Product Documentation

認証サービスの構成

Dec 15, 2016

認証サービスの作成

StoreFront認証サービスを構成するには、[認証サービスの作成]タスクを使用します。 認証サービスにより、ユーザーがMicrosoft Active Directoryで認証され、ユーザーが再ログオンすることなくデスクトップやアプリケーションにアクセスできるようになります。

StoreFrontとユーザーデバイス間の通信をHTTPSで保護するには、Microsoftインターネットインフォメーションサービス(IIS)でHTTPSを構成する必要があります。 IISでHTTPSが構成されていない場合、StoreFrontの通信にHTTPが使用されます。  

デフォルトでは、Citrix Receiverはストアへの接続にHTTPSを必要とします。 StoreFrontがHTTPS用に構成されていない場合、Citrix ReceiverでHTTP接続が使用されるようにユーザーが構成を変更する必要があります。 スマートカード認証を使用する場合はHTTPSが必要です。 IISでHTTPSが適切に構成されている場合は、必要に応じていつでもHTTPをHTTPSに変更できます。 詳しくは、「サーバーグループの構成」を参照してください。

重要:複数サーバーによる展開環境では、複数のサーバー上で同時にサーバーグループの構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソールを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサーバーグループに反映させて、展開内のほかのサーバーを更新します。
  1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルをクリックします。
  2. Citrix StoreFront管理コンソールの左ペインで[ストア]ノードを選択して、[操作]ペインの[認証方法の管理]をクリックします。
  3. ユーザーに許可するアクセス方法を選択して、[OK]をクリックします。
    • 指定ユーザー認証を有効にするには[ユーザー名とパスワード]チェックボックスをオンにします。 この場合、ユーザーは資格情報を入力してストアにアクセスします。
    • ユーザーデバイスからActive Directoryドメイン資格情報がパススルーされるようにするには、[ドメインパススルー]チェックボックスをオンにします。 この場合、ユーザーはドメインに参加しているWindowsコンピューターにログオンするときに認証されるため、ストアにアクセスするときは自動的にログオンできます。 このオプションを使用する場合は、Citrix Receiver for Windowsをユーザーデバイスにインストールするときにパススルー認証を有効にする必要があります。
    • スマートカード認証を有効にするには、[スマートカード]チェックボックスをオンにします。 ユーザーはスマートカードとPINを使ってストアにアクセスします。
    • HTTP基本認証を有効にするには、[HTTP基本]チェックボックスをオンにします。 ユーザー認証は、StoreFrontサーバーのIIS Webサーバーで実行されます。
    • NetScaler Gatewayからのパススルー認証を有効にするには、[NetScaler Gatewayからのパススルー]チェックボックスをオンにします。 ユーザーはNetScaler Gatewayにログオンするときに認証されるため、ストアにアクセスするときは自動的にログオンできます。

    NetScaler Gatewayを経由してストアにアクセスするスマートカードユーザーのパススルー認証を有効にするには、[認証の委任構成]タスクを使用します。

認証サービスにより、ユーザーがMicrosoft Active Directoryで認証され、ユーザーが再ログオンすることなくデスクトップやアプリケーションにアクセスできるようになります。 1つのStoreFront展開環境には1つの認証サービスのみを構成できます。

以下のタスクでは、StoreFront認証サービスの設定を変更します。 一部の詳細設定を変更するには、認証サービスの構成ファイルを編集する必要があります。 詳しくは、「構成ファイルを使ったStoreFrontの構成」を参照してください。

重要:複数サーバーによる展開環境では、複数のサーバー上で同時にサーバーグループの構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソールを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサーバーグループに反映させて、展開内のほかのサーバーを更新します。

認証方法の管理

ユーザーの認証方法を有効にしたり無効にしたりするには、Citrix StoreFront管理コンソールの結果ペインで認証方法を選択して、[操作]ペインの[認証方法の管理]をクリックします。 

