カスタムドメインの構成
ワークスペースのカスタムドメインを構成すると、選択したドメインを使用してCitrix Workspaceストアにアクセスできるようになります。これにより、割り当てられたcloud.comドメインの代わりにこのドメインを使用して、WebブラウザーとCitrix Workspaceアプリケーションの両方からアクセスできるようになります。
カスタムドメインは、他のCitrix Workspaceの顧客と共有することはできません。各カスタムドメインはその顧客に固有である必要があります。後でカスタムドメインを削除する場合を除き、必ず別の顧客に割り当てることがないカスタムドメインを選択してください。
Citrix Cloud内でWorkspace URLを無効にしても、カスタムドメインを介したCitrix Workspaceへのアクセスは無効になりません。カスタムドメインの使用時にCitrix Workspaceへのアクセスを無効にするには、カスタムドメインも無効にします。
サポートされているシナリオ
| シナリオ | サポート対象 | 未サポート |
|---|---|---|
| IDプロバイダー | AD(+Token)、Azure AD、Citrix Gateway、Okta、およびSAML | |
| リソースの種類 | Virtual Apps and Desktops | SaaSアプリ |
| アクセス方法 | ブラウザー(Internet Explorerを除く)、Windows、Mac、Linux向けCitrix Workspaceアプリ、iOSアプリ | - |
| 使用状況 | ワークスペース | Cloud Connectorとクラウド管理者コンソール |
現在のカスタムWorkspace URLとの違いは何ですか?
顧客に対してカスタムWorkspace URLがすでに有効になっている場合は、次のビューが表示されます。
当面はこのURLを使用できますが、このドキュメントの手順に進んで別のカスタムWorkspace URLをオンボードすることができます。将来的には廃止される予定です。
同じURLを使用する場合は、以前のカスタムWorkspace URLを削除し、DNSレコードを削除して続行します。
前提条件
-
新しく登録したドメイン、またはすでに所有しているドメインを選択できます。ドメインはサブドメイン形式(your.company.com)である必要があります。Citrixは、ルートドメイン(company.com)のみの使用をサポートしていません。
-
Citrixでは、Citrix Workspaceアクセス用のカスタムドメインとして専用ドメインを使用し、必要に応じて簡単に変更できるようにすることをお勧めします。
- カスタムドメインにはCitrixの商標を含めることはできません。Citrixの商標の完全なリストについては、こちらをご覧ください。
- 選択するドメインはパブリックDNSで構成されている必要があります。ドメイン構成に含まれるCNAMEレコード名と値はすべて、Citrixによって解決可能である必要があります。
注:
プライベートDNS構成はサポートされていません。
- ドメイン名の長さは64文字以内にする必要があります。
カスタムドメインの構成
カスタムドメインを設定すると、URLや証明書の種類を変更することはできません。削除することしかできません。選択したドメインがまだDNSで構成されていないことを確認してください。カスタムドメインを構成する前に、既存のCNAMEレコードをすべて削除してください。
SAMLを使用してIDプロバイダーに接続している場合は、SAML構成を完了するために追加の手順を実行する必要があります。詳細については、「SAML」を参照してください。
カスタムドメインの追加
-
https://citrix.cloud.comでCitrix Cloudにサインインします。
-
Citrix Cloudメニューから [ワークスペース構成] を選択し、[アクセス] を選択します。
-
[アクセス]タブの[カスタムWorkspace URL]で、[+独自のドメインを追加]を選択します。
-
[概要]ページに表示される情報を読み、[次へ]を選択します。
-
[URLを指定する]ページに選択したドメインを入力します。[指定されたURLを自分または会社が所有していることを確認する] を選択して、指定したドメインを所有していることを確認し、TLS証明書管理設定を選択します。Citrixは、証明書の更新が自動的に処理される管理型をお勧めします。詳しくは、「更新された証明書の提供」を参照してください。[次へ] をクリックします。
このページに警告が表示された場合は、強調表示された問題を修正して続行します。
独自の証明書を提供することを選択した場合は、手順にある追加の手順を完了する必要があります。
選択したドメインのプロビジョニングには時間がかかります。プロビジョニングの進行中は、ページを開いたまま待つことも、ページを閉じることもできます。
-
プロビジョニングの完了中に[URLを指定する] ページを開いている場合は、[DNSを構成する]ページが自動的に開きます。ページを閉じた場合は、[アクセス]タブからカスタムドメインの[続行]ボタンを選択します。
-
この手順は、DNSレジストラが提供する管理ポータルで実行します。自分に割り当てられたAzure Traffic Managerを指す、選択したカスタムドメインのCNAMEレコードを追加します。
[DNSを構成する]ページからトラフィックマネージャーのアドレスをコピーします。例のアドレスは次のとおりです。
