認証サービスの構成

認証方法の管理

ユーザーの認証方法を有効にしたり無効にしたりするには、Citrix StoreFront管理コンソールの結果ペインで認証方法を選択して、[操作]ペインの[認証方法の管理]をクリックします。

  1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront] タイルをクリックします。
  2. Citrix StoreFront管理コンソールの左ペインで [ストア] ノードを選択して、[操作] ペインの [認証方法の管理] をクリックします。
  3. ユーザーに許可するアクセス方法を指定します。

ローカライズされた画像

  • 指定ユーザー認証を有効にするには [ユーザー名とパスワード] チェックボックスをオンにします。この場合、ユーザーは資格情報を入力してストアにアクセスします。
  • SAML IDプロバイダーとの統合を有効にするには、[SAML認証] チェックボックスをオンにします。ユーザーはAccess Gatewayにログオンすることによって認証を受け、ストアにアクセスする時は自動的にログオンします。[設定]ボックスの一覧で次を選択します。
    • IDプロバイダー:IDプロバイダーの信頼性を構成する場合。
    • サービスプロバイダー:サービスプロバイダーの信頼性を構成する場合。この情報は、IDプロバイダーから要求されます。
  • ユーザーデバイスからActive Directoryドメイン資格情報がパススルーされるようにするには、[ドメインパススルー] をオンにします。この場合、ユーザーはドメインに参加しているWindowsコンピューターにログオンする時に認証されるため、ストアにアクセスする時は自動的にログオンできます。このオプションを使用する場合は、Citrix Receiver for WindowsまたはWindows向けCitrix Workspaceアプリをユーザーデバイスにインストールする時にパススルー認証を有効にする必要があります。
  • スマートカード認証を有効にするには、[スマートカード] をオンにします。ユーザーはスマートカードとPINを使ってストアにアクセスします。
  • HTTP基本認証を有効にするには、[HTTP基本] をオンにします。ユーザー認証は、StoreFrontサーバーのIIS Webサーバーで実行されます。
  • Citrix Gatewayからのパススルー認証を有効にするには、[Citrix Gatewayからのパススルー] をオンにします。ユーザーはCitrix Gatewayにログオンするときに認証されるため、ストアにアクセスするときは自動的にログオンできます。

Citrix Gatewayを経由してストアにアクセスするスマートカードユーザーのパススルー認証を有効にするには、[認証の委任構成]タスクを使用します。

信頼されるユーザードメインの構成

ドメインの資格情報を明示的に入力して(直接またはCitrix Gatewayを介したパススルー認証で)ログオンするユーザーのストアへのアクセスを制限するには、[信頼済みドメイン]タスクを使用します。

  1. Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルをクリックします。

  2. Citrix StoreFront管理コンソールの左ペインで[ストア]ノードを選択して、結果ペインで認証方法を選択します。[操作]ペインで [認証方法の管理] をクリックします。

  3. [ユーザー名とパスワード]>[設定] の一覧から、[信頼されるドメインの構成] を選択します。

  4. [信頼済みドメインのみ] をクリックして [追加] をクリックし、信頼されるドメインの名前を入力します。この認証サービスを使用するすべてのストアでは、ここで追加したドメインのアカウントでログオンできるようになります。ドメイン名を変更するには、[信頼されるドメイン]の一覧でエントリを選択して [編集] をクリックします。特定ドメインのユーザーアカウントでのアクセスを禁止するには、一覧でそのドメインを選択して [削除] をクリックします。

    管理者がドメイン名を指定する方法により、ユーザーが資格情報の入力時に使用すべき形式が決まります。ユーザーにドメインユーザー名形式で資格情報を入力させるには、一覧にNetBIOS名を追加します。ユーザーにユーザープリンシパル名形式で資格情報を入力させるには、一覧に完全修飾ドメイン名を追加します。ユーザーがドメインユーザー名形式でもユーザープリンシパル名形式でも資格情報を入力できるようにするには、一覧にNetBIOS名と完全修飾ドメイン名の両方を追加する必要があります。

  5. 信頼されるドメインを複数構成する場合は、ユーザーがログオンするときにデフォルトで選択されるドメインを[デフォルトドメイン]ボックスの一覧から選択します。

  6. ログオンページに信頼されるドメインを一覧表示するには、[ログオンページにドメイン一覧を表示する]チェックボックスをオンにします。

ユーザーがパスワードを変更できるようにする

ドメインの資格情報を使ってCitrix WorkspaceアプリとReceiver for Webサイトにログオンするユーザーがパスワードを変更できるようにするには、[パスワードオプションの管理] タスクを使用します。認証サービスを作成したときのデフォルトの構成では、パスワードが失効しても、Citrix WorkspaceアプリおよびCitrix Receiver for Webサイトのユーザーはパスワードを変更できません。この機能を有効にする場合は、サーバーが属しているドメインのポリシーでユーザーによるパスワード変更が禁止されていないことを確認してください。ユーザーによるパスワードの変更を有効にすると、この認証サービスを使用するストアにアクセスできるすべてのユーザーに、慎重に扱うべきセキュリティ機能が公開されることになります。組織のセキュリティポリシーにより、ユーザーパスワード変更機能が内部使用のみに制限される環境では、社内ネットワークの外側からそれらのストアにアクセスできないことを確認してください。

  1. Citrix Receiver for Webは、選択的なパスワードの変更に加えて、有効期限が切れた時のパスワードの変更をサポートします。すべてのデスクトップCitrix Workspaceアプリは、有効期限が切れた時にのみCitrix Gatewayを介したパスワードの変更をサポートします。Windowsの[スタート]画面または[アプリ]画面で、[Citrix StoreFront]タイルをクリックします。