  1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルをクリックします。
  2. Citrix StoreFront管理コンソールの左ペインで[ストア]ノードを選択して、[操作]ペインの[認証方法の管理]をクリックします。
  3. ユーザーに許可するアクセス方法を指定します。
    • 指定ユーザー認証を有効にするには[ユーザー名とパスワード]チェックボックスをオンにします。 この場合、ユーザーは資格情報を入力してストアにアクセスします。
    • ユーザーデバイスからActive Directoryドメイン資格情報がパススルーされるようにするには、[ドメインパススルー]チェックボックスをオンにします。 この場合、ユーザーはドメインに参加しているWindowsコンピューターにログオンするときに認証されるため、ストアにアクセスするときは自動的にログオンできます。 このオプションを使用する場合は、Citrix Receiver for Windowsをユーザーデバイスにインストールするときにパススルー認証を有効にする必要があります。
    • スマートカード認証を有効にするには、[スマートカード]チェックボックスをオンにします。 ユーザーはスマートカードとPINを使ってストアにアクセスします。
    • HTTP基本認証を有効にするには、[HTTP基本]チェックボックスをオンにします。 ユーザー認証は、StoreFrontサーバーのIIS Webサーバーで実行されます。
    • NetScaler Gatewayからのパススルー認証を有効にするには、[NetScaler Gatewayからのパススルー]チェックボックスをオンにします。 ユーザーはNetScaler Gatewayにログオンするときに認証されるため、ストアにアクセスするときは自動的にログオンできます。

    NetScaler Gatewayを経由してストアにアクセスするスマートカードユーザーのパススルー認証を有効にするには、[認証の委任構成]タスクを使用します。

信頼されるユーザードメインの構成

ドメインの資格情報を明示的に入力して(直接またはNetScaler Gatewayを介したパススルー認証で)ログオンするユーザーのストアへのアクセスを制限するには、[信頼されるドメイン]タスクを使用します。

  1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルをクリックします。
  2. Citrix StoreFront管理コンソールの左ペインで[ストア]ノードを選択して、結果ペインで認証方法を選択します。 [操作]ペインで[認証方法の管理]をクリックします。
  3. [ユーザー名とパスワード(明示的)]>[設定]ドロップダウンメニューから、[信頼されるドメインの構成]を選択します。 
  4. [信頼済みドメインのみ]をクリックして[追加]をクリックし、信頼されるドメインの名前を入力します。 この認証サービスを使用するすべてのストアでは、ここで追加したドメインのアカウントでログオンできるようになります。 ドメイン名を変更するには、[信頼されるドメイン]の一覧でエントリを選択して[編集]をクリックします。 特定ドメインのユーザーアカウントでのアクセスを禁止するには、一覧でそのドメインを選択して[削除]をクリックします。

    管理者がドメイン名を指定する方法により、ユーザーが資格情報の入力時に使用すべき形式が決まります。 ユーザーにドメインユーザー名形式で資格情報を入力させるには、一覧にNetBIOS名を追加します。 ユーザーにユーザープリンシパル名形式で資格情報を入力させるには、一覧に完全修飾ドメイン名を追加します。 ユーザーがドメインユーザー名形式でもユーザープリンシパル名形式でも資格情報を入力できるようにするには、一覧にNetBIOS名と完全修飾ドメイン名の両方を追加する必要があります。

  5. 信頼されるドメインを複数構成する場合は、ユーザーがログオンするときにデフォルトで選択されるドメインを[デフォルトドメイン]ボックスの一覧から選択します。
  6. ログオンページに信頼されるドメインを一覧表示するには、[ログオンページにドメイン一覧を表示する]チェックボックスをオンにします。

ユーザーがパスワードを変更できるようにする

ドメインの資格情報を使ってデスクトップのReceiverとReceiver for Webサイトにログオンするユーザーがパスワードを変更できるようにするには、[パスワードオプションの管理]タスクを使用します。 認証サービスを作成したときのデフォルトの構成では、パスワードが失効しても、Citrix ReceiverとCitrix Receiver for Webサイトのユーザーはパスワードを変更できません。 この機能を有効にする場合は、サーバーが属しているドメインのポリシーでユーザーによるパスワード変更が禁止されていないことを確認してください。 ユーザーによるパスワードの変更を有効にすると、この認証サービスを使用するストアにアクセスできるすべてのユーザーに、慎重に扱うべきセキュリティ機能が公開されることになります。 組織のセキュリティポリシーにより、ユーザーパスワード変更機能が内部使用のみに制限される環境では、社内ネットワークの外側からそれらのストアにアクセスできないことを確認してください。

