StoreFront

Active Directory ユーザー名とパスワード認証

ユーザーはActive Directoryのユーザー名とパスワードの入力を求められます。

ユーザー名とパスワード認証画面のスクリーンショット(/ja-jp/storefront/2507-ltsr/media/stores/authentication/logon-username-password.png)。

ユーザーのパスワードの有効期限が切れているか、まもなく切れる場合、構成によっては、ユーザーにパスワードを変更するオプションが提供されることがあります。

Citrix Workspaceアプリを使用しているときにストアのユーザー名とパスワード認証を有効または無効にするには、Authentication MethodsウィンドウでActive Directory username and passwordをオンまたはオフにします。

デフォルトでストアのユーザー名とパスワード認証を有効にすると、Webブラウザーを使用するユーザー向けに、そのストアのすべてのWebサイトでも有効になります。Manage websites Authentication methods tabで、特定のWebサイトのユーザー名とパスワード認証を無効にできます。

信頼されたユーザー ドメインの構成

明示的なドメイン資格情報を使用してログオンするユーザー(直接、またはCitrix Gatewayからのパススルー認証を使用)に対して、ストアへのアクセスを制限できます。

  1. Citrix StoreFront管理コンソールの左ペインでストアノードを選択し、結果ペインで適切な認証方法を選択します。アクションペインで、認証方法の管理をクリックします。

  2. ユーザー名とパスワード > 設定リストから、信頼されたドメインの構成を選択します。

  3. 信頼されたドメインのみを選択し、追加をクリックして信頼されたドメインの名前を入力します。そのドメインにアカウントを持つユーザーは、認証サービスを使用するすべてのストアにログオンできます。ドメイン名を変更するには、信頼されたドメインリストでエントリを選択し、編集をクリックします。ドメイン内のユーザーアカウントに対するストアへのアクセスを停止するには、リストでドメインを選択し、削除をクリックします。

    ドメイン名を指定する方法によって、ユーザーが資格情報を入力する必要がある形式が決まります。ユーザーにドメインユーザー名形式で資格情報を入力させたい場合は、NetBIOS名をリストに追加します。ユーザーにユーザープリンシパル名形式で資格情報を入力させる必要がある場合は、完全修飾ドメイン名をリストに追加します。ユーザーにドメインユーザー名形式とユーザープリンシパル名形式の両方で資格情報を入力できるようにしたい場合は、NetBIOS名と完全修飾ドメイン名の両方をリストに追加する必要があります。

  4. 複数の信頼されたドメインを構成する場合、デフォルトドメインリストから、ユーザーがログオンするときにデフォルトで選択されるドメインを選択します。

  5. ログオンページに信頼されたドメインを一覧表示したい場合は、ログオンページにドメインリストを表示チェックボックスをオンにします。

信頼されたドメイン画面のスクリーンショット(/ja-jp/storefront/2507-ltsr/media/stores/authentication/authentication-trusted-domain.png)

パワーシェル

構成済みドメインのリストを取得するには、コマンドレットGet-STFExplicitCommonOptionsを使用します。

信頼済みドメインを更新するには、コマンドレットSet-STFExplicitCommonOptionsを使用します。

ユーザーがパスワードを変更できるようにする

ユーザーはいつでもパスワードを変更できます。あるいは、パスワードの有効期限が切れたユーザーにのみパスワード変更を制限することもできます。これにより、有効期限切れのパスワードによってユーザーがデスクトップやアプリケーションにアクセスできなくなることを防ぐことができます。

パスワード変更機能は、以下のクライアントで利用できます。

シトリックス ワークスペース アプリ StoreFrontで有効になっている場合、ユーザーは有効期限切れのパスワードを変更できます パスワードの有効期限が切れることがユーザーに通知されます StoreFrontで有効になっている場合、ユーザーは有効期限が切れる前にパスワードを変更できます
Windows (ウィンドウズ) はい    
Mac はい    
Android (アンドロイド)      
iOS      
リナックス はい    
Web はい はい はい

デフォルト設定では、Citrix WorkspaceアプリおよびWebブラウザのユーザーは、パスワードの有効期限が切れていてもパスワードを変更できません。この機能を有効にする場合は、サーバーを含むドメインのポリシーがユーザーによるパスワード変更を妨げないことを確認してください。ユーザーがパスワードを変更できるようにすると、認証サービスを使用するストアにアクセスできるすべてのユーザーに機密性の高いセキュリティ機能が公開されます。組織に、ユーザーのパスワード変更機能を内部使用のみに限定するセキュリティポリシーがある場合は、どのストアも社内ネットワークの外部からアクセスできないようにしてください。

