SSO Office 365 StyleBook
Microsoft™ Office 365は、Microsoft がサブスクリプションベースで提供する、クラウドベースの生産性向上およびコラボレーションアプリケーションのスイートです。これには、Exchange、SharePoint、Office、Skype for Business inessなど、Microsoftの一般的なサーバーベースのアプリケーションが含まれています。シングル・サインオン(SSO)により、ユーザーはすべてのエンタープライズ・クラウド・アプリケーションにアクセスできます。
- 管理者コンソールにサインインする管理者を含む
- エンタープライズ認証情報を使用して、すべての Microsoft Office 365 サービスにワンタイムサインオンします。
SSO Office 365 StyleBook を使用すると、NetScaler インスタンスを介してMicrosoft オフィス 365 の SSO を有効にすることができます。NetScaler ADCをSAMLアイデンティティプロバイダー(IdP)として、Microsoft Office 365をSAMLサービスプロバイダーとして使用して、SAML認証を構成できるようになりました。
この StyleBook を使用して NetScaler インスタンスで Microsoft Office 365 の SSO を有効にするには、次の手順が必要です。
- 認証仮想サーバーの構成
- SAML IDP ポリシーとプロファイルの設定
- 認証仮想サーバーへのポリシーとプロファイルのバインド
- インスタンスの LDAP 認証サーバーとポリシーの設定
- LDAP認証サーバーとポリシーを、インスタンスに構成されている認証仮想サーバーにバインドします。
この統合が正常に機能するために最低限必要なソフトウェアバージョンを示します。統合プロセスは、同じバージョンの上位バージョンでも機能するはずです。 |Product|最低限必要なバージョン| |———|——————| |NetScaler|11.0、アドバンスト/プレミアムライセンス|
次の手順は、適切な外部および内部 DNS エントリが既に作成されていることを前提としています。これらのエントリは、認証要求をNetScaler ADCが監視するIPアドレスにルーティングするために不可欠です。
以下の手順は、SSO Office 365 StyleBookをビジネスネットワークに実装するのに役立ちます。
SSO Microsoft オフィス 365 StyleBook を展開するには
- NetScaler Application Delivery Management (ADM)で、[ **アプリケーション ] > [StyleBook] に移動します。** StyleBookページには 、NetScaler ADM で使用できるすべてのStyleBookが表示されます。下にスクロールして SSO Office 365 StyleBookを見つけてください。[ 構成を作成] をクリックします。
- StyleBookがユーザーインターフェイスページとして開きます。ここで、このStyleBookで定義されているすべてのパラメーターに対して値を入力できます。
-
次のパラメーターの値を入力します:
-
アプリケーション名。ネットワークに展開する SSO Microsoft Office 365 構成の名前。
-
認証仮想 IP アドレス。Microsoft Office 365 SAML IdP ポリシーがバインドされている AAA 仮想サーバが使用する仮想 IP アドレス。
-
-
SSL証明書の設定セクションで**、SSL 証明書の名前と証明書キーを入力します。
注
これは Office 365 サービスプロバイダー証明書ではありません。このSSL証明書は、NetScaler インスタンス上の仮想認証サーバーにバインドされます。
-
ローカルストレージフォルダからそれぞれのファイルを選択します。また、秘密鍵パスワードを入力して、暗号化された秘密鍵を PEM 形式でロードすることもできます。
-
[ 証明書の詳細設定 ] チェックボックスをオンにすることもできます。ここでは、証明書の有効期限通知期間などの詳細を入力したり、証明書の有効期限モニターを有効または無効にすることができます。
-
SSL証明書でNetScaler ADCにCAパブリック証明書をインストールする必要がある場合は、オプションで認証仮想IPチェックボックスにSSL CA証明書を選択できます。上記の「 証明書の詳細設定」セクションで「Is a CA Certificate 」を選択してください。
-
[ SSO Office 365 の LDAP 設定 ] セクションで、次の詳細を入力して Office 365 ユーザーを認証します。ドメインユーザーが会社の電子メールアドレスを使用してNetScaler ADCインスタンスにログオンできるようにするには、次のように構成します。
-
LDAP (Active Directory) ベース。認証を許可する Active Directory(AD)内にユーザーアカウントが存在するドメインの基本ドメイン名を入力します。たとえば、dc=netscaler、dc=com
-
LDAP(Active Directory)バインドDN。AD ツリーを参照する権限を持つドメインアカウント (構成を容易にするために電子メールアドレスを使用) を追加します。たとえば、CN=マネージャ、dc=netscaler、dc=com
-
LDAP (Active Directory) バインド DN パスワード。認証用のドメインアカウントのパスワードを入力します。
-
このセクションに入力する必要があるその他のフィールドは次のとおりです。
-
NetScaler ADCがユーザーを認証するために接続するLDAPサーバーのIPアドレス。
-
LDAP サーバーの FQDN 名。
注:
上記の 2 つのうち少なくとも 1 つ (LDAP サーバの IP アドレスまたは FQDN 名) を指定する必要があります。
