チュートリアル: Microsoft Entra シングル サインオンと Citrix ADC SAML Connector for Microsoft Entra ID の統合 (Kerberos ベースの認証)
このチュートリアルでは、Citrix ADC SAML Connector for Microsoft Entra ID と Microsoft Entra ID を統合する方法について説明します。 Citrix ADC SAML Connector for Microsoft Entra ID と Microsoft Entra ID を統合すると、次のことができます。
- Microsoft Entra ID で、Citrix ADC SAML Connector for Microsoft Entra ID にアクセスできるユーザーを制御します。
- ユーザーが自分の Microsoft Entra アカウントを使用して Citrix ADC SAML Connector for Microsoft Entra ID に自動的にログインできるようにします。
- 1 つの中心的な場所でアカウントを管理します。
前提条件
開始するには、次が必要です:
- Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウント を取得できます。
- Citrix ADC SAML Connector for Microsoft Entra シングル サインオン (SSO) が有効なサブスクリプション。
シナリオの説明
このチュートリアルでは、テスト環境で Microsoft Entra の SSO を構成してテストします。 チュートリアルにはこれらのシナリオが含まれています。
Citrix ADC SAML Connector for Microsoft Entra ID 用 SP 駆動型 SSO。
Citrix ADC SAML Connector for Microsoft Entra ID 用 Just-In-Time ユーザー プロビジョニング。
Citrix ADC SAML Connector for Microsoft Entra ID 用の Kerberos ベースの認証。
Citrix ADC SAML Connector for Microsoft Entra ID 用のヘッダー ベース認証。
ギャラリーから Citrix ADC SAML Connector for Microsoft Entra ID の追加
Citrix ADC SAML Connector for Microsoft Entra ID と Microsoft Entra ID を統合するには、まず Citrix ADC SAML Connector for Microsoft Entra ID をギャラリーのマネージド SaaS アプリのリストに追加します。
Microsoft Entra 管理センター に クラウド アプリケーション管理者 以上の権限でサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] を参照します。
[ギャラリーから追加] セクションで、検索ボックスに「Citrix ADC SAML Connector for Microsoft Entra ID」と入力します。
結果から [Citrix ADC SAML Connector for Microsoft Entra ID] を選択し、アプリを追加します。 アプリがお使いのテナントに追加されるまで数秒待ちます。
または、Enterprise アプリ 構成ウィザード を使用することもできます。 このウィザードでは、SSO の構成に加えて、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てを行うことができます。 Microsoft 365 ウィザードの詳細について説明します。
Citrix ADC SAML Connector for Microsoft Entra ID 用に Microsoft Entra SSO の構成とテスト
B.Simon という名前のテスト ユーザーを使用し、Citrix ADC SAML Connector for Microsoft Entra ID で Microsoft Entra SSO を構成してテストします。 SSO が機能するため、Microsoft Entra ユーザーと Citrix ADC SAML Connector for Microsoft Entra ID の関連ユーザーの間にリンク関係を確立する必要があります。
Citrix ADC SAML Connector for Microsoft Entra ID で Microsoft Entra SSO を構成してテストするには、次の手順を実行します。
Microsoft Entra SSO の構成 - ユーザーがこの機能を使用できるようにします。
Microsoft Entra テスト ユーザーの作成 - B.Simon で Microsoft Entra SSO をテストします。
Microsoft Entra テスト ユーザーの割り当て - B.Simon が Microsoft Entra SSO を使用できるようにします。
Citrix ADC SAML Connector for Microsoft Entra SSO の構成 - アプリケーション側で SSO 設定を構成します。
- Citrix ADC SAML Connector for Microsoft Entra テスト ユーザーの作成 - ユーザーの Microsoft Entra 表現にリンクされた Citrix ADC SAML Connector for Microsoft Entra ID の B.Simon に対応するユーザーを持ちます。
