製品ドキュメント
Citrix云
pdfを表示

OktaをIDプロバe . c .ダとしてCitrix Cloudに接続する

2023年2月9日
寄稿者:
Y C

Citrix云では,ワークスペースにサインインする利用者を認証するためのIDプロバイダーとして使用して,Oktaを使用できます。Okta組織をCitrix Cloudに接続することにより、Citrix Workspaceのリソースにアクセスする利用者に共通のサインイン操作を提供できます。

ワクスペス構成でOkta認証を有効にした後,利用者のサンン操作は変化します。Okta認証を選択すると、シングルサインオンではなく、フェデレーションIDによるサインイン環境となります。利用者は、Oktaサインインページからワークスペースにサインインしますが、Citrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)からアプリまたはデスクトップを起動するときにもう一度認証する必要があります。シングルサインオンを有効にし、2つ目のログオンプロンプトが表示されないようにするには、Citrix CloudでCitrixフェデレーション認証サービスを使用する必要があります。詳しくは、「Citrix CloudにCitrixフェデレ,ション認証サ,ビスを接続するを参照してください。

前提条件

云连接器

Active DirectoryドメインでCitrix云连接器ソフトウェアのインストール先となるサーバーが少なくとも2台必要です。云连接器は,Citrix云とリソ,スの場所との間で通信するために必要です。Citrix云との高可用性接続を実現するためには、少なくとも2つのCloud Connectorが必要です。これらのサーバーは、次の要件を満たしている必要があります:

  • Citrix Cloud Connectorの技術詳細に記載されている要件を満たしている。
  • 他のCitrixコンポーネントはインストールされておらず,Active Directoryドメインコントローラーではなく,リソースの場所のインフラストラクチャに不可欠なマシンでもない。
  • Active Directory(Active Directory) AD (Active Directory)ドメ。ワークスペースリソースとユーザーが複数のドメインに存在する場合は,各ドメインに云连接器を少なくとも2つインストールする必要があります。詳しくは,”Active Directoryでの云连接器展開シナリオを参照してください。
  • ユーザーがCitrix工作区を介してアクセスするリソースにアクセスできるネットワークに接続済み。
  • ンタ,ネットに接続済み。詳しくは,”システムおよび接続要件を参照してください。

云连接器のンストル手順にいて詳しくは,”云连接器の▪▪ンスト▪▪ルを参照してください。

Oktaドメン

OktaをCitrix Cloudに接続する場合,組織のOktaドメemcンを指定する必要があります。Citrixは,次のOktaドメemcンをサポ,トしています:

  • okta.com
  • okta-eu.com
  • oktapreview.com

Citrix CloudでOktaカスタムドメンを使用することもできます。Okta Webサ电子邮件トの”Okta URLドメ▪▪ンのカスタマ▪▪ズ“で,カスタムドメンの使用に関する重要な考慮事項をレビュします。”

組織のカスタムドメンを見ける方法にいて詳しくは,Okta Webサトで”自身のOktaドメンの検索を参照してください。

Okta OIDC网站アプリケ,ション

OktaをIDプロバイダーとして使用するには,まずCitrix云で使用できるクライアント資格情報を使用してOkta OIDC Webアプリケーションを作成する必要があります。アプリケションを作成して構成したら,クラアントidとクラアントシクレットをメモします。Okta組織の接続時に,Citrix Cloudに入力します。

このアプリケ,ションを作成および構成するには,この記事の次のセクションを参照してください:

ワ,クスペ,スurl

Oktaアプリケーションの作成時には,Citrix云からのワークスペースURLを入力する必要があります。ワクスペスURLを見けるには,Citrix Cloudメニュから[ワ,クスペ,ス構成]を選択します。ワ,クスペ,スurlは,[アクセス]タブに表示されます。

重要:

後でワ,クスペ,スurlを変更する場合,Oktaアプリケ,ションの構成を新しいURLによって更新する必要があります。そうしないと,ワ,クスペ,スからのログオフ時に問題が発生する可能性があります。

Okta APIト,クン

Citrix云でOktaをIDプロバイダーとして使用するには,Okta組織のAPIトークンが必要です。玉田組織で読み取り専用の管理者アカウントを使用し,このト,クンを作成します。このト,クンは,Okta組織内のユ,ザ,とグル,プを読み取れる必要があります。

apiト,クンを作成するには,この記事の”Okta APIト,クンの作成を参照してください。APIトクンにいて詳しくは,Oktaウェブサトで”apiト,クンの作成を参照してください。

重要:

APIトークンを作成する際には,トークンの値をメモしてください(たとえば,値を一時的にプレーンテキストドキュメントにコピーしてください)。Oktaではこの値が一度だけ表示され,”Citrix CloudをOkta組織に接続するの手順を実行する直前にト,クンを作成する場合があります。

