Product Documentation

ユーザー認証

Jan 23, 2017

StoreFrontではユーザーがストアにアクセスするときにさまざまな認証方法がサポートされますが、ユーザーのアクセス方法とネットワークの場所によっては一部の認証方法を使用できない場合があります。 セキュリティ上の理由により、最初のストアの作成時には一部の認証方法がデフォルトで無効になります。 ユーザーの認証方法の有効化および無効化について詳しくは、「認証サービスの作成および構成」を参照してください。

ユーザー名とパスワード

ユーザーは、ストアにアクセスするときに、資格情報を入力すると認証されます。 デフォルトでは、指定ユーザー認証が有効になります。 指定ユーザー認証は、すべてのアクセス方法でサポートされます。

ユーザーがNetScaler Gatewayを使用してCitrix Receiver for Webにアクセスする場合、NetScaler Gatewayによりログオンおよび期限切れパスワードの変更処理が行われます。 ユーザーが自分でパスワードを変更する場合は、Citrix Receiver for Webのユーザーインターフェイスを使用します。 ユーザーがパスワードを変更するとNetScaler Gatewayセッションが終了します。ユーザーは再ログオンする必要があります。 Citrix Receiver for Linuxユーザーは、有効期限切れのパスワードのみを変更できます。  

ドメインパススルー

ユーザーはドメインに参加しているWindowsコンピューターにログオンするときに認証されるため、ストアにアクセスするときは自動的にログオンできます。 StoreFrontをインストールする際、ドメインパススルー認証はデフォルトで無効になっています。 ドメインパススルー認証は、Citrix ReceiverおよびXenApp Servicesサイトからストアに接続するユーザーに対して有効にすることができます。 Citrix Receiver for Webサイトは、Internet Explorerを使用する場合のみドメインパススルー認証をサポートします。 管理コンソールのCitrix Receiver for Webサイトのノードでドメインパススルー認証を有効にし、Citrix Receiver for Windows上でSSONを構成する必要があります。 Citrix Receiver for HTML5では、ドメイン資格情報のパススルー認証はサポートされません。 ドメインパススルー認証を使用するには、ユーザーがCitrix Receiver for WindowsまたはOnline Plug-in for Windowsを使用する必要があります。 また、Citrix Receiver for WindowsまたはOnline Plug-in for Windowsをユーザーのデバイスにインストールするときにパススルー認証を有効にする必要があります。

NetScaler Gatewayからのパススルー

ユーザーはNetScaler Gatewayにログオンするときに認証されるため、ストアにアクセスするときは自動的にログオンできます。 NetScaler Gatewayからのパススルー認証は、ストアへのリモートアクセスを最初に構成するときにデフォルトで有効になります。 ユーザーは、Citrix ReceiverまたはCitrix Receiver for Webサイトを使用してNetScaler Gateway経由でストアに接続できます。 デスクトップアプライアンスサイトでは、NetScaler Gatewayを経由する接続はサポートされません。 NetScaler Gatewayを使用するためのStoreFrontの構成について詳しくは、「NetScaler Gateway接続の追加」を参照してください。 

StoreFrontは、次のNetScaler Gateway認証方法でのパススルーをサポートします。

  • セキュリティトークン: ユーザーは、セキュリティトークンから生成されるトークンコードから得られるパスコードを使用してNetScaler Gatewayにログオンします。トークンコードと暗証番号を組み合わせてパスコードにする場合もあります。 セキュリティトークンのみによるパススルー認証を有効にする場合は、ユーザーに提供するリソースでほかの認証方法(Microsoft Active Directoryドメインの資格情報など)が使用されないようにしてください。
  • ドメインおよびセキュリティトークン: NetScaler Gatewayにログオンするユーザーは、ドメイン資格情報とセキュリティトークンパスコードの両方を入力する必要があります。
  • クライアント証明書: ユーザーは、NetScaler Gatewayに提示されるクライアント証明書の属性に基づいて認証を受け、NetScaler Gatewayにログオンします。 ユーザーがスマートカードを使用してNetScaler Gatewayにログオンできるようにするには、クライアント証明書認証を構成します。 クライアント証明書による認証は、ほかの種類の認証と共に2要素認証でも使用できます。

