StoreFront

Citrix Gatewayからのパススルー

ユーザーはCitrix Gatewayにログオンするときに認証されるため、ストアにアクセスするときは自動的にログオンできます。Citrix Gatewayからのパススルー認証は、ストアへのリモートアクセスを最初に構成するときにデフォルトで有効になります。ユーザーは、Citrix WorkspaceアプリまたはWebブラウザーを使用して、Citrix Gateway経由でストアに接続できます。Citrix Gatewayを使用するためのStoreFrontの構成について詳しくは、「Citrix Gatewayの追加」を参照してください。

StoreFrontは、次のCitrix Gateway認証方法でのパススルーをサポートします。

  • ドメイン。ユーザーは、Active Directoryのユーザー名とパスワードを使用してログオンします。
  • RSA。ユーザーは、セキュリティトークンによって生成されるトークンコードから得られるパスコードを使用してCitrix Gatewayにログオンします。トークンコードと暗証番号(PIN)を組み合わせてパスコードにする場合もあります。セキュリティトークンのみによるパススルー認証を有効にする場合は、ユーザーに提供するリソースでほかの認証方法(Microsoft Active Directoryドメインの資格情報など)が使用されないようにしてください。
  • スマートカード。ユーザーはスマートカードを使用してログオンします
  • RSA+ドメイン。Citrix Gatewayにログオンするユーザーは、ドメイン資格情報とセキュリティトークンパスコードの両方を入力する必要があります。

Citrix Gatewayで認証を無効にしている場合、またはシングルサインオンを無効にしている場合、パススルーは使用されないため、他の認証方法のいずれか1つを構成する必要があります。

Citrix Workspaceアプリ内でストアにアクセスするリモートユーザーに対してCitrix Gatewayでの2要素認証を有効にする場合は、Citrix Gatewayで2つの認証ポリシーを作成する必要があります。プライマリの認証方法としてRADIUS(Remote Authentication Dial-In User Service)を構成し、セカンダリの認証方法としてLDAP(Lightweight Directory Access Protocol)を構成します。セッションプロファイルでセカンダリの認証方法が使用されるように資格情報インデックスを変更して、LDAP資格情報がStoreFrontに渡されるようにします。Citrix GatewayアプライアンスをStoreFront構成に追加する場合は、[ログオンの種類]を[ドメインおよびセキュリティトークン]に設定します。詳しくは、http://support.citrix.com/article/CTX125364を参照してください:

Citrix GatewayからStoreFrontへの複数ドメイン認証を有効にするには、各ドメインのCitrix Gateway LDAP認証ポリシーで[SSO Name Attribute]をuserPrincipalNameに設定します。使用されるLDAPポリシーが特定されるように、Citrix Gatewayのログオンページでユーザーにドメインを指定させることができます。StoreFrontに接続できるようにCitrix Gatewayセッションプロファイルを構成する場合は、シングルサインオンドメインを指定しないでください。管理者は、各ドメイン間の信頼関係を構成する必要があります。明示的に信頼されるドメインのみにアクセスを制限せず、ユーザーがどのドメインからもStoreFrontへログオンできるようにします。

Citrix Gateway展開環境でサポートされる場合は、SmartAccess機能を使用して、Citrix Virtual Apps and DesktopsリソースへのユーザーアクセスをCitrix Gatewayセッションポリシーに基づいて制御できます。SmartAccessについて詳しくは、「How SmartAccess works for Citrix Virtual Apps and Desktops」を参照してください。

Gatewayパススルーの有効化

Workspaceアプリを介した接続時のストアのGatewayパススルー認証を有効または無効にするには、[認証方法] ウィンドウで [Citrix Gatewayからのパススルー] にチェックを入れるか、チェックを外します。

デフォルトでCitrix Gatewayのパススルー認証を有効にすると、そのストアのすべてのWebサイトでもスマートカード認証が有効になります。[認証方法] タブで、特定のWebサイトのユーザー名とパスワード認証を無効にできます。

ユーザーがログオン時にパスワードを変更できるようにする

Citrix GatewayがLDAP(ユーザー名とパスワード)認証を使用するように構成されている場合は、ログイン時に期限切れのパスワードを変更できるようにNetScalerを構成できます。

  1. NetScaler管理Webサイトへのログイン
  2. サイドメニューで [Authentication] > [Dashboard] に移動します。
  3. 認証サーバーをクリックします。
  4. [Other Settings][Allow Password Change] にチェックを入れます。

ユーザーがログオン後にパスワードを変更できるようにする

[Citrix Gatewayからのパススルー] では、Citrix Gatewayが認証の処理を担当します。ユーザーがログオン後にパスワードを変更できるようにStoreFrontを構成できます。この機能は、Workspaceアプリではなく、ブラウザーを介してStoreFrontのストアにアクセスする場合にのみ使用できます。

StoreFrontのデフォルトの構成では、パスワードの有効期限が切れた場合でも、ユーザーはパスワードを変更できません。この機能を有効にする場合は、サーバーが属しているドメインのポリシーでユーザーによるパスワード変更が禁止されていないことを確認してください。ユーザーによるパスワードの変更を有効にすると、この認証サービスを使用するストアにアクセスできるすべてのユーザーに、慎重に扱うべきセキュリティ機能が公開されることになります。組織のセキュリティポリシーにより、ユーザーパスワード変更機能が内部使用のみに制限される環境では、社内ネットワークの外側からそれらのストアにアクセスできないことを確認してください。

  1. [認証方法の管理] ウィンドウで、[Citrix Gatewayからのパススルー] > [設定] ドロップダウンメニューから [パスワードオプションの管理] を選択します。

  2. ユーザーによるパスワードの変更を許可するには、[ユーザーにパスワードの変更を許可する] チェックボックスをオンにします。

[パスワードオプションの管理]のスクリーンショット

資格情報の検証をCitrix Gatewayに委任する

デフォルトでは、StoreFrontはGatewayから受信したユーザー名とパスワードを検証します。Gatewayがスマートカードなどのパスワードレス認証方法を使用するように構成されている場合は、StoreFrontが資格情報を検証せず、Gatewayの認証に依存するように構成する必要があります。この場合、Gatewayの構成時にコールバックURLを入力し、StoreFrontがGatewayからのリクエストを確認できるようにすることをお勧めします。「Citrix Gatewayの管理」を参照してください。

  1. [認証方法の管理] ウィンドウで、[Citrix Gatewayからのパススルー] > [設定] ドロップダウンメニューから [認証の委任構成] を選択します。

  2. [資格情報の検証をCitrix Gatewayに委任する] をクリックします。

[認証の委任構成]ウィンドウのスクリーンショット

フェデレーション認証サービスを使用したシングルサインオン

ゲートウェイがLDAP認証を使用して構成されている場合、ゲートウェイは資格情報をStoreFrontに渡して、VDAにシングルサインオンできるようにします。他の認証方法の場合、資格情報にアクセスできないため、デフォルトではシングル サインオンは使用できません。フェデレーション認証サービスを使用してシングルサインオンを提供できます。

Citrix Gatewayからのパススルー