Citrix Gatewayからのパススルー
ユーザーはCitrix Gatewayで認証し、ストアにアクセスする際に自動的にログオンされます。Citrix Gatewayからのパススルー認証は、ストアへのリモートアクセスを初めて構成する際に、デフォルトで有効になっています。ユーザーは、ローカルにインストールされたCitrix WorkspaceアプリまたはWebブラウザを使用して、Citrix Gatewayを介してストアに接続できます。Citrix Gateway向けStoreFrontの構成の詳細については、「Citrix Gatewayの構成」を参照してください。
StoreFrontは、以下のCitrix Gateway認証方法でパススルーをサポートしています。
- ドメイン ユーザーはActive Directoryのユーザー名とパスワードを使用してログオンします。
- RSA ユーザーは、セキュリティトークンによって生成されたトークンコードと、場合によっては個人識別番号を組み合わせて生成されたパスコードを使用してログオンします。セキュリティトークンのみによるパススルー認証を有効にする場合は、提供するリソースが、ユーザーのMicrosoft Active Directoryドメイン資格情報などの追加または代替の認証形式を必要としないことを確認してください。
- スマートカード ユーザーは、Active Directoryアカウントにリンクされたスマートカードを使用してログオンします。
- RSA + ドメイン ユーザーは、ドメイン資格情報とセキュリティトークンのパスコードの両方を使用してログオンします。
- SAML ユーザーは、SAMLを介してログオンするためにサードパーティのIdPにリダイレクトされます。SAMLアサーションには、ユーザーのActive DirectoryアカウントのUPNを含める必要があります。
Citrix Gatewayで認証を無効にしている場合、またはシングルサインオンを無効にしている場合、パススルーは使用されず、他の認証方法のいずれかを構成する必要があります。
Citrix Workspaceアプリ内からストアにアクセスするリモートユーザー向けにCitrix Gatewayへの二重ソース認証を構成する場合、Citrix Gatewayで2つの認証ポリシーを作成する必要があります。RADIUS(Remote Authentication Dial-In User Service)をプライマリ認証方法として、LDAP(Lightweight Directory Access Protocol)をセカンダリ方法として構成します。セッションプロファイルでセカンダリ認証方法を使用するように資格情報インデックスを変更し、LDAP資格情報がStoreFrontに渡されるようにします。Citrix GatewayアプライアンスをStoreFront構成に追加する際は、ログオンの種類を「ドメインとセキュリティトークン」に設定します。詳細については、http://support.citrix.com/article/CTX125364を参照してください。
Citrix Gatewayを介したStoreFrontへの複数ドメイン認証を有効にするには、各ドメインのCitrix Gateway LDAP認証ポリシーで、SSO名属性をuserPrincipalNameに設定します。ユーザーにCitrix Gatewayログオンページでドメインを指定させることで、使用する適切なLDAPポリシーを決定できます。StoreFrontへの接続用にCitrix Gatewayセッションプロファイルを構成する際は、シングルサインオンドメインを指定しないでください。各ドメイン間に信頼関係を構成する必要があります。明示的に信頼されたドメインのみにアクセスを制限しないことで、ユーザーが任意のドメインからStoreFrontにログオンできるようにしてください。
Citrix Gatewayの展開でサポートされている場合、Citrix Gatewayセッションポリシーに基づいて、Citrix Virtual Apps and Desktopsリソースへのユーザーアクセスを制御するためにSmartAccessを使用できます。
Gatewayパススルーの有効化
Workspaceアプリを介して接続する際に、ストアのGatewayパススルー認証を有効または無効にするには、認証方法ウィンドウで、[Citrix Gatewayからのパススルー] をオンまたはオフにします。
ストアのCitrix Gatewayパススルー認証を有効にすると、デフォルトでそのストアのすべてのWebサイトでも有効になります。認証方法タブで、特定のWebサイトのユーザー名とパスワード認証を無効にできます。
信頼済みユーザーのドメインの構成
Citrix GatewayがLDAP認証を使用するように構成されている場合、特定のドメインへのアクセスを制限できます。
-
「認証方法の管理」ウィンドウで、[Citrix Gatewayからのパススルー] > [設定] ドロップダウンメニューから、[信頼済みドメインの構成] を選択します。
-
[信頼済みドメインのみ] を選択し、[追加] をクリックして信頼済みドメインの名前を入力します。そのドメインにアカウントを持つユーザーは、認証サービスを使用するすべてのストアにログオンできます。ドメイン名を変更するには、信頼済みドメインリストでエントリを選択し、[編集] をクリックします。ドメイン内のユーザーアカウントのストアへのアクセスを停止するには、リストでドメインを選択し、[削除] をクリックします。
ドメイン名を指定する方法によって、ユーザーが資格情報を入力する必要がある形式が決まります。ユーザーにドメインユーザー名形式で資格情報を入力させる場合は、NetBIOS名をリストに追加します。ユーザーにユーザープリンシパル名形式で資格情報を入力させる場合は、完全修飾ドメイン名をリストに追加します。ユーザーがドメインユーザー名形式とユーザープリンシパル名形式の両方で資格情報を入力できるようにする場合は、NetBIOS名と完全修飾ドメイン名の両方をリストに追加する必要があります。
-
