StyleBookの設定

SSO Google Apps StyleBook

Google Appsは、Googleが開発したクラウドコンピューティング、生産性向上およびコラボレーションツール、ソフトウェア、および製品のコレクションです。シングルサインオン (SSO) を使用すると、ユーザーは、エンタープライズ資格情報を使用してすべてのサービスに対して 1 回サインインすることで、管理コンソールへのサインインを含め、すべてのエンタープライズクラウドアプリケーションにアクセスできます。

NetScaler Console SSO Google Apps StyleBookを使用すると、NetScalerインスタンスを介してGoogle Apps SSOを有効にできます。StyleBookは、Google Appsにアクセスするユーザーを認証するためのSAML IDプロバイダーとしてNetScaler ADCインスタンスを構成します。

このStyleBookを使用してNetScaler ADCインスタンスでGoogleアプリのSSOを有効にすると、次の手順になります。

  1. 認証仮想サーバーの構成
  2. SAML IdP ポリシーとプロファイルの設定
  3. 認証仮想サーバーへのポリシーとプロファイルのバインド
  4. インスタンスの LDAP 認証サーバーとポリシーの設定
  5. LDAP認証サーバーとポリシーを、インスタンスに構成されている認証仮想サーバーにバインドする

構成の詳細:

次の表に、この統合を正常に動作させるために最低限必要なソフトウェアバージョンを示します。統合プロセスは、同じのより高いバージョンもサポートします。

Product 最低限必要なバージョン
NetScaler リリース 11.0、アドバンス/プレミアムライセンス

以下の手順は、認証要求をNetScaler ADCが監視するIPアドレスにルーティングするために、適切な外部および内部DNSエントリをすでに作成していることを前提としています。

SSO GoogleアプリのStyleBook設定をデプロイする:

次のタスクは、Microsoft SSO Google Apps StyleBook をビジネスネットワークにデプロイする際に役立ちます。

SSO Google アプリのStyleBook をデプロイするには

  1. NetScaler コンソールで、[ アプリケーション ] > [ 構成 ] > [StyleBook **] に移動します。StyleBook ページには、NetScaler コンソールで使用できるすべてのStyleBook が表示されます。下にスクロールしてSSO Google Apps StyleBookを見つけてください。[ **構成を作成] をクリックします。

  2. StyleBookがユーザーインターフェイスページとして開きます。ここで、このStyleBookで定義されているすべてのパラメーターに対して値を入力できます。

  3. 次のパラメーターの値を入力します:

    1. アプリケーション名。ネットワークにデプロイする SSO Google アプリ設定の名前。

    2. 認証仮想 IP アドレス。GoogleアプリSAML IdPポリシーがバインドされているNetScaler ADC AAA仮想サーバーで使用される仮想IPアドレス。

    3. SAML ルール式。デフォルトでは、HTTP.REQ.HEADER(「参照元」).CONTAINS(「グーグル」)というNetScaler ADCポリシー(PI)式が使用されます。要件が異なる場合は、このフィールドを別の式で更新します。このポリシー式は、これらの SAML SSO 設定が適用されるトラフィックに一致し、リファラーヘッダーが Google ドメインから来ていることを確認します。

  4. [SAML IdP設定]セクションでは、手順3で作成したNetScaler ADC AAA仮想サーバーで使用されるSAML IdPプロファイルとポリシーを作成して、NetScaler ADCインスタンスをSAML IDプロバイダーとして構成できます。

    1. SAML 発行者名。このフィールドには、認証仮想サーバーのパブリック FQDN を入力します。例:https://<Citrix_ADC_VIP>/saml/login

    2. SAML サービスプロバイダー (SP) ID。(オプション)NetScaler IDプロバイダーは、このIDと一致する発行者名からのSAML認証要求を受け入れます。

    3. アサーションコンシューマサービス URL。ユーザー認証が成功した後、NetScaler IDプロバイダーがSAMLアサーションを送信する必要があるサービスプロバイダーのURLを入力します。アサーションコンシューマサービス URL は、ID プロバイダサーバサイトまたはサービスプロバイダサイトで開始できます。

