Azure Active Directory をIDプロバイダーとして使用したCitrix Workspaceへのドメインパススルー
Azure Active Directory (AAD) をIDプロバイダーとして使用し、ドメイン参加済み、ハイブリッド、およびAzure AD登録済みのエンドポイント/VMでCitrix Workspaceへのシングルサインオン (SSO) を実装できます。
-
この構成では、Windows Helloを使用して、AAD登録済みエンドポイントからCitrix WorkspaceにSSOすることも可能です。
- Windows Helloを使用したCitrix Workspaceアプリへの認証
- Citrix WorkspaceアプリでのFIDO2ベースの認証
- Microsoft AAD参加済みマシン (AADをIdPとして使用) からのCitrix WorkspaceアプリへのシングルサインオンとAADによる条件付きアクセス
仮想アプリおよびデスクトップへのSSOを実現するには、FASを展開するか、Citrix Workspaceアプリを次のように構成します。
注:
Windows Helloを使用している場合にのみ、Citrix WorkspaceリソースへのSSOを実現できます。ただし、公開された仮想アプリおよびデスクトップにアクセスする際には、ユーザー名とパスワードの入力を求められます。このプロンプトを解決するには、FASを展開し、仮想アプリおよびデスクトップへのSSOを構成します。
前提条件
- Azure Active DirectoryをCitrix Cloudに接続します。詳細については、Citrix CloudドキュメントのConnect Azure Active Directory to Citrix Cloudを参照してください。
- ワークスペースにアクセスするためのAzure AD認証を有効にします。詳細については、Citrix CloudドキュメントのEnable Azure AD authentication for workspacesを参照してください。
Citrix Workspaceへのシングルサインオンを実現するには:
- 1. `includeSSON`を使用してCitrix Workspaceアプリを構成します。
- Citrix Cloudで
prompt=login属性を無効にします。 - Azure Active Directory ConnectでAzure Active Directoryパススルーを構成します。
Citrix Workspace™ app for Windowsバージョン2503以降では、システムはデフォルトでSSONを休止モードでインストールします。インストール後にグループポリシーオブジェクト (GPO) ポリシーを使用してSSONを有効にできます。有効にするには、User Authentication > Local user name and passwordに移動し、Enable pass-through authenticationチェックボックスを選択します。
注:
SSON設定を有効にするには、GPOポリシーを更新した後、システムを再起動する必要があります。
SSOをサポートするためのCitrix Workspaceアプリの構成
前提条件
- Citrix Workspaceバージョン2109以降
- > **注:** > > FASをSSOに使用している場合、Citrix Workspaceの構成は不要です。
-
管理者コマンドラインからオプション
includeSSONを指定してCitrix Workspaceアプリをインストールします。CitrixWorkspaceApp.exe /includeSSON - Windowsクライアントからサインアウトし、サインインしてSSONサーバーを起動します。
-
Computer configuration > Administrative templates > Citrix Components > Citrix Workspace > User Authenticationをクリックして、Citrix Workspace GPOを変更し、Local username and passwordを許可します。
注:
これらのポリシーは、Active Directory経由でクライアントデバイスにプッシュできます。この手順は、WebブラウザーからCitrix Workspaceにアクセスする場合にのみ必要です。
-
スクリーンショットに従って設定を有効にします。
-
- GPO経由で次の信頼済みサイトを追加します。
https://aadg.windows.net.nsatc.nethttps://autologon.microsoftazuread-sso.com-
https://xxxtenantxxx.cloud.com: Workspace URL
注:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\DazzleのAllowSSOForEdgeWebviewレジストリがfalseに設定されている場合、AADのシングルサインオンは無効になります。
Citrix Cloudでのprompt=loginパラメーターの無効化
デフォルトでは、Citrix Workspaceでprompt=loginが有効になっており、ユーザーがサインイン状態を維持することを選択した場合や、デバイスがAzure AD参加済みである場合でも、認証が強制されます。
Citrix Cloudアカウントでprompt=loginを無効にできます。Workspace Configuration\Customize\Preferences-Federated Identity Provider Sessionsに移動し、トグルを無効にします。詳細については、Knowledge Centerの記事CTX253779を参照してください。
注:
AAD参加済みまたはハイブリッドAAD参加済みデバイスで、AADがWorkspaceのIdPとして使用されている場合、Citrix Workspaceアプリは資格情報を要求しません。ユーザーは職場または学校のアカウントを使用して自動的にサインインできます。
ユーザーが別のアカウントでサインインできるようにするには、次のレジストリをfalseに設定します。
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\DazzleまたはComputer\HKEY_CURRENT_USER\SOFTWARE\Citrix\Dazzleの下に、AllowSSOForEdgeWebviewという名前のREG_SZレジストリ文字列を作成して追加し、その値をFalseに設定します。または、ユーザーがCitrix Workspaceアプリからサインアウトした場合、次回のサインイン時に別のアカウントでサインインできます。
Azure Active Directory ConnectでのAzure Active Directoryパススルーの構成
- Azure Active Directory Connectを初めてインストールする場合は、User sign-inページで、サインオン方法としてPass-through Authenticationを選択します。詳細については、MicrosoftドキュメントのAzure Active Directory Pass-through Authentication: Quickstartを参照してください。
-
Microsoft Azure Active Directory Connectが既に存在する場合:
- Change user sign-inタスクを選択し、Nextをクリックします。
- サインイン方法としてPass-through Authenticationを選択します。
注:
クライアントデバイスがAzure AD参加済みまたはハイブリッド参加済みの場合は、この手順をスキップできます。デバイスがAD参加済みの場合は、Kerberos認証を使用してドメインパススルー認証が機能します。