Citrix Gatewayからのパススルー
ユーザーはCitrix Gatewayで認証され、ストアにアクセスすると自動的にログオンされます。Citrix Gatewayからのパススルー認証は、ストアへのリモートアクセスを初めて構成するときにデフォルトで有効になります。ユーザーは、ローカルにインストールされたCitrix WorkspaceアプリまたはWebブラウザーを使用して、Citrix Gateway経由でストアに接続できます。StoreFrontをCitrix Gateway用に構成する方法について詳しくは、「Citrix Gatewayの構成」を参照してください。
StoreFrontは、以下のCitrix Gateway認証方法でのパススルーをサポートしています。
- ドメイン ユーザーはActive Directoryのユーザー名とパスワードを使用してログオンします。
- RSA ユーザーは、セキュリティトークンによって生成されたトークンコードと、場合によっては個人識別番号を組み合わせて生成されたパスコードを使用してログオンします。セキュリティトークンのみによるパススルー認証を有効にする場合、提供するリソースが、ユーザーのMicrosoft Active Directoryドメイン資格情報など、追加または代替の認証形式を必要としないことを確認してください。
- スマートカード ユーザーは、Active Directoryアカウントにリンクされたスマートカードを使用してログオンします。
- RSA + ドメイン ユーザーは、ドメイン資格情報とセキュリティトークンのパスコードの両方を使用してログオンします。
- SAML ユーザーは、SAML経由でログオンするためにサードパーティのIdPにリダイレクトされます。SAMLアサーションには、ユーザーのActive DirectoryアカウントのUPNを含める必要があります。
- OIDC経由のEntra ID (CU1以降)ユーザーは、認証のためにMicrosoft Entra IDにリダイレクトされます。ユーザーは純粋なEntra IDであるか、ハイブリッドIDを持つことができます。詳しくは、「OIDCを使用したEntra ID認証」を参照してください。
Citrix Gatewayで認証を無効にしている場合、またはシングルサインオンを無効にしている場合、パススルーは使用されず、他の認証方法のいずれかを構成する必要があります。
Citrix Workspaceアプリ内からストアにアクセスするリモートユーザー向けにCitrix Gatewayへの二重ソース認証を構成する場合、Citrix Gatewayで2つの認証ポリシーを作成する必要があります。RADIUS(Remote Authentication Dial-In User Service)をプライマリ認証方法として、LDAP(Lightweight Directory Access Protocol)をセカンダリ方法として構成します。LDAP資格情報がStoreFrontに渡されるように、セッションプロファイルでセカンダリ認証方法を使用するように資格情報インデックスを変更します。Citrix GatewayアプライアンスをStoreFront構成に追加するときは、ログオンタイプを [ドメインとセキュリティトークン] に設定します。詳しくは、http://support.citrix.com/article/CTX125364を参照してください。
Citrix Gatewayを介したStoreFrontへの複数ドメイン認証を有効にするには、各ドメインのCitrix Gateway LDAP認証ポリシーでSSO名属性をuserPrincipalNameに設定します。ユーザーにCitrix Gatewayログオンページでドメインを指定するよう要求することで、使用する適切なLDAPポリシーを決定できます。StoreFrontへの接続用にCitrix Gatewayセッションプロファイルを構成するときは、シングルサインオンドメインを指定しないでください。各ドメイン間に信頼関係を構成する必要があります。明示的に信頼されたドメインのみにアクセスを制限しないことで、ユーザーが任意のドメインからStoreFrontにログオンできるようにしてください。
Citrix Gatewayの展開でサポートされている場合、SmartAccessを使用して、Citrix Gatewayセッションポリシーに基づいてCitrix Virtual Apps and Desktopsリソースへのユーザーアクセスを制御できます。
Gatewayパススルーの有効化
Workspaceアプリ経由で接続する際に、ストアのGatewayパススルー認証を有効または無効にするには、認証方法ウィンドウで [Citrix Gatewayからのパススルー] をオンまたはオフにします。
ストアのCitrix Gatewayパススルー認証を有効にすると、デフォルトでそのストアのすべてのWebサイトでも有効になります。特定のWebサイトのユーザー名とパスワード認証は、認証方法タブで無効にできます。
信頼済みユーザー ドメインの構成
Citrix GatewayがLDAP認証を使用するように構成されている場合、特定のドメインへのアクセスを制限できます。
-
「認証方法の管理」ウィンドウで、[Citrix Gatewayからのパススルー] > [設定] ドロップダウンメニューから、[信頼済みドメインの構成] を選択します。
-
[信頼済みドメインのみ] を選択し、[追加] をクリックして信頼済みドメインの名前を入力します。そのドメインのアカウントを持つユーザーは、認証サービスを使用するすべてのストアにログオンできます。ドメイン名を変更するには、[信頼済みドメイン] リストでエントリを選択し、[編集] をクリックします。ドメイン内のユーザーアカウントのストアへのアクセスを停止するには、リストでドメインを選択し、[削除] をクリックします。
ドメイン名を指定する方法によって、ユーザーが資格情報を入力する必要がある形式が決まります。ユーザーにドメインユーザー名形式で資格情報を入力させたい場合は、NetBIOS名をリストに追加します。ユーザーにユーザープリンシパル名形式で資格情報を入力させたい場合は、完全修飾ドメイン名をリストに追加します。ユーザーにドメインユーザー名形式とユーザープリンシパル名形式の両方で資格情報を入力させたい場合は、NetBIOS名と完全修飾ドメイン名の両方をリストに追加する必要があります。
-
