ワークスペース認証でAzure AD IDとAzure Active Directory IDを使用してSAMLを構成する
この記事では、AD IDの代わりにAzure Active Directory(AD)IDを使用するSAMLをワークスペース認証用に構成する方法について説明します。Azure ADユーザーがデフォルトのSAML動作でCitrix Workspaceにサインインした後、Windows 365クラウドPCまたはAzure ADドメインに参加しているVDAを列挙できない場合は、この構成を使用します。構成が完了すると、ユーザーはSAML認証を使用してCitrix Workspaceにサインインすることで、Citrix DaaS経由でHDXアプリとデスクトップに、およびAzure経由でWindows 365クラウドPCに、それぞれアクセスできるようになります。
Citrix Workspaceに対するCitrix CloudおよびSAML認証のデフォルトの動作は、ADユーザーIDに対してアサートすることです。この記事で説明されている構成では、Azure AD Connectを使用してAD IDをAzure ADにインポートする必要があります。AD IDにはユーザーのSIDが含まれており、Citrix WorkspaceがCitrix DaaSに送信することで、HDXリソースを列挙して起動できるようになります。ユーザーIDのAzure ADバージョンが使用されるため、ユーザーはCitrix Workspace内から、Windows 365クラウドPCなどのAzureリソースを列挙して起動することもできます。
重要:
列挙とは、ユーザーがCitrix Workspaceにサインインした後に表示されるリソースのリストのことです。特定のユーザーがアクセスを許可されるリソースは、そのユーザーのIDと、Citrix DaaSでそのIDにどのリソースが関連付けられているかによって異なります。Workspaceへの認証のためのSAMLプロバイダーとしてAzure AD IDおよびAD IDを利用する手順を説明する関連記事があります。詳しい手順については、「ワークスペース認証でAzure AD IDとAzure Active Directory IDを使用してSAMLを構成する」を参照してください
機能範囲
この記事は、Citrix Cloudの機能とAzureの機能を次のように組み合わせて使用するユーザーに適用できます:
- ワークスペースのSAML認証
- ADドメインに参加しているVDAを使用して公開されたリソースのCitrix DaaSおよびHDXリソース列挙
- Azure ADドメインに参加しているVDAリソースの列挙
- Azureハイブリッドドメインに参加しているVDAリソースの列挙
- W365クラウドPCの列挙と起動
重要:
Citrix CloudへのSAMLログインにはこのAAD SAMLフローを使用しないでください。この場合、Citrix Cloud管理者ユーザーがADグループのメンバーである必要があり、ADユーザーIDを使用する必要があるためです。詳しい手順については、「ワークスペース認証でAzure AD IDとAzure Active Directory IDを使用してSAMLを構成する」を参照してください
AD IDとAzure AD IDのどちらが最適か
管理対象のワークスペースユーザーにSAML ADまたはSAML Azure AD IDのどちらで認証させるかを判断するには、次のようにします:
- Citrix Workspaceでユーザーが利用できるようにするリソースの組み合わせを決定します。
-
次の表を使用して、リソースの種類ごとにどの種類のユーザー ID が適切かを判断します。
リソースの種類(VDA) Citrix WorkspaceにサインインするときのユーザーID Azure ADを使用したSAML IDが必要ですか? FASはVDAにシングルサインオン(SSO)を提供しますか? ADに参加済み AD、ADからインポートされたAzure AD(SIDを含む) いいえ。デフォルトのSAMLを使用します。 はい ハイブリッドに参加済み AD、ADからインポートされたAzure AD(SIDを含む) いいえ。デフォルトのSAMLを使用します。 IDプロバイダーとしてADを使用する場合は提供します。VDAにAzure ADが選択されている場合、FASは必要ありません。 Azure ADに参加済み Azure ADネイティブユーザー、ADからインポートされたAzure AD(SID を含む) はい、Azure AD経由でSAMLを使用します。 SSOはAzure AD先進認証と連携しています。FASは必要ありません。 Windows 365クラウドPC Azure ADネイティブユーザー、ADからインポートされたAzure AD(SID を含む) はい、Azure AD経由でSAMLを使用します。 SSOはAzure AD先進認証と連携しています。FASは必要ありません。 ADに参加済み、Azure ADに参加済み、Windows 365クラウドPC ADからインポートされたAzure AD(SID を含む) はい、Azure AD経由でSAMLを使用します。 ADに参加済みの場合は提供します。Azure ADに参加済みの場合とWindows 365クラウドPCの場合は提供しません。
追加情報
- Citrix DaaSドキュメント:
- Citrix FASドキュメント:インストールと構成
- Microsoft Azureドキュメント:Azure AD Connectとは
要件
-
