Google Cloud IdentityをIDプロバイダーとしてCitrix Cloudに接続する
Citrix Cloudでは、ワークスペースにサインインする利用者を認証するためのIDプロバイダーとして、Google Cloud Identityを使用できます。組織のGoogleアカウントをCitrix Cloudに接続することにより、Citrix WorkspaceとGoogleのリソースへのサインイン操作を統合できます。
ドメイン参加の構成とドメイン非参加の構成の要件
ドメイン参加のマシンまたはドメイン非参加のマシンを使用して、Google Cloud IdentityをCitrix CloudのIDプロバイダーとして構成できます。
- ドメイン参加とは、マシンがオンプレミスのActive Directory(AD)のドメインに参加し、認証ではそこに格納されているユーザープロファイルを使用することを意味します。
- ドメイン非参加とは、マシンがADドメインに参加せず、Google Workspaceディレクトリに保存されているユーザープロファイル(Googleネイティブユーザーとも呼ばれます)が認証に使用されることを意味します。
次の表に、構成の種類別の要件を示します。
| 条件 | ドメイン参加 | ドメイン非参加 | 追加情報 |
|---|---|---|---|
| オンプレミスAD | はい | いいえ | この記事の「Active DirectoryとCitrix Cloud Connectorの準備」を参照してください |
| リソースの場所に展開されたCitrix Cloud Connector | はい | いいえ。Cloud Connectorは、ドメイン非参加のマシンにアクセスする必要はありません。 | この記事の「Active DirectoryとCitrix Cloud Connectorの準備」。 |
| ADとGoogle Cloudとの同期 | Gatewayサービスを使用し、他のサービスを使用しない場合のみオプションです。それ以外の場合は、このタスクは必須です。 | いいえ | この記事の「Active DirectoryとGoogle Cloud Identityとの同期」を参照してください。 |
| Google Cloud Platformコンソールにアクセスできる開発者アカウント。サービスアカウントとキーを作成し、Admin SDK APIを有効にするために使用します。 | はい | はい | この記事の「サービスアカウントの作成」、「サービスアカウントキーの作成」、および「ドメイン全体の委任を構成」を参照してください。 |
| Google Workspace管理コンソールにアクセスできる管理者アカウント。ドメイン全体の委任と読み取り専用APIユーザーアカウントの構成に使用されます。 | はい | はい | この記事の「ドメイン全体の委任を構成」と「読み取り専用のAPIユーザーアカウントを追加する」を参照してください。 |
Citrix Cloudアカウントが複数ある場合の認証
この記事では、IDプロバイダーとしてのGoogle Cloud Identityを単一のCitrix Cloudアカウントに接続する方法について説明します。複数のCitrix Cloudアカウントをお持ちの場合は、同じサービスアカウントと読み取り専用APIユーザーアカウントを使用して、個々のCitrix Cloudアカウントを同一のGoogle Cloudアカウントに接続できます。Citrix Cloudにサインインし、カスタマーピッカーから適切なカスタマーIDを選択するだけです。
Active DirectoryとCitrix Cloud Connectorの準備
ドメイン参加のマシンでGoogle Cloud Identityを使用している場合は、このセクションを参照してオンプレミスADを準備します。ドメイン非参加のマシンを使用している場合は、スキップしてこの記事の「サービスアカウントの作成」に進んでください。
Active Directoryドメインで、Citrix Cloud Connectorソフトウェアのインストール先となるサーバーが少なくとも2台必要です。Cloud Connectorは、Citrix Cloudとリソースの場所との間で通信するために必要です。Citrix Cloudとの高可用性接続を実現するためには、少なくとも2つのCloud Connectorが必要です。これらのサーバーは、次の要件を満たしている必要があります:
- 「Citrix Cloud Connectorの技術詳細」に記載されている要件を満たしている。
- 他のCitrixコンポーネントはインストールされておらず、Active Directoryドメインコントローラーではなく、リソースの場所のインフラストラクチャに不可欠なマシンでもない。
- Active Directory(AD)ドメインに参加している。ワークスペースリソースとユーザーが複数のドメインに存在する場合は、各ドメインにCloud Connectorを少なくとも2つインストールする必要があります。詳しくは、「Active DirectoryでのCloud Connector展開シナリオ」を参照してください。
- ユーザーがCitrix Workspaceを介してアクセスするリソースにアクセスできるネットワークに接続済み。
- インターネットに接続済み。詳しくは、「システムおよび接続要件」を参照してください。
Cloud Connectorのインストール手順について詳しくは、「Cloud Connectorのインストール」を参照してください。
Active DirectoryとGoogle Cloud Identityとの同期
ドメイン参加のマシンでGoogle Cloud Identityを使用している場合は、このセクションを参照してオンプレミスADを準備します。ドメイン非参加のマシンを使用している場合は、スキップしてこの記事の「サービスアカウントの作成」に進んでください。