wsp-cd-eastus2-production-traffic-manager-profile-1-52183.trafficmanager.net
DNSに証明機関承認(CAA)レコードが構成されている場合は、Let’s Encryptがドメインの証明書を生成できるようにするレコードを追加します。Let’s Encryptは、Citrixがカスタムドメインの証明書を生成するために使用する証明機関(CA)です。CAAレコードの値は次のようにする必要があります:0 issue “letsencrypt.org”
-
DNSプロバイダーでCNAMEレコードを構成したら、[CNAMEレコードの検出]を選択してDNS構成が正しいことを確認します。CNAMEレコードが正しく構成されている場合は、[CNAME構成]セクションの横に緑色のチェックマークが表示されます。
このページに警告が表示された場合は、強調表示された問題を修正して続行してください。
DNSプロバイダーでCAAレコードが構成されている場合は、別のCAA構成が表示されます。[CAAレコードの検出]を選択して、DNS構成が正しいことを確認します。CAAレコードの構成が正しい場合は、[CAAの構成]セクションの横に緑色のチェックマークが表示されます。
DNS構成を確認したら、[次へ]をクリックします。
-
これはオプションの手順です。独自の証明書を追加することを選択した場合は、[独自の証明書を追加する]ページで必要な情報を入力します。
このページに警告が表示された場合は、強調表示された問題を修正して続行します。 証明書が次の条件を満たしていることを確認してください。
- PEMでエンコードされている必要があります。
- 少なくとも今後30日間有効である必要があります。
- これはカスタムWorkspace URLにのみ使用する必要があり、ワイルドカード証明書は受け入れられません。
- 証明書の共通名はカスタムドメインと一致する必要があります。
- 証明書上のSANはカスタムドメイン用であり、追加のSANは許可されません。
- 証明書の有効期間は10年を超えてはなりません。
注:
Citrixは安全な暗号化ハッシュ関数(SHA 256以上)を使用した証明書を使用することをお勧めします。証明書はユーザーが更新する必要があります。証明書の有効期限が切れているか、もうすぐ期限切れになる場合は、「更新された証明書の提供」セクションを参照してください。
-
これはオプションの手順です。SAMLをIDプロバイダーとして使用している場合は、関連する構成を指定します。[SAMLの構成]ページに必要な情報を入力します。
IDプロバイダーでアプリケーションを構成する場合は、次の詳細を使用します。
プロパティ Value オーディエンス https://saml.cloud.com受信者 https://<your custom domain>/saml/acsACS URLバリデーター https://<your custom domain>/saml/acsACSコンシューマーURL https://<your custom domain>/saml/acs単一のログアウトURL https://<your custom domain>/saml/logout/callback -
[ドメインをプロビジョニングする]ページに表示される情報を読み、指定された指示に同意します。続行する準備ができたら、[同意して続行する]を選択します。
この最後のプロビジョニング手順が完了するまでに時間がかかる場合があります。操作が完了する間、ページを開いたまま待つことも、ページを閉じることもできます。
カスタムドメインの削除
顧客からカスタムドメインを削除すると、カスタムドメインを使用してCitrix Workspaceにアクセスできなくなります。カスタムドメインを削除した後は、cloud.comアドレスを使用してのみCitrix Workspaceにアクセスできます。
カスタムドメインを削除するときは、CNAMEレコードがDNSプロバイダーから削除されていることを確認してください。
カスタムドメインを削除するには、
-
https://citrix.cloud.comでCitrix Cloudにサインインします。
-
Citrix Cloudメニューから、[ワークスペース構成]>[アクセス]を選択します。
-
[アクセス]タブでカスタムドメインのコンテキストメニュー (…)を展開し、[削除]を選択します。
-
[カスタム ドメインの削除]ページに表示される情報を読み、指定された指示に同意します。続行する準備ができたら、[削除]を選択します。
カスタムドメインの削除は、完了するまでに時間がかかります。操作が完了する間、ページを開いたまま待つことも、ページを閉じることもできます。
更新された証明書の提供
-
Citrix Cloudにサインインします。
-
Citrix Cloudメニューから、[ワークスペース構成]>[アクセス] を選択します。
-
証明書の有効期限は、証明書が割り当てられているカスタムドメインの横に表示されます。
証明書の有効期限が30日以内に切れる場合、カスタムドメインに警告が表示されます。
-
[アクセス] タブでカスタムドメインのコンテキストメニュー(…) を展開します。[証明書を更新] を選択します。
-
[証明書を更新]ページで必要な情報を入力し、[保存] を選択します。
このページに警告が表示された場合は、強調表示された問題を修正して続行します。
証明書は、カスタムドメインの作成時と同じ要件を満たす必要があります。詳細については、「カスタムドメインの追加」を参照してください。
IDプロバイダーの構成
Oktaの構成
