ユーザー名とパスワード認証
ユーザー名とパスワード認証で、ユーザーはActive Directoryの資格情報を入力します。
![[ユーザー名とパスワード認証]画面のスクリーンショット](/en-us/storefront/1912-ltsr/media/configure-authentication/logon-username-password.png)
。
Workspaceアプリを介した接続時のストアのユーザー名とパスワード認証を有効または無効にするには、[認証方法] ウィンドウで [ユーザー名とパスワード] にチェックを入れるか、チェックを外します。
デフォルトでストアのユーザー名とパスワード認証を有効にすると、そのストアのすべてのWebサイトでもユーザー名とパスワード認証が有効になります。[Receiver for Web サイトの管理]の[認証方法] タブで、特定のWebサイトのユーザー名とパスワード認証を無効にできます。
信頼されるユーザードメインの構成
ストアへのアクセスを、特定の信頼されたドメインの資格情報を使用してログオンしているユーザー限定にできます。
-
Citrix StoreFront管理コンソールの左ペインで[ストア]ノードを選択して、結果ペインで認証方法を選択します。[操作] ペインで、[認証方法の管理] をクリックします。
-
[ユーザー名とパスワード]>[設定] の一覧から、[信頼されるドメインの構成] を選択します。
-
[信頼済みドメインのみ] をクリックして [追加] をクリックし、信頼されるドメインの名前を入力します。この認証サービスを使用するすべてのストアでは、ここで追加したドメインのアカウントでログオンできます。ドメイン名を変更するには、[信頼されるドメイン]の一覧でエントリを選択して [編集] をクリックします。特定ドメインのユーザーアカウントでのアクセスを禁止するには、一覧でそのドメインを選択して [削除] をクリックします。
管理者がドメイン名を指定する方法により、ユーザーが資格情報の入力時に使用すべき形式が決まります。ユーザーにドメインユーザー名形式で資格情報を入力させるには、一覧にNetBIOS名を追加します。ユーザーにユーザープリンシパル名形式で資格情報を入力させるには、一覧に完全修飾ドメイン名を追加します。ユーザーがドメインユーザー名形式でもユーザープリンシパル名形式でも資格情報を入力できるようにするには、一覧にNetBIOS名と完全修飾ドメイン名の両方を追加する必要があります。
-
信頼されるドメインを複数構成する場合は、ユーザーがログオンするときにデフォルトで選択されるドメインを[デフォルトドメイン]ボックスの一覧から選択します。
-
ログオンページに信頼されるドメインを一覧表示するには、[ログオンページにドメイン一覧を表示する]チェックボックスをオンにします。
![[信頼されるドメイン]画面のスクリーンショット](/en-us/storefront/1912-ltsr/media/configure-authentication/authentication-trusted-domain.png)
ユーザーがパスワードを変更できるようにする
ユーザーがいつでもパスワードを変更できるようにすることができます。または、パスワードの有効期限が切れたユーザーにのみパスワードの変更を許可することもできます。これにより、ユーザーがパスワードの失効によりデスクトップやアプリケーションにアクセスできなくなることを防ぐことができます。
パスワード変更機能は、次のクライアントで利用できます:
| Citrix Workspaceアプリ | StoreFrontで有効になっている場合、ユーザーが有効期限切れのパスワードを変更できる | パスワードの有効期限が切れたら、ユーザーに通知される | StoreFrontで有効になっている場合は、パスワードの有効期限が切れる前に、ユーザーがそれを変更できる |
|---|---|---|---|
| Windows | はい | ||
| Mac | はい | ||
| Android | |||
| iOS | |||
| Linux | はい | ||
| Web | はい | はい | はい |
デフォルトの構成では、パスワードが失効しても、Citrix WorkspaceアプリおよびWebブラウザーのユーザーはパスワードを変更できません。この機能を有効にする場合は、サーバーが属しているドメインのポリシーでユーザーによるパスワード変更が禁止されていないことを確認してください。ユーザーによるパスワードの変更を有効にすると、この認証サービスを使用するストアにアクセスできるすべてのユーザーに、慎重に扱うべきセキュリティ機能が公開されることになります。組織のセキュリティポリシーにより、ユーザーパスワード変更機能が内部使用のみに制限される環境では、社内ネットワークの外側からそれらのストアにアクセスできないことを確認してください。
ユーザーがいつでもパスワードを変更できるように設定してある場合は、パスワードの有効期限切れが近いローカルユーザーがログオンしたときに警告が表示されます。デフォルトでは、ユーザーに対する通知期間は、適用されるWindowsポリシーの設定によって決まります。または、カスタムの通知期間を構成することができます。
-
[認証方法の管理] ウィンドウで、[ユーザー名とパスワード]>[設定] ドロップダウンメニューから[パスワードオプションの管理]を選択します。
-
ユーザーによるパスワードの変更を許可するには、[ユーザーにパスワードの変更を許可する] チェックボックスをオンにします。
注: このオプションを選択しない場合は、パスワードが失効してデスクトップやアプリケーションにアクセスできないユーザーをどのようにサポートするかを検討しておく必要があります。
-
ユーザーがパスワードを変更できるのが有効期限が切れたときのみにするか、いつでもにするか選択します。
-
パスワードの有効期限が切れる前にユーザーに通知するかどうかを選択します。
![[パスワードオプションの管理]のスクリーンショット](/en-us/storefront/1912-ltsr/media/configure-authentication/manage-password-options.png)
注1:
StoreFrontでは、Active Directoryの細かい設定が可能なパスワードポリシーはサポートされません。
注2:
StoreFrontサーバー上にすべてのユーザーのプロファイルを保存するための空き領域があることを確認してください。StoreFrontではユーザーのパスワードの失効が近いかどうかを確認するため、サーバー上に各ユーザーのローカルプロファイルが作成されます。ユーザーのパスワードを変更するには、StoreFrontはドメインコントローラーと通信する必要があります。
注3:
任意のときにパスワードを変更可能を有効または無効にすると、[Citrix Gatewayからのパススルー] 認証の [パスワードオプションの管理] の設定にも影響します。
資格情報パスワードの検証
通常、StoreFrontはActive Directoryと直接通信して資格情報を検証します。
