ドメインパススルー認証の構成

シングルサインオンを使用すると、ドメインに対して認証することで、そのドメインで提供されているアプリケーションやデスクトップを再認証する必要なく使用できます。

Citrix Receiverにログオンすると、スタートメニューの設定を含め、列挙されたアプリケーションやデスクトップとともに資格情報がStoreFrontにパススルーされます。シングルサインオンの設定後、資格情報を複数回入力することなく、Citrix ReceiverにログオンしてXenAppまたはXenDesktopセッションを開始できます。

ユーザーがアプリケーションアイコンをクリックすると、Citrix Receiverがユーザーのドメイン資格情報をDelivery Controllerにパススルーし、アプリケーションまたはデスクトップが開きます。

次のいずれかのオプションを使用してCitrix Receiverをインストールする時にシングルサインオンを構成できます。

  • コマンドラインインターフェイス
  • グラフィカルユーザーインターフェイス

前提条件

  1. Internet Explorerを使用して信頼済みサイトの一覧にStoreFrontサーバーを追加します。これを行うには:
    1. Internet Explorerを起動します。
    2. [ツール] > [インターネットオプション] > [セキュリティ] > [ローカルイントラネット] を選択し、[サイト] をクリックします。[ローカルイントラネット] ウィンドウが開きます。
    3. [詳細設定] を選択します。
    4. 適切なHTTPまたはHTTPSプロトコルを使用して、StoreFrontまたはWeb InterfaceのFQDNのURLを追加します。
    5. [適用]、[OK] の順にクリックします。
  2. Internet Explorerで [ユーザー認証] の設定を変更します。これを行うには:
    1. Internet Explorerを起動します。
    2. [インターネットオプション] > [セキュリティ] タブで、[信頼済みサイト] をクリックします。
    3. [レベルのカスタマイズ] をクリックします。[セキュリティ設定 - 信頼されたゾーン] ウィンドウが開きます。
    4. [ユーザー認証] ウィンドウで、[現在のユーザー名とパスワードで自動的にログオンする] を選択します。

 alt_text

コマンドラインインターフェイスを使用したシングルサインオンの構成

Citrix Receiver for Windowsを/includeSSONスイッチでインストールします。

Receiver for Windowsを再起動して、この変更を適用します。

メモ

Citrix Receiverがシングルサインオンコンポーネントなしでインストールされている場合、/includeSSONスイッチを使用してCitrix Receiverの最新バージョンにアップグレードすることはサポートされていません。

グラフィカルユーザーインターフェイスを使用したシングルサインオンの構成

  1. Citrix Receiver for Windowsインストールファイル(CitrixReceiver.exe)を検索します。
  2. CitrixReceiver.exeをダブルクリックしてインストーラーを起動します。
  3. シングルサインオンの有効化インストールウィザードで、シングルサインオンを有効にするチェックボックスをオンにして、Citrix Receiver for WindowsでSSON機能を有効にしてインストールします。これは、Citrix Receiver for Windowsをコマンドラインスイッチの/includeSSONを使ってインストールするのと同じです。

次の図は、シングルサインオンを有効にする方法を示しています。

 alt_text

Receiver for Webでのシングルサインオンの構成

グループポリシーオブジェクト管理用テンプレートを使用して、Receiver for Webのシングルサインオンを構成できます。

注:Citrix Receiver for Windowsを初めてアップグレードまたはインストールする場合、最新のテンプレートファイルをローカルGPOに追加する必要があります。テンプレートファイルをローカルGPOに追加する方法の詳細については、https://docs.citrix.com/ja-jp-/receiver/windows/current-release/configure/config-gpo-template.htmlを参照してください。アップグレードの場合、最新のファイルをインポートする時に既存の設定が保持されます。

  1. gpedit.mscを実行して、Citrix Receiver GPO管理用テンプレートを開きます。
  2. [コンピューター構成] ノードで、[管理用テンプレート] > [Citrixコンポーネント] > [Citrix Receiver] > [ユーザー認証] の順に移動します。
  3. [ローカルユーザー名とパスワード] ポリシーを選択し、[有効] に設定します。
  4. [パススルー認証を有効にします] をクリックします。このオプションを使用すると、Citrix Receiverはリモートサーバーでの認証にログイン資格情報を使用できます。
  5. [すべてのICA接続にパススルー認証を許可します] をクリックします。このオプションは、すべての認証制限を省略し、すべての接続で資格情報のパススルーを許可します。
  6. [適用][OK] の順にクリックします。
  7. Citrix Receiver for Windows for Webを再起動して、この変更を適用します。

Citrix Receiverを起動してシングルサインオンが有効になっていることを確認します。Receiverの起動後、タスクマネージャーを起動し、ssonsvr.exeプロセスが実行されているかを確認します。

