SSO Office 365 StyleBook
Microsoft Office 365は、Microsoftがサブスクリプションベースで提供する、クラウドベースの生産性向上およびコラボレーションアプリケーションのスイートです。これには、Exchange、SharePoint、Office、Skype for BusinessなどのMicrosoftの人気のあるサーバーベースアプリケーションが含まれます。シングルサインオン (SSO) により、ユーザーはすべてのエンタープライズクラウドアプリケーションにアクセスできます。
- 管理者による管理コンソールへのサインインを含む
- エンタープライズ資格情報を使用したすべてのMicrosoft Office 365サービスへのワンタイムサインオン
SSO Office 365 StyleBookを使用すると、NetScalerインスタンスを介してMicrosoft Office 365のSSOを有効にできます。NetScalerをSAML IDプロバイダー (IdP) として、Microsoft Office 365をSAMLサービスプロバイダーとして、SAML認証を構成できるようになりました。
このStyleBookを使用してNetScalerインスタンスでMicrosoft Office 365のSSOを有効にするには、次の手順を実行します。
- 認証仮想サーバーの構成
- SAML IdPポリシーとプロファイルの構成
- ポリシーとプロファイルの認証仮想サーバーへのバインド
- インスタンスでのLDAP認証サーバーとポリシーの構成
- LDAP認証サーバーとポリシーの、インスタンスで構成された認証仮想サーバーへのバインド
この統合が正常に機能するために必要な最小ソフトウェアバージョンを次の表に示します。統合プロセスは、これより新しいバージョンでも機能します。
| 製品 | 最小要件バージョン |
|---|---|
| NetScaler | 11.0, Advanced/Premium License |
以下の手順は、適切な外部および内部DNSエントリがすでに作成されていることを前提としています。これらのエントリは、認証要求をNetScalerが監視するIPアドレスにルーティングするために不可欠です。
以下の手順は、ビジネスネットワークでSSO Office 365 StyleBookを実装するのに役立ちます。
SSO Microsoft Office 365 StyleBookの展開
- NetScaler® Application Delivery Management (ADM) で、[Applications] > [StyleBooks] の順に移動します。[StyleBooks] ページには、NetScaler ADMで使用できるすべてのStyleBookが表示されます。下にスクロールして [SSO Office 365 StyleBook] を見つけます。[Create Configuration] をクリックします。
- StyleBookがユーザーインターフェイスページとして開き、このStyleBookで定義されているすべてのパラメーターの値を入力できます。
-
次のパラメーターの値を入力します。
-
[Application Name]。ネットワークに展開するSSO Microsoft Office 365構成の名前。
-
[Authentication Virtual IP address]。Microsoft Office 365 SAML IdPポリシーがバインドされているAAA仮想サーバーで使用される仮想IPアドレス。
-
-
[SSL Certificates Settings] セクションで、SSL証明書と証明書キーの名前を入力します。
注
これはOffice 365サービスプロバイダー証明書ではありません。このSSL証明書は、NetScalerインスタンス上の仮想認証サーバーにバインドされます。
-
ローカルストレージフォルダーからそれぞれのファイルを選択します。暗号化された秘密キーをPEM形式でロードするために、秘密キーのパスワードを入力することもできます。
-
[Advanced Certificate Settings] チェックボックスを有効にすることもできます。ここでは、証明書の有効期限通知期間、証明書の有効期限モニターの有効化または無効化などの詳細を入力できます。
-
オプションで、SSL証明書にCA公開証明書がNetScalerにインストールされている必要がある場合は、[SSL CA Certificate for the authentication virtual] IPチェックボックスを選択できます。上記の [Advanced Certificate Settings] セクションで「Is a CA Certificate」を選択していることを確認してください。
-
[LDAP Settings for SSO Office 365] セクションで、Office 365ユーザーを認証するために次の詳細を入力します。ドメインユーザーが会社のメールアドレスを使用してNetScalerインスタンスにログオンできるようにするには、次を構成します。
-
[LDAP (Active Directory) Base]。認証を許可するために、ユーザーアカウントがActive Directory (AD) 内に存在するドメインのベースドメイン名を入力します。例: dc=netscaler,dc=com
-
[LDAP (Active Directory) Bind DN]。ADツリーを参照する権限を持つドメインアカウント (構成を容易にするためにメールアドレスを使用) を追加します。例: cn=Manager,dc=netscaler,dc=com
-
[LDAP (Active Directory) Bind DN Password]。認証用のドメインアカウントのパスワードを入力します。
-
このセクションで入力する必要があるその他のフィールドは次のとおりです。
-
NetScalerがユーザー認証のために接続するLDAPサーバーのIPアドレス。
-
LDAPサーバーのFQDN名。
注
上記の2つのうち、LDAPサーバーのIPアドレスまたはFQDN名の少なくともいずれかを指定する必要があります。
-
NetScalerがユーザー認証のために接続するLDAPサーバーポート (デフォルトは389)。LDAPSは636を使用します。