複数の信頼済みドメインを構成する場合は、デフォルトドメインリストから、ユーザーがログオンする際にデフォルトで選択されるドメインを選択します。
-
ログオンページに信頼済みドメインをリスト表示する場合は、[ログオンページにドメインリストを表示] チェックボックスをオンにします。
委任認証
デフォルトでは、StoreFrontはCitrix Gatewayから受信したユーザー名とパスワードを検証します。Citrix GatewayがLDAPを介したActive Directory資格情報を要素として使用しない場合(SAMLやスマートカードを使用する場合など)は、Gatewayによって行われる検証を信頼するようにStoreFrontを構成する必要があります。この場合、StoreFrontがCitrix Gatewayからの要求であることを確認できるように、Gatewayを構成する際にコールバックURLを入力することが重要です。「Citrix Gatewayの管理」を参照してください。
-
[認証方法の管理] ウィンドウで、[Citrix Gatewayからのパススルー] > [設定] ドロップダウンメニューから、[委任認証の構成] を選択します。
-
[資格情報の検証をCitrix Gatewayに完全に委任する] を選択します。
。
PowerShell SDK
PowerShell SDKを使用して、ストアがCitrix Gatewayに認証を委任するように構成するには、cmdlet Set-STFCitrixAGBasicOptionsを使用します。
- Gatewayに認証を委任するには、
CredentialValidationModeをAutoに設定します。 - StoreFrontが資格情報を検証するには、
CredentialValidationModeをPasswordに設定します。
パスワードの検証
StoreFrontが資格情報を自身で検証するか、またはDelivery Controllerに資格情報の検証を要求するかを選択できます。詳細については、「ユーザー名とパスワード認証 - パスワードの検証」を参照してください。
[資格情報の検証をCitrix Gatewayに完全に委任する] が選択されている場合、Delivery Controllerを使用してパスワードを検証する設定は無効になります。この場合、StoreFrontはActive Directoryでユーザーを検索できる必要があるため、StoreFrontサーバーのドメインは常にユーザーのドメインとの信頼関係を持っている必要があります。
ログオン時の期限切れパスワードの変更を許可
Citrix GatewayがLDAP(ユーザー名とパスワード)認証を使用するように構成されている場合、NetScalerを構成して、ログオン時に期限切れパスワードの変更を許可できます。
- NetScaler®管理Webサイトにログオンします。
- サイドメニューで、[認証] > [ダッシュボード] に移動します。
- 認証サーバーをクリックします。
- [その他の設定] で [パスワードの変更を許可] をオンにします。
ログオン後のパスワード変更を許可
StoreFrontを構成して、ユーザーがログオン後にパスワードを変更できるようにすることができます。この機能は、GatewayがLDAP認証を使用し、ユーザーがローカルにインストールされたCitrix Workspaceアプリではなくブラウザを介してストアにアクセスする場合にのみ利用できます。
デフォルトのStoreFront構成では、パスワードの有効期限が切れていても、ユーザーがパスワードを変更することはできません。この機能を有効にすることを決定した場合は、サーバーを含むドメインのポリシーがユーザーのパスワード変更を妨げないことを確認してください。ユーザーがパスワードを変更できるようにすると、認証サービスを使用するストアにアクセスできるすべてのユーザーに機密性の高いセキュリティ機能が公開されます。組織に、ユーザーパスワード変更機能を内部使用のみに限定するセキュリティポリシーがある場合は、どのストアも社内ネットワーク外からアクセスできないことを確認してください。
-
[認証方法の管理] ウィンドウで、[Citrix Gatewayからのパススルー] > [設定] ドロップダウンメニューから、[パスワードオプションの管理] を選択します。
-
ユーザーがパスワードを変更できるようにするには、[ユーザーがパスワードを変更できるようにする] チェックボックスをオンにします。
注:
[ユーザーがパスワードを変更できるようにする] を選択またはクリアすると、ユーザー名とパスワード認証の[パスワードオプションの管理] の設定にも影響します。
PowerShell SDK
PowerShell SDKを使用してパスワード変更オプションを変更するには、cmdlet Set-STFExplicitCommonOptionsを使用します。
StoreFrontを信頼するようにDelivery Controller™を構成
Citrix GatewayがLDAP認証で構成されている場合、資格情報はStoreFrontにパススルーされます。他の認証方法の場合、StoreFrontは資格情報にアクセスできないため、Citrix Virtual Apps and Desktopsに対して認証できません。したがって、Delivery ControllerがStoreFrontからの要求を信頼するように構成する必要があります。「Citrix Virtual Apps and Desktopsのセキュリティに関する考慮事項とベストプラクティス」を参照してください。
Federated Authentication Serviceを使用したVDAへのシングルサインオン
GatewayがLDAP認証で構成されている場合、資格情報はStoreFrontにパススルーされ、VDAへのシングルサインオンが可能になります。他の認証方法の場合、StoreFrontは資格情報にアクセスできないため、シングルサインオンはデフォルトでは利用できません。シングルサインオンを提供するには、Federated Authentication Serviceを使用できます。