Citrix Gatewayサービスのみを使用し、他のサービスが有効になっていない場合、Active DerectoryとGoogle Cloud Identityの同期はオプションです。これらのサービスだけなら、Active Derectoryと同期しなくてもGoogleネイティブユーザーを使用できます。
他のCitrix Cloudサービスを使用している場合は、Active DerectoryをGoogle Cloud Identityと同期する必要があります。Google Cloudは、次のActive Derectoryユーザー属性をCitrix Cloudに渡す必要があります:
- SecurityIDentifier(SID)
- objectGUID
- userPrincipalName(UPN)
ADをGoogle Cloudと同期するには
- Google WebサイトからGoogle Cloud Directory Syncをダウンロードしてインストールします。このユーティリティについて詳しくは、Google Webサイトの「Google Cloud Directory Sync」のドキュメントを参照してください。
- ユーティリティのインストール後、設定マネージャーを起動します([スタート]>[設定マネージャー])。
- ユーティリティドキュメントの「設定マネージャーを使用した同期の設定」の説明に従って、Googleドメイン設定とLDAP設定を指定します。
- [General Settings] で、[Custom Schemas]を選択します。デフォルトの選択は変更しないでください。
- すべてのユーザーアカウントに適用するカスタムスキーマを構成します。必要な情報を、大文字と小文字およびスペルをこのセクションに記載されているものと完全に一致させて入力します。
- [Custom Schemas] タブを選択して、[Add Schema]を選択します。
- **[Use rules defined in <ユーザーアカウント名>]** を選択します。ユーザーアカウント名>
- [Schema Name] に、「citrix-schema」と入力します。
-
[Add Field] を選択して、次の情報を入力します:
- [Schema field template] の [Schema Field] で、[userPrincipalName]を選択します。
- [Google field details] の [Field Name]に、「UPN」と入力します。
- 手順4を繰り返して、次のフィールドを作成します:
- objectGUID:[Schema field template]で、[objectGUID]を選択します。[Google field details] に、「objectGUID」と入力します。
- SID:[Schema field template]で、[Custom]を選択します。[Google field details] に、「SID」と入力します。
- objectSID:[Schema field template]で、[Custom]を選択します。[Google field details] に、「objectSID」と入力します。
- [OK] を選択してエントリを保存します。
- ユーティリティドキュメントの「設定マネージャーを使用した同期の設定」の説明に従って、組織の残りの設定の構成を完了し、同期設定を確認します 。
- [Sync & apply changes] を選択して、Active DirectoryをGoogleアカウントと同期します。
同期が完了すると、Google Cloudの[ユーザー情報]セクションにユーザーのActive Directory情報が表示されます。
サービスアカウントの作成
このタスクを完了するには、Google Cloud Platform開発者アカウントが必要です。
- https://console.cloud.google.comにサインインします。
- ダッシュボードサイドバーから、[IAMと管理]を選択し、[サービスアカウント]を選択します。
- [アカウントの作成] を選択します。
- [サービスアカウントの詳細] で、サービスアカウント名とサービスアカウントIDを入力します。
- [完了] を選択します。
サービスアカウントキーの作成
- [サービスアカウント] ページで、今作成したサービスアカウントを選択します。
- [キー] タブを選択してから、[キーの追加]>[新しいキーの作成]を選択します。
- デフォルトのJSONキータイプオプションは選択したままにします。
- [Create] を選択します。後でアクセスできる安全な場所にキーを保存します。Google Cloud IdentityをIDプロバイダーとして接続するときは、Citrix Cloudコンソールに秘密キーを入力します。
ドメイン全体の委任を構成
- Admin SDK APIを有効にします:
- Google Cloud Platformメニューから、[APIとサービス]>[有効なAPIとサービス]を選択します。
- コンソールの上部にある [APIとサービスの有効化] を選択します。APIライブラリのホームページが表示されます。
- [Admin SDK API] を検索し、結果リストから選択します。
- [有効] をクリックします。
- サービスアカウントのAPIクライアントを作成します:
- Google Cloud Platformメニューから、[IAMと管理]>[サービスアカウント]を選択し、先ほど作成したサービスアカウントを選択します。
- サービスアカウントの [詳細] タブの、[詳細設定] を展開します。
- [ドメイン全体の委任] で、クライアントIDをコピーし、[Google Workspace管理コンソールの表示]を選択します。
