シングルサインオンのための拡張ドメインパススルー
シングルサインオンのための拡張ドメインパススルーは、Kerberosを使用して、Active Directory (AD) に参加しているクライアントデバイスとCitrix StoreFrontを使用する際に、Citrix Workspaceアプリおよび仮想アプリとデスクトップセッションへのシングルサインオンを可能にします。
注:
この機能は32ビットオペレーティングシステムではサポートされていません。
この機能は、Citrix Single Sign-on Service (ssonsvr.exe) に基づく従来のパススルー認証機能の代替です。
以下のバージョンのCitrix WorkspaceアプリとVDAを使用している場合、この機能はWindows 11ではサポートされません。
VDA: 2308、2311、2402
- Citrix Workspaceアプリ: 2309、2309.1、2311、2402
システム要件
- コントロールプレーン
- Citrix DaaS™
- Citrix Virtual Apps and Desktops™ 2311以降
- Virtual Delivery Agent
- Windows: バージョン2308以降
>**注:**
>
> Virtual Delivery Agentバージョン2308から2402を使用している場合、この機能はWindows 11ではサポートされません。バージョン2407以降はWindows 11でこの機能をサポートします。
- Citrix Workspace™アプリ
- Windows向けCitrix Workspaceアプリ 2309以降
- >**注:**
- >
- > Citrix Workspaceアプリバージョン2309から2402を使用している場合、この機能はWindows 11ではサポートされません。バージョン2405.10以降はWindows 11でこの機能をサポートします。
- クライアントデバイス
- Active Directoryドメインに参加済み
- Windows 10 64ビット
- Windows 11 64ビット
- マルチセッションセッションホスト
- Windows Server 2019
- Windows Server 2022
- Windows 10 Enterprise multi-session 22H2
- Windows 11 Enterprise multi-session 22H2以降
- シングルセッションセッションホスト
- Windows 10 バージョン22H2
- Windows 11 バージョン22H2以降
注:
- クライアントデバイスはドメインコントローラーへの直接接続が必要です。デバイスがネットワーク外にある場合、シングルサインオンはサポートされません。
StoreFront™の構成
ストアとその対応するWebサイトに対して、ドメインパススルー認証を有効にする必要があります。
ストアのドメインパススルーを有効にするには、以下の手順を実行します。
- StoreFront管理コンソールを開きます。
-
ストア > 認証方法の管理に移動します。「認証方法の管理 - Web」ウィンドウが表示されます。
-
ドメインパススルーチェックボックスを選択します。
- OKをクリックします。
Webサイトのドメインパススルーを有効にするには、以下の手順を実行します。
- StoreFront管理コンソールを開きます。
- ストア > Receiver for Websitesタブ > Receiver for Webサイトの管理 > 構成 > 認証方法を開きます。「Receiver for Webサイトの編集 - /Citrix/Web」ウィンドウが表示されます。
-
ドメインパススルーチェックボックスを選択します。
- OKをクリックします。
Citrixポリシーの構成
Citrixポリシーを使用して設定を有効にする必要があります。
-
- Citrix StudioまたはWebコンソールに移動します。
-
- ポリシー > ポリシーの作成をクリックします。「ポリシーの作成」ダイアログボックスが表示されます。
- シングルサインオンのための拡張ドメインパススルーポリシーを検索します。「設定の編集」ダイアログボックスが表示されます。
-
許可オプションを選択して、シングルサインオンのための拡張ドメインパススルーポリシーを有効にします。
- OKをクリックします。
セッションホストの構成
Citrixポリシーを使用してシングルサインオンのための拡張ドメインパススルー機能を有効にした後、セッションホストでWindows設定も有効にする必要があります。Windows設定は、ローカルポリシーまたはGPOを通じて有効にできます。
-
コンピューターの構成\ポリシー\管理用テンプレート\システム\資格情報の委任に移動します。 -
リモートホストはエクスポート不可能な資格情報の委任を許可する設定を有効にします。
- 設定を有効にするためにセッションホストを再起動します。
注:
リモートホストはエクスポート不可能な資格情報の委任を許可する設定は、Windows Server 2016のローカルポリシーでは利用できません。GPOを使用せずにセッションホストでこの設定をローカルで構成する必要がある場合は、以下のレジストリ値を追加する必要があります。
キー: HKLM\SYSTEM\CurrentControlSet\Control\Lsa
- 値の型: DWORD
- 値の名前: DisableRestrictedAdmin
- 値のデータ: 0
クライアントデバイスの構成
クライアントデバイスで以下を実行する必要があります。
- シングルサインオンのための拡張ドメインパススルーを有効にする
- StoreFrontサイトを信頼する
シングルサインオンのための拡張ドメインパススルーを有効にする
クライアントデバイスでシングルサインオンのための拡張ドメインパススルー機能を有効にする必要があります。これは、ローカルポリシーまたはGPOを通じて実行できます。
-
コンピューターの構成\ポリシー\管理用テンプレート\Citrixコンポーネント\Citrix Workspace\ユーザー認証に移動します。 -
シングルサインオンのための拡張ドメインパススルー設定を有効にします。
- 設定を有効にするためにCitrix Workspaceアプリを再起動します。
StoreFrontサイトを信頼する
StoreFrontのURLがクライアントデバイスによって信頼されていることを確認する必要があります。URLがすでに信頼されているドメインの一部でない場合は、ローカルイントラネットサイトまたは信頼済みサイトとして追加する必要があります。これは、ローカルポリシーまたはGPOを通じて実行できます。
-
コンピューターの構成\ポリシー\管理用テンプレート\Windowsコンポーネント\Internet Explorer\インターネットコントロールパネル\セキュリティページに移動します。 -
サイトとゾーンの割り当てリスト設定を有効にし、適切なURLと対応するゾーンの割り当てを追加します。
-
ログオンオプション設定を有効にし、現在のユーザー名とパスワードで自動ログオンに設定します。
