ワークスペース——シングルサインオン

ユーザーのプライマリ工作区IDは,SaaS,モバイル,网络,仮想アプリ,仮想デスクトップへのアクセスを許可します。承認されたリソースの多くは,ユーザーのプライマリワークスペースIDとは異なるIDを持つ別の認証を必要とします。Citrix工作区では,セカンダリリソースへのシングルサインオンを提供することで,シームレスなエクスペリエンスをユーザーに提供します。

プライマリアイデンティティ

ユーザーのプライマリIDとセカンダリIDの違いを理解することで,工作区シングルサインオンを理解するための基盤となります。

まず,Citrix工作区では,増え続けるオプションのリストからプライマリIDを選択できます。巴巴，巴巴，巴巴，巴巴，巴巴。

• Windows Active Directory
• Azure Active Directory
• Okta
• Citrix网关
• 谷歌

思杰工作空间(Citrix Workspace)， ID，。

1. Citrix工作区へのユーザーの認証
2. 思杰工作空间(Citrix Workspace

ユーザーがプライマリIDを使用してCitrix工作区に正常に認証されると,すべてのセカンダリリソースに対する認証が行われます。。

多くのIDプロバイダーには,強力な認証ポリシーオプションが含まれており,Citrix工作区に対するユーザーのプライマリ認証を保護するのに役立ちます。Active Directoryのように,IDプロバイダに単一のユーザー名とパスワードしか含まない場合,Citrix工作区には,プライマリ認証のセキュリティを強化するための追加機能(時間ベースのワンタイムパスワード> > > > > > > > > > >

思杰工作空间ワークスペースアイデンティティ技術概要。

セカンダリアイデンティティ

Citrix工作空间内でユーザーがアクセスするアプリケーション,デスクトップ,リソースの多くは,セカンダリIDと呼ばれる別のユーザー資格情報のセットで保護されています。。

シングルサインオンµ类型は,次のような適切なアプローチを使用して,ユーザーのプライマリワークスペースIDをリソース固有のIDに変換します。

• SAML
• kerberos
• フォーム
• 仮想スマートカード

Citrix工作区では,ユーザーはプライマリIDで一度認証し,セカンダリリソースに対するその後の認証チャレンジはすべて自動的に満たされます。

Citrix工作区で異なるリソースへのシングルサインオンがどのように提供されるかは,アクセスされるリソースの種類によって異なります。。

• SaaS
• ウェブアプリ
• ()
• 仮想アプリとデスクトップ
• IdP

SSO: SaaS

Citrix工作区の観点からは,SaaSアプリケーションは,サードパーティがクラウドでホストするブラウザベースのアプリケーションです。アプリケーションにアクセスするには,ユーザーはSaaSアプリケーションに関連付けられた一連の資格情報(セカンダリID)を使用して認証する必要があります。

SaaSアプリケーションへのシングルサインオンを実現するために,Citrix工作区はプライマリIDとセカンダリIDの間でIDをフェデレートします。所以，。

★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

• IDプロバイダー:ユーザーのIDが有効であることを証明するSAMLリンク内のエンティティ
• サービスプロバイダー:セカンダリIDに基づいてサービス(SaaSアプリ)を提供するSAMLリンクのエンティティ
• アサーション:提供するデータのパッケージ

SAMLベースの認証は2つの異なるユーザーアカウント(プライマリとセカンダリ)を共通の属性(通常はユーザープリンシパル名(隐喻)または電子メールアドレスに関連付けます。

はユーザーID, IDプロバイダーのプライマリIDとサービスプロバイダーからのセカンダリIDで異なる場合があります。

シングルサインオンでは,ユーザーはセカンダリIDのユーザー名やパスワードを知る必要はありません。さらに,多くのSaaSアプリケーションには,認証でSAMLが使用されている場合,ユーザーアカウントからパスワードを無効にする(および直接パスワードアクセス)する機能があります。これにより,ユーザー認証では,サービスプロバイダーからのセカンダリIDではなく,常にIDプロバイダーのプライマリIDが使用されます。

Citrix工作空间，SAML, 4，

• アイデンティティブローカー:複数のアイデンティティプロバイダーを複数のサービスプロバイダー(Citrix工作区)にリンクするエンティティ

SAMLリンク内には,サービスプロバイダー(SP)およびIDプロバイダー(IdP)として機能するエンティティが必要です。IdP，。この例では,プライマリユーザーIDがプライマリユーザーディレクトリ(Dir)内に格納されています。

