認証サービスの構成
認証方法の管理
ユーザーの認証方法を有効にしたり無効にしたりするには、Citrix StoreFront管理コンソールの結果ペインで認証方法を選択して、[操作]ペインの [認証方法の管理] をクリックします。
- Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルをクリックします。
- Citrix StoreFront管理コンソールの左ペインで [ストア] ノードを選択して、[操作] ペインの [認証方法の管理] をクリックします。
- ユーザーに許可するアクセス方法を指定します。
- 指定ユーザー認証を有効にするには [ユーザー名とパスワード] チェックボックスをオンにします。この場合、ユーザーは資格情報を入力してストアにアクセスします。
- SAML IDプロバイダーとの統合を有効にするには、[SAML認証] チェックボックスをオンにします。ユーザーはAccess Gatewayにログオンすることによって認証を受け、ストアにアクセスする時は自動的にログオンします。[設定]ボックスの一覧で次を選択します。
- IDプロバイダー:IDプロバイダーの信頼性を構成する場合。
- サービスプロバイダー:サービスプロバイダーの信頼性を構成する場合。この情報は、IDプロバイダーから要求されます。
- ユーザーデバイスからActive Directoryドメイン資格情報がパススルーされるようにするには、[ドメインパススルー] をオンにします。この場合、ユーザーはドメインに参加しているWindowsコンピューターにログオンするときに認証されるため、ストアにアクセスするときは自動的にログオンできます。このオプションを使用する場合は、Citrix Receiver for WindowsまたはWindows向けCitrix Workspaceアプリをユーザーデバイスにインストールする時にパススルー認証を有効にする必要があります。
注:
Citrix Receiver for Webでのドメインパススルー認証は、Internet Explorer、Microsoft Edge、Mozilla Firefox、およびGoogle Chromeを使用するWindowsオペレーティングシステムでのみサポートされており、WebブラウザーがネイティブのCitrix Workspaceアプリと通信するには、クライアントが問題なく検出される必要があります。これは、ドメインパススルー認証が機能するための前提条件です。
- スマートカード認証を有効にするには、[スマートカード] をオンにします。ユーザーは、ストアにアクセスするときに、スマートカードとPINを使用して認証されます。
- HTTP基本認証を有効にするには、[HTTP基本] をオンにします。ユーザー認証は、StoreFrontサーバーのIIS Webサーバーで実行されます。
- Citrix Gatewayからのパススルー認証を有効にするには、[Citrix Gatewayからのパススルー] をオンにします。ユーザーはCitrix Gatewayにログオンするときに認証されるため、ストアにアクセスするときは自動的にログオンできます。
Citrix Gatewayを経由してストアにアクセスするスマートカードユーザーのパススルー認証を有効にするには、[認証の委任構成]タスクを使用します。
信頼されるユーザードメインの構成
ドメインの資格情報を明示的に入力して(直接またはCitrix Gatewayを介したパススルー認証で)ログオンするユーザーのストアへのアクセスを制限するには、[信頼済みドメイン]タスクを使用します。
-
Windowsの [スタート] 画面または [アプリ] 画面で、[Citrix StoreFront] タイルをクリックします。
-
Citrix StoreFront管理コンソールの左ペインで[ストア]ノードを選択して、結果ペインで認証方法を選択します。[操作]ペインで [認証方法の管理] をクリックします。
-
[ユーザー名とパスワード]>[設定] の一覧から、[信頼されるドメインの構成] を選択します。
-
[信頼済みドメインのみ] をクリックして [追加] をクリックし、信頼されるドメインの名前を入力します。この認証サービスを使用するすべてのストアでは、ここで追加したドメインのアカウントでログオンできます。ドメイン名を変更するには、[信頼されるドメイン]の一覧でエントリを選択して [編集] をクリックします。特定ドメインのユーザーアカウントでのアクセスを禁止するには、一覧でそのドメインを選択して [削除] をクリックします。
管理者がドメイン名を指定する方法により、ユーザーが資格情報の入力時に使用すべき形式が決まります。ユーザーにドメインユーザー名形式で資格情報を入力させるには、一覧にNetBIOS名を追加します。ユーザーにユーザープリンシパル名形式で資格情報を入力させるには、一覧に完全修飾ドメイン名を追加します。ユーザーがドメインユーザー名形式でもユーザープリンシパル名形式でも資格情報を入力できるようにするには、一覧にNetBIOS名と完全修飾ドメイン名の両方を追加する必要があります。
-
信頼されるドメインを複数構成する場合は、ユーザーがログオンするときにデフォルトで選択されるドメインを[デフォルトドメイン]ボックスの一覧から選択します。
-
ログオンページに信頼されるドメインを一覧表示するには、[ログオンページにドメイン一覧を表示する]チェックボックスをオンにします。
ユーザーがパスワードを変更できるようにする