-
LDAPホスト名。検証がオンになっている場合 (デフォルトではオフ)、ホスト名はLDAP証明書の検証に使用されます。
-
LDAPログイン名属性。ログイン名を抽出するために使用されるデフォルトの属性は「samAccountname」です。
-
その他のオプションのLDAP設定。
-
-
-
[SAML IdP Certificate] セクションで、SAMLアサーションに使用されるSSL証明書の詳細を指定できます。
-
[Certificate Name]。SSL証明書の名前を入力します。
-
[Certificate File]。ローカルシステムのディレクトリからSSL証明書ファイルを選択します。
-
[CertKey Format]。ドロップダウンリストボックスから証明書と秘密キーファイルの形式を選択します。サポートされている形式は.pemおよび.derファイル拡張子です。
-
[Certificate Key Name]。証明書の秘密キーの名前を入力します。
-
[Certificate Key File]。ローカルシステムから証明書の秘密キーを含むファイルを選択します。
-
[Private Key Password]。秘密キーファイルを保護するパスフレーズを入力します。
[Advanced Certificate Settings] チェックボックスを有効にすることもできます。ここでは、証明書の有効期限通知期間、証明書の有効期限モニターの有効化または無効化などの詳細を入力できます。
-
-
オプションで、上記で入力したSAML IdP証明書にCA公開証明書がNetScalerにインストールされている必要がある場合は、[SAML IdP CA Certificate] を選択できます。上記の [Advanced Certificate Settings] セクションで [Is a CA Certificate] を選択していることを確認してください。
-
[SAML SP Certificate] セクションで、Office 365 SSL公開証明書の次の詳細を入力します。この証明書は、NetScalerインスタンスが受信SAML認証要求を検証するために使用します。
-
[Certificate Name]。SSL証明書の名前を入力します。
-
[Certificate File]。ローカルシステムのディレクトリからSSL証明書ファイルを選択します。
-
[CertKey Format]。ドロップダウンリストボックスから証明書と秘密キーファイルの形式を選択します。サポートされている形式は.pemおよび.derファイル拡張子です。
-
[Advanced Certificate Settings] チェックボックスを有効にすることもできます。ここでは、証明書の有効期限通知期間、証明書の有効期限モニターの有効化または無効化などの詳細を入力できます。
-
-
[SAML IdP Settings] セクションでは、手順3で作成されたAAA仮想サーバーによって使用されるSAML IdPプロファイルとポリシーを作成することにより、NetScalerインスタンスをSAML IDプロバイダーとして構成できます。
-
[SAML Issuer Name]。このフィールドに、認証仮想サーバーのパブリックFQDNを入力します。例:
https://<NetScaler Auth VIP>/saml/login -
[Name Identifier Expression]。SAMLアサーションで送信されるSAML NameIdentifierを抽出するために評価されるNetScaler式を入力します。例:
"HTTP.REQ.USER.ATTRIBUTE(2).B64ENCODE" -
[Signature algorithm]。SAML要求/応答を検証/署名するためのアルゴリズムを選択します (デフォルトは「RSA-SHA256」)。
-
[Digest Method]。SAML要求/応答のハッシュをダイジェストする方法を選択します (デフォルトは「SHA256」)。
-
[Audience name]。サービスプロバイダー (Microsoft Office 365) を表すエンティティ名またはURLを入力します。
-
[SAML Service Provider (SP) ID]。(オプション) NetScaler IDプロバイダーは、このIDと一致する発行者名からのSAML認証要求を受け入れます。
-
[Assertion Consumer Service URL]。ユーザー認証が成功した後、NetScaler IDプロバイダーがSAMLアサーションを送信する必要があるサービスプロバイダーのURLを入力します。アサーションコンシューマーサービスURLは、IDプロバイダーサーバーサイトまたはサービスプロバイダーサイトで開始できます。
-
このセクションには、入力できるその他のオプションフィールドがあります。たとえば、次のオプションを設定できます。
-
[SAML attribute name]。SAMLアサーションで送信されるユーザー属性の名前。
-
[SAML attribute friendly name]。SAMLアサーションで送信されるユーザー属性のフレンドリ名。
-
[PI expression for SAML attribute]。デフォルトでは、次のNetScalerポリシー (PI) 式が使用されます: HTTP.REQ.USER.ATTRIBUTE(1)。このフィールドは、LDAPサーバーから送信される最初のユーザー属性 (メール) をSAML認証属性として指定します。
-
ユーザー属性の形式を選択します。
これらの値は、発行されたSAMLアサーションに含まれます。
ヒント
Citrixは、これらの設定がMicrosoft Office 365アプリで動作することがテストされているため、デフォルト設定を保持することをお勧めします。
-
-
-
[Target Instances] をクリックし、このMicrosoft Office 365 SSO構成を展開するNetScalerインスタンスを選択します。[Create] をクリックして構成を作成し、選択したNetScalerインスタンスに構成を展開します。
ヒント
Citrixは、実際の構成を実行する前に、[Dry Run] を選択して、StyleBookによってターゲットNetScalerインスタンスに作成される構成オブジェクトを表示することをお勧めします。