StoreFrontでは、リモートユーザーがストアにアクセスするときに資格情報を再入力しなくて済むように、NetScaler Gatewayの認証サービスを使用してリモートユーザーをパススルー認証します。 ただし、デフォルトでは、パスワードを使用してNetScaler Gatewayにログオンするユーザーに対してのみパススルー認証が有効になります。 スマートカードユーザーに対してNetScaler GatewayからStoreFrontへのパススルー認証を構成するには、資格情報の検証をNetScaler Gatewayに委任します。 詳しくは、「認証サービスの作成と構成」を参照してください。

NetScaler Gateway Plug-inを使用すると、SSL(Secure Sockets Layer)仮想プライベートネットワーク(VPN)トンネルを介したパススルー認証でCitrix Receiver内からストアに直接接続できます。 NetScaler Gateway Plug-inをインストールできないリモートユーザーも、パススルー認証によりCitrix Receiver内からストアに接続できます(クライアントレスアクセス)。 クライアントレスアクセスを使ってストアに接続するには、クライアントレスアクセスをサポートするバージョンのCitrix Receiverが必要です。

また、Citrix Receiver for Webサイトに対するパススルー認証によるクライアントレスアクセスを有効にできます。 これを行うには、セキュアリモートプロキシとして動作するようにNetScaler Gatewayを構成する必要があります。 ユーザーはNetScaler Gatewayに直接ログオンして、Citrix Receiver for Webサイトを使用して再認証なしでアプリケーションにアクセスします。 

クライアントレスアクセスによりApp Controllerリソースに接続するユーザーは、外部のSaaS(Software-as-a-Service)アプリケーションにのみアクセスできます。 リモートユーザーが内部のWebアプリケーションにアクセスするには、NetScaler Gateway Plug-inを使用する必要があります。

Citrix Receiver内でストアにアクセスするリモートユーザーに対してNetScaler Gatewayでの2要素認証を有効にする場合は、NetScaler Gatewayで2つの認証ポリシーを作成する必要があります。 プライマリの認証方法としてRADIUS(Remote Authentication Dial-In User Service)を構成し、セカンダリの認証方法としてLDAP(Lightweight Directory Access Protocol)を構成します。 セッションプロファイルでセカンダリの認証方法が使用されるように資格情報インデックスを変更して、LDAP資格情報がStoreFrontに渡されるようにします。 NetScaler GatewayアプライアンスをStoreFront構成に追加する場合は、[ログオンの種類][ドメインおよびセキュリティトークン]に設定します。 詳しくは、http://support.citrix.com/article/CTX125364を参照してください。

NetScaler GatewayからStoreFrontへの複数ドメイン認証を有効にするには、各ドメインのNetScaler Gateway LDAP認証ポリシーで[SSO Name Attribute]userPrincipalNameに設定します。 使用されるLDAPポリシーが特定されるように、NetScaler Gatewayのログオンページでユーザーにドメインを指定させることができます。 StoreFrontに接続できるようにNetScaler Gatewayセッションプロファイルを構成する場合は、シングルサインオンドメインを指定しないでください。 管理者は、各ドメイン間の信頼関係を構成する必要があります。 明示的に信頼されるドメインのみにアクセスを制限せず、ユーザーがどのドメインからもStoreFrontへログオンできるようにします。

NetScaler Gateway展開環境でサポートされる場合は、SmartAccess機能を使用して、XenDesktopおよびXenAppリソースへのユーザーアクセスをNetScaler Gatewayセッションポリシーに基づいて制御できます。 SmartAccessについて詳しくは、「How SmartAccess works for XenApp and XenDesktop」を参照してください。