アイデンティティブローカー(IdB)として機能する場合,Citrix工作区はユーザーのプライマリIDに関するクレームを受け取り,セカンダリIDに変換します。

IDブローカー(IdB)をSAML認証フローに追加するには,ユーザーのプライマリID (IdP)をセカンダリID (SP)にリンクする共通の属性が必要です。

SAML認証が機能するには,IDブローカーは,各SaaSアプリケーションのSAML固有のログオンURLに要求を関連付けます。。サービスプロバイダーはアサーションを受信すると,アサーションを生成したエンティティ(IDブローカーのSAML発行者URL)に対してアサーションを検証する必要があります。

Citrix工作区では,SaaSアプリケーションへのシングルサインオン全体のプロセスは次のとおりです。

Citrix工作空间内のSSOからSaaSアプリを使用すると,ユーザーおよび管理者エクスペリエンスのいくつかの課題を解決できます。

1. 。
2. ユーザーは,セカンダリIDごとに複雑なパスワードを作成する必要がない
3. ユーザーは,セカンダリIDごとにMFAキー/トークンを設定/設定する必要がない
4. 管理者は,ユーザーのプライマリIDを無効にすること,ですべてのSaaSアプリケーションへのアクセスを無効にできます
5. 管理者は,サポートされているIDプロバイダの増加するリストの1つに基づいてユーザーのプライマリIDを基盤にすることができます

アクセスを安全に保つには,組織では

1. プライマリワークスペースIDの強力な認証ポリシーを実装する
2. セカンダリIDでSaaSアプリへの直接アクセスを無効にする

所以:

Webアプリケーションは,組織によってホストおよび管理されるブラウザベースのアプリケーションです。Web。Webアプリケーションにアクセスするには,ホストへのセキュアな接続を確立し,Webアプリケーションに関連付けられた一連の資格情報(セカンダリID)を使用して認証する必要があります。

ゲートウェイコネクタは,概念的なアーキテクチャに基づいて,組織のCitrix云サブスクリプションへのアウトバウンドコントロールチャネル接続を確立します。オンプレミスのWebアプリケーションへの認証要求とアクセス要求が確立されると,ゲートウェイコネクタのコントロールチャネルを経由するため,VPN接続が不要になります。

Webアプリケーションによっては,セカンダリIDはCitrix工作区への認証に使用されるプライマリIDと同じIDか異なるIDプロバイダーによって管理される一意のIDにすることができます。

Webアプリケーションへのシングルサインオンを実現するために,Citrix工作区では,プライマリID (Citrix工作区へのサインインに使用)とセカンダリID (Webアプリケーションにサインインするために使用される)との間でIDをフェデレートします。WebアプリケーションのSSOプロセスは,より多くのWebアプリケーションをサポートできるようにするために,複数のアプローチを使用しています。これらのアプローチは

• 基本网アプリケーション・サーバーがユーザーに基本-401チャレンジを提示する場合に使用します。基本認証では,Citrix工作区への認証に使用される資格情報が使用されます。
• Kerberos-Webアプリケーションサーバーがユーザにネゴシエート-401チャレンジを提示するときに使用されます。Kerberos, Citrix工作空间。
• Forms-Webアプリケーション・サーバーがユーザーにHTML認証フォームを提示する場合に使用します。フォームベース認証では、管理者が、ユーザー名とパスワードの認証ページで適切なフィールドを特定する必要があります。
• SAML- web。この認証では、Webアプリケーションがサービスプロバイダとして機能し,Citrix工作区がアイデンティティプロバイダとして機能します。Citrix工作区へのログインに使用するユーザーのプライマリIDには,Webアプリケーションの資格情報とパラメーター(UPNまたは電子メール)が必要です。★★★★★★★★★★★★★★★★★★★★SSO。
• SSOなし网アプリケーション・サーバーがユーザー認証を必要としない場合,または管理者がユーザーに手動でサインインする必要がある場合に使用します。

Citrix工作空间内のWebアプリケーションへのシングルサインオンにより,ユーザーおよび管理者エクスペリエンスのいくつかの課題を解決できます。

• 。
• ユーザーは、Webアプリケーションごとに複雑なパスワードを作成する必要はありません
• ユーザーは,各网络アプリケーションに対してMFAキー/トークンを設定/設定する必要はありません。
• ユーザーは,内部WebアプリケーションにアクセスするためにVPN接続を開始する必要はありません。
• 管理者は,ユーザーのプライマリIDを無効にすること,ですべてのWebアプリケーションへのアクセスを無効にできます
• 管理者は,サポートされているIDプロバイダの増加するリストの1つに基づいてユーザーのプライマリIDを基盤にすることができます
• 。思杰云(Citrix Cloud)，。