SSO のテスト - 構成が機能するかどうかを確認します。
Microsoft Entra SSO の構成
Azure portal を使用して Microsoft Entra SSO を有効にするには、次の手順を実行します。
Microsoft Entra 管理センター に クラウド アプリケーション管理者 以上の権限でサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Citrix ADC SAML Connector for Microsoft Entra ID] アプリケーション統合ウィンドウを参照し、[管理] で [シングル サインオン] を選択します。
[シングル サインオン方式の選択] ウィンドウで [SAML] を選択します。
[SAML によるシングル サインオンの設定] ウィンドウで、[基本的な SAML 構成] の鉛筆アイコンを選択して設定を編集します。
[基本的な SAML 構成] セクションで、アプリケーションを [IDP 駆動型] モードで構成するには、次の手順を実行します。
[識別子] テキスト ボックスに、
https://<YOUR_FQDN>
の形式で URL を入力します。[応答 URL] テキスト ボックスに、
http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth
の形式で URL を入力します。
アプリケーションを [SP 駆動型] モードで構成するには、[追加の URL の設定] を選択して次の手順を実行します。
- [ログオン URL] テキスト ボックスに、
https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx
の形式で URL を入力します。
注意
- このセクションで使用される URL は、実際の値ではありません。 これらの値は識別子、応答 URL、ログオン URL の実際の値で更新してください。 これらの値を取得するには、Citrix ADC SAML Connector for Microsoft Entra のクライアント サポート チームにご連絡ください。 [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。
- SSO を設定するには、パブリック Web サイトから URL にアクセスできる必要があります。 Microsoft Entra ID が構成済みの URL でトークンをポストできるようにするには、Citrix ADC SAML Connector for Microsoft Entra ID 側でファイアウォールまたはその他のセキュリティ設定を有効にする必要があります。
- [ログオン URL] テキスト ボックスに、
[SAML によるシングル サインオンの設定] ウィンドウの [SAML 署名証明書] セクションで、[アプリのフェデレーション メタデータ URL] に URL をコピーしてメモ帳に保存します。
[Citrix ADC SAML Connector for Microsoft Entra ID の設定] セクションで、要件に基づいて関連する URL をコピーします。
Microsoft Entra テスト ユーザーの作成
このセクションでは、B.Simon というテスト ユーザーを作成します。
- Microsoft Entra 管理センターにユーザー管理者以上でサインインしてください。
- [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
- 画面の上部で [新しいユーザー]>[新しいユーザーの作成] を選択します。
- [ユーザー] プロパティで、以下の手順を実行します:
- [表示名] フィールドに「
B.Simon
」と入力します。 - [ユーザー プリンシパル名] フィールドに「username@companydomain.extension」と入力します。 たとえば、
B.Simon@contoso.com
のようにします。 - [パスワードを表示] チェック ボックスをオンにし、[パスワード] ボックスに表示された値を書き留めます。
- [レビュー + 作成] を選択します。
- [表示名] フィールドに「
- [作成] を選択します。
Microsoft Entra テスト ユーザーの割り当て
このセクションでは、B.Simon というユーザーに Citrix ADC SAML Connector for Microsoft Entra ID へのユーザー アクセスを許可することにより、Azure SSO を使用できるようにします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。
アプリケーションのリストで [Citrix ADC SAML Connector for Microsoft Entra ID] を選択します。
アプリの概要の [管理] で、[ユーザーとグループ] を選択します。
[ユーザーの追加] を選択します。 次に、[割り当ての追加] ダイアログ ボックスに [ユーザーとグループ] を選択します。
[ユーザーとグループ] ダイアログ ボックスに、[ユーザー] リストから [B.Simon] を選択します。 [選択] を選択します。
ユーザーにロールが割り当てられることが想定される場合は、 [ロールの選択] ドロップダウンからそれを選択できます。 このアプリに対してロールが設定されていない場合は、[既定のアクセス] ロールが選択されていることを確認します。
[割り当ての追加] ダイアログ ボックスに [割り当て] を選択ます。