Citrix WorkspaceアクセスのIDプロバイダーとしてOktaを使用している場合は、次の手順を実行します。
-
Oktaインスタンスの管理者ポータルにサインインします。このインスタンスには、Citrix Cloudで使用されるアプリケーションが含まれています。
-
[アプリケーション]を展開し、メニューで[アプリケーション]を選択します。
- Citrix Cloudにリンクされているアプリケーションを開きます。
-
[全般設定]セクションで[編集]を選択します。
-
[全般設定]の[ログイン]セクションで、[Sign-in redirect URIs]の新しい値を追加します。既存の値を置き換えるのではなく、新しい値を追加します。新しい値は次の形式にする必要があります:https://your.company.com/core/login-okta
-
同じセクションで、[Sign-out redirect URIs]の新しい値を追加します。既存の値を置き換えるのではなく、新しい値を追加します。新しい値は次の形式にする必要があります:https://your.company.com
- [保存]をクリックして新しい構成を保存します。
OAuthポリシーとプロファイルの構成
重要
Citrix Cloudと、Citrix Gatewayまたはアダプティブ認証HAペアをリンクする既存のOAuthポリシーとプロファイルは、OAuth資格情報が失われた場合にのみ更新する必要があります。このポリシーを変更すると、Citrix CloudとWorkspaces間のリンクが切断されるリスクがあり、Workspacesへのログイン機能に影響します。
Citrix Gatewayの構成
Citrix Cloud管理者は、暗号化されていないクライアントシークレットにアクセスできます。これらの資格情報は、[IDおよびアクセス管理]>[認証]内のCitrix Gatewayリンクプロセス中にCitrix Cloudによって提供されます。 OAuth プロファイルとポリシーは、接続プロセス中に Citrix 管理者によって Citrix Gateway 上に手動で作成されました。
Citrix Gatewayの接続プロセス中に提供されたクライアントIDと暗号化されていないクライアントシークレットが必要です。これらの資格情報はCitrix Cloudによって提供され、安全に保存されています。 暗号化されていないシークレットは、Citrix ADCインターフェイスまたはコマンドラインインターフェイス(CLI)の両方を使用してOAuthポリシーとプロファイルを作成するために必要です。
以下は、クライアントIDとシークレットがCitrix管理者に提供されるときのユーザーインターフェイスの例です。Citrix管理者が接続プロセス中に資格情報の保存に失敗した場合、Citrix Gatewayの接続後に暗号化されていないシークレットのコピーを取得できなくなります。
Citrix Cloudの使用
Citrix Gatewayインターフェイスを使用して追加のOAuthプロファイルとポリシーを追加するには、次の手順を実行します。
-
メニューから、[セキュリティ]>[AAA - アプリケーショントラフィック]>[OAuth IDP]を選択します。既存のOAuthポリシーを選択し、[追加]をクリックします。
-
プロンプトが表示されたら、新しいOAuthポリシーの名前を、前の手順で選択した既存のポリシーとは異なる名前に変更します。Citrixでは、名前にcustom-urlを追加することをお勧めします。
- Citrix Gateway GUIで、既存のOAuthプロファイルを作成します。
-
同じGUIメニューで、[アクション]の横にある[追加]をクリックします。
-
Citrix Gateway GUIで、新しいOAuthポリシーを既存の認証、承認、および監査の仮想サーバーにバインドします。
-
[セキュリティ]>[仮想サーバー]>[編集]に移動します。
コマンドラインインターフェイス(CLI)の使用
重要
OAuth資格情報のコピーが安全に保存されていない場合は、Citrix Gatewayを切断して再接続し、Citrix CloudのIDおよびアクセス管理によって提供される新しいOAuth資格情報で既存のOAuthプロファイルを更新する必要があります。古い資格情報を回復できない場合にのみ、既存のOAuthプロファイルを新しい資格情報で更新してください。他に選択肢がない場合を除き、これはお勧めできません。
-
PuTTYなどのSSHツールを使用して、Citrix Gatewayインスタンスに接続します。
-
OAuthProfileとOAuthPolicyを作成します。認証のOAuthIDPProfileを追加します。
"CustomDomain-OAuthProfile" -clientID "<clientID>" -clientSecret "<unencrypted client secret>" -redirectURL "https://hostname.domain.com/core/login-cip" -audience "<clientID>" -sendPassword ONadd authentication OAuthIDPPolicy "CustomDomain-OAuthPol" -rule true -action "CustomDomain-OAuthProfile" -
OAuthPolicyを、既存のポリシーよりも優先順位の低い、正しい認証、承認、および監査の仮想サーバーにバインドします。このインスタンスでは、既存のポリシーの優先度が10であると想定しているため、新しいポリシーには20が使用されます。認証仮想サーバーをバインドします。
