ドメインパススルーアクセス行列
Citrix Workspaceを使用しており、ドメインパススルーを実現したい場合、サブセクションの表は、さまざまなシナリオと、各シナリオでドメインパススルーを実現できるかどうかを説明しています。
-
表の異なるヘッダー要素と、ヘッダー要素に関する追加情報は次のとおりです。
- エンドポイントの参加先: エンドポイントが参加しているディレクトリを示します。このディレクトリは、オンプレミスリソースへのアクセス制御を提供します。これは、オンプレミスのActive Directory (AD)、Azure Active Directory (AAD)、またはハイブリッドのいずれかです。
- IDプロバイダー (IdP): Citrix Workspaceに認証サービスを提供するために使用されるエンティティです。これにより、リソースに接続できます。
- フェデレーション認証サービス (FAS): 詳細については、「Citrixフェデレーション認証サービスを使用したワークスペースのシングルサインオンを有効にする」を参照してください。
- Virtual Delivery Agent (VDA): 詳細については、「VDAのインストール」を参照してください。
- VDAの参加先: VDAデバイスが参加しているディレクトリを示します。詳細については、「IDとアクセス管理」を参照してください。
- Citrix Workspace/VDAへのシングルサインオン (SSO): 「はい」または「いいえ」の値は、Citrix WorkspaceまたはVDAへのドメインパススルーがサポートされているかどうかを示します。
- Citrix Workspaceアプリ: シングルサインオンを実現するには、「ドメインパススルー認証での新規インストール時のシングルサインオンの構成」または「シングルサインオンの拡張ドメインパススルー」を参照してください。
注:
以下に示す一部のシナリオでドメインパススルーをサポートするには、最新バージョンのCitrix Workspaceアプリが必要になる場合があります。
Citrix Workspaceのドメインパススルーサポート
| エンドポイントの参加先 | IdP | VDAの参加先 | Citrix WorkspaceへのSSO | VDAへのSSO | ドキュメント |
|---|---|---|---|---|---|
| AD | オンプレミスのCitrix Gateway | AD | はい | Citrix Workspaceアプリ/FAS | オンプレミスのCitrix GatewayをIDプロバイダーとして使用したCitrix Workspaceへのドメインパススルー。 |
| AD | アダプティブ認証 | AD | はい | Citrix Workspaceアプリ/FAS | アダプティブ認証を構成するには、「アダプティブ認証サービス」を参照し、「オンプレミスのCitrix GatewayをIDプロバイダーとして使用したCitrix Workspaceへのドメインパススルー」の手順に従ってください。 |
| AD | 別のIdP (AAD/Okta) にフェデレーションされたCitrix Gateway | AD | はい | Citrix Workspaceアプリ/FAS | SAMLシングルサインオンの構成を使用してIdPを構成し、ドメインパススルーを構成するために使用されるIdPのドキュメントを参照してください。 |
| AD | Okta | AD | はい | Citrix Workspaceアプリ/FAS | OktaをIDプロバイダーとして使用したCitrix Workspaceへのドメインパススルー。 |
| AD/ハイブリッド参加 | AAD (AAD Connectを使用したAD) | AD | はい | Citrix Workspaceアプリ/FAS ** | Azure Active DirectoryをIDプロバイダーとして使用したCitrix Workspaceへのドメインパススルー。 |
| AD | SAMLベースの任意のIdP (例: ADFS) | AD | はい | Citrix Workspaceアプリ/FAS | 「SAMLをCitrix CloudへのIDプロバイダーとして接続する」を参照し、ドメインパススルーを構成するために使用されるIdPのドキュメントを参照してください。 |
| AD | AD | AD | いいえ | サポート対象外 | 該当なし |
| AD | AD+OTP | AD | いいえ | サポート対象外 | 該当なし |
| AD | AAD | AAD | いいえ | サポート対象外 | 該当なし |
| AAD | オンプレミスADなしのAAD | AD | はい | FAS | Citrix WorkspaceはMicrosoft Edge WebViewを使用しており、WorkspaceへのSSOを可能にします。FASを介したVDAへのSSOはサポートされています。詳細については、「Citrixフェデレーション認証サービスを使用したワークスペースのシングルサインオンを有効にする」を参照してください。 |
| AAD | AAD | AAD | はい | ユーザーは資格情報を入力する必要があります。 | Citrix WorkspaceはMicrosoft Edge WebViewを使用しており、WorkspaceへのSSOを可能にします。VDAへのSSOはサポートされていません。 |
| ドメイン非参加 | パスワードレス認証をサポートするIdP - リンク | AD | いいえ | FAS | Citrix WorkspaceはMicrosoft Edge WebViewを使用しており、WorkspaceへのSSOを可能にします。FASを介したVDAへのSSOはサポートされています。詳細については、「Citrix Workspaceへの認証のその他の方法」を参照してください。 |
注:
- Kerberosが機能するには、クライアントがADに到達可能である必要があります。
- **Citrixシングルサインオン (SSONSVR.exe) は、クライアント上のユーザー名またはパスワードでのみ機能します。ユーザーがWindows Helloを使用してサインインしている場合、FASが必要となるか、シングルサインオンの拡張ドメインパススルーを使用してください。
- LLTが有効になっている場合、またはエンドユーザー承諾ポリシーが構成されている場合、クラウドでの認証は完全にサイレントではない可能性があります。
- FASは非Windowsプラットフォームにも適用されるため、FASを構成することをお勧めします。
Citrix Workspace™アプリ for Windowsバージョン2503以降、システムはデフォルトでSSONを休止モードでインストールします。SSONは、インストール後にグループポリシーオブジェクト (GPO) ポリシーを使用して有効にできます。有効にするには、ユーザー認証 > ローカルユーザー名とパスワードに移動し、パススルー認証を有効にするチェックボックスをオンにします。
注:
SSON設定を有効にするには、GPOポリシーを更新した後、システムを再起動する必要があります。
StoreFrontのドメインパススルーサポート
| エンドポイントの参加先 | IdP | VDAの参加先 | Citrix WorkspaceへのSSO | VDAへのSSO | ドキュメント |
|---|---|---|---|---|---|
| AD | StoreFront | AD | はい | Citrix Workspaceアプリ/FAS | ドメインパススルー認証 |
| AD/ハイブリッド参加/Windows Hello for Business | StoreFront | AD | はい(1) | Citrix Workspaceアプリ/FAS(2) | ドメインパススルー認証およびCitrixフェデレーション認証サービスを使用したワークスペースのシングルサインオンを有効にする。 |
| AD | Citrix Gateway - 高度な認証 | AD | はい | Citrix Workspaceアプリ/FAS(3)) | |
| AD | Citrix Gateway - 基本認証 | AD | はい | Citrix Workspaceアプリ(4) | ドメインパススルー認証。 |
注:
シングルサインオンの拡張ドメインパススルーを使用するか、シングルサインオンコンポーネントをインストールしていない場合は、レジストリエディターで次のパスに移動し、
SSONCheckEnabled文字列をFalseに設定します。
HKEY_LOCAL_MACHINE\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\このキーは、Citrix Workspaceアプリ認証マネージャーがシングルサインオンコンポーネントをチェックするのを防ぎ、Citrix WorkspaceアプリがStoreFrontに対して認証することを許可します。
- Windows Helloを使用してサインインする場合、FASとSSOを有効にするためのレジストリ設定が必要です。
- Kerberosを使用するため、クライアントがADに到達可能である必要があります。
- クライアントがADに到達できない場合でも機能します。Kerberosは使用しません。
ドメインパススルーアクセス行列
コピー完了
コピー失敗