スマートカードを使用した Web Interfaceへのシングルサインオンの構成

ユーザーのログオンにスマートカードを使用する場合は、Web Interfaceへのシングルサインオンを構成できます。Citrix Gateway で設定を構成し、スマートカードでシングルサインオンを受け入れるようにWeb Interfaceを構成します。シングルサインオンは、パススルー認証とも呼ばれます。

Web Interfaceバージョン5.3および5.4では、スマートカードを使用したWeb Interfaceへのシングル・サインオンがサポートされています。NetScaler バージョン10で使用可能なCitrix ADC上のWeb Interface機能を有効にすると、スマートカードでシングルサインオンを使用することもできます。この機能の設定について詳しくは、「Citrix Gateway を介したWeb Interfaceでのスマートカード認証の使用」を参照してください。

ユーザーは、証明書の操作でユーザー名の抽出が SubjectAltName: PrincipalName である限り、シングルサインオンが機能するために Active Directory 内の複数の CN グループに属することができます。パラメータ Subject: CN を使用する場合、ユーザーは複数の CN グループに属することはできません。

スマートカードを使用してWeb InterfaceにシングルサインオンするようにCitrix Gateway を構成するには、次の操作を行う必要があります。

  • 認証局 (CA) からの署名付きサーバー証明書をインストールします。詳しくは、「Citrix Gateway への署名付き証明書のインストール」を参照してください。
  • Citrix Gateway とユーザーデバイスにルート証明書をインストールします。
  • Web Interface用のログオンポイントとして仮想サーバーを作成します。仮想サーバーを構成するときは、クライアント証明書の SSL パラメーターを [Optional] に設定する必要があります。仮想サーバの設定の詳細については、仮想サーバーの作成を参照してください。
  • SSL パラメータでクライアント認証を無効にするセカンダリ仮想サーバを作成します。この構成により、ユーザーは個人識別番号 (PIN) の二次要求を受信できなくなります。
  • クライアント証明書の認証ポリシーを作成します。[ユーザー名フィールド] で、サブジェクトAltName: PrincipalName パラメータを使用して、複数のグループからユーザーを抽出します。[グループ名] フィールドは空白のままにします。
  • Citrix Gateway でセッションポリシーとプロファイルを作成します。セッションプロファイル内で、ICAプロキシを有効にし、シングル・サインオンに使用するWeb Interfaceとドメインを指定します。

スマートカードを使用したシングルサインオン用のセッションプロファイルを作成するには、次の手順に従います。

スマートカードを使用してシングルサインオン用のセッションプロファイルを作成するには

  1. 構成ユーティリティの[構成]タブのナビゲーションペインで[Citrix Gatewayポリシー]を展開し、[セッション]をクリックします。
  2. 詳細ウィンドウで、[プロファイル] タブをクリックし、[追加] をクリックします。

3. [クライアントエクスペリエンス] タブで、[ホームページ] の横にある [グローバルに上書き] をクリックし、[ホームページの表示] をオフにします。

  1. 「Webアプリケーションへのシングル・サインオン」の横にある「グローバルに上書き」をクリックし、「Webアプリケーションへのシングル・サインオン」をクリックします。
  2. [Published Applications] タブをクリックします。
  3. ICAプロキシの横にある「グローバルオーバーライド」をクリックし、「ON」を選択します。
  4. [Web Interfaceアドレス] で、[グローバルに上書き] をクリックし、完全修飾ドメイン名 (FQDN) または Web Interfaceを入力します。
  5. [Single Sign-On Domain]で[グローバルに上書き]をクリックし、ドメイン名を入力します。

    : domain.com の形式ではなく、ドメインの形式を使用する必要があります。

  6. [Create] をクリックしてから、[Close] をクリックします。

セッションプロファイルを完了したら、セッションポリシーを設定し、そのプロファイルをポリシーの一部として使用します。その後、セッション・ポリシーを仮想サーバにバインドできます。

スマートカードを使用した Web Interfaceへのシングルサインオンの構成