チュートリアル: Microsoft Entra シングル サインオンと Citrix ADC (ヘッダーベース認証) との統合
このチュートリアルでは、Citrix ADC を Microsoft Entra ID と統合する方法について説明します。 Citrix ADC を Microsoft Entra ID と統合すると、次のことが可能になります。
- Citrix ADC にアクセスできるユーザーを Microsoft Entra ID で制御します。
- ユーザーが自分の Microsoft Entra アカウントを使用して Citrix ADC に自動的にログインできるようにします。
- 1 つの中心的な場所でアカウントを管理します。
前提条件
開始するには、次が必要です:
- Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウント を取得できます。
- Citrix ADC でシングル サインオン (SSO) が有効なサブスクリプション。
シナリオの説明
このチュートリアルでは、テスト環境で Microsoft Entra の SSO を構成してテストします。 チュートリアルにはこれらのシナリオが含まれています。
Citrix ADC の SP 駆動型 SSO
Citrix ADC の Just-In-Time ユーザー プロビジョニング
ギャラリーから Citrix ADC の追加
Citrix ADC を Microsoft Entra ID と統合するには、まず Citrix ADC をギャラリーのマネージド SaaS アプリのリストに追加してください。
Microsoft Entra 管理センター に クラウド アプリケーション管理者 以上の権限でサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] を参照します。
[ギャラリーから追加] セクションで、検索ボックスに「Citrix ADC」と入力します。
結果で [Citrix ADC] を選択したら、アプリを追加します。 アプリがお使いのテナントに追加されるまで数秒待ちます。
または、Enterprise アプリ 構成ウィザード を使用することもできます。 このウィザードでは、SSO の構成に加えて、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てを行うことができます。 Microsoft 365 ウィザードの詳細について説明します。
Citrix ADC の Microsoft Entra SSO の構成とテスト
B.Simon というテスト ユーザーを使用し、Citrix ADC で Microsoft Entra SSO を構成してテストします。 SSO が機能するため、Microsoft Entra ユーザーと Citrix ADC の関連ユーザーの間にリンク関係を確立する必要があります。
Citrix ADC で Microsoft Entra SSO を構成してテストするには、次の手順を実行します。
Microsoft Entra SSO の構成 - ユーザーがこの機能を使用できるようにします。
Microsoft Entra テスト ユーザーの作成 - B.Simon で Microsoft Entra SSO をテストします。
Microsoft Entra テスト ユーザーの割り当て - B.Simon が Microsoft Entra SSO を使用できるようにします。
Citrix ADC SSO の構成 - アプリケーション側で SSO 設定を構成します。
- Citrix ADC のテスト ユーザーの作成 - ユーザーの Microsoft Entra 表現にリンクされた Citrix ADC の B.Simon に対応するユーザーを持ちます。
SSO のテスト - 構成が機能するかどうかを確認します。
Microsoft Entra SSO の構成
Azure portal を使用して Microsoft Entra SSO を有効にするには、次の手順を実行します。
Microsoft Entra 管理センター に クラウド アプリケーション管理者 以上の権限でサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Citrix ADC] アプリケーション統合ウィンドウを参照し、[管理] で [シングル サインオン] を選択します。
[シングル サインオン方式の選択] ウィンドウで [SAML] を選択します。
[SAML によるシングル サインオンの設定] ウィンドウで、[基本的な SAML 構成] の [編集] (ペン) アイコンを選択して設定を編集します。
[基本的な SAML 構成] セクションで、アプリケーションを IDP 駆動型モードで構成する方法
[識別子] テキスト ボックスに、
https://<Your FQDN>の形式で URL を入力します。[応答 URL] テキスト ボックスに、
https://<Your FQDN>/CitrixAuthService/AuthService.asmxの形式で URL を入力します。
アプリケーションを SP 駆動型モードで構成するには、[追加の URL の設定] を選択して次の手順を実行します。
- [ログオン URL] テキスト ボックスに、
https://<Your FQDN>/CitrixAuthService/AuthService.asmxの形式で URL を入力します。
注意