Azure ADテナントはCitrix Cloudテナントに接続する必要があります。Citrix Cloudコンソールで [IDおよびアクセス管理]>[認証]を選択すると、Azure AD接続を見つけることができます。
- ワークスペースの認証方法としては[SAML 2.0]を設定する必要があります。認証方法として[Azure AD]を使用しないでください。ワークスペースの認証方法を変更するには、Citrix Cloudコンソールで[ワークスペースを構成する]>[認証]に移動します。
- UPNサフィックス
@yourdomain.com
は、カスタムドメイン名としてAzure AD内にインポートして検証する必要があります。Azure Portalでは、これは [Azure Active Directory]>[カスタムドメイン名]の下にあります。 - Azure ADのユーザーIDは、Microsoft Azure AD Connectを使用してADからインポートする必要があります。これにより、ユーザーIDが正しくインポートされ、正しいUPNサフィックスが付けられるようになります。
@yourtenant.onmicrosoft.com
UPNサフィックスがあるAzure ADユーザーはサポートされません。 - Citrix FASを展開し、Citrix Cloudのテナントおよびリソースの場所に接続する必要があります。FASは、Citrix Workspaceから起動されるHDXデスクトップおよびアプリケーションへのシングルサインオンを提供します。ADとAzure ADの両方のユーザーIDに対するUPN
user@customerdomain
が一致する必要があるため、ADシャドウアカウントを構成する必要はありません。 FASは、HDXリソースの起動時に、正しいUPNを使用して必要なユーザー証明書を生成し、スマートカードサインインを実行します。
カスタムAzure AD Enterprise SAMLアプリケーションを構成する
デフォルトでは、ワークスペースへのSAMLサインインの動作は、ADユーザーIDに対してアサートすることです。cip_directory SAML属性は、どのサブスクライバに対しても不変となるハードコードされた文字列値であり、スイッチとして機能します。Citrix CloudおよびCitrix Workspaceは、サインイン中にこの属性を検出し、Azure ADバージョンのユーザーIDに対してアサートするようにSAMLをトリガーします。この属性でazureadパラメータを使用すると、デフォルトのSAML動作がAzure ADでのSAMLの使用のトリガーで上書きされます。
このセクションの手順はAzure ADを対象としていますが、同様のSAMLアプリケーションを作成することもできます(ただし、同じタスクを実行する場合)。それには、別のSAML 2.0プロバイダー(ADFS、Duo、Okta、OneLogin、PingOneSSOなど)を使用します。SAMLプロバイダーは、あなたがSAMLアプリケーション内でSAML属性をハードコードして(cip_directory = azuread)構成することを許可するプロバイダーである必要があります。構成すると言っても、このセクションで説明されているのと同じSAML属性マッピングを作成するだけです。
- Azure Portalにサインインします。
- Portalのメニューから、[Azure Active Directory]を選択します。
- 左側のペインの[管理]で、[エンタープライズアプリケーション]を選択します。
- 作業ペインのコマンドバーから、[New Application]を選択します。
- コマンドバーから、[Create your own application]を選択します。Citrix Cloud SAML SSOエンタープライズアプリケーションテンプレートは使用しないでください。このテンプレートでは、要求とSAML属性のリストを変更できないためです。
- アプリケーションの名前を入力し、[Integrate any other application you don’t find in the gallery (Non-gallery)]を選択します。[Create] をクリックします。[application overview]ページが表示されます。
- 左側のペインで、[シングルサインオン]を選択します。作業ペインから[SAML]を選択します。
-
[Basic SAML Configuration] セクションで、[編集] を選択し、次の設定を構成します。
-
[ Identifier(Entity ID)]セクションで、[Add identifier]を選択し、Citrix Cloudテナントが配置されているリージョンに対応する値を入力します:
- 欧州連合、米国、およびアジア太平洋南部の各リージョンの場合は、「
https://saml.cloud.com
」と入力します。 - 日本リージョンの場合は「
https://saml.citrixcloud.jp
」と入力します。 - Citrix Cloud Governmentリージョンの場合は、「
https://saml.cloud.us
」と入力します。
- 欧州連合、米国、およびアジア太平洋南部の各リージョンの場合は、「
-
[Reply URL (Assertion Consumer Service URL)]セクションで、[Add reply URL]を選択し、Citrix Cloudテナントが存在するリージョンに対応する値を入力します:
- 欧州連合、米国、およびアジア太平洋南部の各リージョンの場合は、「
https://saml.cloud.com/saml/acs
