チュートリアル: Microsoft Entra シングル サインオンと Citrix ADC SAML Connector for Microsoft Entra ID の統合 (Kerberos ベースの認証)
このチュートリアルでは、Citrix ADC SAML Connector for Microsoft Entra ID と Microsoft Entra ID を統合する方法について説明します。 Citrix ADC SAML Connector for Microsoft Entra ID と Microsoft Entra ID を統合すると、次のことができます。
- Microsoft Entra ID で、Citrix ADC SAML Connector for Microsoft Entra ID にアクセスできるユーザーを制御する。
- ユーザーが自分の Microsoft Entra アカウントを使用して Citrix ADC SAML Connector for Microsoft Entra ID に自動的にサインインできるようにする。
- 1 つの場所でアカウントを管理します。
前提条件
開始するには、次が必要です。
- Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。
- Citrix ADC SAML Connector for Microsoft Entra シングル サインオン (SSO) が有効なサブスクリプション。
シナリオの説明
このチュートリアルでは、テスト環境で Microsoft Entra の SSO を構成してテストします。 チュートリアルには、これらのシナリオが含まれています。
Citrix ADC SAML Connector for Microsoft Entra ID 用の SP Initiated SSO。
Citrix ADC SAML Connector for Microsoft Entra ID 用の Just In Time ユーザー プロビジョニング。
Citrix ADC SAML Connector for Microsoft Entra ID 用の Kerberos ベースの認証。
Citrix ADC SAML Connector for Microsoft Entra ID 用のヘッダー ベースの認証。
ギャラリーから Citrix ADC SAML Connector for Microsoft Entra ID を追加する
Citrix ADC SAML Connector for Microsoft Entra ID と Microsoft Entra ID を統合するには、まず Citrix ADC SAML Connector for Microsoft Entra ID をギャラリーからマネージド SaaS アプリの一覧に追加します。
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] に移動します。
[ギャラリーから追加する] セクションで、検索ボックスに「Citrix ADC SAML Connector for Microsoft Entra ID」と入力します。
結果から [Citrix ADC SAML Connector for Microsoft Entra ID] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。
または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、SSO の構成に加えて、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てを行うことができます。 Microsoft 365 ウィザードの詳細をご覧ください。
Citrix ADC SAML Connector for Microsoft Entra ID 用の Microsoft Entra SSO を構成してテストする
B.Simon という名前のテスト ユーザーを使用して、Citrix ADC SAML Connector for Microsoft Entra ID で Microsoft Entra SSO を構成してテストします。 SSO が機能するには、Microsoft Entra ユーザーと Citrix ADC SAML Connector for Microsoft Entra ID の関連ユーザーの間にリンク関係を確立する必要があります。
Citrix ADC SAML Connector for Microsoft Entra ID で Microsoft Entra SSO を構成してテストするには、次の手順を実行します。
Microsoft Entra SSO を構成する - ユーザーがこの機能を使用できるようにします。
Microsoft Entra テスト ユーザーの作成 - B.Simon を使用して Microsoft Entra SSO をテストします。
Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra SSO を使用できるようにします。
Citrix ADC SAML Connector for Microsoft Entra SSO を構成する - アプリケーション側で SSO 設定を構成します。
- Citrix ADC SAML Connector for Microsoft Entra テスト ユーザーを作成する - Citrix ADC SAML Connector for Microsoft Entra ID に、Microsoft Entra の B.Simon を表すユーザーにリンクされた対応ユーザーを作成します。
SSO のテスト - 構成が機能するかどうかを確認します。
Microsoft Entra SSO の構成
Azure portal を使用して Microsoft Entra SSO を有効にするには、以下の手順を実行します。
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Citrix ADC SAML Connector for Microsoft Entra ID] アプリケーション統合ペインの順に移動し、[管理] で [シングル サインオン] を選択します。