"CitrixGatewayAAAvServer" -policy "CustomDomain-OAuthPol" -priority 20
アダプティブ認証の構成
重要
OAuthプロファイルの暗号化されたシークレットと暗号化パラメータは、アダプティブ認証のプライマリHAゲートウェイとセカンダリHAゲートウェイで異なります。必ずプライマリHAゲートウェイから暗号化されたシークレットを取得し、これらのコマンドをプライマリHAゲートウェイで実行してください。
Citrix Cloud管理者は暗号化されていないクライアントシークレットにアクセスできません。OAuthポリシーとプロファイルは、プロビジョニングフェーズ中にCitrixアダプティブ認証サービスによって作成されます。OAuthプロファイルを作成するには、ns.confファイルから取得した暗号化されたシークレットとCLIコマンドを使用する必要があります。これは、Citrix ADCユーザーインターフェイスを使用して実行することはできません。既存の認証、承認、および監査の仮想サーバーにバインドされている既存のポリシーよりも高い優先度番号を使用して、新しいカスタムURL OAuthPolicyを既存の認証、承認、および監査の仮想サーバーにバインドします。優先度の低い番号が最初に評価されることに注意してください。既存のポリシーの優先度を10に設定し、新しいポリシーの優先度を20に設定して、それらが正しい順序で評価されるようにします。
-
PuTTYなどのSSHツールを使用して、アダプティブ認証プライマリノードに接続します。
show ha node
-
プライマリHAゲートウェイの実行中の構成内で、既存のOAuthプロファイルを含む行を見つけます。
sh runn | grep oauth -
すべての暗号化パラメーターを含む、Citrix ADC CLIからの出力をコピーします。
-
前の手順でコピーした行を変更し、それを使用して、暗号化されたバージョンのクライアントIDを使用してOAuthプロファイルを作成できる新しいCLIコマンドを作成します。これには、すべての暗号化パラメーターを含める必要があります。
- OAuthプロファイルの名前をCustomDomain-OAuthProfileに更新します
- -redirectURLをhttps://hostname.domain.com/core/login-cipに更新します
両方の更新後の例を次に示します。
add authentication OAuthIDPProfile "CustomDomain-OAuthProfile" -clientID b1656835-20d1-4f6b-addd-1a531fd253f6 -clientSecret <long encrypted client Secret> -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2023_04_19_09_12_25 -redirectURL "https://hostname.domain.com/core/login-cip" -audience b1656835-20d1-4f6b-addd-1a531fd253f6 -sendPassword ONadd authentication OAuthIDPPolicy "CustomDomain-OAuthPol" -rule true -action "CustomDomain-OAuthProfile" -
OAuthPolicyを、既存のポリシーよりも優先順位の低い、正しい認証、承認、および監査の仮想サーバーにバインドします。すべてのアダプティブ認証展開の認証、承認、および監査の仮想サーバー名はauth_vsになります。このインスタンスでは、既存のポリシーの優先度が10であると想定しているため、新しいポリシーには20が使用されます。
bind authentication vserver "auth_vs" -policy "CustomDomain-OAuthPol" -priority 20
既知の制限事項
カスタムドメインソリューションの既知の制限は次のとおりです。
Workspaceプラットフォーム
- 現在、顧客ごとに1つのカスタムドメインのみをサポートしています。
- カスタムドメインは、デフォルトのワークスペースURLにのみリンクできます。マルチURL機能を通じて追加された他のワークスペースURLにはカスタムドメインを含めることはできません。マルチURL機能は現在Private Tech Preview段階にあり、すべての顧客が利用できるわけではありません。
- 以前のソリューションでカスタムドメインが構成されており、SAMLまたはAzureADを使用してCitrix Workspaceアクセスを認証している場合は、最初に既存のカスタムドメインを削除しないと、新しいソリューションでカスタムドメインを構成できませ ん。
SAML
SAMLサポートは次のいずれかのユースケースに限定されます。
- SAMLはcloud.comドメインにのみ使用できます。この例では、SAMLの使用により、Citrix WorkspaceアクセスとCitrix Cloud管理者アクセスがカバーされます。
- SAMLはカスタムドメインにのみ使用できます。
Windows向けCitrix Workspaceアプリ
- この機能は、Windows向けCitrix Workspaceアプリバージョン2305および2307ではサポートされていません。サポートされている最新バージョンに更新してください。