複数の信頼済みドメインを構成する場合は、[デフォルトドメイン] リストから、ユーザーがログオンするときにデフォルトで選択されるドメインを選択します。
-
ログオンページに信頼済みドメインのリストを表示したい場合は、[ログオンページにドメインリストを表示] チェックボックスをオンにします。
委任認証
デフォルトでは、StoreFrontはCitrix Gatewayから受信したユーザー名とパスワードを検証します。Citrix GatewayがLDAP経由でActive Directory資格情報を要素として使用しない場合(SAMLやスマートカードを使用する場合など)、StoreFrontがGatewayによる検証を信頼するように構成する必要があります。この場合、StoreFrontがCitrix Gatewayからの要求であることを確認できるように、Gatewayを構成する際にコールバックURLを入力することが重要です。詳しくは、「Citrix Gatewayの管理」を参照してください。
-
[認証方法の管理] ウィンドウで、[Citrix Gatewayからのパススルー] > [設定] ドロップダウンメニューから、[委任認証の構成] を選択します。
-
[資格情報検証をCitrix Gatewayに完全に委任] を選択します。
。
PowerShell
PowerShellを使用してストアがCitrix Gatewayに認証を委任するように構成するには、コマンドレットSet-STFCitrixAGBasicOptionsを実行します。
- 認証をGatewayに委任するには、
CredentialValidationModeをAutoに設定します。 - StoreFrontが資格情報を検証するには、
CredentialValidationModeをPasswordに設定します。
パスワード検証
StoreFrontが資格情報を検証するか、Delivery Controllerに資格情報の検証を要求するかを選択できます。詳しくは、「ユーザー名とパスワード認証 - パスワード検証」を参照してください。
[資格情報検証をCitrix Gatewayに完全に委任] が選択されている場合、Delivery Controllerを使用してパスワードを検証する設定は無効になります。この場合、StoreFrontはActive Directoryでユーザーを検索できる必要があるため、StoreFrontサーバーのドメインは常にユーザーのドメインとの信頼関係を持つ必要があります。
ログオン時の期限切れパスワードの変更許可
Citrix GatewayがLDAP(ユーザー名とパスワード)認証を使用するように構成されている場合、NetScalerを構成して、ログオン時に期限切れのパスワードの変更を許可できます。
- NetScaler®管理Webサイトにログオンします。
- サイドメニューで [Authentication] > [Dashboard] に移動します。
- 認証サーバーをクリックします。
- [Other Settings] で [Allow Password Change] をオンにします。
ログオン後のパスワード変更許可
StoreFrontを構成して、ユーザーがログオン後にパスワードを変更できるようにすることができます。この機能は、GatewayがLDAP認証を使用し、ユーザーがローカルにインストールされたCitrix Workspaceアプリではなくブラウザー経由でストアにアクセスする場合にのみ利用できます。
デフォルトのStoreFront構成では、パスワードが期限切れになっている場合でも、ユーザーがパスワードを変更することはできません。この機能を有効にすることを決定した場合は、サーバーを含むドメインのポリシーがユーザーのパスワード変更を妨げないことを確認してください。ユーザーがパスワードを変更できるようにすると、認証サービスを使用するストアにアクセスできるすべてのユーザーに機密性の高いセキュリティ機能が公開されます。組織のセキュリティポリシーでユーザーのパスワード変更機能が内部使用のみに限定されている場合は、企業ネットワークの外部からストアにアクセスできないようにしてください。
-
[認証方法の管理] ウィンドウで、[Citrix Gatewayからのパススルー] > [設定] ドロップダウンメニューから、[パスワードオプションの管理] を選択します。
-
ユーザーがパスワードを変更できるようにするには、[ユーザーによるパスワード変更を許可] チェックボックスをオンにします。
注:
[ユーザーによるパスワード変更を許可] を選択またはクリアすると、ユーザー名とパスワード認証の [パスワードオプションの管理] の設定にも影響します。
PowerShell
PowerShellを使用してパスワード変更オプションを変更するには、コマンドレットSet-STFExplicitCommonOptionsを実行します。
Delivery Controller™によるStoreFrontの信頼構成
Citrix GatewayがLDAP認証で構成されている場合、資格情報はStoreFrontに渡されます。他の認証方法の場合、StoreFrontは資格情報にアクセスできないため、Citrix Virtual Apps and Desktopsに対して認証できません。したがって、Delivery ControllerがStoreFrontからの要求を信頼するように構成する必要があります。詳しくは、「Citrix Virtual Apps and Desktopsのセキュリティに関する考慮事項とベストプラクティス」を参照してください。
VDAへのシングルサインオン
Active Directory資格情報の使用
GatewayがLDAP認証で構成されている場合、資格情報はStoreFrontに渡され、VDAへのシングルサインオンが可能になります。追加の構成は必要ありません。
フェデレーション認証サービスの使用
LDAP以外のGateway認証方法の場合、StoreFrontはユーザーの資格情報にアクセスできないため、デフォルトではシングルサインオンは利用できません。フェデレーション認証サービスを使用してシングルサインオンを提供できます。
Entra IDの使用
GatewayがOIDC経由でEntra ID認証を使用するように構成されている場合、Entra IDシングルサインオンを有効にできます。これにはCU1以降が必要です。詳しくは、「VDA Entra IDシングルサインオンの構成」を参照してください。