ユーザーがいつでもパスワードを変更できるようにすると、パスワードの有効期限が近づいているローカルユーザーは、ログオン時に警告が表示されます。デフォルトでは、ユーザーへの通知期間は、適用されるWindowsポリシー設定によって決定されます。または、カスタム通知期間を構成することもできます。

  1. 認証方法の管理」ウィンドウで、「Active Directoryユーザー名とパスワード」>「設定」ドロップダウンメニューから「パスワードオプションの管理」を選択します

  2. ユーザーがパスワードを変更できるようにするには、「ユーザーによるパスワード変更を許可」チェックボックスをオンにします。

    注:

    このオプションを選択しない場合、パスワードの有効期限が切れてデスクトップやアプリケーションにアクセスできなくなったユーザーをサポートするための独自の対策を講じる必要があります。

  3. ユーザーがパスワードを変更できるタイミングを「有効期限が切れたときのみ」または「いつでも」から選択します。

  4. パスワードの有効期限が切れる前にユーザーに通知するかどうかを選択します。次のオプションから選択できます。

    • 通知しない - UIはパスワードの有効期限切れのリマインダーを表示しません。パスワードの有効期限が切れた時点でユーザーに通知するだけです。

    • Active Directoryグループポリシーのリマインダー設定を使用する - ログイン後、ユーザーインターフェイスは、グループポリシーで設定された日数でパスワードの有効期限が切れるかどうかを通知します。ユーザーにはパスワードを変更するオプションが与えられます。

      注:

      StoreFrontはきめ細かいパスワードポリシーを考慮しません。したがって、きめ細かいパスワードポリシーを使用している場合は、このオプションを選択しないでください。

    • カスタマイズされたリマインダー設定を使用する - ログイン後、ユーザーインターフェイスは、指定された日数でパスワードの有効期限が切れるかどうかをユーザーに通知します。ユーザーにはパスワードを変更するオプションが与えられます。

パスワード管理オプションのスクリーンショット

注1:

すべてのユーザーのプロファイルを保存するために、StoreFrontサーバーに十分なディスク容量があることを確認してください。ユーザーのパスワードの有効期限が近づいているかどうかを確認するために、StoreFrontはそのユーザーのローカルプロファイルをサーバー上に作成します。StoreFrontは、ユーザーのパスワードを変更するためにドメインコントローラーに接続できる必要があります。

注2:

セキュリティポリシー「ネットワークアクセス: SAMへのリモート呼び出しを許可するクライアントを制限する」を有効にする場合、パスワードを変更する必要があるすべてのユーザーを含める必要があります。

注3:

いつでもパスワードの変更を有効または無効にすると、これは、Citrix Gatewayからのパススルー認証のパスワード管理オプションの設定にも影響します。

パワーシェル

信頼されたドメインのリストを取得するには、コマンドレットGet-STFExplicitCommonOptionsを使用します。

信頼されたドメインを更新するには、コマンドレット Set-STFExplicitCommonOptions を使用します。

パスワードの検証

通常、StoreFront は Windows に Active Directory で資格情報を検証するよう要求します。これには、Windows サーバーがユーザーと同じドメインにあるか、2つのドメイン間に信頼関係があることが必要です。Active Directory の信頼関係を確立できない場合、StoreFront を構成して Citrix Virtual Apps and Desktops のデリバリーコントローラーを使用して資格情報を認証できます。これは、HTTP Basic および Gateway パススルー認証にも影響します。

StoreFront がパスワードを検証する方法を構成するには:

  1. 認証方法の管理」ウィンドウで、「ユーザー名とパスワード > 設定」ドロップダウンメニューから「パスワード検証の構成」を選択します。

    認証方法の管理ダイアログ

  2. パスワードの検証方法」ドロップダウンから、以下を選択します。

    • Active Directory - Windowsに対し、アクティブディレクトリでの資格情報検証を要求します。
    • デリバリーコントローラー - 構成されたDelivery Controller™に資格情報を検証するよう要求します。

    パスワード検証の構成パネル

  3. デリバリーコントローラーを選択した場合は、構成を選択します。デリバリーコントローラーの構成画面で、ユーザー資格情報を検証するためのデリバリーコントローラーを1つ以上追加し、OKをクリックします。

    デリバリーコントローラーの編集パネル

  4. OKを選択します。

PowerShell

パスワードがどのように検証されるかを取得するには、コマンドレット Get-STFExplicitAuthenticator を使用します。

デリバリーコントローラーを介してパスワード検証を行うには、コマンドレットSet-STFExplicitAuthenticatorを使用してバリデーターをxmlServiceAuthenticatorに設定します。資格情報を認証するために使用するデリバリーコントローラーを設定するには、コマンドレットEnable-STFXmlServiceAuthenticationを使用します。

