フェデレーション認証サービス ADFS展開
はじめに
このドキュメントでは、Citrix®環境をMicrosoft ADFSと統合する方法について説明します。
多くの組織では、単一の認証ポイントを必要とするWebサイトへの安全なユーザーアクセスを管理するためにADFSを使用しています。たとえば、企業は従業員が利用できる追加のコンテンツやダウンロードを持っている場合があります。これらの場所は、標準のWindowsログオン資格情報で保護する必要があります。
フェデレーション認証サービス (FAS) は、Citrix NetScalerおよびCitrix StoreFront™をADFSログオンシステムと統合することも可能にし、会社のスタッフの潜在的な混乱を軽減します。
この展開では、NetScaler®をMicrosoft ADFSへの証明書利用者として統合します。
ローカライズされた画像(/ja-jp/xenapp-and-xendesktop/7-15-ltsr/media/fas-architectures-adfs-saml.png)
SAMLの概要
Security Assertion Markup Language (SAML) は、シンプルな「ログオンページへのリダイレクト」Webブラウザログオンシステムです。構成には、次の項目が含まれます。
リダイレクトURL [シングルサインオンサービスURL]
NetScalerは、ユーザーが認証される必要があることを検出すると、ユーザーのWebブラウザに、ADFSサーバー上のSAMLログオンWebページにHTTP POSTを実行するように指示します。これは通常、https://形式のアドレスです: https://adfs.mycompany.com/adfs/ls。
このWebページPOSTには、ログオン完了時にADFSがユーザーを返す「戻りアドレス」を含むその他の情報が含まれています。
識別子 [発行者名/EntityID]
EntityIdは、NetScalerがADFSへのPOSTデータに含める一意の識別子です。これにより、ADFSはユーザーがログオンしようとしているサービスを認識し、必要に応じて異なる認証ポリシーを適用します。発行された場合、SAML認証XMLは、EntityIdによって識別されるサービスへのログオンにのみ適しています。
通常、EntityIDはNetScalerサーバーのログオンページのURLですが、NetScalerとADFSがそれに同意する限り、一般的には何でもかまいません: https://ns.mycompany.com/application/logonpage。
戻りアドレス [応答URL]
認証が成功した場合、ADFSは、ユーザーのWebブラウザに対し、EntityId用に構成されている応答URLのいずれかにSAML認証XMLをPOSTするよう指示します。これは通常、元のNetScalerサーバー上のhttps://アドレスで、形式はhttps://ns.mycompany.com/cgi/samlauthです。
複数の応答URLアドレスが構成されている場合、NetScalerは、ADFSへの最初のPOSTでいずれか1つを選択できます。
署名証明書 [IDP証明書]
ADFSは、秘密キーを使用してSAML認証XMLブロブに暗号署名します。この署名を検証するには、証明書ファイルに含まれる公開キーを使用してこれらの署名をチェックするようにNetScalerを構成する必要があります。証明書ファイルは通常、ADFSサーバーから取得したテキストファイルです。
シングルサインアウトURL [シングルログアウトURL]
ADFSとNetScalerは、「中央ログアウト」システムをサポートしています。これは、NetScalerがSAML認証XMLブロブが現在ログオンしているセッションをまだ表しているかどうかを確認するために、時々ポーリングするURLです。
これは、構成する必要のないオプション機能です。これは通常、https://形式のhttps://adfs.mycompany.com/adfs/logoutアドレスです。(シングルログオンURLと同じにすることもできます。)
構成方法
NetScaler Gatewayの展開セクションでは、フェデレーション認証サービスアーキテクチャの記事で、XenAppおよびXenDesktop NetScalerセットアップウィザードを使用して、標準のLDAP認証オプションを処理するようにNetScaler Gatewayを設定する方法について説明しています。それが正常に完了した後、SAML認証を許可する新しい認証ポリシーをNetScaler上に作成できます。これにより、NetScalerセットアップウィザードで使用されるデフォルトのLDAPポリシーを置き換えることができます。
SAMLポリシーに入力する
以前にADFS管理コンソールから取得した情報を使用して、新しいSAML IdPサーバーを構成します。このポリシーが適用されると、NetScalerはユーザーをADFSにリダイレクトしてログオンさせ、ADFS署名付きSAML認証トークンを受け入れます。
関連する情報
- 「フェデレーション認証サービス」の記事は、FASのインストールと構成に関する主要なリファレンスです。
- 一般的なFAS展開は、「フェデレーション認証サービスアーキテクチャの概要」の記事にまとめられています。
- 「ハウツー」記事は、「フェデレーション認証サービスの構成と管理」の記事で紹介されています。