スマートカード

ユーザーはスマートカードとPINを使ってストアにアクセスします。 StoreFrontをインストールする際、スマートカード認証はデフォルトで無効になっています。 スマートカード認証は、Citrix Receiver、Citrix Receiver for Web、デスクトップアプライアンスサイト、およびXenApp Servicesサイトからストアに接続するユーザーに対して有効にすることができます。

スマートカード認証を使用すると、ユーザーのログオンプロセスを効率化して、同時にインフラストラクチャへのユーザーアクセスのセキュリティを強化できます。 社内ネットワークへのアクセスは、公開キーのインフラストラクチャを使用した証明書ベースの2要素認証によって保護されます。 秘密キーは、ハードウェアで保護されるため、スマートカードの外に漏れることはありません。 ユーザーは、スマートカードとPINを使用してさまざまなコーポレートデバイスからデスクトップとアプリケーションにアクセスできるようになります。

スマートカードは、XenDesktopおよびXenAppで提供されるデスクトップとアプリケーションのユーザー認証をStoreFront経由で行うために使用できます。 StoreFrontにスマートカードでログオンするユーザーは、App Controllerで提供されるアプリケーションにもアクセスできます。 ただし、クライアント証明書認証を使用するApp Controller Webアプリケーションにアクセスするには、再度認証を受ける必要があります。

スマートカード認証を有効にする場合、StoreFrontサーバーが属しているMicrosoft Active Directoryドメインか、そのドメインと直接の双方向の信頼関係が設定されているドメインのいずれかにユーザーのアカウントが属している必要があります。 双方向の信頼関係を含んでいるマルチフォレスト展開環境がサポートされます。

StoreFrontのスマートカード認証の構成は、ユーザーデバイス、インストールされているクライアント、およびデバイスがドメインに参加しているかどうかによって異なります。 ドメインに参加しているデバイスとは、StoreFrontサーバーを含んでいるActive Directoryフォレスト内のドメインに属しているデバイスを意味します。

Citrix Receiver for Windowsでのスマートカードの使用

Citrix Receiver for Windowsを実行しているデバイスのユーザーは、スマートカードを使って直接またはNetScaler Gateway経由で認証を受けることができます。 ドメイン参加デバイスとドメイン不参加デバイスの両方でスマートカード認証を使用できますが、ユーザーエクスペリエンスがわずかに異なります。

この図は、Citrix Receiver for Windowsを介したスマートカード認証を示しています。


ドメインに参加しているデバイスのローカルユーザーには、資格情報を再入力しなくて済むように、スマートカード認証を有効にします。 ユーザーがスマートカードとPINを使ってデバイスにログオンしたら、それ以降PINを再入力する必要はありません。 StoreFrontおよびデスクトップやアプリケーションにアクセスするときの認証は透過的に行われます。 管理者は、Citrix Receiver for Windowsのパススルー認証を構成して、StoreFrontのドメインパススルー認証を有効にします。

ユーザーは、PINを使ってデバイスにログオンし、Citrix Receiver for Windowsの認証を受けます。 アプリケーションおよびデスクトップを開始するときに、追加でPINの入力を求められることはありません。

ドメイン不参加デバイスのユーザーはCitrix Receiver for Windowsに直接ログオンするため、管理者は指定ユーザー認証へのフォールバックを有効にすることができます。 管理者がスマートカード認証と指定ユーザー認証の両方を構成した場合、ユーザーは最初にスマートカードとPINを使ったログオンを要求されますが、スマートカードでログオンできない場合は指定ユーザー認証を選択することができます。

ユーザーがNetScaler Gateway経由でデスクトップやアプリケーションにアクセスする場合は、スマートカードとPINを使って最低でも2回ログオン操作を行う必要があります。 これはドメイン参加デバイスとドメイン不参加デバイスの両方に適用されます。 ユーザーは、スマートカードとPINを使ってデバイスにログオンし、デスクトップやアプリケーションにアクセスするときにもう一度PINを入力します。 管理者は、NetScaler Gateway認証のStoreFrontへのパススルーを有効にして、資格情報の検証をNetScaler Gatewayに委任します。 さらにNetScaler Gateway仮想サーバーを追加して、デスクトップやアプリケーションへのユーザー接続がそのNetScaler Gateway経由で行われるように構成します。 ドメインに参加しているデバイスに対しては、Citrix Receiver for Windowsのパススルー認証も構成する必要があります。