  1. Citrix Receiver for Webは、選択的なパスワードの変更に加えて、有効期限が切れた時のパスワードの変更をサポートします。 すべてのデスクトップCitrix Receiverは、有効期限が切れた時にのみNetScaler Gatewayを介したパスワードの変更をサポートします。 Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルをクリックします。
  2. Citrix StoreFront管理コンソールの左ペインで[ストア]ノードを選択して、[操作]ペインの[認証方法の管理]をクリックします。
  3. [ユーザー名とパスワード]>[設定]ドロップダウンメニューから、[パスワードオプションの管理]を選択し、ドメインの資格情報を使ってCitrix Receiver for Webサイトにログオンするユーザーに、パスワードの変更を許可する条件を指定します。
    • ユーザーがいつでもパスワードを変更できるようにするには、[常時]を選択します。 パスワードの期限切れが近いローカルユーザーには、ログオン時に警告が表示されます。 パスワードの有効期限切れの警告は、内部ネットワークから接続しているユーザーにのみ表示されます。 デフォルトでは、ユーザーに対する通知期間は、適用されるWindowsポリシーの設定によって決まります。 この通知期間の設定について詳しくは、「 パスワードの有効期限切れ通知期間の構成」を参照してください。 Citrix Receiver for Webでのみサポートされます。
    • 有効期限切れのパスワードだけをユーザーが変更できるようにするには、[失効したとき]を選択します。 パスワードが失効してログオンできなくなったユーザーには、[パスワードの変更]ダイアログボックスが開きます。 デスクトップのCitrix ReceiverとCitrix Receiver for Webでサポートされます。
    • ユーザーによるパスワードの変更を禁止するには、[ユーザーにパスワードの変更を許可する]の選択を解除します。 このオプションを選択しない場合は、パスワードが失効してデスクトップやアプリケーションにアクセスできないユーザーをどのようにサポートするかを検討しておく必要があります。

    Citrix Receiver for Webサイトのユーザーがいつでもパスワードを変更できるように構成する場合は、StoreFrontサーバー上にすべてのユーザーのプロファイルを保存するための空き領域があることを確認してください。 StoreFrontではユーザーのパスワードの失効が近いかどうかを確認するため、サーバー上に各ユーザーのローカルプロファイルが作成されます。 ユーザーのパスワードを変更するには、StoreFrontはドメインコントローラーと通信する必要があります。

    Citrix ReceiverStoreFrontで有効になっている場合、ユーザーが有効期限切れのパスワードできるパスワードの有効期限が切れたら、ユーザーに通知されるStoreFrontで有効になっている場合は、パスワードの有効期限が切れる前に、ユーザーがそれを変更できる
    Windowsはい  
    Macはい  
    Android   
    iOS   
    Linuxはい  
    Webはいはいはい

セルフサービスパスワードリセットのセキュリティの質問

セルフサービスパスワードリセットにより、エンドユーザーは自身のユーザーアカウントをより詳細に制御できるようになります。 セルフサービスパスワードリセットが構成されると、エンドユーザーは、システムへのログオンで問題がある場合にいくつかのセキュリティの質問に答えることによって、アカウントのロックを解除するか、パスワードをリセットして新しいパスワードを設定できます。

セルフサービスパスワードリセットのセットアップ時に、管理コンソールを使用してパスワードのリセットとアカウントのロック解除を許可するユーザーを指定します。 StoreFrontでこれらの機能を有効にしても、セルフサービスパスワードリセットの設定で許可されていないユーザーは、これらの操作を行うことができません。

セルフサービスパスワードリセットは、ユーザーがHTTPS接続を使ってStoreFrontにアクセスする場合にのみ使用できます。 ユーザーは、HTTP接続とセルフサービスパスワードリセットを使用しても、StoreFrontにアクセスすることはできません。 セルフサービスパスワードリセットは、ユーザー名とパスワードでStoreFrontに直接認証する場合にのみ利用できます。

セルフサービスパスワードリセットでは、username@domain.comなどのUPNログオンはサポートされません。

ストアのセルフサービスパスワードリセットを設定する前に、次のことを確認する必要があります。

  • ストアが、ユーザー名とパスワードによる認証を使用するように構成されている。
  • ストアが、1つのセルフサービスパスワードリセットのみを使用するように構成されている。 StoreFrontが、複数の同じドメインまたは信頼されているドメイン内にある複数のサーバーファームを使用するように構成されている場合は、これらすべてのドメインの資格情報を受け入れるようにセルフサービスパスワードリセットを構成する必要があります。
  • ストアが、ユーザーがパスワードを常時変更できるように構成されている(パスワードのリセット機能を有効にする場合)。
  • StoreFrontストアをReceiver for Webサイトに割り当てる必要があり、そのサイトが統合エクスペリエンスを使用するように構成する必要がある。

