ユーザー名とパスワード認証
ユーザー名とパスワード認証では、ユーザーはActive Directoryのユーザー名とパスワードの入力を求められます。
。
ユーザーのパスワードの有効期限が切れているか、まもなく切れる場合、構成によっては、ユーザーにパスワードを変更するオプションが提供されることがあります。
Citrix Workspaceアプリを使用しているときに、ストアのユーザー名とパスワード認証を有効または無効にするには、認証方法ウィンドウで [ユーザー名とパスワード] をオンまたはオフにします。
ストアのユーザー名とパスワード認証を有効にすると、デフォルトで、Webブラウザーを使用するユーザーに対して、そのストアのすべてのWebサイトで認証が有効になります。特定のWebサイトのユーザー名とパスワード認証を無効にするには、WebサイトのReceiverの認証方法タブの管理を使用します。
信頼済みユーザー ドメインの構成
明示的なドメイン資格情報を使用してログオンするユーザー(直接、またはCitrix Gatewayからのパススルー認証を使用)のストアへのアクセスを制限できます。
-
Citrix StoreFront管理コンソールの左ペインで [ストア] ノードを選択し、結果ペインで適切な認証方法を選択します。アクションペインで [認証方法の管理] をクリックします。
-
[ユーザー名とパスワード] > [設定] リストから [信頼済みドメインの構成] を選択します。
-
[信頼済みドメインのみ] を選択し、[追加] をクリックして信頼済みドメインの名前を入力します。そのドメインにアカウントを持つユーザーは、認証サービスを使用するすべてのストアにログオンできます。ドメイン名を変更するには、[信頼済みドメイン] リストのエントリを選択し、[編集] をクリックします。ドメイン内のユーザーアカウントのストアへのアクセスを停止するには、リストでドメインを選択し、[削除] をクリックします。
ドメイン名の指定方法によって、ユーザーが資格情報を入力する必要がある形式が決まります。ユーザーにドメインユーザー名形式で資格情報を入力させたい場合は、NetBIOS名をリストに追加します。ユーザーにユーザープリンシパル名形式で資格情報を入力させたい場合は、完全修飾ドメイン名をリストに追加します。ユーザーにドメインユーザー名形式とユーザープリンシパル名形式の両方で資格情報を入力させたい場合は、NetBIOS名と完全修飾ドメイン名の両方をリストに追加する必要があります。
-
複数の信頼済みドメインを構成する場合は、[デフォルトドメイン] リストから、ユーザーがログオンするときにデフォルトで選択されるドメインを選択します。
-
ログオンページに信頼済みドメインを一覧表示する場合は、[ログオンページにドメインリストを表示] チェックボックスをオンにします。
PowerShell
構成済みのドメインのリストを取得するには、Get-STFExplicitCommonOptions コマンドレットを使用します。
信頼済みドメインを更新するには、Set-STFExplicitCommonOptions コマンドレットを使用します。
ユーザーによるパスワード変更の有効化
ユーザーはいつでもパスワードを変更できます。または、パスワードの有効期限が切れたユーザーにのみパスワード変更を制限することもできます。これにより、パスワードの有効期限切れによってユーザーがデスクトップやアプリケーションにアクセスできなくなることを確実に防ぐことができます。
パスワード変更機能は、以下のクライアントで利用できます。
| Citrix Workspaceアプリ | StoreFrontで有効になっている場合、ユーザーは有効期限切れのパスワードを変更できます | パスワードの有効期限が切れることをユーザーに通知します | StoreFrontで有効になっている場合、ユーザーは有効期限が切れる前にパスワードを変更できます |
|---|---|---|---|
| Windows | はい | ||
| Mac | はい | ||
| Android | |||
| iOS | |||
| Linux | はい | ||
| Web | はい | はい | はい |
デフォルトの構成では、Citrix WorkspaceアプリおよびWebブラウザーのユーザーは、パスワードの有効期限が切れていてもパスワードを変更できません。この機能を有効にする場合は、サーバーを含むドメインのポリシーによってユーザーがパスワードを変更できないように設定されていないことを確認してください。ユーザーがパスワードを変更できるようにすると、認証サービスを使用するストアにアクセスできるすべてのユーザーに機密性の高いセキュリティ機能が公開されます。組織のセキュリティポリシーでユーザーのパスワード変更機能が内部使用のみに限定されている場合は、企業ネットワークの外部からストアにアクセスできないようにしてください。
ユーザーがいつでもパスワードを変更できるように設定した場合、パスワードの有効期限が近づいているローカルユーザーには、ログオン時に警告が表示されます。デフォルトでは、ユーザーへの通知期間は、適用されるWindowsポリシー設定によって決定されます。または、カスタム通知期間を構成することもできます。
-