Okta ADエ,ジェントでアカウントを同期

OktaをIDプロバイダーとして使用するには,まず,オンプレミスActive DirectoryとOktaを統合する必要があります。そのためには,ドメイン内にOkta广告エージェントをインストールし,Okta組織にActive Directoryを追加します。Okta Active Directoryエージェントを展開するためのガイダンスについては,Okta Webサイトで”开始活动目录集成(Active Directoryの統合を開始する)を参照してください。

その後,Active DirectoryユザおよびグルプをOktaにンポトします。インポート時には,Active Directoryアカウントに関連付けられている以下の値を含めます:

  • メル
  • SID
  • 隐喻
  • OID

注:

ワークスペースでCitrix网关サービスを使用している場合,Active DirectoryアカウントをOkta組織と同期する必要はありません。

Active Directoryユ,ザ,およびグル,プをOkta組織と同期するには:

  1. Okta Active Directoryエ、ジェントを、ンスト、ルして構成します。詳しい手順にいては,Okta Webサトの次の記事を参照してください:
  2. 手動インポートまたは自動インポートを実行して,Active DirectoryユーザーおよびグループをOktaに追加します。Oktaのンポト方法と手順いて詳しくは,Okta Webサトで”管理Active Directory用户和组(Active Directoryユ、ザ、とグル、プの管理)を参照してください。

Okta OIDC网站アプリケ,ション統合の作成

  1. Okta管理コンソ,ルの(应用程序)から(应用程序)を選択します。
  2. [创建应用集成]を選択します。
  3. 【签到方式】[OIDC - OpenID连接]を選択します。
  4. (应用程序类型)(Web应用程序)を選択します。(下)を選択します。
  5. 【应用集成名称】にアプリ統合のフレンドリ名を入力します。
  6. (格兰特类型)で,以下のオプションを選択します:
    • 授权码(デフォルトで選択済み)
    • 隐式(混合)
  7. [登录重定向uri]に”https://accounts.cloud.com/core/login-oktaを入力します。
  8. [签出重定向uri]に,Citrix Cloudからの工作空间URLを入力します。
  9. (作业)(访问控制)で,アプリ統合を割り当てるのが組織の全員または指定したグループのみか,または後からアクセスを割り当てるのかを選択します。
  10. [保存]を選択します。アプリ統合を保存すると,コンソ,ルにアプリケ,ション構成ペ,ジが表示されます。
  11. (客户端凭据)セクションで,(客户机ID)(客户的秘密)の値をコピ,します。Citrix CloudをOkta組織に接続するときに,これらの値を使用します。

Okta OIDC网站アプリケ,ションの構成

この手順ではCitrix云に必要な設定によってOkta OIDC Webアプリケーションを構成します。Citrix云では、ワークスペースへのサインイン時にOktaを介して利用者を認証するため、これらの設定が必要です。