セルフサービスパスワードリセットを使用できるようにするには、インストールして構成する必要があります。 XenApp 7.12およびXenDesktop 7.12のメディアで可能です。 詳しくは、「セルフサービスパスワードリセット」を参照してください。  

  1. Citrix StoreFront管理コンソールの左ペインで[ストア]ノードを選択して、[操作]ペインの[認証方法の管理]>[ユーザー名とパスワード]をクリックし、ドロップダウンメニューから[パスワードオプションの管理]を選択します。
  2. パスワードの変更を許可するユーザーを選択し、[OK]をクリックします。
  3. [ユーザー名とパスワード]ボックスの一覧で[アカウントセルフサービスの設定]を選択し、ドロップダウンメニューで[Citrix SSPR]を選択して[OK]をクリックします。
  4. ユーザーに対して、セルフサービスパスワードリセットを使用したパスワードのリセットおよびアカウントのロック解除を許可するかどうかを指定して、パスワードリセットサービスのアカウントURLを追加し[OK]、そして[OK]をクリックします。
localized image

このオプションは、StoreFrontベースのURLがHTTPS(HTTPではない)の場合にのみ利用可能であり、[パスワードリセットを有効にする]オプションは、[パスワードオプションの管理]を使用してユーザーがいつでもパスワードを変更できるようにした後でのみ利用可能です。 

localized image

Citrix ReceiverまたはCitrix Receiver for Webへの次回ユーザーログオン時に、セキュリティ用の質問に対する回答を登録できるようになります。 [開始]をクリックすると、ユーザーが回答を登録する必要のある質問が表示されます。

localized image

StoreFrontでの設定後、Citrix Receiver for Webのログオン画面に[アカウントセルフサービス]リンクが表示されるようになります(ほかのCitrix Receiverではボタンとして表示されます)。

このリンクをクリックすると、[アカウントのアンロック][パスワードのリセット](両方とも利用可能な場合)の間で、最初に選択する一連のフォームが表示されます。 

ラジオボタンを選択して[次へ]をクリックすると、次の画面ではドメインとユーザー名(ドメイン\ユーザー)の入力を求められます(この情報がログオンフォームで入力されていない場合)。 アカウントセルフサービスでは、username@domain.comなどのUPNログオンはサポートされないことに注意してください。

localized image

ユーザーは、セキュリティの質問に回答するように求められます。 すべての回答が、ユーザーが入力した回答と一致すると、要求した操作(ロック解除またはリセット)が実行され、操作に成功したことを示すメッセージが表示されます。

共有認証サービス設定

共有認証サービス設定タスクを使ってストアを指定し、ストア間でシングルサインオンを有効にする認証サービスを共有します。

  1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルをクリックします。
  2. Citrix StoreFront管理コンソールの左ペインで[ストア]ノードを選択して、結果ペインでストアを選択します。 [操作]ペインで[認証方法の管理]をクリックします。
  3. [詳細]ドロップダウンメニューから、[共有認証サービス設定]を選択します。 
  4. [共有認証サービスを使用する]チェックボックスをオンにして、[ストア]名ドロップダウンメニューからストアを選択します。

注:共有認証サービスと専用認証サービス間には機能的な差異はありません。 2つ以上のストアによって共有される認証サービスは、共有認証サービスとして扱われ、構成の変更はいずれも共有認証サービスを使用するすべてのストアに対して適用されます。

資格情報の検証をNetScaler Gatewayに委任する

NetScaler Gatewayを経由してストアにアクセスするスマートカードユーザーのパススルー認証を有効にするには、[認証の委任構成]タスクを使用します。 このタスクは、[NetScaler Gatewayからのパススルー]が有効で、その認証方法が結果ペインで選択されている場合のみ使用できます。

資格情報の検証をNetScaler Gatewayに委任した場合、ユーザーはスマートカードを使ってNetScaler Gatewayにログオンし、ストアにアクセスするときは自動的に認証されます。 スマートカードユーザーのパススルー認証は、管理者がNetScaler Gatewayからのパススルー認証を有効にするとデフォルトで無効になるため、ユーザーがパスワードを使ってNetScaler Gatewayにログオンした場合にのみパススルー認証が発生します。