StoreFrontがCitrix Virtual Apps and Desktopsと同じドメイン内になく、Active Directoryの信頼関係を利用できない場合には、Citrix Virtual Apps and Desktops Delivery Controllerを使ってユーザー名とパスワード資格情報を認証するようにStoreFrontを構成できます:
-
[認証方法の管理] ウィンドウで、[ユーザー名とパスワード]>[設定] ドロップダウンメニューから、[パスワード確認の構成] を選択します。
![[認証方法の管理]ダイアログ](/en-us/storefront/1912-ltsr/media/configure-authentication/manage-authentication-methods-store.png)
-
[パスワード検証方法] の一覧から [Delivery Controller] を選択し、[構成] をクリックします。
![[パスワード検証の構成]パネル](/en-us/storefront/1912-ltsr/media/configure-authentication/configure-password-validation.png)
-
[Delivery Controllerの構成] 画面に従って、1つまたは複数のDelivery Controllerを追加して、ユーザー資格情報を確認し、[OK] をクリックします。
![[Delivery Controllerの編集]パネル](/en-us/storefront/1912-ltsr/media/configure-authentication/edit-delivery-controller.png)
Active Directoryの使用
- [認証方法の管理] ページで、[ユーザー名とパスワード]>[設定] の一覧から、[パスワード確認の構成] を選択します。
- [パスワード検証方法] ドロップダウンメニューから [Active Directory] を選択し、[OK] をクリックします。
VDAへのシングルサインオン
ユーザーがリソースを起動すると、StoreFrontはユーザーがストアへのサインオンに使用した資格情報を使用してVDAにシングルサインオンします。
ログオン画面のカスタマイズ
ログオン画面はテンプレートから生成され、通常は次の場所にあります。C:\inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\Templates\UsernamePassword.tfrm。画面をカスタマイズできます。
タイトルのテキスト
デフォルトでは、ユーザーがストアにログオンしても、ログオンダイアログボックスにタイトルテキストは表示されません。「ログオンしてください」というテキストを表示したり、カスタムメッセージを作成したりすることができます:
-
テキストエディターを使用して、認証サービスのUsernamePassword.tfrmファイルを開きます。
-
ファイル内で次の行を見つけます。
@* @Heading("ExplicitAuth:AuthenticateHeadingText") *@ <!--NeedCopy--> -
先頭の @* と末尾の *@ を削除して、このステートメントのコメントを解除します。
@Heading("ExplicitAuth:AuthenticateHeadingText") <!--NeedCopy-->これにより、Citrix Workspaceアプリユーザーがこのストアにログオンしたときに、デフォルトのタイトル文字列である「Please log on」または「ログオンしてください」などが表示されます。
-
タイトル文字列を変更するには、テキストエディターを使って認証サービスの ExplicitFormsCommon.xx.resx ファイルを開きます。このファイルは通常、C:\inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\resources\ディレクトリにあります。
-
ファイル内で次の要素を検索します。<value>要素内の文字列を編集します。これにより、このストアのログオンダイアログボックスのタイトルが変更されます。
<data name="AuthenticateHeadingText" xml:space="preserve"> <value>My Company Name</value> </data> <!--NeedCopy-->ほかのロケールにいるユーザー用にログオンダイアログボックスのタイトルの文字列を変更するには、対象となる言語版の ExplicitAuth.languagecode.resx ファイルを編集します。ここでlanguagecodeは、ロケール識別子です。
Windows向けCitrix Workspaceアプリでのパスワードおよびユーザー名のキャッシュ機能の無効化
Windows向けCitrix Workspaceアプリのデフォルトでは、ユーザーがStoreFrontストアにログオンしたときのパスワードがキャッシュされます。Windows向けCitrix Workspaceアプリでユーザーのパスワードをキャッシュしないようにするには、認証サービスのファイルを編集します。
-
テキストエディターを使って、inetpub\wwwroot\Citrix\[ストア名]Auth\App_Data\Templates\UsernamePassword.tfrmファイルを開きます。
-
ファイル内で次の行を見つけます。
@SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) <!--NeedCopy--> -
次のようにステートメントにコメントします。
<!-- @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) --> <!--NeedCopy-->これにより、この認証サービスのストアにログオンするユーザーは、毎回パスワードの入力が必要になります。
デフォルトでは、Windows向けCitrix Workspaceでは最後に入力されたユーザー名が自動的に抽出されて入力されます。[ユーザー名]フィールドの自動入力を無効にする場合、またはパスワードのキャッシュを無効にするための代替メカニズムについては、「Windows向けCitrix Workspaceアプリでのパスワードおよびユーザー名のキャッシュ機能の無効化」を参照してください。
Citrix Gatewayを介したリモートアクセス
ユーザーがドメインのユーザー名とパスワードを使用してゲートウェイにサインオンするようにCitrix Gatewayを構成できます。これらの資格情報はStoreFrontに渡され、ストアにサインオンできます。LDAPユーザー名とパスワード認証用にCitrix Gatewayを構成するには、NetScalerドキュメントの「LDAP認証」を参照してください。StoreFrontを構成するには、「Citrix Gatewayからのパススルー」を参照してください。