コンテンツにスキップ

Citrix ADC (SAML)

Cloudflare Zero Trustは、Citrix ADC(旧Citrix NetScaler ADC)をSAML IdPとして統合できます。Citrixのドキュメントでは、Citrix ADCをSAML IdPとして構成する方法が示されています。これらの手順はCloudflare Zero Trustに特有です。

Citrix ADC (SAML)の設定

Citrix ADC (SAML)をアイデンティティプロバイダーとして設定するには:

  1. まず、2つのSAML証明書を構成する必要があります:

    • vServerでTLSを終了するための証明書。証明書は公的に信頼されたCAによって発行されていることを確認してください。
    • SAMLアサーションに署名するための証明書

    SAMLアサーションに署名するための証明書がまだない場合は、Citrix ADCで生成された自己署名証明書を使用できます。手順は以下の通りです:

    1. Traffic Management > SSLに移動します。
    2. Create and Install a Server Test Certificateを選択します。

  2. Configurationを選択し、Certificate File NameFully Qualified Domain Name、およびCountryを入力します。

    Citrix AD Create and Install Test Certificate interface with file name, domain name, and country

  3. 公開アクセス可能な認証vServerを作成し、ユーザーアイデンティティソース(ローカルユーザー、LDAPなど)を構成します。手順はこのCitrixのドキュメントを参照してください。

    この例では、ユーザーはIdPアドレスidp.yourdomain.comを指します。

新しいプロファイルの追加

  1. Security > AAA - Application Traffic > Policies > Authentication > Advanced Policies > SAML IDPに移動して、新しいプロファイルを追加します。

    次の必須構成詳細を含めます:

    FieldDescription
    NameSAMLの構成中に定義した証明書名
    Assertion Consumer Service URLhttps://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/callback
    IdP Certificate NameSAMLの構成中に定義したIdP証明書名
    Issuer Namehttps://idp.<yourdomain>.com/saml/login
    Service Provider IDhttps://idp.<yourdomain>.com/saml/login
    Name ID FormatEmailAddress
    Attribute 1email = AAA.USER.ATTRIBUTE("email")

    Cloudflare Accessは現在、AuthNリクエストのService Provider IDの代わりにIdPアドレスを送信します。

  2. 作成したプロファイルを参照する認証ポリシーを作成し、上記の認証vServerにバインドします。

    Citrix AD Configure Authentication SAML IDP Policy

    上記のすべてをCLIのみで構成するには、次のコマンドを実行します:

    add authentication samlIdPProfile samlProf_CloudflareAccess \
        -samlIdPCertName SAML_Signing \
        -assertionConsumerServiceURL "https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/callback" \
        -samlIssuerName "https://idp.yourdomain.com/saml/login" \
        -rejectUnsignedRequests OFF \
        -NameIDFormat emailAddress \
        -Attribute1 email \
        -Attribute1Expr "AAA.USER.ATTRIBUTE(\"email\")" \
        -Attribute1Format Basic \
        -serviceProviderID "https://idp.yourdomain.com/saml/login"
    

    add authentication samlIdPPolicy samlPol_CloudflareAccess -rule true -action samlProf_CloudflareAccess
    bind authentication vserver nsidp -policy samlPol_CloudflareAccess

  3. Zero Trustで、Settings > Authenticationに移動します。

  4. Login methodsの下で、Add newを選択します。

  5. フィールドを次のように構成します:

    FieldDescription
    Name選択した名前
    Single Sign On URLIdPのFQDN、パス/saml/loginを含む
    IdP Entity ID/Issuer URL上記と同様
    Signing CertificateNetScalerからの公開証明書
    Email attribute nameこれはOptional configurationsの下に記載されています

  6. Saveを選択します。

接続が正常に動作しているかテストするには、Authentication > Login methodsに移動し、テストしたいログインメソッドの横にあるTestを選択します。

Cloudflare DashboardDiscordCommunityLearning CenterSupport Portal
Cookie Settings