製品ドキュメント
シトリックスクラウド™
PDFを表示

Entra IDとAD IDを使用したWorkspace認証のためのSAML

April 2, 2026
Author:  Mark Dear

この記事では、Active Directory (AD) IDを使用してWorkspace認証のためのSAMLを構成する方法について説明します。Citrix Cloud™およびCitrix Workspace™またはCitrix CloudへのSAML認証のデフォルトの動作は、使用されるSAMLプロバイダーに関係なく、ADユーザーIDに対してアサートすることです。この記事で説明する構成では、Entra ID Connectを使用してAD IDをEntra IDにインポートする必要があります。

重要:

Workspaceエンドユーザーにとって適切なSAMLフローを決定することは、サインインプロセスとリソースの可視性に直接影響するため、非常に重要です。選択されたIDは、Workspaceエンドユーザーがアクセスできるリソースの種類に影響を与えます。 Entra IDをSAMLプロバイダーとして使用してAAD IDでWorkspaceに認証するための手順を提供する関連記事があります。詳細な手順は、Entra IDとAAD IDを使用したWorkspace認証のためのSAMLで確認できます。

  • 通常、Workspaceエンドユーザーは、ADドメイン参加済みVDAによって提供されるアプリとデスクトップを開く必要があります。組織にとって最適なSAMLフローを決定する前に、両方の記事で概説されているユースケースを慎重に確認することが不可欠です。不明な場合は、Citrix®はAD SAMLフローを使用し、この記事の手順に従うことを推奨します。これは、最も一般的なDaaSシナリオと一致するためです。

  • 機能範囲

この記事は、Citrix CloudとAzure機能の以下の組み合わせを使用するユーザーに適用されます。

  • AD IDを使用したWorkspace認証のためのSAML
  • AD IDを使用したCitrix Cloud管理者ログインのためのSAML - ADドメイン参加済みVDAを使用して公開されたリソースのCitrix DaaS™およびHDXリソース列挙 - ADドメイン参加済みVDAリソース列挙

最適なもの: AD IDまたはEntra ID IDか

WorkspaceユーザーがSAML ADまたはSAML Entra ID IDのいずれかを使用して認証すべきかを判断するには:

  1. Citrix Workspaceでユーザーに提供するリソースの組み合わせを決定します。

  2. 各リソースタイプに適切なユーザーIDの種類を判断するために、以下の表を使用します。

    リソースタイプ (VDA) Citrix Workspaceへのサインイン時のユーザーID Entra IDを使用したSAML IDが必要か? FASはVDAへのシングルサインオン (SSO) を提供するか?
    AD参加済み AD、ADからインポートされたEntra ID (SIDを含む) いいえ。デフォルトのSAMLを使用します。 はい 
    -  ## カスタムEntra IDエンタープライズSAMLアプリケーションの構成

-  デフォルトでは、WorkspaceへのSAMLサインインの動作は、ADユーザーIDに対してアサートすることです。

-  1.  Azureポータルにサインインします。
-  1.  ポータルメニューから、**[Entra ID]** を選択します。
-  1.  左ペインの **[管理]** で、**[エンタープライズ アプリケーション]** を選択します。
  3. 作業ペインのコマンドバーから、[新しいアプリケーション] を選択します。 - 1. コマンドバーから、[独自のアプリケーションを作成] を選択します。Citrix Cloud SAML SSOエンタープライズアプリケーションテンプレートは使用しないでください。このテンプレートでは、クレームとSAML属性のリストを変更できません。 - 1. アプリケーションの名前を入力し、[ギャラリーで見つからないその他のアプリケーションを統合 (非ギャラリー)] を選択します。[作成] をクリックします。アプリケーションの概要ページが表示されます。 - 1. 左ペインから [シングル サインオン] を選択します。作業ペインから [SAML] を選択します。
  4. [基本的なSAML構成] セクションで、[編集] を選択し、次の設定を構成します。
    1. [識別子 (エンティティID)] セクションで、[識別子の追加] を選択し、Citrix Cloudテナントが配置されているリージョンに関連付けられた値を入力します。
      • 欧州連合、米国、およびアジア太平洋南部リージョンの場合は、https://saml.cloud.com を入力します。
      • 日本リージョンの場合は、https://saml.citrixcloud.jp を入力します。
      • Citrix Cloud Governmentリージョンの場合は、https://saml.cloud.us を入力します。
    2. [応答URL (Assertion Consumer Service URL)] セクションで、[応答URLの追加] を選択し、Citrix Cloudテナントが配置されているリージョンに関連付けられた値を入力します。
      • 欧州連合、米国、およびアジア太平洋南部リージョンの場合は、https://saml.cloud.com/saml/acs を入力します。
      • 日本リージョンの場合は、https://saml.citrixcloud.jp/saml/acs を入力します。
      • Citrix Cloud Governmentリージョンの場合は、https://saml.cloud.us/saml/acs を入力します。
    3. [ログアウトURL (オプション)] セクションで、Citrix Cloudテナントが配置されているリージョンに関連付けられた値を入力します。
      • 欧州連合、米国、およびアジア太平洋南部リージョンの場合は、https://saml.cloud.com/saml/logout/callback を入力します。
      • 日本リージョンの場合は、https://saml.citrixcloud.jp/saml/logout/callback を入力します。
      • Citrix Cloud Governmentリージョンの場合は、https://saml.cloud.us/saml/logout/callback を入力します。
    4. コマンドバーから、[保存] を選択します。