注:Citrix Receiver for Windows 4.2(最新バージョン)をお使いの場合、2つめのvServerをセットアップし、最適なゲートウェイルーティング機能を使用して、アプリケーションおよびデスクトップの開始時にPINの入力が不要となるようにすることができます。

ユーザーは、スマートカードとPINを使って、または指定ユーザーの資格情報を使ってNetScaler Gatewayにログオンできます。 これにより、管理者はユーザーがNetScaler Gatewayにログオンするときに指定ユーザー認証へのフォールバックを有効にすることができます。 ユーザーがStoreFrontに透過的に認証されるように、NetScaler GatewayからStoreFrontへのパススルー認証を構成し、スマートカードユーザーの資格情報の検証をNetScaler Gatewayに委任します。

デスクトップアプライアンスサイトでのスマートカードの使用

ドメイン不参加のWindowsデスクトップアプライアンスでは、ユーザーがスマートカードを使用してデスクトップにログオンできるように構成できます。 アプライアンスにはCitrix Desktop Lockが必要で、デスクトップアプライアンスサイトへのアクセスにはInternet Explorerを使用する必要があります。

この図は、ドメイン不参加のデスクトップアプライアンスからのスマートカード認証を示しています。


ユーザーがデスクトップアプライアンスにアクセスすると、Internet Explorerが全画面モードで起動し、デスクトップアプライアンスサイトのログオン画面が表示されます。 ユーザーは、スマートカードとPINを使ってサイトの認証を受けます。 デスクトップアプライアンスサイトでパススルー認証が構成されている場合、ユーザーはデスクトップやアプリケーションにアクセスするときに自動的に認証されます。 PINの再入力は要求されません。 パススルー認証が構成されていない場合は、デスクトップまたはアプリケーションにアクセスするときにPINをもう一度入力する必要があります。

管理者は、スマートカードでの認証に問題が生じた場合に指定ユーザー認証を使用できるように設定できます。 これを行うには、デスクトップアプライアンスサイトにスマートカード認証と指定ユーザー認証の両方を構成します。 この構成では、スマートカード認証がプライマリのアクセス方法とみなされます。そのため、ユーザーはまずPINの入力を要求されます。 ただし、指定ユーザーの資格情報でログオンするためのリンクも表示されます。

XenApp Servicesサイトでのスマートカードの使用

ドメイン参加のデスクトップアプライアンスとCitrix Desktop Lockを実行している再目的化されたPCのユーザーは、スマートカードを使って認証を受けることができます。 ほかのアクセス方法とは異なり、スマートカードのパススルー認証は、XenApp Servicesサイトでスマートカード資格情報が構成されている場合には自動的に有効になります。

この図は、Citrix Desktop Lockを実行しているドメイン参加のデバイスからのスマートカード認証を示しています。


ユーザーは、スマートカードとPINを使ってデバイスにログオンします。 その後、Citrix Desktop Lockにより、ユーザーはXenApp Servicesサイトを介してサイレントにStoreFrontに認証されます。 デスクトップやアプリケーションにアクセスするときは自動的に認証され、PINの再入力が要求されることはありません。

Citrix Receiver for Webでのスマートカードの使用

StoreFrontの管理コンソールを使用して、Citrix Receiver for Webでのスマートカード認証を有効にすることができます。

  1. 左ペインで[Citrix Receiver for Web]ノードを選択します。
  2. スマートカード認証を使用するサイトを選択します。
  3. 右ペインで[認証方法の選択]を選択します。
  4. ポップアップダイアログボックスでスマートカードのチェックボックスをオンにして、[OK]をクリックします。