- 該当する場合は、使用するGoogle Workspace管理者アカウントを選択します。Google管理コンソールが表示されます。
- Google管理サイドバーから、[セキュリティ]>[アクセスとデータ管理]>[APIの制御]を選択します。
- [ドメイン全体の委任] で、[ドメイン全体の委任を管理]をクリックします。
- [新しく追加] を選択します。
- [クライアントID] に、手順CでコピーしたサービスアカウントのクライアントIDを貼り付けます。
-
[OAuthスコープ] で、次のスコープをコンマ区切りを使用して1行に入力します:
https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.domain.readonly <!--NeedCopy--> - [Authorize] を選択します。
読み取り専用のAPIユーザーアカウントを追加する
このタスクでは、Citrix Cloudの読み取り専用APIアクセス権を持つGoogle Workspaceユーザーアカウントを作成します。このアカウントは他の目的には使用されず、他の特権もありません。
- Google管理メニューから、[ディレクトリ]>[ユーザー]を選択します。
- [新しいユーザーの追加] を選択して、適切なユーザー情報を入力します。
- [新しいユーザーの追加] を選択して、アカウント情報を保存します。
- 読み取り専用ユーザーアカウントのカスタムロールを作成します:
- Google管理メニューから、[アカウント]>[管理者ロール]を選択します 。
- [新しいロールの作成] を選択します。
- 新しいロールの名前を入力します。例:API読み取り専用
- 次に、[続行] を選択します。
-
[管理API権限] で、次の権限を選択します:
- [ユーザー]>[読み取り]
- [グループ]>[読み取り]
- ドメイン管理
- [続行] を選択してから、[ロールを作成]を選択します。
- 先ほど作成した読み取り専用ユーザーアカウントにカスタムロールを割り当てます:
- カスタムロールの詳細ページの [管理] ペインで、[ユーザーへの割り当て]を選択します。
- 読み取り専用ユーザーアカウントの名前の入力を開始し、ユーザーリストから選択します。
- [ロールの割り当て] を選択します。
- ロールの割り当てを確認するには、[ディレクトリ]>[ユーザー]で[ユーザー]ページに戻り、読み取り専用ユーザーアカウントを選択します。カスタムロールの割り当ては、[管理者ロールと権限]の下に表示されます。
Google Cloud IdentityをCitrix Cloudに接続する
- https://citrix.cloud.comでCitrix Cloudにサインインします。
- Citrix Cloudメニューで、[IDおよびアクセス管理] を選択します。
- 「Google Cloud Identity」を見つけ、省略記号(…)メニューから [接続] を選択します。
- 入力画面が表示されたら、URLに適した短い会社の識別子を入力し、[保存して続行] を選択します。この識別子は、Citrix Cloud内でグローバルに一意である必要があります。
- [ファイルのインポート] を選択してから、サービスアカウントのキーを作成したときに保存したJSONファイルを選択します。このアクションにより、作成したGoogle Cloudサービスアカウントの秘密キーとメールアドレスがインポートされます。
- [偽装ユーザー] に、読み取り専用APIユーザーアカウントの名前を入力します。
- [次へ]を選択します。Citrix Cloudは、Googleアカウントの詳細を確認し、接続をテストします。
- リストされている関連ドメインを確認します。正しい場合は、[確認]を選択して構成を保存します。
管理者をCitrix Cloudに追加する
Google Cloudを通じて、個人のCitrix Cloud管理者と管理者グループを追加できます。詳しくは、次の記事を参照してください:
- 個人の管理者の場合:Citrix Cloudへの管理者のアクセスを管理する
- 管理者グループの場合:管理者グループを管理する
Citrix Cloudに管理者を追加後、管理者は次のいずれかの方法でサインインできます:
- 最初にGoogle CloudをIDプロバイダーとして構成すると、構成した管理者のサインインURLに移動します。例:
https://citrix.cloud.com/go/mycompany - Citrix Cloudのサインインページで、[会社の資格情報でサインイン] をクリックし、最初にAzure ADを接続したときに作成した識別子(「mycompany」など)を入力し、[続行] をクリックします。
ワークスペースのGoogle Cloud Identityを有効にする
- Citrix Cloudメニューから [ワークスペース構成]>[認証] の順に選択します。
- Google Cloud Identityを選択します。プロンプトが表示されたら、[利用者のエクスペリエンスに与える影響を了承しています]を選択して、[保存]をクリックします。
この記事の概要
- ドメイン参加の構成とドメイン非参加の構成の要件
- Citrix Cloudアカウントが複数ある場合の認証
- Active DirectoryとCitrix Cloud Connectorの準備
- Active DirectoryとGoogle Cloud Identityとの同期
- サービスアカウントの作成
- サービスアカウントキーの作成
- ドメイン全体の委任を構成
- 読み取り専用のAPIユーザーアカウントを追加する
- Google Cloud IdentityをCitrix Cloudに接続する
- 管理者をCitrix Cloudに追加する
- ワークスペースのGoogle Cloud Identityを有効にする