ドメインパススルーアクセスのマトリックス

Citrix Workspaceを使用していて、ドメインパススルーを実現したい場合、サブセクションの表では、さまざまなシナリオと、各シナリオでドメインパススルーを実現できるかどうかについて説明します。

表のさまざまなヘッダー要素とヘッダー要素に関する追加情報は次のとおりです:

  • エンドポイントの参加先:エンドポイントが参加しているディレクトリを示します。このディレクトリは、オンプレミスリソースへのアクセス制御を提供します。これは、オンプレミスのActive Directory(AD)、Azure Active Directory(AAD)、またはハイブリッドの場合があります。
  • IDプロバイダー(IdP):Citrix Workspaceに認証サービスを提供するために使用されるエンティティ。リソースへの接続を可能にします。
  • フェデレーション認証サービス(FAS):詳しくは、「Citrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化」を参照してください。
  • Virtual Delivery Agent(VDA):詳しくは、「VDAのインストール」を参照してください。
  • VDAの参加先:VDAデバイスが参加しているディレクトリを示します。詳しくは、「IDおよびアクセス管理」を参照してください。
  • Citrix Workspace/VDAへのシングルサインオン(SSO):「はい」または「いいえ」の値は、Citrix WorkspaceまたはVDAへのドメインパススルーがサポートされているかどうかを示します。
  • Citrix Workspaceアプリ:シングルサインオンを実現するには、「ドメインパススルー認証での新規インストール中にシングルサインオンを構成する」を参照してください。

注:

次のシナリオの一部では、ドメインパススルーをサポートするために、最新バージョンのCitrix Workspaceアプリが必要になる場合があります。

Citrix Workspaceでのドメインパススルーのサポート

エンドポイントの参加先 IDプロバイダー VDAの参加先 Citrix WorkspaceへのSSO VDAへのSSO ドキュメント
AD オンプレミスのCitrix Gateway AD はい Citrix Workspaceアプリ/FAS オンプレミスCitrix GatewayをIDプロバイダーとして使用したCitrix Workspaceへのドメインパススルー
AD アダプティブ認証 AD はい Citrix Workspaceアプリ/FAS アダプティブ認証を構成するには、「アダプティブ認証サービス」を参照 し、「オンプレミスのCitrix GatewayをIDプロバイダーとして使用したCitrix Workspaceへのドメインパススルー」の手順に従います。
AD 別のIDプロバイダー(Azure Active Directory/Okta)とフェデレーションされたCitrix Gateway AD はい Citrix Workspaceアプリ/FAS SAMLシングルサインオンの構成」を使用してIDプロバイダーを構成し、ドメインパススルーの構成に使用されるIDプロバイダーのドキュメントを参照します。
AD Okta AD はい Citrix Workspaceアプリ/FAS OktaをIDプロバイダーとして使用したCitrix Workspaceへのドメインパススルー
AD/ハイブリッド参加済み AAD(AAD接続によるAD) AD はい Citrix Workspaceアプリ/FAS** Azure Active DirectoryをIDプロバイダーとして使用したCitrix Workspaceへのドメインパススルー
AD SAMLベースの任意のIDプロバイダー(ADFSなど) AD はい Citrix Workspaceアプリ SAMLをIDプロバイダーとしてCitrix Cloudに接続する」を参照し、ドメインパススルーの構成に使用されるIDプロバイダーのドキュメントを参照してください。
AD AD AD いいえ 未サポート -
AD AD+OTP AD いいえ 未サポート -
AD AAD AAD いいえ 未サポート -
AAD オンプレミスADなしのAAD AD はい FAS Citrix Workspaceは、Microsoft Edge WebViewを使用してワークスペースへのSSOを可能にします。VDAへのSSOは、FASを介してサポートされます。詳しくは、「Citrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化」を参照してください。
AAD AAD AAD はい ユーザーは資格情報を入力する必要があります。 Citrix Workspaceは、Microsoft Edge WebViewを使用してワークスペースへのSSOを可能にします。VDAへのSSOはサポートされていません。
ドメイン非参加 パスワード不要の認証をサポートするIDプロバイダー - リンク AD いいえ FAS Citrix Workspaceは、Microsoft Edge WebViewを使用してワークスペースへのSSOを可能にします。VDAへのSSOは、FASを介してサポートされます。詳しくは、「Citrix Workspaceへの認証を行う他の方法」参照してください。

注:

  • Kerberosが機能するには、クライアントがADに到達できる必要があります。
  • **Citrix Single Sign-on(SSONSVR.exe)は、クライアントでユーザー名またはパスワードでのみ機能します。ユーザーがWindows Helloを使用してサインインしている場合は、FASが必要です。
  • LLTが有効になっている場合、またはエンドユーザー承認ポリシーが構成されている場合、クラウドで完全なサイレント認証にならない可能性があります。
  • Windows以外のプラットフォームに適用するためには、FASを構成することをお勧めします。

StoreFrontのドメインパススルーサポート

エンドポイントの参加先 IDプロバイダー VDAの参加先 Citrix WorkspaceへのSSO VDAへのSSO ドキュメント
AD StoreFront AD はい Citrix Workspaceアプリ ドメインパススルー認証
AD/ハイブリッド参加済み/Windows Hello for Business StoreFront AD はい(1) Citrix Workspaceアプリ/FAS(2) ドメインパススルー認証およびCitrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化
AD Citrix Gateway - 高度な認証 AD はい Citrix Workspaceアプリ(3))  
AD Citrix Gateway - 基本認証 AD はい Citrix Workspaceアプリ(4) ドメインパススルー認証

注:

  1. レジストリエディターで次のパスに移動し、シングルサインオンコンポーネントをインストールしていない場合はSSONCheckEnabled文字列をFalseに設定します。

    HKEY_LOCAL_MACHINE\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\

    The key prevents the Citrix Workspace app authentication manager from checking for the single sign-on component and allows Citrix Workspace app to authenticate to StoreFront.

  2. Windows Helloを使用してサインインしている場合は、SSOを有効にするためにFASとレジストリ構成が必要です。
  3. クライアントはKerberosを使用するために、ADに到達可能である必要があります。
  4. クライアントがADに到達できない場合でも機能します。Kerberosを使用していません。
ドメインパススルーアクセスのマトリックス