アクセスを安全に保つには,組織では

• プライマリワークスペースIDの強力な認証ポリシーを実装する
• Web

冗長ゲートウェイコネクタを展開して,コネクタの更新時に可用性を維持します。。

所以:

单点登录:虚拟应用和桌面

Citrix虚拟应用程序和桌面を使用すると,ユーザーはWindowsおよびLinuxベースのアプリケーションおよびデスクトップにリモートでアクセスできます。Windowsベースの仮想アプリケーションまたはデスクトップにアクセスするには,ユーザーがActive Directory IDで認証する必要があります。

ユーザーのプライマリ工作区IDがActive Directoryの場合,仮想アプリとデスクトップセッションはパススルー認証を使用して,セカンダリリソースへのシングルサインオンを提供します。ただし,組織がユーザーのプライマリアイデンティティにActive Directoryベースの非IDプロバイダを使用する場合は,Citrix工作区シングルサインオン機能でプライマリIDをActive DirectoryセカンダリIDに変換する必要があります。

Citrix工作区では,仮想アプリおよびデスクトップへのシングルサインオンを実現するために,ユーザー用にActive Directoryベースの仮想スマートカードを動的に生成するフェデレーション認証サービスが使用されます。

仮想スマートカードを生成する前に,工作区は一連の共通属性を介して,ユーザーのプライマリIDとActive DirectoryベースのセカンダリIDをリンクできる必要があります。

たとえば,OktaがCitrix工作区プライマリIDである場合,ユーザーのOOktaアイデンティティには3つの追加パラメータ(cip_sid、cip_upn cip_oid)を含める必要があります。パラメータは,Active DirectoryアイデンティティをOktaアイデンティティに関連付けます。

ユーザーがプライマリIDに正常に認証されると,Citrix工作空间内のシングルサインオン機能では,パラメータを使用して仮想スマートカードを要求します。

Citrix工作区では,Windowsベースの仮想アプリケーションおよびデスクトップへのシングルサインオンの全体的なプロセスは次のとおりです。

![Citrix虚拟应用和桌面(/en-us/tech-zone/learn/media/tech-briefs_workspace- sso_cvd -flow.png)]

この例ではCitrix虚拟应用程序和桌面がオンプレミスの展開であることを前提としています。

組織がクラウドベースのCitrix虚拟应用程序和桌面サービスを使用している場合,アーキテクチャは次のようになります。

Citrix工作空间内のWindowsベースの仮想アプリケーションおよびデスクトップへのSSOにより,ユーザーおよび管理者エクスペリエンスのいくつかの課題を解決できます。

1. 仮想アプリケーションまたはデスクトップにアクセスするときに認証プロンプトが表示されない
2. ユーザーは,Active Directoryアイデンティティの複雑なパスワードを作成,更新,および記憶する必要がない
3. 管理者は,ユーザーのプライマリIDを無効にすること,ですべての仮想アプリケーションとデスクトップへのアクセスを無効にできます

。

• 同期:プライマリワークスペースIDは,Active DirectoryベースのセカンダリIDとの同期を維持する必要があります。多くのプライマリIDプロバイダーには,プライマリIDとセカンダリID間の同期を維持するために役立つActive Directory同期ツールが含まれています。適切な同期がない場合,フェデレーション認証サービスはActive Directory IDを仮想スマートカードに関連付けることができません。
• スマートカードのみの認証:グループポリシーオブジェクトを使用すると,管理者はスマートカードのみの認証を強制できます。これにより,ユーザーがセカンダリIDのユーザー名/パスワード資格情報を使用して,セキュリティで保護されたプライマリIDをバイパスしようとする可能性を排除します。ただし,ユーザーがサービスへの対話的にログオンするためにユーザー名/パスワードを使用する必要がある場合,このポリシー設定を有効にすると認証が失敗します。
• 仮想スマートカードセキュリティ:フェデレーション認証サービスインフラストラクチャが適切に管理および保護されていることを確認することが重要です。，フェデレーション認証サービスのセキュリティに関する推奨事項> > > > > > >
• 。これには,冗長フェデレーション認証サービスサーバー,証明機関などが含まれます。環境の規模によっては,組織はルート認証局を指すのではなく,下位証明機関専用にする必要がある場合があります。
• 整整整整，整整整整，整整整整，整整整整，整整整整。また,組織が関連する証明書失効リスト(CRL)インフラストラクチャを適切に設計し,サービス中断の可能性を克服する必要があります。
• 3次認証:仮想デスクトップセッション内では,多くの内部WebサイトでActive Directory IDで認証する必要があります。仮想デスクトップへのシングルサインオンを提供するために使用される仮想スマートカードを使用して,内部Webサイトへのシングルサインオンを提供できます。フェデレーション認証サービスでは,仮想スマートカードがユーザー証明書ストア内に配置されるセッション内証明書を(グループポリシーオブジェクトを介して)許可します。。