- このセクションで使用される URL は、実際の値ではありません。 これらの値は識別子、応答 URL、ログオン URL の実際の値で更新してください。 これらの値を取得するには、Citrix ADC のクライアント サポート チームにご連絡ください。 [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。
- SSO を設定するには、パブリック Web サイトから URL にアクセスできる必要があります。 Citrix ADC 側でファイアウォールまたは他のセキュリティの設定を有効にし、Microsoft Entra ID が構成済みの URL にトークンをポストできるようにする必要があります。
- [ログオン URL] テキスト ボックスに、
[SAML によるシングル サインオンの設定] ウィンドウの [SAML 署名証明書] セクションで、[アプリのフェデレーション メタデータ URL] に URL をコピーしてメモ帳に保存します。
Citrix ADC アプリケーションは特定の形式の SAML アサーションを使用するため、カスタム属性マッピングを SAML トークン属性の構成に追加する必要があります。 次のスクリーンショットには、既定の属性のリストが示されています。 [編集] アイコンを選択し、属性マッピングを変更します。
Citrix ADC アプリケーションは、さらにいくつかの属性も SAML 応答に返されることが想定されています。 [ユーザー属性] ダイアログ ボックスの [ユーザー要求] で、次の手順に従って、テーブルで示すように SAML トークン属性を追加します。
名前 ソース属性 mySecretID user.userprincipalname [新しい要求の追加] を選択し、[ユーザー要求の管理] ダイアログ ボックスを開きます。
[名前] テキスト ボックスに、その行に表示される属性名を入力します。
[名前空間] は空白のままにします。
[属性] に [ソース] を選択します。
[ソース属性] リストに、その行に表示される属性値を入力します。
[OK] を選択します。
[保存] を選択します。
[Citrix ADC の設定] セクションで、要件に基づいて適切な URL をコピーします。
Microsoft Entra テスト ユーザーを作成する
このセクションでは、B.Simon というテスト ユーザーを作成します。
- Microsoft Entra 管理センターにユーザー管理者以上でサインインしてください。
- [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
- 画面の上部で [新しいユーザー]>[新しいユーザーの作成] を選択します。
- [ユーザー] プロパティで、以下の手順を実行します:
- [表示名] フィールドに「
B.Simon」と入力します。 - [ユーザー プリンシパル名] フィールドに「username@companydomain.extension」と入力します。 たとえば、
B.Simon@contoso.comのようにします。 - [パスワードを表示] チェック ボックスをオンにし、[パスワード] ボックスに表示された値を書き留めます。
- [レビュー + 作成] を選択します。
- [表示名] フィールドに「
- [作成] を選択します。
Microsoft Entra テスト ユーザーの割り当て
このセクションでは、B. Simon というユーザーに Citrix ADC へのアクセスを許可し、Azure SSO を使用できるようにします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。
アプリケーション リストで、[Citrix ADC] を選択します。
アプリの概要の [管理] で、[ユーザーとグループ] を選択します。
[ユーザーの追加] を選択します。 次に、[割り当ての追加] ダイアログ ボックスに [ユーザーとグループ] を選択します。
[ユーザーとグループ] ダイアログ ボックスに、[ユーザー] リストから [B.Simon] を選択します。 [選択] を選択します。
ユーザーにロールが割り当てられることが想定される場合は、 [ロールの選択] ドロップダウンからそれを選択できます。 このアプリに対してロールが設定されていない場合は、[既定のアクセス] ロールが選択されていることを確認します。
[割り当ての追加] ダイアログ ボックスに [割り当て] を選択ます。
Citrix ADC SSO の構成
構成したい認証の種類に対応する手順のリンクを選択します。
Web サーバーの公開
仮想サーバーの作成方法
[トラフィック管理]>[負荷分散]>[サービス] を選択します。
[追加] を選択します。
![Citrix ADC の構成 - [サービス] ウィンドウ](media/header-citrix-netscaler-tutorial/web01.png)
アプリケーションを実行している Web サーバーに対し、次の値を設定します。
サービス名
サーバー IP/既存のサーバー
プロトコル
ポート
Load Balancer の構成
Load Balancer の構成方法
[トラフィック管理]>[負荷分散]>[仮想サーバー] に移動します。
[追加] を選択します。
次のスクリーンショットで示すとおり、次の値を設定します。
- 名前
- プロトコル
- IP アドレス
- ポート
[OK] を選択します。
![Citrix ADC の構成 - [基本設定] ウィンドウ](media/header-citrix-netscaler-tutorial/load01.png)
仮想サーバーのバインド
Load Balancer を仮想サーバーにバインドする方法
[サービスとサービス グループ] ウィンドウで、[負荷分散仮想サーバー サービスのバインディングなし] を選択します。
