Citrix Endpoint Management

MAM登録にNetScaler Gatewayを使用したOktaでの認証

Citrix Endpoint Managementでは、NetScaler Gatewayを介したOkta資格情報による認証をサポートしています。この認証方法は、Citrix Secure Hub経由でMAMに登録するユーザーのみが利用できます。

前提条件

Citrix Endpoint Managementを構成し、MAMに登録されたデバイスでOktaをIDプロバイダー(IdP)としてCitrix Gateway経由で使用するには、次の前提条件が満たされていることを確認してください:

  • Citrix Endpoint Managementを構成し、MDMに登録されたデバイスのIDプロバイダーをCitrix Cloud経由でOktaに設定する。MDMでOktaを構成する方法について詳しくは、「Citrix Cloudを介したOktaでの認証」を参照してください。
  • プラットフォームに応じて、次の関連するフィーチャーフラグを有効にしてください:
    • iOS:
      • iOS-V3Form-MAM
      • iOS-SAMLAuth-MAM
    • Android:
      • Android-V3Form-MAM
      • Android-SAMLAuth-MAM

    注:

    ご使用の環境でフィーチャーフラグを有効にするには、Podioフォームに記入してください。

  • Citrix Secure Hubの最新バージョンをダウンロードしてインストールします。
  • 所属組織でOktaサービスが利用可能で、関連ユーザーおよびグループがOktaで作成されているか、インポートされていることを確認します。

Citrix Endpoint ManagementでNetScaler Gatewayを構成する

  1. Citrix Endpoint Managementコンソールにサインインして、設定 設定アイコンをクリックします。

  2. 「サーバー」の「NetScaler Gateway」をクリックします。

  3. [認証] トグルボタンを有効にします。

    「NetScaler Gateway 認証を有効にする」切り替えボタン

  4. ゲートウェイの [ログオンの種類][IDプロバイダー] であることを確認します。

  5. [Save] をクリックします。

オンプレミスのNetScaler Gatewayを準備する

  1. Citrix Endpoint ManagementでオンプレミスのNetScaler Gatewayが構成されていない場合、以下の手順を実行します:

    1. Citrix Endpoint Managementコンソールにサインインして、設定 設定アイコンをクリックします。

    2. 「サーバー」の「NetScaler Gateway」をクリックします。

    3. [編集]をクリックします。

    4. [ログオンの種類] ドロップダウンメニューをクリックして、[ドメインのみ] を選択します。

      [ドメインのみ]の[ログインの種類]

    5. [構成スクリプトのエクスポート] をクリックします。

      [構成スクリプトのエクスポート]をダウンロード [構成スクリプトのエクスポート] がダウンロードされます。

    6. [ログオンの種類] ドロップダウンメニューをクリックして [IDプロバイダー] を選択します。

      [ログオンの種類]をIDプロバイダーとして更新

    7. [Save] をクリックします。

    8. ダウンロードされたzipファイルを開いて、ファイルを抽出します。

    9. 抽出されたテキストファイルのスクリプトを実行して、オンプレミスのNetScaler Gatewayの準備をします。

      zipファイルの情報を抽出する

  2. Citrix ADC管理コンソールにサインインして、[NetScaler Gateway]>[Virtual Servers] に移動します。

  3. Citrix Endpoint Managementのセットアップに関連したゲートウェイをクリックします。

  4. オンプレミスのNetScaler Gatewayで既存の認証ポリシーのバインドを解除します。

Oktaを構成する

  1. 管理者としてOktaにサインインします。

  2. [Applications]>[Applications]>[Browse App Catalog] の順にクリックします。

    Oktaの[Browse App Catalog]

  3. [Browse App Integration Catalog] の下の検索バーに「NetScaler Gateway」と入力して、NetScaler Gateway(SAML、SWA) を選択します。

    [Browse App Integration Catalog]でNetScaler Gatewayを検索する

  4. [Add Integration] をクリックします。

    NetScaler Gatewayの[Add Integration]

  5. [Application label] フィールドに関連する名前を入力します。

  6. [Login URL] フィールドにゲートウェイ仮想サーバーURLを入力して [Next] をクリックします。

    NetScaler Gatewayの[General Settings]

    注:

    [Login URL] フィールドに入力したURLは、Citrix Endpoint Management設定のNetScaler Gateway URLと同じものにする必要があります。

  7. [Sign-On Options Required]>[Sign on methods] の順に移動して、[SAML 2.0] を選択します。

    NetScaler GatewayのSAML 2.0

  8. [View Setup Instructions] をクリックしてページの指示に従い、Citrixオンプレミスゲートウェイの管理コンソールでSAMLポリシーを作成します。

    NetScaler Gateway SAMLの[View Setup Instructions]

    注:

    • NetScaler Gatewayバージョン11.1以降の構成中、CA証明書をインストールしてからSAMLアクションを作成します。SAMLアクションを作成するには、[Securit]>[AAA - Application Traffic]>[Policies]>[Authentication]>[Advanced Policies]>[Actions]>[SAML Actions] に移動します。[Add] をクリックして、前のページで提供した情報を入力します。ページに表示される次のナビゲーションには従わないでください。[NetScaler Gateway]>[Policies]>[Authentication]>[SAML]>[Servers]
    • また、SAMLポリシーを作成する手順にも従わないでください。これは古いポリシーを使用する手順です。現在は、より高度なポリシーを使用しています。高度なポリシーを使用してSAMLポリシーを作成するために、必ず手順9を実行してください。
  9. SAMLアクションに対応するSAMLポリシーを作成し、次のようにポリシーを認証仮想サーバーにバインドします:

    1. [Security]>[AAA-Application Traffic]>[Policies]>[Authentication]>[Advanced Policies]に移動して、[Add]をクリックします。

    2. [Create Authentication Policy]ページで、次の詳細を入力します:

      • Name - SAMLポリシーの名前を指定します。
      • Action Type - SAMLを認証アクションの種類として選択します。
      • Action - SAMLポリシーをバインドするSAMLサーバープロファイルを選択します。
      • Expression - ユーザーがSAMLサーバーに認証すべきかを判断するために、SAMLポリシーが使用する規則や式の名前を表示します。有効にして、対応するSAMLアクションが実行されるようにするには、テキストボックスで、SAMLポリシーにrule = trueの値を設定します。
    3. SAMLポリシーをVPN仮想サーバーにバインドして、認証プロファイル経由でVPN仮想サーバーを認証仮想サーバーにリンクします。バインドの手順について詳しくは、「認証ポリシーのバインド」を参照してください。

  10. GUIを使用して認証仮想サーバーをセットアップするには」を参照して、AAA仮想サーバーを作成します。

  11. 認証仮想サーバーの構成」を参照して、AAA仮想サーバーを構成します。

  12. 認証プロファイル」を参照して、認証プロファイルを作成し、構成します。

  13. 認証プロファイルをGateway仮想サーバーにバインドし、すべての構成を保存します。

  14. Citrixオンプレミスゲートウェイの管理コンソールで、SAMLポリシーの作成後、[Done]をクリックします。

    Citrix Endpoint Managementの統合で、Citrix CloudのWebアプリケーションおよびCitrix Endpoint ManagementのMAM認証のSAMLアプリケーションという、2つのアプリケーションが表示できるようになりました。

  15. 関連ユーザーおよびグループを、作成したばかりのSAMLアプリケーションに割り当てます。

Oktaは、MAMに登録したデバイスのIDプロバイダーとして追加され、Oktaを使用した認証が可能になりました。

正常な動作

以下は、Androidデバイスを使用した例です:

  1. モバイルデバイスで、Citrix Secure Hubアプリを開きます。

    Citrix Secure Hubアプリのアイコン

  2. 必要な権限を許可します。

  3. サインインページで、組織から提供された資格情報を入力し、[次へ] をタップします。

    Citrix Secure Hubのサインインページ

    Oktaのサインインページにリダイレクトされます。

  4. Oktaのサインインページで資格情報を入力し、[Sign in] をタップします。

    Oktaのサインインページ

  5. 仕事用プロファイルの設定ページで、[同意して続行] をタップします。

    仕事用プロファイルの設定

  6. Citrix Secure HubアプリのPINを作成して、確定します。

    Citrix Secure HubのPIN

    Citrix Secure Hubのホームページにリダイレクトされます。

MAM登録にNetScaler Gatewayを使用したOktaでの認証