  1. (オプション)暗黙的な許可タ▪▪プのクラ▪▪アント権限を更新します。この付与タesc escプに最小限の権限を許可する場合に,この手順の実行を選択できます。
    1. Oktaアプリケ,ション構成ペ,ジの(通用)タブで(一般设置)セクションまでスクロ,ルし,(编辑)をクリックします。
    2. (应用程序)セクションの(格兰特类型)[客户代表用户行事][允许使用隐式授权类型的访问令牌]をオフにします。
    3. [保存]を選択します。
  2. アプリケ,ション属性を追加します。これらの属性では大文字と小文字が区別されます。
    1. Oktaコンソ,ルメニュ,から,(目录)>(概要文件编辑器)の順に選択します。
    2. Okta[用户](デフォルト)プロファ@ @ルを選択します。Oktaが(用户)プロファ▪▪ルペ▪▪ジを表示します。
    3. (属性)で,(添加属性)を選択します。
    4. 次の情報を入力します:
      • 显示名称:cip_email
      • 变量名:cip_email
      • 说明:ADユ,ザ,メ,ル
      • 属性长度:1より大きい値
      • 属性要求:是的
    5. [保存并添加另一个]を選択します。
    6. 次の情報を入力します:
      • 显示名称:cip_sid
      • 变量名:cip_sid
      • 说明:Active Directoryユ,ザ,セキュリティ識別子
      • 属性长度:1より大きい値
      • 属性要求:是的
    7. [保存并添加另一个]を選択します。
    8. 次の情報を入力します:
      • 显示名称:cip_upn
      • 变量名:cip_upn
      • 说明:ADユ,ザ,プリンシパル名
      • 属性长度:1より大きい値
      • 属性要求:是的
    9. [保存并添加另一个]を選択します。
    10. 次の情報を入力します:
      • 显示名称:cip_oid
      • 变量名:cip_oid
      • 说明:ADユ,ザ,GUID
      • 属性长度:1より大きい値
      • 属性要求:是的
    11. [保存]を選択します。
  3. アプリケ,ションの属性マッピングの編集:
    1. 玉田コンソ,ルから,(目录)>(概要文件编辑器)の順に選択します。
    2. Active Directoryのactive_directoryプロファ▪▪▪ルを見▪▪▪けます。このプロファ电子邮箱ルは,myDomain用户という形式で表示される場合があります。myDomainは統合されたActive Directoryドメ电子邮箱ンの名前です。
    3. (映射)を選択します。Active Directoryドメインのユーザープロファイルマッピングページが表示され,Active DirectoryをOktaユーザーにマップするためのタブが選択されています。
    4. [Okta用户简介]列で,手順2で作成された属性を見けて以下のようにマップします:
      • cip_emailの場合,ドメaapl . exeンの[用户配置文件]列から电子邮件を選択します。選択すると,マッピングにはappuser.emailが表示されます。
      • cip_sidの場合,ドメaapl . exeンの[用户配置文件]列からobjectSidを選択します。選択すると,マッピングにはappuser.objectSidが表示されます。
      • cip_upnの場合,ドメaapl . exeンの[用户配置文件]列から用户名を選択します。選択すると,マッピングにはappuser.userNameが表示されます。
      • cip_oidの場合,ドメaapl . exeンの[用户配置文件]列からexternalIdを選択します。選択すると,マッピングにはappuser.externalIdが表示されます。
    5. (保存映射)を選択します。
    6. [立即申请更新]を選択します。Oktaは、マッピングを適用するジョブを開始します。
    7. OktaをActive Directoryと同期します。
      1. Oktaコンソ,ルから目录(目录)>(集成)の順に選択します。
      2. 統合された活动目录を選択します。
      3. (配置)タブを選択します。
      4. (设置)(Okta)を選択します。
      5. [Okta属性映射]セクションまでスクロ,ルして,(力同步)を選択します。

Okta APIト,クンの作成

  1. 読み取り専用管理者アカウントを使用して,Oktaコンソルにサンンします。
  2. Oktaコンソ,ルメニュ,から,[安全]> [API)の順に選択します。
  3. (令牌)タブを選択してから,(创建令牌)を選択します。
  4. ト,クンの名前を入力します。
  5. (创建令牌)を選択します。
  6. ト,クン値をコピ,します。Okta組織のCitrix Cloudへの接続時に、この値を入力します。

Citrix CloudをOkta組織に接続

  1. https://citrix.cloud.comでCitrix Cloudにサ▪▪ン▪▪ンします。
  2. Citrix Cloudメニュ,で,[idおよびアクセス管理]を選択します。
  3. Okta“を見け,省略記号(…)。[接続]を選択します。
  4. [Okta URL]にOktaドメンを入力します。
  5. [Okta APIト,クン]に,Okta組織のAPIト,クンを入力します。
  6. [クラ电子邮箱アントid][クラeconp econpアントシクレット]に,先ほど作成したOIDC Webアプリ統合からクラ@ @アントIDとシ@ @クレットを入力します。Oktaコンソ,ルからこれらの値をコピ,するには,[アプリケ,ション]を選択し,Oktaアプリケションを見けます。[クラ电子邮箱アント資格情報]で,[クリップボ,ドにコピ,]ボタンを各値に対して使用します。
  7. [テストして終了]をクリックします。Citrix CloudでOktaの詳細が確認され、接続がテストされます。

接続が正常に検証されたら,ワ,クスペ,ス利用者に対してOkta認証を有効にできます。

ワ,クスペ,スのOkta認証を有効にする

  1. Citrix Cloudメニュ,から[ワ,クスペ,ス構成]>[認証]の順に選択します。
  2. (Okta)を選択します。
  3. プロンプトが表示されたら,[利用者のエクスペリエンスに与える影響を了承しています]を選択します。
  4. [保存]を選択します。

Okta認証に切り替えた後,Citrix Cloudはワ,クスペ,スを数分間一時的に無効にします。ワクスペスが再度有効になると,利用者はOktaを使用してサンンできます。

追加情報

OktaをIDプロバe . c .ダとしてCitrix Cloudに接続する
2023年2月9日
寄稿者:
Y C
2023年2月9日
寄稿者:
Y C

この記事の概要

サ▪▪トに関するフィ▪▪ドバック | プラ▪▪バシ▪▪と法令 | Cookieの設定 | 同意設定
©1999 -云软件集团有限公司版权所有。