![Citrix ADC の構成 - [負荷分散仮想サーバーのサービスのバインディング] ウィンドウ](media/header-citrix-netscaler-tutorial/bind01.png)
設定が次のスクリーンショットのとおりであることを確認したら、[閉じる] を選択します。
証明書のバインド
このサービスを TLS として公開するには、サーバー証明書をバインドしてからアプリケーションをテストします。
[証明書] で、[サーバー証明書なし] を選択します。
![Citrix ADC の構成 - [サーバー証明書] ウィンドウ](media/header-citrix-netscaler-tutorial/bind03.png)
設定が次のスクリーンショットのとおりであることを確認したら、[閉じる] を選択します。
Citrix ADC SAML プロファイル
Citrix ADC SAML プロファイルを構成するには、次のセクションを完了します。
認証ポリシーの作成
認証ポリシーの作成方法
[セキュリティ]>[AAA - アプリケーション トラフィック]>[ポリシー]>[認証]>[認証ポリシー] に移動します。
[追加] を選択します。
[認証ポリシーの作成] ウィンドウで、次の値を入力または選択します。
- 名前:認証ポリシーの名前を入力します。
- アクション:「SAML」と入力したら、[追加] を選択します。
- 式: 「true」と入力します。
![Citrix ADC の構成 - [認証ポリシーの作成] ウィンドウ](media/header-citrix-netscaler-tutorial/policy01.png)
[作成] を選択します。
認証 SAML サーバーの作成
認証 SAML サーバーを作成するには、[認証 SAML サーバーの作成] ウィンドウに移動したら、次の手順を実行します。
[名前] には、認証 SAML サーバーの名前を入力します。
[SAML メタデータのエクスポート] で次の操作を行います。
[メタデータのインポート] チェック ボックスを選択します。
前にコピーした Azure SAML UI のフェデレーション メタデータ URL を入力します。
[発行者名] には、関連する URL を入力します。
[作成] を選択します。
![Citrix ADC の構成 - [認証 SAML サーバーの作成] ウィンドウ](media/header-citrix-netscaler-tutorial/server01.png)
認証仮想サーバーの作成
認証仮想サーバーの作成方法
[セキュリティ]>[AAA - アプリケーション トラフィック]>[ポリシー]>[認証]>[認証仮想サーバー] に移動します。
[追加] を選択したら、次の手順を実行します。
[名前] には、認証仮想サーバーの名前を入力します。
[アドレス指定不可] チェック ボックスを選択します。
[プロトコル] には、[SSL] を選択します。
[OK] を選択します。
![Citrix ADC の構成 - [認証仮想サーバー] ウィンドウ](media/header-citrix-netscaler-tutorial/server02.png)
Microsoft Entra ID を使用するため、認証仮想サーバーの構成
認証仮想サーバーの 2 つのセクションを変更します。
[高度な認証ポリシー] ウィンドウで [認証ポリシーなし] を選択します。
![Citrix ADC の構成 - [高度な認証ポリシー] ウィンドウ](media/header-citrix-netscaler-tutorial/virtual01.png)
[ポリシーのバインディング] ウィンドウで、認証ポリシーを選択して [バインド] を選択します。
![Citrix ADC の構成 - [ポリシーのバインド] ウィンドウ](media/header-citrix-netscaler-tutorial/virtual02.png)
[フォーム ベースの仮想サーバー] ウィンドウで、[負荷分散仮想サーバーなし] を選択します。
![Citrix ADC の構成 - [フォーム ベースの仮想サーバー] ウィンドウ](media/header-citrix-netscaler-tutorial/virtual03.png)
[認証 FQDN] には、完全修飾ドメイン名 (FQDN) を入力します (必須)。
Microsoft Entra 認証で保護する負荷分散仮想サーバーを選択します。
[バインド] を選択します。
![Citrix ADC の構成 - [負荷分散仮想サーバーのバインド] ウィンドウ](media/header-citrix-netscaler-tutorial/virtual04.png)
注意
[認証仮想サーバーの構成] ウィンドウで、必ず [完了] を選択してください。
変更を確認するには、ブラウザーでアプリケーションの URL に移動します。 前に表示されていた非認証アクセスではなく、ご自分のテナントのサインイン ページが表示されます。
ヘッダーベース認証用の Citrix ADC SSO の構成
Citrix ADC の構成
ヘッダーベースの認証用に Citrix ADC を構成するには、次のセクションを完了します。
書き換えアクションの作成
[AppExpert]>[書き換え]>[書き換えアクション] に移動します。
![Citrix ADC の構成 - [書き換えアクション] ウィンドウ](media/header-citrix-netscaler-tutorial/header01.png)
[追加] を選択したら、次の手順を実行します。
[名前] には、書き換えアクションの名前を入力します。
[種類] には、「INSERT_HTTP_HEADER」と入力します。
