シングルサインオンのための拡張ドメインパススルー
シングルサインオンのための拡張ドメインパススルーは、Kerberosを使用して、Active Directory (AD) に参加しているクライアントデバイスとCitrix StoreFrontを使用する際に、Citrix Workspaceアプリおよび仮想アプリとデスクトップセッションへのシングルサインオンを可能にします。
注:
この機能は32ビットオペレーティングシステムではサポートされていません。
この機能は、Citrix Single Sign-on Service (ssonsvr.exe) に基づく従来のパススルー認証機能の代替です。
以下のバージョンのCitrix WorkspaceアプリとVDAを使用している場合、この機能はWindows 11ではサポートされません。
VDA: 2308、2311、2402
- Citrix Workspaceアプリ: 2309、2309.1、2311、2402
システム要件
- コントロールプレーン
- Citrix DaaS™
- Citrix Virtual Apps and Desktops™ 2311以降
- Virtual Delivery Agent
- Windows: バージョン2308以降
>**注:**
>
> Virtual Delivery Agentバージョン2308から2402を使用している場合、この機能はWindows 11ではサポートされません。バージョン2407以降はWindows 11でこの機能をサポートします。
- Citrix Workspace™アプリ
- Windows向けCitrix Workspaceアプリ2309以降
- >**注:**
- >
- > Citrix Workspaceアプリバージョン2309から2402を使用している場合、この機能はWindows 11ではサポートされません。バージョン2405.10以降はWindows 11でこの機能をサポートします。
- クライアントデバイス
- Active Directoryドメインに参加済み
- Windows 10 64ビット
- Windows 11 64ビット
- マルチセッションセッションホスト
- Windows Server 2019
- Windows Server 2022
- Windows 10 Enterprise multi-session 22H2
- Windows 11 Enterprise multi-session 22H2以降
- シングルセッションセッションホスト
- Windows 10 バージョン22H2
- Windows 11 バージョン22H2以降
注:
- クライアントデバイスはドメインコントローラーへの直接接続が必要です。デバイスがネットワーク外にある場合、シングルサインオンはサポートされません。
StoreFront™の構成
ストアとその対応するWebサイトでドメインパススルー認証を有効にする必要があります。
ストアのドメインパススルーを有効にするには、次の手順を実行します。
- StoreFront管理コンソールを開きます。
-
Store > Manage Authentication methodsに移動します。Manage Authentication Methods - Webウィンドウが表示されます。
-
Domain pass-throughチェックボックスをオンにします。
- OKをクリックします。
Webサイトのドメインパススルーを有効にするには、次の手順を実行します。
- StoreFront管理コンソールを開きます。
- Stores > Receiver for Websitesタブ > Manage Receiver for Web Sites > Configure > Authentication Methodsを開きます。Edit Receiver for Web site - /Citrix/Webウィンドウが表示されます。
-
Domain pass-throughチェックボックスをオンにします。
- OKをクリックします。
Citrixポリシーの構成
Citrixポリシーを使用して設定を有効にする必要があります。
-
- Citrix StudioまたはWebコンソールに移動します。
-
- Policies > Create Policyをクリックします。Create Policyダイアログボックスが表示されます。
- Enhanced domain pass-through for single sign-onポリシーを検索します。Edit Settingsダイアログボックスが表示されます。
-
Allowedオプションを選択して、Enhanced domain pass-through for single sign-onポリシーを有効にします。
- OKをクリックします。
セッションホストの構成
Citrixポリシーを使用してEnhanced domain pass-through for single sign on機能を有効にした後、セッションホストでWindows設定も有効にする必要があります。Windows設定は、ローカルポリシーまたはGPOを通じて有効にできます。
-
Computer Configuration\Policies\Administrative Templates\System\CredentialsDelegationに移動します。 -
Remote host allows delegation of non-exportable credentials設定を有効にします。
- 設定を有効にするには、セッションホストを再起動します。
注:
Remote host allows delegation of non-exportable credentials設定は、Windows Server 2016のローカルポリシーでは利用できません。GPOを使用せずにセッションホストでこの設定をローカルで構成する必要がある場合は、次のレジストリ値を追加する必要があります。
キー: HKLM\SYSTEM\CurrentControlSet\Control\Lsa
- 値の型: DWORD
- 値の名前: DisableRestrictedAdmin
- 値のデータ: 0
クライアントデバイスの構成
クライアントデバイスで次の操作を行う必要があります。
- シングルサインオンのための拡張ドメインパススルーを有効にする
- StoreFrontサイトを信頼する
シングルサインオンのための拡張ドメインパススルーを有効にする
クライアントデバイスでEnhanced domain pass-through for single sign on機能を有効にする必要があります。これは、ローカルポリシーまたはGPOを通じて行うことができます。
-
Computer Configuration\Policies\Administrative Templates\Citrix Components\Citrix Workspace\User Authenticationに移動します。 -
Enhanced Domain pass-through for single sign-on設定を有効にします。
- 設定を有効にするには、Citrix Workspaceアプリを再起動します。
StoreFrontサイトを信頼する
StoreFrontのURLがクライアントデバイスによって信頼されていることを確認する必要があります。URLがすでに信頼されているドメインの一部でない場合は、ローカルイントラネットサイトまたは信頼済みサイトとして追加する必要があります。これは、ローカルポリシーまたはGPOを通じて行うことができます。
-
Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Securityページに移動します。 -
Site to Zone Assignment List設定を有効にし、適切なURLと対応するゾーン割り当てを追加します。
-
Logon options設定を有効にし、現在のユーザー名とパスワードでAutomatic logonに設定します。