VDAへのシングルサインオン

ユーザーがリソースを起動すると、StoreFrontはユーザーがストアへのログインに使用した資格情報をVDAへのシングルサインオンのために渡します。

ストアでFederated Authentication Service (FAS)が有効になっている場合、StoreFrontはFASサーバーに接続し、ストアへのシングルサインオン用の証明書を提供します。この証明書は、資格情報の代わりにVDAに渡されます。StoreFrontがFASサーバーに接続できない場合、VDAへのシングルサインオンは行われません。

ログオン画面のカスタマイズ

ログオン画面は、通常C:\inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\Templates\UsernamePassword.tfrmにあるテンプレートから生成されます。テンプレートはForms Template Languageを使用して定義されます。

次の例では、タイトルを追加し、Windows向けCitrix Workspaceアプリがパスワードをキャッシュしないようにします。

タイトルテキスト

ユーザーがストアにログオンするとき、デフォルトではログオンダイアログボックスにタイトルテキストは表示されません。「ログオンしてください」というテキストを表示するか、独自のカスタムメッセージを作成できます。

  1. テキストエディターを使用して、認証サービスのUsernamePassword.tfrmファイルを開きます。

  2. ファイル内で次の行を見つけます。

    @* @Heading("ExplicitAuth:AuthenticateHeadingText") *@
    <!--NeedCopy-->
    
  3. 先頭の@*と末尾の*@を削除して、ステートメントのコメントを解除します。

    @Heading("ExplicitAuth:AuthenticateHeadingText")
    <!--NeedCopy-->
    

    Citrix Workspaceアプリのユーザーは、この認証サービスを使用するストアにログオンする際に、デフォルトのタイトルテキスト「ログオンしてください」またはその適切なローカライズ版のテキストを目にします。

  4. タイトルテキストを変更するには、テキストエディターを使用して、認証サービスのExplicitFormsCommon.xx.resxファイルを開きます。このファイルは通常、C:\inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\resources\ディレクトリにあります。

  5. ファイル内で次の要素を見つけます。<value>要素内に囲まれたテキストを編集して、この認証サービスを使用するストアにアクセスする際にユーザーがログオンダイアログボックスで目にするタイトルテキストを変更します。

    <data name="AuthenticateHeadingText" xml:space="preserve">
        <value>My Company Name</value>
    </data>
    <!--NeedCopy-->
    

    他のロケールのユーザーのログオンダイアログボックスのタイトルテキストを変更するには、ローカライズされたファイル ExplicitAuth.languagecode.resx を編集します。ここで、languagecode はロケール識別子です。

Citrix Workspaceアプリ for Windowsがパスワードとユーザー名をキャッシュするのを防ぐ

デフォルトでは、Citrix Workspaceアプリ for Windowsは、ユーザーがStoreFrontストアにログオンするときにパスワードを保存します。Citrix Workspaceアプリ for Windowsがユーザーのパスワードをキャッシュするのを防ぐには、認証サービスのファイルを編集します。

  1. Use a text editor to open the file inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\Templates\UsernamePassword.tfrm.

  2. ファイル内で次の行を見つけます。

    @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials"))
    <!--NeedCopy-->
    
  3. 以下に示すようにステートメントをコメントアウトします。

    <!-- @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) -->
    <!--NeedCopy-->
    

    ユーザーは、この認証サービスを使用するストアにログオンするたびにパスワードを入力する必要があります。

    デフォルトでは、Citrix Workspaceアプリ for Windowsは、最後に入力されたユーザー名を自動的に入力します。ユーザー名フィールドへの入力を抑制するには、またはパスワードのキャッシュを抑制するための代替メカニズムについては、「Citrix Workspaceアプリ for Windowsがパスワードとユーザー名をキャッシュするのを防ぐ」を参照してください。

Citrix Gateway経由のリモートアクセス

ユーザーがドメインのユーザー名とパスワード、およびオプションで第2要素を使用してゲートウェイにログオンするようにCitrix Gatewayを構成できます。これらの資格情報は、ストアにサインオンするためにStoreFrontにパススルーされます。LDAPユーザー名とパスワード認証のためにCitrix Gatewayを構成するには、「NetScalerドキュメント - LDAP認証」を参照してください。StoreFrontを構成するには、「Citrix Gatewayからのパススルー」を参照してください。

Active Directory ユーザー名とパスワード認証