[ヘッダー名] には、ヘッダー名を入力します (この例では、「SecretID」を使用します)。
[式] には、「aaa.USER.ATTRIBUTE("mySecretID")」と入力します。この場合、「mySecretID」は Citrix ADC に送信された Microsoft Entra SAML 要求です。
[作成] を選択します。
![Citrix ADC の構成 - [書き換えアクションの作成] ウィンドウ](media/header-citrix-netscaler-tutorial/header02.png)
書き換えポリシーの作成
[AppExpert]>[書き換え]>[書き換えポリシー] に移動します。
![Citrix ADC の構成 - [書き換えポリシー] ウィンドウ](media/header-citrix-netscaler-tutorial/header03.png)
[追加] を選択したら、次の手順を実行します。
[名前] には、書き換えポリシーの名前を入力します。
[アクション] には、前のセクションで作成した書き換えアクションを選択します。
[式] には、「true」と入力します。
[作成] を選択します。
![Citrix ADC の構成 - [書き換えポリシーの作成] ウィンドウ](media/header-citrix-netscaler-tutorial/header04.png)
書き換えポリシーを仮想サーバーにバインド
GUI を使用して書き換えポリシーを仮想サーバーにバインドする方法
[トラフィック管理]>[負荷分散]>[仮想サーバー] に移動します。
仮想サーバーのリストで、書き換えポリシーをバインドする仮想サーバーを選択したら、[開く] を選択します。
[負荷分散仮想サーバー] ウィンドウの [詳細設定] で、[ポリシー] を選択します。 NetScaler インスタンスに構成されているすべてのポリシーは、リストに表示されます。
![Citrix ADC の構成 - [負荷分散仮想サーバー] ウィンドウ](media/header-citrix-netscaler-tutorial/header06.png)
この仮想サーバーにバインドするポリシーの名前の横にあるチェック ボックスを選択します。
![Citrix ADC の構成 - [負荷分散仮想サーバーのトラフィック ポリシーのバインディング] ウィンドウ](media/header-citrix-netscaler-tutorial/header08.png)
[種類の選択] ダイアログ ボックスに次の操作を行います。
[ポリシーの選択] に [トラフィック] を選択します。
[種類の選択] に [要求] を選択します。
![Citrix ADC の構成 - [ポリシー] ダイアログ ボックス](media/header-citrix-netscaler-tutorial/header07.png)
[OK] を選択します。 ステータス バーのメッセージは、ポリシーが正常に構成されたことを示します。
要求から属性を抽出するため、SAML サーバーの変更
[セキュリティ]>[AAA - アプリケーション トラフィック]>[ポリシー]>[認証]>[高度なポリシー]>[アクション]>[サーバー] に移動します。
アプリケーションに適切な認証 SAML サーバーを選択します。
![Citrix ADC の構成 - [認証 SAML サーバーの構成] ウィンドウ](media/header-citrix-netscaler-tutorial/header09.png)
[属性] ウィンドウで、抽出する SAML 属性をコンマで区切って入力します。 この例では、
mySecretID属性を入力します。![Citrix ADC の構成 - [属性] ウィンドウ](media/header-citrix-netscaler-tutorial/header10.png)
アクセスを確認するには、ブラウザーの URL で [ヘッダー コレクション] の SAML 属性を探します。
Citrix ADC のテスト ユーザーの作成
このセクションでは、B.Simon というユーザーを Citrix ADC に作成します。 Citrix ADC は Just-In-Time ユーザー プロビジョニングをサポートし、既定で有効になっています。 このセクションでは、ユーザー側で行うアクションはありません。 Citrix ADC にユーザーがまだ存在していない場合、認証後に新しく作成されます。
注意
ユーザーを手動で作成する必要がある場合、Citrix ADC のクライアント サポート チームにご連絡ください。
SSO のテスト
このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。
[このアプリケーションのテスト] をクリックすると、ログイン フローを開始できる Citrix ADC のログオン URL にリダイレクトされます。
Citrix ADC のログオン URL に直接移動し、そこからログイン フローを開始します。
Microsoft マイ アプリを使用することができます。 マイ アプリで [Citrix ADC] タイルをクリックすると、Citrix ADC ログオン URL にリダイレクトされます。 マイ アプリの詳細については、「マイ アプリの概要」を参照してください。
次のステップ
Citrix ADC を構成したら、リアルタイムで組織の機密データを流出と侵入から保護するセッション制御を実施できます。 セッション制御は条件付きアクセスから拡張されます。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。