[シングル サインオン方式の選択] ペインで、 [SAML] を選択します。
[SAML によるシングル サインオンの設定] ウィンドウで、[基本的な SAML 構成] の鉛筆アイコンを選択して設定を編集します。
[基本的な SAML 構成] セクションで、アプリケーションを [IDP 駆動型] モードで構成するには、次の手順を実行します。
[識別子] テキスト ボックスに、
https://<YOUR_FQDN>
の形式で URL を入力します。[応答 URL] テキスト ボックスに、
http(s)://<YOUR_FQDN>.of.vserver/cgi/samlauth
の形式で URL を入力します。
アプリケーションを SP 開始モードで構成するには、 [追加の URL を設定します] を選択して、次の手順を実行します。
- [サインオン URL] テキスト ボックスに、
https://<YOUR_FQDN>/CitrixAuthService/AuthService.asmx
の形式で URL を入力します。
注意
- このセクションで使用される URL は、実際の値ではありません。 これらの値は、実際の識別子、応答 URL、サインオン URL の値で更新してください。 これらの値を取得するには、Citrix ADC SAML Connector for Microsoft Entra クライアント サポート チームにお問い合わせください。 [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。
- SSO を設定するには、パブリック Web サイトから URL にアクセスできる必要があります。 Microsoft Entra ID が構成済みの URL でトークンをポストできるようにするには、Citrix ADC SAML Connector for Microsoft Entra ID 側でファイアウォールまたはその他のセキュリティ設定を有効にする必要があります。
- [サインオン URL] テキスト ボックスに、
[SAML でシングル サインオンをセットアップします] ペインの [SAML 署名証明書] セクションで、 [アプリのフェデレーション メタデータ URL] を見つけ、URL をコピーしてメモ帳に保存します。
[Citrix ADC SAML Connector for Microsoft Entra ID の設定] セクションで、要件に基づいて関連する URL をコピーします。
Microsoft Entra テスト ユーザーの作成
このセクションでは、B.Simon というテスト ユーザーを作成します。
- Microsoft Entra 管理センターにユーザー管理者以上でサインインしてください。
- [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
- 画面の上部で [新しいユーザー]>[新しいユーザーの作成] を選択します。
- [ユーザー] プロパティで、以下の手順を実行します。
- "表示名" フィールドに「
B.Simon
」と入力します。 - [ユーザー プリンシパル名] フィールドに「username@companydomain.extension」と入力します。 たとえば、「
B.Simon@contoso.com
」のように入力します。 - [パスワードを表示] チェック ボックスをオンにし、 [パスワード] ボックスに表示された値を書き留めます。
- [Review + create](レビュー + 作成) を選択します。
- "表示名" フィールドに「
- [作成] を選択します。
Microsoft Entra テスト ユーザーを割り当てる
このセクションでは、B.Simon に Citrix ADC SAML Connector for Microsoft Entra ID へのユーザー アクセスを許可することによって、このユーザーが Azure SSO を使用できるようにします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。
アプリケーションの一覧で、[Citrix ADC SAML Connector for Microsoft Entra ID] を選択します。
アプリの概要の [管理] で、 [ユーザーとグループ] を選択します。
[ユーザーの追加] を選択します。 次に、 [割り当ての追加] ダイアログ ボックスで [ユーザーとグループ] を選択します。
[ユーザーとグループ] ダイアログ ボックスで、 [ユーザー] 一覧から [B.Simon] を選択します。 [選択] を選択します。
ユーザーにロールが割り当てられることが想定される場合は、 [ロールの選択] ドロップダウンからそれを選択できます。 このアプリに対してロールが設定されていない場合は、[既定のアクセス] ロールが選択されていることを確認します。
[割り当ての追加] ダイアログ ボックスで [割り当て] を選びます。
Citrix ADC SAML Connector for Microsoft Entra SSO を構成する
構成したい認証の種類に対応する手順のリンクを選択してください。
Kerberos ベースの認証用に Citrix ADC SAML Connector for Microsoft Entra SSO を構成する
ヘッダー ベースの認証用に Citrix ADC SAML Connector for Microsoft Entra SSO を構成する
Web サーバーを公開する
仮想サーバーを作成するには:
[Traffic Management](トラフィック管理)>[Load Balancing](負荷分散)>[Services](サービス) を選択します。
[追加] を選択します。
アプリケーションを実行している Web サーバーに対し、次の値を設定します。
- サービス名
- サーバー IP/ 既存のサーバー
- プロトコル
- [ポート]
ロード バランサーを構成します
ロード バランサーを構成するには:
[Traffic Management](トラフィック管理)>[Load Balancing](負荷分散)>[Virtual Servers](仮想サーバー) の順に移動します。