    4. このセクションには、他にも入力できるオプションフィールドがあります。たとえば、次のオプションを設定できます。

      1. SAML バインディングプロファイル (デフォルトは「POST」プロファイル)。

      2. SAML リクエスト/レスポンスを検証/署名する署名アルゴリズム (デフォルトは「RSA-SHA1」)。

      3. SAML リクエスト/レスポンスのハッシュをダイジェストする方法 (デフォルトは「SHA-1」)。

      4. 暗号化アルゴリズム (デフォルトは AES256)、およびその他の設定

      これらの設定はGoogle Appsをサポートするためにテストされているため、デフォルト設定のままにすることをお勧めします。

    5. 「ユーザー属性」チェック・ボックスを有効にして、次のようなユーザー詳細を入力することもできます。

      1. ユーザー属性の名前

      2. 属性の値を抽出するために評価される NetScaler PI 式

      3. わかりやすい属性の名前

      4. ユーザー属性の形式を選択します。

      これらの値は、発行された SAML アサーションに含まれています。このStyleBookを使用してNetScaler ADCが発行するアサーションには、最大5セットのユーザー属性を含めることができます。

  5. LDAP設定セクションで、Google Apps ユーザーを認証するための次の詳細を入力します。ドメインユーザーが会社の電子メールアドレスを使用してNetScaler ADCインスタンスにログオンできるようにするには、以下を構成する必要があります。

    1. LDAP (Active Directory) ベース。認証を許可する Active Directory(AD)内にユーザーアカウントが存在するドメインの基本ドメイン名を入力します。たとえば、dc=netscaler,dc=com

    2. LDAP(Active Directory)バインドDN。AD ツリーを参照する権限を持つドメインアカウント (構成を容易にするために電子メールアドレスを使用) を追加します。たとえば、cn=Manager,dc=netscaler,dc=com

    3. LDAP (Active Directory) バインド DN パスワード。認証用のドメインアカウントのパスワードを入力します。

    4. このセクションに入力する必要があるその他のフィールドは次のとおりです。

      1. NetScaler ADCがユーザーを認証するために接続するLDAPサーバーのIPアドレス

      2. LDAP サーバーの FQDN 名

        注:

        上記の 2 つのうち少なくとも 1 つ (LDAP サーバの IP アドレスまたは FQDN 名) を指定する必要があります。

      3. NetScaler がユーザーを認証するために接続するLDAPサーバーポート(デフォルトは389です)。

      4. LDAPホスト名。これは、検証がオンになっている場合(デフォルトではオフになっています)、LDAP証明書を検証するために使用されます。

      5. LDAP ログイン名属性。ログイン名の抽出に使用されるデフォルトの属性はsamAccountnameです。

      6. その他のオプションの LDAP 設定

  6. SAML IdP SSL 証明書セクションでは、SSL 証明書の詳細を指定できます。

    1. 証明書名。SSL 証明書の名前を入力します。

    2. 証明書ファイル。ローカルシステムまたはNetScaler ConsoleのディレクトリからSSL証明書ファイルを選択します。

    3. 証明書キー形式。ドロップダウンリストボックスから、証明書と秘密キーファイルの形式を選択します。サポートされている形式は、 .pemおよび.der拡張子です。

    4. 証明書キー名。証明書の秘密鍵の名前を入力します。

    5. 証明書キーファイル。ローカルシステムまたはNetScaler Consoleから、証明書の秘密キーを含むファイルを選択します。

    6. 秘密鍵のパスワード。秘密鍵ファイルがパスフレーズで保護されている場合は、このフィールドにそれを入力します。

    7. 証明書の詳細設定チェックボックスを有効にして、証明書の有効期限通知期間などの詳細を入力したり、証明書有効期限モニターを有効または無効にしたりすることもできます。

  7. 上記で入力したSAML IdP証明書でNetScaler ADCにCAパブリック証明書をインストールする必要がある場合は、オプションでIdP SSL CA証明書を選択できます。詳細設定で「Is a CA Certificate」を必ず選択してください。

  8. オプションで、[SAML SP SSL 証明書] を選択して、Google Apps (SAML SP) からの認証リクエストの検証に使用する Google SSL 証明書 (公開鍵) を指定できます。

  9. [ ターゲットインスタンス ] をクリックし、この Google Apps SSO 構成を展開する NetScaler インスタンスを選択します。[ 作成 ]をクリックして構成を作成し、選択したNetScaler ADC インスタンスに構成を展開します。

    更新アイコンをクリックして、NetScaler Consoleで最近検出されたNetScalerインスタンスを、このウィンドウの使用可能なインスタンスリストに追加することもできます。

また、

ヒント > > Citrixでは、実際の構成を実行する前に、[ ドライ実行 ]を選択して、StyleBookによってターゲットNetScaler ADCインスタンス上に作成された構成オブジェクトを視覚的に確認することをお勧めします。

SSO Google Apps StyleBook