」と入力します。 - 日本リージョンの場合は「
https://saml.citrixcloud.jp/saml/acs
」と入力します。 - Citrix Cloud Governmentリージョンの場合は、「
https://saml.cloud.us/saml/acs
」と入力します。
- 欧州連合、米国、およびアジア太平洋南部の各リージョンの場合は、「
-
[ログアウトURL(オプション)]セクションで、Citrix Cloudテナントが存在するリージョンに対応する値を入力します:
- 欧州連合、米国、およびアジア太平洋南部の各リージョンの場合は、「
https://saml.cloud.com/saml/logout/callback
」と入力します。 - 日本リージョンの場合は「
https://saml.citrixcloud.jp/saml/logout/callback
」と入力します。 - Citrix Cloud Governmentリージョンの場合は、「
https://saml.cloud.us/saml/logout/callback
」と入力します。
- 欧州連合、米国、およびアジア太平洋南部の各リージョンの場合は、「
- コマンドバーから[保存]を選択します。
-
[ Identifier(Entity ID)]セクションで、[Add identifier]を選択し、Citrix Cloudテナントが配置されているリージョンに対応する値を入力します:
-
[Attributes & Claims] セクションで [編集] を選択し、以下の要求を構成します。これらの要求は、SAML応答内のSAMLアサーションに表示されます。
-
[Unique User Identifier (Name ID)] 要求については、
user.userprincipalname
のデフォルト値のままにします。 - コマンドバーから[Add new claim]を選択します。
- [名前]に「cip_directory」と入力します。
- [ソース]で、[属性]を選択済みの値のままにします。
-
[ソース属性] に「azuread」と入力します。この値は、入力後、引用符で囲まれて表示されます。
- コマンドバーから[保存]を選択します。
-
[名前]フィールドと[ソース 属性]フィールドに以下の値を使用して、追加の要求を作成します。
名前 ソース属性 cip_fed_upn user.userprincipalname displayName user.displayname firstName user.givenname lastName user.surname 重要:
これらの追加の要求を作成するには、要求ごとに手順b~fを繰り返すか、上記の表にリストされているソース属性が既に含まれている[Additional claims]セクションのデフォルト要求を変更します。デフォルトの要求には名前空間
http://schemas.xmlsoap.org/ws/2005/05/identity/claims
が含まれています。デフォルトの要求を変更する場合は、各要求から名前空間を削除する必要があります。新しい要求を作成する場合は、それらのうち、名前空間を含む要求を削除する必要があります。この名前空間を持つ要求が結果のSAMLアサーションに含まれる場合には、そのアサーションは不正なSAML属性名を含むことになって無効になります。
-
[Additional claims]セクションで、名前空間
http://schemas.xmlsoap.org/ws/2005/05/identity/claims
を持つ要求が残っていれば、[省略記号(…)]をクリックし、[削除]をクリックします。
完了すると、下図のような[Attributes & Claims]セクションが表示されます。
-
[Unique User Identifier (Name ID)] 要求については、
- この サードパーティのオンラインツールを使用して、Citrix Cloud SAML署名証明書のコピーを取得します。
-
URLフィールドにhttps://saml.cloud.com/saml/metadataを入力し、[読み込み] をクリックします。
-
ページの下までスクロールして、[ダウンロード]をクリックします。
- Azure Active Directory SAMLアプリケーションの署名設定を構成します。
- 手順10で取得した実稼働SAML署名証明書をAzure Active Directory SAMLアプリケーション内にアップロードします。
- [検証証明書が必要] を有効にします。
トラブルシューティング
- ブラウザー拡張機能SAML-tracerなどのSAMLネットワークツールを使用して、SAMLアサーションに正しいユーザー属性が含まれているかを確認します。
-
黄色で示されているSAML応答を見つけて、次の例と比較します:
- 下部ペインの「SAML」タブをクリックしてSAML応答をデコードし、XMLとして表示します。
-
応答の一番下までスクロールし、SAMLアサーションに正しいSAML属性とユーザー値が含まれているかを確認します。
それでも利用者がワークスペースにサインインできない場合、Citrixサポートに連絡し、次の情報を提供してください:
- SAML-tracerのキャプチャ
- Citrix Workspaceへのサインインが失敗した日時
- 影響を受けているユーザー名
- Citrix Workspaceへのサインインに使用したクライアントコンピューターの呼び出し元IPアドレス。このIPアドレスを取得するには、https://whatismyip.comなどのツールを使用できます。