ドメインの資格情報を使ってCitrix WorkspaceアプリとReceiver for Webサイトにログオンするユーザーがパスワードを変更できるようにするには、[パスワードオプションの管理] タスクを使用します。認証サービスを作成したときのデフォルトの構成では、パスワードが失効しても、Citrix WorkspaceアプリおよびCitrix Receiver for Webサイトのユーザーはパスワードを変更できません。この機能を有効にする場合は、サーバーが属しているドメインのポリシーでユーザーによるパスワード変更が禁止されていないことを確認してください。ユーザーによるパスワードの変更を有効にすると、この認証サービスを使用するストアにアクセスできるすべてのユーザーに、慎重に扱うべきセキュリティ機能が公開されることになります。組織のセキュリティポリシーにより、ユーザーパスワード変更機能が内部使用のみに制限される環境では、社内ネットワークの外側からそれらのストアにアクセスできないことを確認してください。
-
Citrix Receiver for Webは、選択的なパスワードの変更および、有効期限が切れた時のパスワードの変更をサポートします。すべてのデスクトップCitrix Workspaceアプリは、有効期限が切れた時にのみCitrix Gatewayを介したパスワードの変更をサポートします。Windowsの [スタート] 画面または [アプリ] 画面で、[Citrix StoreFront] タイルをクリックします。
-
Citrix StoreFront管理コンソールの左ペインで [ストア] ノードを選択し、[操作]ペインで [認証方法の管理] をクリックします。
-
[ユーザー名とパスワード]>[設定] ドロップダウンメニューから、[パスワードオプションの管理] を選択し、ドメインの資格情報を使ってCitrix Receiver for Webサイトにログオンするユーザーに、パスワードの変更を許可する条件を指定します。
- ユーザーがいつでもパスワードを変更できるようにするには、[常時]を選択します。パスワードの期限切れが近いローカルユーザーには、ログオン時に警告が表示されます。パスワードの有効期限切れの警告は、内部ネットワークから接続しているユーザーにのみ表示されます。デフォルトでは、ユーザーに対する通知期間は、適用されるWindowsポリシーの設定によって決まります。カスタムの通知期間を設定する方法について詳しくは、「パスワードの有効期限切れ通知期間の構成」を参照してください。Citrix Receiver for Webでのみサポートされます。
-
パスワードの有効期限が切れた場合にのみユーザーがパスワードを変更できるようにするには、[パスワードの有効期限] を選択します。パスワードが失効してログオンできなくなったユーザーには、[パスワードの変更]ダイアログボックスが開きます。これは、Citrix WorkspaceアプリとCitrix Receiver for Webでサポートされています。
注:
StoreFrontサーバー上にすべてのユーザーのプロファイルを保存するための空き領域があることを確認してください。StoreFrontではユーザーのパスワードの失効が近いかどうかを確認するため、サーバー上に各ユーザーのローカルプロファイルが作成されます。ユーザーのパスワードを変更するには、StoreFrontはドメインコントローラーと通信する必要があります。
-
ユーザーによるパスワードの変更を禁止する場合は、[ユーザーにパスワードの変更を許可する] をオンにしないでください。このオプションを選択しない場合は、パスワードが失効してデスクトップやアプリケーションにアクセスできないユーザーをどのようにサポートするかを検討しておく必要があります。
- ユーザーによるパスワードの変更を禁止する場合は、[ユーザーにパスワードの変更を許可する] をオンにしないでください。このオプションを選択しない場合は、パスワードが失効してデスクトップやアプリケーションにアクセスできないユーザーをどのようにサポートするかを検討しておく必要があります。
Citrix Workspaceアプリ StoreFrontで有効になっている場合、ユーザーが有効期限切れのパスワードできる パスワードの有効期限が切れたら、ユーザーに通知される StoreFrontで有効になっている場合は、パスワードの有効期限が切れる前に、ユーザーがそれを変更できる Windows はい Mac はい Android iOS Linux はい Web はい はい はい
共有認証サービス設定
共有認証サービス設定タスクを使ってストアを指定し、ストア間でシングルサインオンを有効にする認証サービスを共有します。
- Windowsの [スタート] 画面または [アプリ] 画面で、[Citrix StoreFront] タイルをクリックします。
- Citrix StoreFront管理コンソールの左ペインで [ストア] ノードを選択して、結果ペインでストアを選択します。[操作] ペインで [認証方法の管理] をクリックします。
- [詳細] ドロップダウンメニューから、[共有認証サービス設定] を選択します。
- [共有認証サービスを使用する] チェックボックスをオンにして、[ストア] 名ドロップダウンメニューからストアを選択します。
注:
共有認証サービスと専用認証サービスに機能的な違いはありません。2つ以上のストアによって共有される認証サービスは、共有認証サービスとして扱われ、構成の変更はいずれも共有認証サービスを使用するすべてのストアに対して適用されます。
資格情報の検証をCitrix Gatewayに委任する
Citrix Gatewayを経由してストアにアクセスするスマートカードユーザーのパススルー認証を有効にするには、[認証の委任構成]タスクを使用します。このタスクは、[Citrix Gatewayからのパススルー]が有効で、その認証方法が結果ペインで選択されている場合のみ使用できます。
資格情報の検証をCitrix Gatewayに委任した場合、ユーザーはスマートカードを使ってCitrix Gatewayへの認証を実行し、ストアにアクセスするときは自動的にログオンします。スマートカードユーザーのパススルー認証は、管理者がCitrix Gatewayからのパススルー認証を有効にするとデフォルトで無効になるため、ユーザーがパスワードを使ってCitrix Gatewayにログオンした場合にのみパススルー認証が発生します。