[追加] を選択します。
下のスクリーンショットに示すように、次の値を設定します。
- 名前
- プロトコル
- IP アドレス
- [ポート]
[OK] を選択します。
仮想サーバーのバインド
ロード バランサーを仮想サーバーにバインドするには:
[サービスとサービス グループ] ウィンドウで、[負荷分散仮想サーバー サービスのバインディングなし] を選択します。
設定が次のスクリーンショットのとおりであることを確認したら、[閉じる] を選択します。
証明書のバインド
このサービスを TLS として公開するには、サーバー証明書をバインドしてから自分のアプリケーションをテストします。
[証明書] で、[サーバー証明書なし] を選択します。
設定が次のスクリーンショットのとおりであることを確認したら、[閉じる] を選択します。
Citrix ADC SAML Connector for Microsoft Entra SAML のプロファイル
Citrix ADC SAML Connector for Microsoft Entra SAML のプロファイルを構成するには、以降のセクションを完了します。
認証ポリシーを作成する
認証ポリシーを作成するには:
[Security](セキュリティ)>[AAA - Application Traffic](AAA - アプリケーション トラフィック)>[Policies](ポリシー)>[Authentication](認証)>[Authentication Policies](認証ポリシー) の順に移動します。
[追加] を選択します。
[Create Authentication Policy](認証ポリシーの作成) ペインで、次の値を入力または選択します。
- Name:認証ポリシーの名前を入力します。
- アクション:「SAML」と入力し、 [Add](追加) を選択します。
- 式: 「true」と入力します。
[作成] を選択します。
認証 SAML サーバーを作成する
認証 SAML サーバーを作成するには [Create Authentication SAML Server](認証 SAML サーバーの作成) ペインに移動し、次の手順を実行します。
[Name](名前) には、認証 SAML サーバーの名前を入力します。
[Export SAML Metadata](SAML メタデータのエクスポート) で:
[Import Metadata](メタデータのインポート) チェック ボックスをオンにします。
前に自分がコピーした、Azure SAML UI のフェデレーション メタデータ URL を入力します。
[Issuer Name](発行者名) には、関連する URL を入力します。
[作成] を選択します。
認証仮想サーバーの作成
認証仮想サーバーを作成するには:
[Security](セキュリティ)>[AAA - Application Traffic](AAA - アプリケーション トラフィック)>[Policies](ポリシー)>[Authentication](認証)>[Authentication Virtual Servers](認証仮想サーバー) の順に移動します。
[Add](追加) を選択し、次の手順を実行します。
[Name](名前) には、認証仮想サーバーの名前を入力します。
[Non-Addressable](アドレス指定不可) チェック ボックスをオンにします。
[Protocol](プロトコル) では、 [SSL] を選択します。
[OK] を選択します。
続行を選択します。
Microsoft Entra ID を使用するように認証仮想サーバーを構成する
認証仮想サーバーの 2 つのセクションを変更します。
[高度な認証ポリシー] ウィンドウで [認証ポリシーなし] を選択します。
[ポリシーのバインディング] ウィンドウで、認証ポリシーを選択して [バインド] を選択します。
[フォーム ベースの仮想サーバー] ウィンドウで、[負荷分散仮想サーバーなし] を選択します。
[認証 FQDN] には、完全修飾ドメイン名 (FQDN) を入力します (必須)。
Microsoft Entra 認証で保護したい負荷分散仮想サーバーを選択します。
[バインド] を選択します。
Note
[Authentication Virtual Server Configuration](認証仮想サーバーの構成) ペインでは、必ず [Done](完了) を選択してください。
変更を確認するには、ブラウザーでアプリケーションの URL に移動します。 前に表示されていた非認証アクセスではなく、ご自分のテナントのサインイン ページが表示されます。
Kerberos ベースの認証用に Citrix ADC SAML Connector for Microsoft Entra SSO の構成
Citrix ADC SAML Connector for Microsoft Entra ID 用の Kerberos 委任アカウントを作成する
ユーザー アカウントを作成します (この例では、「AppDelegation」を使用します)。
このアカウントに HOST SPN を設定します。
例:
setspn -S HOST/AppDelegation.IDENTT.WORK identt\appdelegation
次の点に注意してください。
IDENTT.WORK
はドメインの FQDN です。identt
はドメインの NetBIOS 名です。appdelegation
は委任ユーザー アカウント名です。
次のスクリーンショットに示すように、Web サーバーの委任を構成します。
Note
スクリーンショットの例では、Windows 統合認証 (WIA) サイトを実行する内部 Web サーバーの名前は CWEB2 になっています。
Citrix ADC SAML Connector for Microsoft Entra AAA KCD (Kerberos 委任アカウント)
Citrix ADC SAML Connector for Microsoft Entra AAA KCD アカウントを構成するには、次の手順を実行します。
[Citrix Gateway](Citrix ゲートウェイ)>[AAA KCD (Kerberos Constrained Delegation) Accounts](AAA KCD (Kerberos 制約付き委任) アカウント) に移動します。