ドメイン参加デバイスを使用するCitrix Receiver for WindowsユーザーがNetScaler Gatewayを使用せずにストアにアクセスする場合、XenDesktopおよびXenAppへのスマートカードでのパススルー認証を有効にすると、その設定がストアのすべてのユーザーに適用されます。 デスクトップおよびアプリケーションに対するドメインパススルー認証とスマートカードパススルー認証の両方を有効にするには、これらの認証方法について個別のストアを作成する必要があります。 この場合、どのストアにアクセスすべきかをユーザーに通知してください。

ドメイン参加デバイスを使用するCitrix Receiver for WindowsユーザーがNetScaler Gatewayを使用してストアにアクセスする場合、XenDesktopおよびXenAppへのスマートカードでのパススルー認証を有効にすると、その設定がストアのすべてのユーザーに適用されます。 一部のユーザーに対してのみパススルー認証を有効にする場合は、それらのユーザー用に個別のストアを作成する必要があります。 この場合、どのストアにアクセスすべきかをユーザーに通知してください。

Citrix Receiver for iOSおよびAndroidでのスマートカードの使用

Citrix Receiver for iOSおよびCitrix Receiver for Androidを実行しているデバイスのユーザーは、スマートカードを使って直接またはNetScaler Gateway経由で認証を受けることができます。 また、ドメインに参加していないデバイスを使用することもできます。

ローカルネットワーク上のデバイスの場合、ユーザーは最低でも2回ログオン操作を行う必要があります。 ユーザーがStoreFrontで認証する場合、または初めてストアを作成する場合は、スマートカードPINの入力が求められます。 さらに、ユーザーがデスクトップやアプリケーションにアクセスするときに、もう一度PINを入力します。 この認証方法を構成するには、StoreFrontでスマートカード認証を有効にして、VDAにスマートカードドライバーをインストールします。

これらのCitrix Receiverに対しては、スマートカード認証またはドメイン資格情報による認証のいずれかを指定する必要があります。 スマートカード認証を有効にしてストアを作成した後でドメイン資格情報による接続を許可するには、スマートカード認証が無効な別のストアを追加する必要があります。

ユーザーがNetScaler Gateway経由でデスクトップやアプリケーションにアクセスする場合は、スマートカードとPINを使って最低でも2回ログオン操作を行う必要があります。 ユーザーは、スマートカードとPINを使ってデバイスにログオンし、デスクトップやアプリケーションにアクセスするときにもう一度PINを入力します。 管理者は、NetScaler Gateway認証のStoreFrontへのパススルーを有効にして、資格情報の検証をNetScaler Gatewayに委任します。 さらにNetScaler Gateway仮想サーバーを追加して、デスクトップやアプリケーションへのユーザー接続がそのNetScaler Gateway経由で行われるように構成します。

ユーザーは、管理者が接続の認証をどう指定しているかに応じて、スマートカードとPIN、または指定ユーザー認証の資格情報を使用してNetScaler Gatewayにログオンできます。 ユーザーがStoreFrontに透過的に認証されるように、NetScaler GatewayからStoreFrontへのパススルー認証を構成し、スマートカードユーザーの資格情報の検証をNetScaler Gatewayに委任します。 認証方法を変更する場合は、接続を削除し、再作成する必要があります。

Citrix Receiver for Linuxでのスマートカードの使用

Citrix Receiver for Linuxを実行するデバイスを使用するユーザーは、ドメイン不参加のWindowsデバイスのユーザーと同様の方法で、スマートカードを使用して認証できます。 ユーザーがスマートカードを使用してLinuxデバイスで認証されている場合にも、Citrix Receiver for Linuxには入力済みのPINを取得または再利用するメカニズムがありません。

Citrix Receiver for Windows用に構成したときと同じ方法で、サーバー側のコンポーネントのスマートカード認証を構成します。 詳しくは、「How To Configure StoreFront 2.x and Smart Card Authentication for Internal Users using Stores」を参照してください。また、スマートカードの使用方法について詳しくは、docs.citrix.comの「Citrix Receiver for Linux」を参照してください。