-
NetScaler がユーザーを認証するために接続するLDAPサーバーポート(デフォルトは389です)。LDAPSは636を使用している。
-
LDAP ホスト名。検証がオン (デフォルトではオフ) の場合、ホスト名は LDAP 証明書の検証に使用されます。
-
LDAP ログイン名属性。ログイン名の抽出に使用されるデフォルトの属性は「SAMAccountName」です。
-
その他のオプションの LDAP 設定。
-
-
-
SAML IdP 証明書 セクションでは、SAML アサーションに使用される SSL 証明書の詳細を指定できます。
-
証明書名。SSL 証明書の名前を入力します。
-
証明書ファイル。ローカルシステム上のディレクトリから SSL 証明書ファイルを選択します。
-
証明書キー形式。ドロップダウンリストボックスから、証明書と秘密キーファイルの形式を選択します。サポートされている形式は、.pem と.der ファイル拡張子です。
-
証明書キー名。証明書の秘密鍵の名前を入力します。
-
証明書キーファイル。ローカルシステムから証明書の秘密キーを含むファイルを選択します。
-
秘密鍵のパスワード。プライベートキーファイルを保護するパスフレーズを入力します。
[ 証明書の詳細設定 ] チェックボックスをオンにすることもできます。ここでは、証明書の有効期限通知期間などの詳細を入力したり、証明書の有効期限モニターを有効または無効にすることができます。
-
-
上記の SAML IdP証明書でNetScaler ADC にCA パブリック証明書をインストールする必要がある場合は、オプションで「SAML IdP CA証明書」を選択できます。上記の [ **証明書の詳細設定] セクションで [CA 証明書です** ] を選択してください。
-
[ SAML SP 証明書 ] セクションで、Office 365 SSL パブリック証明書について次の詳細を入力します。この証明書は、NetScaler インスタンスが受信したSAML認証要求を検証するために使用されます。
-
証明書名。SSL 証明書の名前を入力します。
-
証明書ファイル。ローカルシステム上のディレクトリから SSL 証明書ファイルを選択します。
-
証明書キー形式。ドロップダウンリストボックスから、証明書と秘密キーファイルの形式を選択します。サポートされている形式は、.pem と.der ファイル拡張子です。
-
[ 証明書の詳細設定 ] チェックボックスをオンにすることもできます。ここでは、証明書の有効期限通知期間などの詳細を入力したり、証明書の有効期限モニターを有効または無効にすることができます。
-
-
SAML Idp設定セクションでは 、手順3で作成したAAA仮想サーバーで使用されるSAML IDPプロファイルとポリシーを作成することで、NetScalerインスタンスをSAMLアイデンティティプロバイダーとして構成できます。
-
SAML 発行者名。このフィールドには、認証仮想サーバーのパブリック FQDN を入力します。例:
https://<NetScaler Auth VIP>/saml/login
-
名前識別子の表現。評価される NetScaler 式を入力して、SAML アサーションで送信された SAML NameIdentifier を抽出します。例:
"HTTP.REQ.USER.ATTRIBUTE(2).B64ENCODE"
-
署名アルゴリズム:SAML リクエスト/レスポンスを検証/署名するアルゴリズムを選択します (デフォルトは「RSA-SHA256」)。
-
ダイジェスト方式。SAML リクエスト/レスポンスのハッシュをダイジェストする方法を選択します (デフォルトは「SHA256」)。
-
オーディエンスの名前。サービスプロバイダー (Microsoft Office 365) を表すエンティティ名または URL を入力します。
-
SAML サービスプロバイダー (SP) ID。(オプション)NetScaler IDプロバイダーは、このIDと一致する発行者名からのSAML認証要求を受け入れます。
-
アサーションコンシューマサービス URL。ユーザー認証が成功した後、NetScaler IDプロバイダーがSAMLアサーションを送信する必要があるサービスプロバイダーのURLを入力します。アサーションコンシューマサービス URL は、ID プロバイダサーバサイトまたはサービスプロバイダサイトで開始できます。
-
このセクションには、他にも入力できるオプションフィールドがあります。たとえば、次のオプションを設定できます。
-
SAML 属性名。SAML アサーションで送信されるユーザー属性の名前。
-
SAML 属性のわかりやすい名前。SAML アサーションで送信されるユーザー属性のわかりやすい名前。
-
SAML 属性の PI 式。デフォルトでは、次のNetScaler ADC ポリシー(PI)式が使用されます:HTTP.REQ.USER.ATTRIBUE(1)。このフィールドは、LDAP サーバー (メール) から送信される最初のユーザー属性を SAML 認証属性として指定します。
-
ユーザー属性の形式を選択します。
これらの値は、発行された SAML アサーションに含まれています。
ヒント
Citrix では、これらの設定はMicrosoft Office 365アプリで動作することがテストされているため、デフォルト設定のままにしておくことをお勧めします。
-
-
-
[ ターゲットインスタンス ]をクリックし、このMicrosoft Office 365 SSO構成を展開するNetScaler ADC インスタンスを選択します。[ 作成 ]をクリックして構成を作成し、選択したNetScaler ADC インスタンスに構成を展開します。
ヒント
実際の構成を実行する前に、[Dry Run] を選択して、StyleBookによってターゲットのNetScaler ADC インスタンスに作成された構成オブジェクトを表示することをお勧めします。