[認証方法の管理] ウィンドウで、[ユーザー名とパスワード] > [設定] ドロップダウンメニューから [パスワードオプションの管理] を選択します。
-
ユーザーがパスワードを変更できるようにするには、[ユーザーがパスワードを変更できるようにする] チェックボックスをオンにします。
注: このオプションを選択しない場合、パスワードの有効期限切れによりデスクトップやアプリケーションにアクセスできないユーザーをサポートするための独自の対策を講じる必要があります。
-
ユーザーがパスワードを変更できるタイミングを [有効期限が切れた場合のみ] または [いつでも] から選択します。
-
パスワードの有効期限が切れる前にユーザーに通知するかどうかを選択します。以下のオプションから選択できます。
-
[通知しない] - UIはパスワードの有効期限切れの通知を表示しません。パスワードの有効期限が切れた時点でのみユーザーに通知します。
-
[Active Directoryグループポリシーからの通知設定を使用] - ログオン後、ユーザーインターフェイスは、グループポリシーで構成された日数以内にパスワードの有効期限が切れる場合に通知します。ユーザーにはパスワードを変更するオプションが与えられます。
注:
StoreFrontはきめ細かいパスワードポリシーを考慮しません。したがって、きめ細かいパスワードポリシーを使用している場合は、このオプションを選択しないでください。
-
[カスタマイズされた通知設定を使用] - ログオン後、ユーザーインターフェイスは、指定された日数以内にパスワードの有効期限が切れる場合にユーザーに通知します。ユーザーにはパスワードを変更するオプションが与えられます。
-
注
注1:
すべてのユーザーのプロファイルを保存するのに十分なディスク容量がStoreFrontサーバーにあることを確認してください。ユーザーのパスワードの有効期限が近づいているかどうかを確認するために、StoreFrontはそのユーザーのローカルプロファイルをサーバー上に作成します。StoreFrontは、ユーザーのパスワードを変更するためにドメインコントローラーに接続できる必要があります。
注2:
いつでもパスワード変更を有効または無効にすると、Citrix Gatewayからのパススルー認証の [パスワードオプションの管理] の設定にも影響します。
PowerShell
信頼済みドメインのリストを取得するには、Get-STFExplicitCommonOptions コマンドレットを使用します。
信頼済みドメインを更新するには、Set-STFExplicitCommonOptions コマンドレットを使用します。
パスワード検証
通常、StoreFrontはWindowsにActive Directoryでの資格情報の検証を要求します。これには、Windowsサーバーがユーザーと同じドメインにあるか、2つのドメイン間に信頼関係があることが必要です。Active Directoryの信頼関係を確立できない場合、StoreFrontを構成して、Citrix Virtual Apps and Desktopsデリバリーコントローラーを使用して資格情報を認証できます。これは、HTTP Basic認証およびGatewayパススルー認証にも影響します。
StoreFrontがパスワードを検証する方法を構成するには:
-
[認証方法の管理] ウィンドウで、[ユーザー名とパスワード] > [設定] ドロップダウンメニューから [パスワード検証の構成] を選択します。
-
[パスワードの検証方法] ドロップダウンから以下を選択します。
- [Active Directory] - Active Directoryで資格情報を検証するようにWindowsに要求します。
- [デリバリーコントローラー] - 構成済みのDelivery Controller™に資格情報の検証を要求します。
-
[デリバリーコントローラー] を選択した場合は、[構成] を選択します。[デリバリーコントローラーの構成] 画面で、ユーザー資格情報を検証するための1つ以上の [デリバリーコントローラー] を追加し、[OK] をクリックします。
-
[OK] を選択します。
PowerShell
パスワードがどのように検証されるかを取得するには、Get-STFExplicitAuthenticator コマンドレットを使用します。
デリバリーコントローラーを介してパスワード検証を行うには、Set-STFExplicitAuthenticator コマンドレットを使用してバリデーターを xmlServiceAuthenticator に設定します。資格情報を認証するために使用するデリバリーコントローラーを設定するには、Enable-STFXmlServiceAuthentication コマンドレットを使用します。
VDAへのシングルサインオン
ユーザーがリソースを起動すると、StoreFrontは、ユーザーがストアにログオンするために使用した資格情報をVDAへのシングルサインオンにパススルーします。
ストアでフェデレーション認証サービス(FAS)が有効になっている場合、StoreFrontはFASサーバーに接続して、ストアへのシングルサインオン用の証明書を提供します。この証明書は、資格情報の代わりにVDAにパススルーされます。StoreFrontがFASサーバーに接続できない場合、VDAへのシングルサインオンは行われません。