ユーザーは最低でも1回のログオン操作を行う必要があります。 ユーザーは、スマートカードとPINを使ってデバイスにログオンし、Citrix Receiver for Linuxの認証を受けます。 ユーザーがデスクトップやアプリケーションにアクセスするときにPINを再入力する必要はありません。 管理者は、StoreFrontのスマートカード認証を有効にします。

ユーザーはCitrix Receiver for Linuxに直接ログオンするので、管理者は指定ユーザー認証へのフォールバックを有効にすることができます。 管理者がスマートカード認証と指定ユーザー認証の両方を構成した場合、ユーザーは最初にスマートカードとPINを使ったログオンを要求されますが、スマートカードでログオンできない場合は指定ユーザー認証を選択することができます。

ユーザーがNetScaler Gateway経由でデスクトップやアプリケーションにアクセスする場合は、スマートカードとPINを使って最低でも1回のログオン操作を行う必要があります。 ユーザーは、スマートカードとPINを使ってデバイスにログオンします。デスクトップやアプリケーションにアクセスするときに、PINを再入力する必要はありません。 管理者は、NetScaler Gateway認証のStoreFrontへのパススルーを有効にして、資格情報の検証をNetScaler Gatewayに委任します。 さらにNetScaler Gateway仮想サーバーを追加して、デスクトップやアプリケーションへのユーザー接続がそのNetScaler Gateway経由で行われるように構成します。

ユーザーは、スマートカードとPINを使って、または指定ユーザーの資格情報を使ってNetScaler Gatewayにログオンできます。 これにより、管理者はユーザーがNetScaler Gatewayにログオンするときに指定ユーザー認証へのフォールバックを有効にすることができます。 ユーザーがStoreFrontに透過的に認証されるように、NetScaler GatewayからStoreFrontへのパススルー認証を構成し、スマートカードユーザーの資格情報の検証をNetScaler Gatewayに委任します。

Citrix Receiver for LinuxでXenApp Servicesサポートサイトにアクセスする場合、スマートカードはサポートされません。

サーバーとCitrix Receiverの両方でスマートカードのサポートを有効にすると、スマートカード証明書のアプリケーションポリシーで許可されていれば、以下の目的でスマートカードを使用できます。

  • スマートカードによるログオン認証。 スマートカードを使って、Citrix XenAppサーバーやXenDesktopサーバーにログオンするユーザーを認証します。
  • スマートカード対応アプリケーションのサポート。 スマートカード対応の公開アプリケーションを使って、ローカルのスマートカードリーダーにアクセスできます。

XenApp Servicesサポートサイトでのスマートカードの使用

XenApp Servicesサポートサイトにログオンしてアプリケーションやデスクトップを開始するユーザーは、スマートカードを使って認証を受けることができます。特定のハードウェア、オペレーティングシステム、およびCitrix Receiverを使用する必要はありません。 ユーザーがXenApp ServicesサポートサイトにアクセスしてスマートカードとPINを使ってログオンすると、PNAがユーザーIDを決定してStoreFrontでの認証を行い、使用できるリソースを返します。

パススルーおよびスマートカード認証が正しく動作するためには、[Citrix XML Serviceへの要求を信頼する]をオンにする必要があります。

Delivery Controller上でローカルの管理者アカウントを使用してWindows PowerShellを起動して、コマンドプロンプトで次のコマンドを実行します。これにより、StoreFrontから送信されたXML要求をDelivery Controllerが信頼するようになります。 次の手順は、XenApp 7.5~7.8、およびXenDesktop 7.0~7.8に適用されます。 

  1. asnp Citrix*.を実行してCitrixコマンドレットをロードします (ピリオドも含めます)。
  2. Add-PSSnapin citrix.broker.admin.v2を実行します。
  3. Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $Trueを実行します。
  4. PowerShellを閉じます。