[Add](追加) を選択し、次の値を入力または選択します。
Name:KCD アカウントの名前を入力します。
[Realm](領域) : ドメインと拡張子を大文字で入力します。
[Service SPN](サービス SPN) :
http/<host/fqdn>@<DOMAIN.COM>
。注意
@DOMAIN.COM
は必須です。また、大文字にする必要があります。 例:http/cweb2@IDENTT.WORK
.[Delegated User](委任されたユーザー) : 委任されたユーザーの名前を入力します。
[Password for Delegated User](委任されたユーザーのパスワード) チェック ボックスをオンにし、パスワードの指定と確認入力を行います。
[OK] を選択します。
Citrix トラフィック ポリシーおよびトラフィック プロファイル
Citrix トラフィック ポリシーおよびトラフィック プロファイルを構成するには、次の手順を実行します。
[Security](セキュリティ)>[AAA - Application Traffic](AAA - アプリケーション トラフィック)>[Policies](ポリシー)>[Traffic Policies, Profiles and Form SSO ProfilesTraffic Policies](トラフィック ポリシー、プロファイル、およびフォーム SSO プロファイルのトラフィック ポリシー) の順に移動します。
[Traffic Profiles](トラフィック プロファイル) を選択します。
[追加] を選択します。
トラフィック プロファイルを構成するには、次の値を入力または選択します。
Name:トラフィック プロファイルの名前を入力します。
[Single Sign-on](シングル サインオン) : [ON](オン) を選択します。
[KCD Account](KCD アカウント) : 前のセクションで作成した KCD アカウントを選択します。
[OK] を選択します。
[トラフィック ポリシー] を選択します。
[追加] を選択します。
トラフィック ポリシーを構成するには、次の値を入力または選択します。
Name:トラフィック ポリシーの名前を入力します。
プロファイル:前のセクションで作成したトラフィック プロファイルを選択します。
式: 「true」と入力します。
[OK] を選択します。
Citrix でトラフィック ポリシーを仮想サーバーにバインディング
GUI を使用してトラフィック ポリシーを仮想サーバーにバインドするには、次の手順を実行します。
[Traffic Management](トラフィック管理)>[Load Balancing](負荷分散)>[Virtual Servers](仮想サーバー) の順に移動します。
仮想サーバーの一覧で、書き換えポリシーをバインドする仮想サーバーを選択し、 [Open](開く) を選択します。
[Load Balancing Virtual Server](負荷分散仮想サーバー) ペインの [Advanced Settings](詳細設定) で、 [Policies](ポリシー) を選択します。 NetScaler インスタンスに構成されているすべてのポリシーは、リストに表示されます。
この仮想サーバーにバインドするポリシーの名前の横にあるチェック ボックスを選択します。
[種類の選択] ダイアログ ボックスに次の操作を行います。
[Choose Policy](ポリシーの選択) に [Traffic](トラフィック) を選択します。
[種類の選択] に [要求] を選択します。
ポリシーをバインドしたら、[完了] を選択します。
WIA Web サイトを使用してバインティングをテストします。
Citrix ADC SAML Connector for Microsoft Entra テスト ユーザーの作成
このセクションでは、Citrix ADC SAML Connector for Microsoft Entra ID に B.Simon という名前のユーザーが作成されます。 Citrix ADC SAML Connector for Microsoft Entra ID では、既定で有効になる Just-In-Time ユーザー プロビジョニングがサポートされています。 このセクションには、ユーザー側で行うアクションはありません。 Citrix ADC SAML Connector for Microsoft Entra ID にユーザーがまだ存在していない場合は、新しいユーザーが認証の後に作成されます。
Note
ユーザーを手動で作成する必要がある場合は、Citrix ADC SAML Connector for Microsoft Entra クライアント サポート チームにお問い合わせください。
SSO のテスト
このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。
[このアプリケーションをテストする] をクリックすると、ログイン フローを開始できる Citrix ADC SAML Connector for Microsoft Entra のサインオン URL にリダイレクトされます。
Citrix ADC SAML Connector for Microsoft Entra のサインオン URL に直接移動し、そこからログイン フローを開始します。
Microsoft マイ アプリを使用することができます。 [マイ アプリ] で [Citrix ADC SAML Connector for Microsoft Entra ID] タイルをクリックすると、Citrix ADC SAML Connector for Microsoft Entra のサインオン URL にリダイレクトされます。 マイ アプリの詳細については、マイ アプリの概要に関するページを参照してください。
次のステップ
Citrix ADC SAML Connector for Microsoft Entra ID を構成すると、組織の機密データを流出や侵入からリアルタイムで保護するセッション制御を適用できます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。