルを見つけます。 このプロファイルは、myDomain Userという形式で表示される場合があります。myDomainは統合されたActive Directoryドメインの名前です。
   3. ［Mappings］ を選択します。 Active Directoryドメインのユーザープロファイルマッピングページが表示され、Active DirectoryをOktaユーザーにマップするためのタブが選択されています。
   4. ［Okta User Profile］ 列で、手順2で作成された属性を見つけて以下のようにマップします：
      • cip_emailの場合、ドメインの［User Profile］列からemailを選択します。 選択すると、マッピングにはappuser.emailが表示されます。
      • cip_sidの場合、ドメインの [ユーザープロファイル] 列から [ ObjectSID ] を選択します。 選択すると、マッピングにはappuser.objectSidが表示されます。
      • cip_upnについては 、ドメインの [ユーザープロファイル ] 列からuserNameを選択します。 選択すると、マッピングにはappuser.userNameが表示されます。
      • cip_oidについては 、ドメインの [ユーザープロファイル ] 列からexternalIdを選択します。 選択すると、マッピングにはappuser.externalIdが表示されます。
   5. ［Save Mappings］ を選択します。
   6. ［Apply updates now］を選択します。 Oktaは、マッピングを適用するジョブを開始します。
   7. OktaをActive Directoryと同期します。
      1. Oktaコンソールから［Directory］>［Directory Integrations］の順に選択します。
      2. 統合されたActive Directoryを選択します。
      3. ［Provisioning］ タブを選択します。
      4. ［Settings］ で ［To Okta］ を選択します。
      5. ［Okta Attribute Mappings］ セクションまでスクロールして、［Force Sync］ を選択します。

Okta APIトークンの作成

1. 読み取り専用管理者アカウントを使用して、Oktaコンソールにサインインします。
2. Oktaコンソールメニューから、［Security］>［API］の順に選択します。
3. ［Tokens］ タブを選択してから、［Create Token］ を選択します。
4. トークンの名前を入力します。
5. ［Create Token］ を選択します。
6. トークン値をコピーします。 Okta組織のCitrix Cloud Japanへの接続時に、この値を入力します。

Citrix Cloud JapanをOkta組織に接続

1. Citrix Cloud Japanにサインインします（https://citrix.citrixcloud.jp）。
2. 管理コンソールの左上隅にあるCitrix Cloud Japanメニューで、［IDおよびアクセス管理］ を選択します。
3. 「Okta」を見つけ、省略記号（…）メニューから ［接続］ を選択します。
4. ［Okta URL］ にOktaドメインを入力します。
5. ［Okta APIトークン］ に、Okta組織のAPIトークンを入力します。
6. ［クライアントID］ と ［クライアントシークレット］ に、先ほど作成したOIDC Webアプリ統合からクライアントIDとシークレットを入力します。 Oktaコンソールからこれらの値をコピーするには、［アプリケーション］ を選択し、Oktaアプリケーションを見つけます。 ［クライアント資格情報］ で、［クリップボードにコピー］ ボタンを各値に対して使用します。
7. ［テストして終了］ をクリックします。 Citrix Cloud JapanでOktaの詳細が確認され、接続がテストされます。

ワークスペースのOkta認証を有効にする

1. Citrix Cloud Japanメニューから［ワークスペース構成］>［認証］の順に選択します。
2. ［Okta］ を選択します。 プロンプトが表示されたら、［利用者のエクスペリエンスに与える影響を了承しています］ を選択します。
3. ［承諾］ をクリックして権限の要求を承諾します。