XenApp Servicesサポートのスマートカード認証方法の構成について詳しくは、「XenApp Services URLの認証の構成」を参照してください。

重要な注意事項

StoreFrontでのユーザー認証にスマートカードを使用する場合は、次の要件と制限があります。

  • スマートカード認証で仮想プライベートネットワーク(VPN)トンネルを使用するには、ユーザーがNetScaler Gateway Plug-inをインストールしてWebページ経由でログオンする必要があります。この場合、各手順でスマートカードとPINによる認証が必要になります。 スマートカードユーザーは、NetScaler Gateway Plug-inを使用したStoreFrontへのパススルー認証を使用できません。
  • 同一ユーザーデバイス上で複数のスマートカードやスマートカードリーダーを使用することのできますが、スマートカードでのパススルー認証を有効にする場合は、ユーザーがデスクトップやアプリケーションにアクセスするときにスマートカードが1枚のみ挿入されていることを確認する必要があります。
  • アプリケーション内でスマートカードを使用する場合(デジタル署名または暗号化機能など)、スマートカードの挿入またはPINの入力を求めるメッセージが表示されることがあります。 これは、同時に複数のスマートカードが挿入されている場合に発生します。 また、構成設定(通常グループポリシーを使用して構成されるPINキャッシュなどのミドルウェア設定)が原因で発生することもあります。スマートカードをリーダーに挿入しているにもかかわらずスマートカードの挿入を求めるメッセージが表示された場合は、[キャンセル]をクリックする必要があります。 ただし、PINの入力が求められた場合は、PINを再入力する必要があります。
  • ドメイン参加デバイスを使用するCitrix Receiver for WindowsユーザーがNetScaler Gatewayを使用せずにストアにアクセスする場合、XenDesktopおよびXenAppへのスマートカードでのパススルー認証を有効にすると、その設定がストアのすべてのユーザーに適用されます。 デスクトップおよびアプリケーションに対するドメインパススルー認証とスマートカードパススルー認証の両方を有効にするには、これらの認証方法について個別のストアを作成する必要があります。 この場合、どのストアにアクセスすべきかをユーザーに通知してください。
  • ドメイン参加デバイスを使用するCitrix Receiver for WindowsユーザーがNetScaler Gatewayを使用してストアにアクセスする場合、XenDesktopおよびXenAppへのスマートカードでのパススルー認証を有効にすると、その設定がストアのすべてのユーザーに適用されます。 一部のユーザーに対してのみパススルー認証を有効にする場合は、それらのユーザー用に個別のストアを作成する必要があります。 この場合、どのストアにアクセスすべきかをユーザーに通知してください。
  • 各XenApp Servicesサイトに構成できる認証方法と各ストアで使用できるXenApp Servicesサイトは、それぞれ1つだけです。 スマートカード認証に加えてほかの認証方法を有効にする必要がある場合は、認証方法ごとに個別のストアを作成し、それぞれのストアにXenApp Servicesサイトを1つずつ割り当てる必要があります。 この場合、どのストアにアクセスすべきかをユーザーに通知してください。
  • StoreFrontインストール時のMicrosoftインターネットインフォメーションサービス(IIS)のデフォルト構成では、StoreFront認証サービスの証明書認証URLへのHTTPS接続でのみクライアント証明書が要求されます。 それ以外のStoreFront URLにはクライアント証明書は必要ありません。 この構成により、管理者は、スマートカードでの認証に問題が生じた場合に指定ユーザー認証を使用できるように設定できます。 適用されるWindowsポリシー設定によっては、ユーザーが再認証なしにスマートカードを取り出すこともできます。

    すべてのStoreFront URLへのHTTPS接続でクライアント証明書が必要になるようにIISを構成する場合は、認証サービスとストアを同じサーバー上に配置する必要があります。 この場合、すべてのストアに有効なクライアント証明書を使用する必要があります。 このIISサイト構成では、スマートカードユーザーがNetScaler Gateway経由で接続できなくなり、指定ユーザー認証にもフォールバックされません。 また、スマートカードをデバイスから取り出す場合は再度ログオンする必要があります。