Microsoft Entra ID で Citrix Cloud SAML SSO for Single sign-on を構成する

この記事では、Citrix Cloud SAML SSO と Microsoft Entra ID を統合する方法について説明します。 Citrix Cloud SAML SSO を Microsoft Entra ID と統合すると、次のことが可能になります。

• Citrix Cloud SAML SSO にアクセスできるユーザーを Microsoft Entra ID で管理する。
• ユーザーが自分の Microsoft Entra アカウントを使用して Citrix Cloud SAML SSO に自動的にサインインできるようにする。
• アカウントを一元的に管理する。

前提条件

この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。

• アクティブなサブスクリプションを持つ Microsoft Entra ユーザー アカウント。 アカウントをまだお持ちでない場合は、 無料でアカウントを作成できます。
• 次のいずれかのロール:
  • アプリケーション管理者
  • クラウド アプリケーション管理者
  • アプリケーション所有者。

• Citrix Cloud のサブスクリプション。 サブスクリプションをお持ちでない場合は、サインアップしてください。

シナリオの説明

この記事では、テスト環境で Microsoft Entra SSO を構成してテストします。

• Citrix Cloud SAML SSO では、 SP によって開始される SSO がサポートされます。

Note

このアプリケーションの識別子は固定文字列値であるため、1 つのテナントで構成できるインスタンスは 1 つだけです。

ギャラリーからの Citrix Cloud SAML SSO の追加

Microsoft Entra ID への Citrix Cloud SAML SSO の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に Citrix Cloud SAML SSO を追加する必要があります。

1. Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
2. Entra ID>エンタープライズ アプリ>新しいアプリケーションに移動します。
3. [ギャラリーから追加する] セクションで、検索ボックスに「Citrix Cloud SAML SSO」と入力します。
4. 結果パネルから Citrix Cloud SAML SSO を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。

または、 エンタープライズ アプリ構成ウィザードを使用することもできます。 このウィザードでは、テナントにアプリケーションを追加したり、ユーザー/グループをアプリに追加したり、ロールを割り当てたり、SSO 構成を確認したりできます。 Microsoft 365 ウィザードの詳細を確認します。

Citrix Cloud SAML SSO に対して Microsoft Entra SSO を構成してテストする

B.Simon というテスト ユーザーを使用して、Citrix Cloud SAML SSO に対する Microsoft Entra SSO を構成してテストします。 SSO が機能するためには、Microsoft Entra ユーザーと Citrix Cloud SAML SSO の関連ユーザーとの間にリンク関係を確立する必要があります。 このユーザーは、Microsoft Entra Connect と Microsoft Entra サブスクリプションに同期されている Active Directory にも存在する必要があります。

Citrix Cloud SAML SSO で Microsoft Entra SSO を構成してテストするには、次の手順を実行します。

1. Microsoft Entra SSO を構成 する - ユーザーがこの機能を使用できるようにします。
   1. Microsoft Entra テスト ユーザーの作成 - B.Simon で Microsoft Entra のシングル サインオンをテストします。
   2. Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。
2. Citrix Cloud SAML SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
3. SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO を構成する

Microsoft Entra SSO を有効にするには、次の手順を実行します。

1. Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。

2. [Entra ID]>[エンタープライズ アプリ]>[Citrix Cloud SAML SSO]>[シングル サインオン] に移動します。

3. [ シングル サインオン方法の選択 ] ページで、[SAML] を選択 します。

4. [ SAML でのシングル サインオンの設定 ] ページで、[ 基本的な SAML 構成 ] の鉛筆アイコンを選択して設定を編集します。

   

5. [ 基本的な SAML 構成] セクションで、次の手順を実行します。

   [ サインオン URL ] テキスト ボックスに、次のパターンを使用して URL を入力します。 https://<SUBDOMAIN>.cloud.com

   Note

   これは実際の値ではありません。 Citrix ワークスペースの URL で値を更新します。 値を取得するには、Citrix Cloud アカウントにアクセスしてください。 「 基本的な SAML 構成 」セクションに示されているパターンを参照することもできます。

6. Citrix Cloud SAML SSO アプリケーションは、特定の形式の SAML アサーションを使用するため、カスタム属性マッピングをご自分の SAML トークンの属性の構成に追加する必要があります。 次のスクリーンショットには、既定の属性一覧が示されています。

   

7. その他に、Citrix Cloud SAML SSO アプリケーションでは、いくつかの属性が SAML 応答で返されることが想定されています。それらを次に示します。 これらの属性も値が事前に設定されますが、要件に従ってそれらの値を確認することができます。 SAML 応答で渡される値は、ユーザーの Active Directory 属性にマップされる必要があります。

   名前	ソース属性
   cip_sid	user.onpremisesecurityidentifier (ユーザー.オンプレミスセキュリティ識別子)
   cip_upn	user.userprincipalname
   cip_oid	ObjectGUID (拡張属性)
   cip_email	User.mail
   displayName	user.displayname

   Note

   ObjectGUID は、要件に応じて手動で構成する必要があります。

8. [ SAML でのシングル サインオンの設定 ] ページの [ SAML 署名証明書 ] セクションで、 証明書 (PEM) を探し、[ ダウンロード ] を選択して証明書をダウンロードし、コンピューターに保存します。

   

9. [ Citrix Cloud SAML SSO のセットアップ ] セクションで、要件に基づいて適切な URL をコピーします。

   

Microsoft Entra テスト ユーザーの作成と割り当て

ユーザー アカウントの作成と割り当ての クイックスタートのガイドラインに従って、B.Simon というテスト ユーザー アカウントを作成します。

Citrix Cloud SAML SSO を構成する

1. Web ブラウザーの別のウィンドウで、Citrix Cloud SAML SSO 企業サイトに管理者としてサインインします。

2. Citrix Cloud メニューに移動し、[ ID とアクセス管理] を選択します。

   

3. [ 認証] で SAML 2.0 を探し、省略記号メニューから [接続 ] を選択します。

4. [ SAML の構成 ] ページで、次の手順を実行します。

   

   a. [ エンティティ ID ] ボックスに、前にコピーした Microsoft Entra 識別子 の値を貼り付けます。

   b。 認証要求に署名し、を使用する場合SAML Request signing] を選択し、それ以外の場合は [いいえ] を選択します。

   c. [SSO サービス URL] ボックスに、前にコピーしたログイン URL の値を貼り付けます。

   d. ドロップダウンから [バインディング メカニズム ] を選択し、 HTTP-POST または HTTP-Redirect バインディングのいずれかを選択できます。

   e. [SAML Response](SAML 応答) で、ドロップダウンから [Sign Either Response or Assertion](応答またはアサーションに署名する) を選択します。

   f. X.509 証明書セクションに証明書 (PEM) をアップロードします。

   g. [認証コンテキスト] で、ドロップダウンから [未指定] と [正確] を選択します。

   h. [ テストと完了] を選択します。

SSO のテスト

このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。

• Citrix ワークスペースの URL に直接移動し、そこからログイン フローを開始します。

• AD 同期された Active Directory ユーザーを使用して Citrix ワークスペースにログインし、テストを完了します。

関連コンテンツ

Citrix Cloud SAML SSO を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用することができます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を適用する方法について説明します。