  5. [属性とクレーム] セクションで、[編集] をクリックして次のクレームを構成します。これらのクレームは、SAML応答内のSAMLアサーションに表示されます。SAMLアプリ作成後、次の属性を構成します。

    1. [一意のユーザー識別子 (名前ID)] クレームの場合は、デフォルト値を user.localuserprincipalname に更新します。
    2. cip_upn クレームの場合は、デフォルト値を user.localuserprincipalname に更新します。

    Manage Claim

    1. displayName の場合は、デフォルト値 user.displayname のままにします。
    2. givenName クレームの場合は、デフォルト値を user.givenname に更新します。
    3. familyName クレームの場合は、デフォルト値を user.surname に更新します。
    4. [追加のクレーム] セクションで、http://schemas.xmlsoap.org/ws/2005/05/identity/claims 名前空間を持つ残りのクレームについては、省略記号 (…) ボタンをクリックし、[削除] をクリックします。これらは上記のユーザー属性の重複であるため、これらのクレームを含める必要はありません。

    完了すると、[属性とクレーム] セクションは以下に示すように表示されます。

    Delete menu highlighted

    1. このサードパーティのオンラインツールを使用して、Citrix Cloud SAML署名証明書のコピーを取得します。
    1. URLフィールドに https://saml.cloud.com/saml/metadata を入力し、[読み込み] をクリックします。

  • Delete menu highlighted

    1. ページの下部までスクロールし、[ダウンロード] をクリックします。

    Download Metadata Certificate

    Download certificate

  1. Entra ID SAMLアプリケーションの署名設定を構成します。
    1. 手順9で取得した本番SAML署名証明書をEntra ID SAMLアプリケーション内にアップロードします。
    2. [検証証明書を要求する] を有効にします。

    Verification certificate

    Verification certificate

トラブルシューティング

  1. SAML-tracerブラウザ拡張機能などのSAMLネットワークツールを使用して、SAMLアサーションに正しいユーザー属性が含まれていることを確認します。

SAML-tracer browser extension

  1. 黄色で表示されているSAML応答を見つけ、この例と比較します。

    Example of SAML response from networking tool

  2. 下部ペインの [SAML] タブをクリックし、SAML応答をデコードしてXMLとして表示します。
  3. 応答の下部までスクロールし、SAMLアサーションに正しいSAML属性とユーザー値が含まれていることを確認します。

SAMLアサーション値が強調表示されたXMLファイル

サブスクライバーがワークスペースにサインインできない場合、またはCitrix HDX™ Plus for Windows 365デスクトップが表示されない場合は、Citrixサポートに連絡し、以下の情報を提供してください。

  • SAMLトレーサーのキャプチャ
  • Citrix Workspaceへのサインインが失敗した日時
  • 影響を受けたユーザー名
  • Citrix Workspaceへのサインインに使用したクライアントコンピューターの発信元IPアドレス。このIPアドレスを取得するには、https://whatismyip.comのようなツールを使用できます。

Citrix Cloud SAML接続の構成

すべてのCitrixログオンフローは、Workspace URLまたはCitrix Cloud GO URLのいずれかを使用して、サービスプロバイダーによって開始される必要があります。

[IDおよびアクセス管理] > [認証] > [IDプロバイダーの追加] > [SAML] 内のSAML接続には、デフォルトの推奨値を使用してください。

Entra IDポータルからEntra ID SAMLアプリケーションのSAMLエンドポイントを取得し、Citrix Cloudに入力します。

AAD SAMLエンドポイント

Citrix Cloud SAML接続内で使用するEntra ID SAMLエンドポイントの例

重要:

Entra ID SSOおよびログアウトSAMLエンドポイントは同じURLです。

Citrix Cloudのこのフィールド この値を入力
エンティティID https://sts.windows.net/<yourEntraIDTenantID>
認証要求の署名 Yes
SSOサービスURL https://login.microsoftonline.com/<yourEntraIDTenantID>/saml2
SSOバインディングメカニズム HTTP Post
SAML応答 Sign Either Response Or Assertion
認証コンテキスト Unspecified, Exact
ログアウトURL https://login.microsoftonline.com/<yourEntraIDTenantID>/saml2
ログアウト要求の署名 Yes
SLOバインディングメカニズム HTTP Post
Entra IDとAD IDを使用したWorkspace認証のためのSAML
April 2, 2026
Author:  Mark Dear
April 2, 2026
Author:  Mark Dear

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.