StoreFrontおよびWeb Interfaceでのシングルサインオンの構成

StoreFrontの構成

SSONをStoreFrontおよびWeb Interfaceで構成するには、Citrix StudioをStoreFrontサーバーで開いて [認証]>[認証方法の追加と削除] の順に選択します。[ドメインパススルー] を選択します。

 alt_text

Web Interface構成

SSONをWeb Interfaceで構成するには、[Citrix Web Interface管理]>[XenApp Servicesサイト]>[認証方法] の順に選択して [パススルー] を選択します。

 alt_text

構成チェッカーを使用したシングルサインオンの構成の検証

構成チェッカーで、シングルサインオンが正しく構成されていることを確認するためのテストを実行できます。テストはシングルサインオン構成の各チェックポイントに対して実行され、構成結果を表示します。

  1. システムトレイでCitrix Receiver for Windowsを右クリックし、[高度な設定] をクリックします。
  2. [構成チェッカー] をクリックします。 [Citrix構成チェッカー]ダイアログボックスが開きます。

     alt_text

  3. [選択] ペインで [SSONChecker] チェックボックスをオンにします。
  4. [実行] をクリックします。テストの状態を示す進捗状況バーが表示されます。

[構成チェッカー]ウィンドウには次の列があります。

  1. Status:特定のチェックポイントでのテスト結果が表示されます。
    • 緑色のチェックマークは、チェックポイントが適切に構成されていることを示します。
    • 青色のIは、チェックポイントに関する情報を示します。
    • 赤色のXは、チェックポイントが適切に構成されていないことを示します。
  2. Provider:テストが実行されているモジュールの名前が表示されます。この場合は、シングルサインオンになります。
  3. Suite:テストのカテゴリを示します。例:Installation。
  4. Test:実行中のテストの名前を示します。
  5. Details:テスト結果にかかわらず、そのテストの詳細が表示されます。

各チェックポイントおよび対応する結果の詳細を確認することができます。

以下のテストが実施されます。

  1. シングルサインオンとともにインストール済み
  2. ログオン資格情報のキャプチャ
  3. ネットワークプロバイダーの登録 ネットワークプロバイダーの登録のテスト結果で緑色のチェックマークが表示されるのは、ネットワークプロバイダーの一覧で「Citrix Single Sign-on」が先頭に設定されている場合のみです。「Citrix Single Sign-On」が一覧の先頭以外の場所に表示されている場合、ネットワークプロバイダーの登録のテスト結果では青色のIと詳細情報が表示されます。
  4. シングルサインオンプロセスが実行されている
  5. グループポリシー デフォルトでは、このポリシーはクライアントで構成されます。
  6. セキュリティゾーンの設定[インターネットオプション]のセキュリティゾーンの一覧にStore/XenAppサービスのURLを追加していることを確認してください。

    セキュリティゾーンをグループポリシー経由で構成しており、そのポリシーを変更した場合、変更を有効にしてテストの正確な状態が表示されるようにするために、[高度な設定]ウィンドウを開き直す必要があります。

  7. Web Interface/StoreFrontの認証方法

メモ

  • Receiver for Webにユーザーがアクセスしている場合、テスト結果は不正確になります。 Citrix Receiver for Windowsで複数のストアを構成している場合、認証方法テストはすべての構成済みストアに対して実行されます。
  • テスト結果はレポートとして保存できます。デフォルトのレポート形式は.txtです。
  • Receiver for Webにユーザーがアクセスしている場合、テスト結果は不正確になります。
  • Citrix Receiver for Windowsで複数のストアを構成している場合、認証方法テストはすべての構成済みストアに対して実行されます。
  • テスト結果はレポートとして保存できます。デフォルトのレポート形式は.txtです。
  • Receiver for Webにユーザーがアクセスしている場合、テスト結果は不正確になります。
  • Citrix Receiver for Windowsで複数のストアを構成している場合、認証方法テストはすべての構成済みストアに対して実行されます。
  • テスト結果はレポートとして保存できます。デフォルトのレポート形式は.txtです。
    • Receiver for Webにユーザーがアクセスしている場合、テスト結果は不正確になります。
    • Citrix Receiver for Windowsで複数のストアを構成している場合、認証方法テストはすべての構成済みストアに対して実行されます。
    • テスト結果はレポートとして保存できます。デフォルトのレポート形式は.txtです。

ドメインパススルー認証の構成方法について詳しくは、Knowledge CenterのCTX133982を参照してください。

[高度な設定]ウィンドウの[構成チェッカー]オプションを非表示にする

  1. gpedit.mscを実行して、Citrix Receiverグループポリシーオブジェクト管理用テンプレートを開きます。
  2. グループポリシーエディターで、[Citrix コンポーネント]>[Citrix Receiver]>[Self Service]>[DisableConfigChecker] の順に開きます。
  3. [有効] を選択すると、[高度な設定]ウィンドウで[構成チェッカー]オプションが表示されなくなります。
  4. [適用][OK] の順にクリックします。
  5. コマンドプロンプトを開きます。
  6. gpupdate /forceコマンドを実行します。

制限事項

構成チェッカーの対象チェックポイントに、XenAppおよびXenDesktopサーバー上の[Citrix XML Serviceへの要求を信頼する]の構成は含まれません。