ログオン画面のカスタマイズ
ログオン画面はテンプレートから生成され、通常は C:\inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\Templates\UsernamePassword.tfrm にあります。テンプレートはフォームテンプレート言語を使用して定義されます。
以下の例では、タイトルを追加し、Citrix Workspaceアプリ for Windowsがパスワードをキャッシュしないようにします。
タイトルテキスト
ユーザーがストアにログオンするとき、デフォルトではログオンダイアログボックスにタイトルテキストは表示されません。「ログオンしてください」というテキストを表示したり、独自のカスタムメッセージを作成したりできます。
-
テキストエディターを使用して、認証サービスの
UsernamePassword.tfrmファイルを開きます。 -
ファイル内で以下の行を見つけます。
@* @Heading("ExplicitAuth:AuthenticateHeadingText") *@ <!--NeedCopy--> -
先頭と末尾の
@*と*@を削除して、ステートメントのコメントを解除します。@Heading("ExplicitAuth:AuthenticateHeadingText") <!--NeedCopy-->Citrix Workspaceアプリのユーザーは、この認証サービスを使用するストアにログオンするときに、デフォルトのタイトルテキスト「ログオンしてください」またはその適切なローカライズ版が表示されます。
-
タイトルテキストを変更するには、テキストエディターを使用して、認証サービスの
ExplicitFormsCommon.xx.resxファイルを開きます。このファイルは通常、C:\inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\resources\ディレクトリにあります。 -
ファイル内で以下の要素を見つけます。
<value>要素内に囲まれたテキストを編集して、この認証サービスを使用するストアにアクセスするときにユーザーがログオンダイアログボックスで目にするタイトルテキストを変更します。<data name="AuthenticateHeadingText" xml:space="preserve"> <value>My Company Name</value> </data> <!--NeedCopy-->他のロケールのユーザーのログオンダイアログボックスのタイトルテキストを変更するには、ローカライズされたファイル ExplicitAuth.languagecode.resx を編集します。ここで languagecode はロケール識別子です。
Citrix Workspaceアプリ for Windowsによるパスワードとユーザー名のキャッシュの防止
デフォルトでは、Citrix Workspaceアプリ for Windowsは、ユーザーがStoreFrontストアにログオンするときにパスワードを保存します。Citrix Workspaceアプリ for Windowsがユーザーのパスワードをキャッシュしないようにするには、認証サービスのファイルを編集します。
-
テキストエディターを使用して、ファイル
inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\Templates\UsernamePassword.tfrmを開きます。 -
ファイル内で以下の行を見つけます。
@SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) <!--NeedCopy--> -
以下に示すように、ステートメントをコメントアウトします。
<!-- @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) --> <!--NeedCopy-->ユーザーは、この認証サービスを使用するストアにログオンするたびにパスワードを入力する必要があります。
デフォルトでは、Citrix Workspaceアプリ for Windowsは最後に入力されたユーザー名を自動的に入力します。ユーザー名フィールドの自動入力を抑制したり、パスワードのキャッシュを抑制する別のメカニズムについては、「Citrix Workspaceアプリ for Windowsによるパスワードとユーザー名のキャッシュの防止」を参照してください。
Citrix Gateway経由のリモートアクセス
Citrix Gatewayを構成して、ユーザーがドメインのユーザー名とパスワード、およびオプションで第2要素を使用してゲートウェイにログオンできるようにすることができます。これらの資格情報はStoreFrontにパススルーされ、ストアにサインオンします。LDAPユーザー名とパスワード認証用にCitrix Gatewayを構成する方法については、「NetScalerドキュメント - LDAP認証」を参照してください。StoreFrontを構成する方法については、「Citrix Gatewayからのパススルー」を参照してください。