SSO: IdP

現在,多くの組織がSaaSアプリケーションへのシングルサインオンを提供するために,サードパーティソリューション(Okta,平,Azureなど)に依存しています。Citrix工作区では,IdPチェーンと呼ばれるプロセスを介して,SSO対応のSaaSアプリケーションをユーザーのリソースフィードに統合できます。IdPチェーンは,本質的に1つのSAMLアサーションを別のSAMLアサーションに変換します。IdPチェーンにより,組織は現在のSSOプロバイダーを維持しながら,Citrix工作区と完全に統合できます。中文:。

Citrix工作区がSaaSアプリケーションにSSOを提供する場合,SAML認証が使用されます。SAMLベースの認証は、2 つの異なるユーザーアカウント (プライマリとセカンダリ) を共通の属性 (通常はユーザープリンシパル名 (UPN) または電子メールアドレスに関連付けます。

★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

1. サービスプロバイダー(SP):サービスを提供し,セカンダリIDを含むエンティティ
2. IdP:。SAMLグループ内の ID プロバイダーは、ユーザーの ID の最終的な権限である必要はありません。

プライマリユーザーディレクトリは,ユーザーのIDの最終的な権限です。アイデンティティブローカー(IdB)として機能するCitrix工作区では,プライマリユーザーディレクトリ(Dir)からユーザーに関する要求を取得し,SAMLアサーションを作成します。アサーションは,ユーザーのIDをサービスプロバイダー(SP)に証明し,シングルサインオンプロセスを実行します。

組織がすでに別のSSOプロバイダーを利用している場合,IdPチェーンは認証チェーンに追加のSAML認証リンクを追加します。

このIdP連鎖の例では,アイデンティティブローカーとして機能するCitrix工作区がユーザーをプライマリユーザーディレクトリに対して認証します。最初のSAMLリンク内で,Citrix工作区はユーザーに関するクレームを使用して,サービスプロバイダとして機能するOKTA固有のリソースに対するSAMLアサーションを作成します。2番目のSAMLリンク内で,Oktaはユーザーに関するクレームを利用して,サービスプロバイダーである特定のSaaSアプリケーションのSAMLアサーションを作成します。

IdPチェーンは,ユーザーのプライマリIDと要求されたサービスの間に追加のリンクを追加します。各SAMLリンク内で,IDプロバイダーとサービスプロバイダ間の共通属性は同じである必要があります。。

各SAMLリンク内で,IDプロバイダーは,各SaaSアプリケーションのSAML固有のログオンURLに認証要求を関連付けます。。サービスプロバイダーはアサーションを受信すると,アサーションを生成したエンティティ(アイデンティティープロバイダーのSAML発行者URL)に対してアサーションを検証する必要があります。

IdPチェーンでは,SSOプロバイダー内の各SSO対応アプリケーションにアプリ固有のURLがある点を除いて,プロセスは同一です。。アプリケーション固有のURLはSSOプロバイダーがサービスプロバイダロールを引き受けるときのSAMLログインURLとして使用されます。

この例では,ユーザーがCitrix工作空间内からOKTA対応アプリケーションを選択すると,Citrix工作区は要求されたOKTAアプリケーションのSAMLログインURLにアサーションを提示します。Oktaは,Citrix工作区からのSAML発行者のURLを使用してアサーションを検証します。成功すると,OktaはSaaSアプリケーションのSAMLログインURLにアサーションを提示し,Okta SAML発行者URLを使用してアサーションを検証します。

IdPチェーンを考える最も簡単な方法は,チェーン内の各リンクに個別に焦点を当てることです。1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1 . 1。。

1. シトリックスからオクタへ
2. Okta-to-Workday

。

IdPチェーンを作成すると,組織は現在のSSOプロバイダーを維持しながら,Citrix工作空间内のすべてのリソースを統一することができます。