Citrix ADC SAML Connector for Microsoft Entra SSO の構成
構成したい認証の種類に対応する手順のリンクを選択します。
Kerberos ベースの認証用に Citrix ADC SAML Connector for Microsoft Entra SSO の構成
ヘッダー ベースの認証用に Citrix ADC SAML Connector for Microsoft Entra SSO の構成
Web サーバーの公開
仮想サーバーの作成方法
[トラフィック管理]>[負荷分散]>[サービス] を選択します。
[追加] を選択します。
アプリケーションを実行している Web サーバーに対し、次の値を設定します。
- サービス名
- サーバー IP/既存のサーバー
- プロトコル
- ポート
Load Balancer の構成
Load Balancer の構成方法
[トラフィック管理]>[負荷分散]>[仮想サーバー] に移動します。
[追加] を選択します。
次のスクリーンショットで示すとおり、次の値を設定します。
- 名前
- プロトコル
- IP アドレス
- ポート
[OK] を選択します。
仮想サーバーのバインド
Load Balancer を仮想サーバーにバインドする方法
[サービスとサービス グループ] ウィンドウで、[負荷分散仮想サーバー サービスのバインディングなし] を選択します。
設定が次のスクリーンショットのとおりであることを確認したら、[閉じる] を選択します。
証明書のバインド
このサービスを TLS として公開するには、サーバー証明書をバインドしてからアプリケーションをテストします。
[証明書] で、[サーバー証明書なし] を選択します。
設定が次のスクリーンショットのとおりであることを確認したら、[閉じる] を選択します。
Citrix ADC SAML Connector for Microsoft Entra SAML のプロファイル
Citrix ADC SAML Connector for Microsoft Entra SAML のプロファイルを構成するには、次のセクションを完了します。
認証ポリシーの作成
認証ポリシーの作成方法
[セキュリティ]>[AAA - アプリケーション トラフィック]>[ポリシー]>[認証]>[認証ポリシー] に移動します。
[追加] を選択します。
[認証ポリシーの作成] ウィンドウで、次の値を入力または選択します。
- 名前: 認証ポリシーの名前を入力します。
- アクション:「SAML」と入力したら、[追加] を選択します。
- 式: 「true」と入力します。
[作成] を選択します。
認証 SAML サーバーの作成
認証 SAML サーバーを作成するには、[認証 SAML サーバーの作成] ウィンドウに移動したら、次の手順を実行します。
[名前] には、認証 SAML サーバーの名前を入力します。
[SAML メタデータのエクスポート] で次の操作を行います。
[メタデータのインポート] チェック ボックスを選択します。
前にコピーした Azure SAML UI のフェデレーション メタデータ URL を入力します。
[発行者名] には、関連する URL を入力します。
[作成] を選択します。
認証仮想サーバーの作成
認証仮想サーバーの作成方法
[セキュリティ]>[AAA - アプリケーション トラフィック]>[ポリシー]>[認証]>[認証仮想サーバー] に移動します。
[追加] を選択したら、次の手順を実行します。
[名前] には、認証仮想サーバーの名前を入力します。
[アドレス指定不可] チェック ボックスを選択します。
[プロトコル] には、[SSL] を選択します。
[OK] を選択します。
[続行] を選択します。
Microsoft Entra ID を使用するため、認証仮想サーバーの構成
認証仮想サーバーの 2 つのセクションを変更します。
[高度な認証ポリシー] ウィンドウで [認証ポリシーなし] を選択します。
[ポリシーのバインディング] ウィンドウで、認証ポリシーを選択して [バインド] を選択します。
[フォーム ベースの仮想サーバー] ウィンドウで、[負荷分散仮想サーバーなし] を選択します。
[認証 FQDN] には、完全修飾ドメイン名 (FQDN) を入力します (必須)。
Microsoft Entra 認証で保護する負荷分散仮想サーバーを選択します。
[バインド] を選択します。
注意
[認証仮想サーバーの構成] ウィンドウで、必ず [完了] を選択してください。
変更を確認するには、ブラウザーでアプリケーションの URL に移動します。 前に表示されていた非認証アクセスではなく、ご自分のテナントのサインイン ページが表示されます。
Kerberos ベースの認証用に Citrix ADC SAML Connector for Microsoft Entra SSO の構成
Citrix ADC SAML Connector for Microsoft Entra ID 用の Kerberos 委任アカウントの作成
ユーザー アカウントを作成します (この例では、「AppDelegation」を使用します)。
このアカウントに HOST SPN を設定します。
例:
setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation
次の例を参照してください。
IDENTT.WORK
はドメインの FQDN です。identt
はドメインの NetBIOS 名です。appdelegation
は委任ユーザーのアカウント名です。
次のスクリーンショットに示すように、Web サーバーの委任を構成します。
注意
スクリーンショットの例では、Windows 統合認証 (WIA) サイトを実行する内部の Web サーバー名は「CWEB2」です。
