Citrix Workspaceアプリへのシングルサインオンの構成
Azure Active Directoryを使用したシングルサインオン
このセクションでは、ハイブリッドまたはAADに登録されたエンドポイントでドメイン参加済みワークロードを持つIDプロバイダーとしてAzure Active Directory(AAD)を使用して、シングルサインオン(SSO)を実装する方法について説明します。 この構成により、AADに登録されているエンドポイントでWindows HelloまたはFIDO2を使用して、Workspaceに対して認証できます。
注:
Windows Helloをスタンドアロン認証として使用する場合、Citrix Workspaceアプリへのシングルサインオンを実現できますが、 公開された仮想アプリまたは仮想デスクトップにアクセスするときに、ユーザー名とパスワードの入力を求められます。 回避策として、フェデレーション認証サービス(FAS)の実装を検討してください。
前提条件
-
Citrix CloudへのアクティブなAzure Active Directory接続。 詳しくは、「Azure Active DirectoryをCitrix Cloudに接続する」を参照してください。
-
Azure Active Directoryワークスペース認証。 詳しくは、「ワークスペースのAzure AD認証を有効にする」を参照してください。
-
Azure AD Connectを構成したかどうかを確認します。 詳しくは、「Getting started with Azure AD Connect using express settings」を参照してください。
-
Azure AD Connectでパススルー認証をアクティブ化します。 また、シングルサインオンとパススルーオプションがAzure Portalで機能するかどうかを確認します。 詳しくは、「Azure Active Directory Pass-through Authentication: Quickstart」を参照してください。
構成
デバイスでSSOを構成するには、次の手順を実行します:
- Windowsのコマンドラインを
includeSSONオプション付きで使用し、Citrix Workspaceアプリをインストールします:
CitrixWorkspaceApp.exe /includeSSON
-
デバイスを再起動します。
-
gpedit.mscを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。 -
[管理用テンプレート] > [Citrixコンポーネント] > [Citrix Workspace] > [ユーザー認証] > [ローカルユーザー名とパスワード]に移動します。
-
[パススルー認証を有効にします] チェックボックスをオンにします。 構成およびセキュリティ設定によっては、パススルー認証を実行するために [すべてのICA接続にパススルー認証を許可します] チェックボックスをオンにします。
-
Internet Explorerで [ユーザー認証] の設定を変更します。 設定を変更するには:
- コントロールパネルから [インターネットのプロパティ] を開きます。
-
[全般プロパティ] > [ローカルイントラネット]に移動し、[サイト]をクリックします。
-
[ローカルイントラネット] ウィンドウで [詳細設定] をクリックし、信頼済みサイトを追加し、以下の信頼済みサイトを追加して、[閉じる] をクリックします:
https://aadg.windows.net.nsatc.nethttps://autologon.microsoftazuread-sso.comThe name of your tenant, for example: https://xxxtenantxxx.cloud.com
-
テナントの
prompt=login属性を無効にして、余分な認証プロンプトを無効にします。 詳しくは、「User Prompted for Additional Credentials on Workspace URLs When Using Federated Authentication Providers」を参照してください。 Citrixテクニカルサポートに連絡いただければ、テナントのprompt=login属性を無効にし、シングルサインオンを正常に構成できます。 -
Citrix Workspaceアプリクライアントでドメインパススルー認証を有効にします。 詳しくは、「ドメインパススルー認証」を参照してください。
-
Citrix Workspaceアプリのセッションを再起動して、この変更を適用します。
Oktaとフェデレーション認証サービスを使用したシングルサインオン
このセクションでは、ドメイン参加済みデバイスとフェデレーション認証サービス(FAS)を備えたIDプロバイダーのOktaを使用して、シングルサインオン(SSO)を実装する方法について説明します。 この構成では、Oktaを使用してWorkspaceに対して認証することで、シングルサインオンを有効にし、2回目のログオンプロンプトを防ぐことができます。 この認証メカニズムを機能させるには、Citrix CloudでCitrixフェデレーション認証サービスを使用する必要があります。 詳しくは、「Citrix CloudにCitrixフェデレーション認証サービスを接続する」を参照してください。
前提条件
-
Cloud Connector。 Cloud Connectorのインストール手順について詳しくは、「Cloud Connectorのインストール」を参照してください。
-
Oktaエージェント。 Oktaエージェントのインストールについて詳しくは、「Install the Okta Active Directory agent」を参照してください。 また、Okta IWA Webエージェントを構成して、Windowsドメイン参加済みデバイスからログインすることもできます。 詳しくは、「Install and configure the Okta IWA Web agent for Desktop single sign-on」を参照してください。
-
Citrix CloudへのアクティブなAzure Active Directory接続。 詳しくは、「Azure Active DirectoryをCitrix Cloudに接続する」を参照してください。
-
フェデレーション認証サービス。 詳しくは、「フェデレーション認証サービスのインストール」を参照してください。
構成
デバイスでSSOを構成するには、次の手順を実行します:
Citrix CloudをOkta組織に接続する:
-
Okta Active Directoryエージェントをダウンロードしてインストールします。 詳しくは、「Install the Okta Active Directory agent」を参照してください。
-
https://citrix.cloud.comでCitrix Cloudにサインインします。 -
Citrix Cloudメニューで、[IDおよびアクセス管理] を選択します。
-
「Okta」を見つけ、省略記号(…)メニューから [接続] を選択します。
-
[Okta URL] にOktaドメインを入力します。
-
[Okta APIトークン] に、Okta組織のAPIトークンを入力します。
-
[クライアントID] と [クライアントシークレット] に、先ほど作成したOIDC Webアプリ統合からクライアントIDとシークレットを入力します。 Oktaコンソールからこれらの値をコピーするには、[アプリケーション] を選択し、Oktaアプリケーションを見つけます。 [クライアント資格情報] で、[クリップボードにコピー] ボタンを各値に対して使用します。
-
[テストして終了] をクリックします。 Citrix CloudでOktaの詳細が確認され、接続がテストされます。
ワークスペースのOkta認証を有効にする:
-
Citrix Cloudメニューから[ワークスペース構成] > [認証] を選択します。
-
[Okta] を選択します。 プロンプトが表示されたら、[利用者のエクスペリエンスに与える影響を了承しています] を選択します。
-
[承諾] をクリックして権限の要求を承諾します。
フェデレーション認証サービスを有効にする:
-
Citrix Cloudメニューから [ワークスペース構成] を選択し、[認証] を選択します。
-
[FAS を有効にする] をクリックします。 この変更が利用者のセッションに適用されるまで、最大5分かかる場合があります。
![[FASを有効にする]ボタンが強調表示された[ワークスペース構成]ページ](/en-us/citrix-workspace/media/workspace-config-fas-disabled.png)
その後、Citrix Workspaceからのすべての仮想アプリおよびデスクトップの起動に対してフェデレーション認証がアクティブになります。
![FASが有効な[ワークスペース構成]ページ](/en-us/citrix-workspace/media/workspace-config-fas-enabled.png)
利用者が自分のワークスペースにログインして、FASサーバーと同じリソースの場所で仮想アプリまたはデスクトップを起動すると、アプリまたはデスクトップは資格情報のプロンプトを表示せずに起動します。
注:
リソースの場所内のすべてのFASサーバーがダウンしているか、またはメンテナンスモードの場合、アプリケーションの起動は成功しますが、シングルサインオンはアクティブになりません。 利用者は、各アプリケーションまたはデスクトップにアクセスするためにActive Directory資格情報の入力を求められます。