Citrix ADC SAML Connector for Microsoft Entra AAA KCD (Kerberos 委任アカウント)
Citrix ADC SAML Connector for Microsoft Entra AAA KCD アカウントを構成する方法
[Citrix ゲートウェイ]>[AAA KCD (Kerberos 制約付き委任) アカウント] に移動します。
[追加] を選択したら、次の値を入力または選択します。
名前:KCD アカウントの名前を入力します。
領域: ドメインと拡張子を大文字で入力します。
サービス SPN:
http/<host/fqdn>@<DOMAIN.COM>
。注意
@DOMAIN.COM
は必須であり、大文字にする必要があります。 例:http/cweb2@IDENTT.WORK
。委任されたユーザー: 委任されたユーザーの名前を入力します。
[委任されたユーザーのパスワード] チェック ボックスを選択し、パスワードの入力と確認をします。
[OK] を選択します。
Citrix トラフィック ポリシーとトラフィック プロファイル
Citrix トラフィック ポリシーとトラフィック プロファイルを構成する方法
[セキュリティ]>[AAA - アプリケーション トラフィック]>[ポリシー]>[トラフィック ポリシー、プロファイル、フォーム SSO プロファイルのトラフィック ポリシー] に移動します。
[トラフィック プロファイル] を選択します。
[追加] を選択します。
トラフィック プロファイルを構成するには、次の値を入力または選択します。
名前:トラフィック プロファイルの名前を入力します。
シングル サインオン: [オン] を選択します。
KCD アカウント: 前のセクションで作成した KCD アカウントを選択します。
[OK] を選択します。
[トラフィック ポリシー] を選択します。
[追加] を選択します。
トラフィック ポリシーを構成するには、次の値を入力または選択します。
名前:トラフィック ポリシーの名前を入力します。
プロファイル: 前のセクションで作成したトラフィック プロファイルを選択します。
式: 「true」と入力します。
[OK] を選択します。
Citrix でトラフィック ポリシーを仮想サーバーにバインディング
GUI を使用してトラフィック ポリシーを仮想サーバーにバインドする方法
[トラフィック管理]>[負荷分散]>[仮想サーバー] に移動します。
仮想サーバーのリストで、書き換えポリシーをバインドする仮想サーバーを選択したら、[開く] を選択します。
[負荷分散仮想サーバー] ウィンドウの [詳細設定] で、[ポリシー] を選択します。 NetScaler インスタンスに構成されているすべてのポリシーは、リストに表示されます。
この仮想サーバーにバインドするポリシーの名前の横にあるチェック ボックスを選択します。
[種類の選択] ダイアログ ボックスに次の操作を行います。
[ポリシーの選択] に [トラフィック] を選択します。
[種類の選択] に [要求] を選択します。
ポリシーをバインドしたら、[完了] を選択します。
WIA Web サイトを使用してバインティングをテストします。
Citrix ADC SAML Connector for Microsoft Entra テスト ユーザーの作成
このセクションでは、Citrix ADC SAML Connector for Microsoft Entra ID に B.Simon というユーザーが作成されます。 Citrix ADC SAML Connector for Microsoft Entra ID では、規定で有効になっている Just-In-Time ユーザー プロビジョニングがサポートされています。 このセクションでは、ユーザー側で行うアクションはありません。 Citrix ADC SAML Connector for Microsoft Entra ID にユーザーがまだ存在していない場合、認証の後に新しいユーザーが作成されます。
注意
ユーザーを手動で作成する必要がある場合、Citrix ADC SAML Connector for Microsoft Entra のクライアント サポート チームにご連絡ください。
SSO のテスト
このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。
[このアプリケーションのテスト] をクリックすると、ログイン フローを開始できる Citrix ADC SAML Connector for Microsoft Entra のログオン URL にリダイレクトされます。
Citrix ADC SAML Connector for Microsoft Entra のログオン URL に直接移動し、そこからログイン フローを開始します。
Microsoft マイ アプリを使用することができます。 [マイ アプリ] で [Citrix ADC SAML Connector for Microsoft Entra ID] タイルをクリックすると、Citrix ADC SAML Connector for Microsoft Entra のログオン URL にリダイレクトされます。 マイ アプリの詳細については、「マイ アプリの概要」を参照してください。
次のステップ
Citrix ADC SAML Connector for Microsoft Entra ID を構成したら、リアルタイムで組織の機密データを流出や侵入から保護するセッション制御を実施できます。 セッション制御は条件付きアクセスから拡張されます。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。