  2. Citrix StoreFront管理コンソールの左ペインで [ストア] ノードを選択し、[操作]ペインで [認証方法の管理] をクリックします。

  3. [ユーザー名とパスワード]>[設定] ドロップダウンメニューから、[パスワードオプションの管理] を選択し、ドメインの資格情報を使ってCitrix Receiver for Webサイトにログオンするユーザーに、パスワードの変更を許可する条件を指定します。

    • ユーザーがいつでもパスワードを変更できるようにするには、[常時]を選択します。パスワードの期限切れが近いローカルユーザーには、ログオン時に警告が表示されます。パスワードの有効期限切れの警告は、内部ネットワークから接続しているユーザーにのみ表示されます。デフォルトでは、ユーザーに対する通知期間は、適用されるWindowsポリシーの設定によって決まります。カスタムの通知期間を設定する方法について詳しくは、「パスワードの有効期限切れ通知期間の構成」を参照してください 。Citrix Receiver for Webでのみサポートされます。
    • パスワードの有効期限が切れた場合にのみユーザーがパスワードを変更できるようにするには、[パスワードの有効期限]を選択します。パスワードが失効してログオンできなくなったユーザーには、[パスワードの変更]ダイアログボックスが開きます。これは、Citrix WorkspaceアプリとCitrix Receiver for Webでサポートされています。
    • ユーザーによるパスワードの変更を禁止する場合は、[ユーザーにパスワードの変更を許可する] をオンにしないでください 。このオプションを選択しない場合は、パスワードが失効してデスクトップやアプリケーションにアクセスできないユーザーをどのようにサポートするかを検討しておく必要があります。

    Citrix Receiver for Webサイトのユーザーがいつでもパスワードを変更できるように構成する場合は、StoreFrontサーバー上にすべてのユーザーのプロファイルを保存するための空き領域があることを確認してください。StoreFrontではユーザーのパスワードの失効が近いかどうかを確認するため、サーバー上に各ユーザーのローカルプロファイルが作成されます。ユーザーのパスワードを変更するには、StoreFrontはドメインコントローラーと通信する必要があります。

    Citrix Workspaceアプリ StoreFrontで有効になっている場合、ユーザーが有効期限切れのパスワードできる パスワードの有効期限が切れたら、ユーザーに通知される StoreFrontで有効になっている場合は、パスワードの有効期限が切れる前に、ユーザーがそれを変更できる
    Windows はい    
    Mac はい    
    Android      
    iOS      
    Linux はい    
    Web はい はい はい

セルフサービスパスワードリセットのセキュリティの質問

セルフサービスパスワードリセットにより、エンドユーザーは自身のユーザーアカウントをこれまで以上に制御できるようになります。セルフサービスパスワードリセットが構成されると、エンドユーザーは、システムへのログオンで問題がある場合にいくつかのセキュリティの質問に答えることによって、アカウントのロックを解除するか、パスワードをリセットして新しいパスワードを設定できます。

セルフサービスパスワードリセットのセットアップ時に、管理コンソールを使用してパスワードのリセットとアカウントのロック解除を許可するユーザーを指定します。StoreFrontでこれらの機能を有効にしても、セルフサービスパスワードリセットの設定で許可されていないユーザーは、これらの操作を行うことができません。

セルフサービスパスワードリセットは、ユーザーがHTTPS接続を使ってStoreFrontにアクセスする場合にのみ使用できます。ユーザーは、HTTP接続とセルフサービスパスワードリセットを使用しても、StoreFrontにアクセスすることはできません。セルフサービスパスワードリセットは、ユーザー名とパスワードでStoreFrontに直接認証する場合にのみ利用できます。

セルフサービスパスワードリセットでは、username@domain.comなどのUPNログオンはサポートされません。

ストアのセルフサービスパスワードリセットを設定する前に、次のことを確認する必要があります:

  • ストアが、ユーザー名とパスワードによる認証を使用するように構成されている。
  • ストアが、1つのセルフサービスパスワードリセットのみを使用するように構成されている。StoreFrontが、複数の同じドメインまたは信頼されているドメイン内にある複数のサーバーファームを使用するように構成されている場合は、これらすべてのドメインの資格情報を受け入れるようにセルフサービスパスワードリセットを構成する必要があります。
  • ストアが、ユーザーがパスワードを常時変更できるように構成されている(パスワードのリセット機能を有効にする場合)。
  • StoreFrontストアをReceiver for Webサイトに関連付ける必要があります。

セルフサービスパスワードリセットを使用できるようにするには、インストールして構成する必要があります。Citrix Virtual Apps and Desktopsメディアで入手できます。詳しくは、「セルフサービスパスワードリセット」を参照してください。

  1. Citrix StoreFront管理コンソールの左ペインで [ストア] ノードを選択して、[操作] ペインの [認証方法の管理]>[ユーザー名とパスワード] をクリックし、ドロップダウンメニューから [パスワードオプションの管理] を選択します。
  2. パスワードの変更を許可するユーザーを選択し、[OK] をクリックします。
  3. [ユーザー名とパスワード] ボックスの一覧で [アカウントセルフサービスの設定] を選択し、ドロップダウンメニューで [Citrix SSPR] を選択して [OK] をクリックします。
  4. ユーザーに対して、セルフサービスパスワードリセットを使用したパスワードのリセットおよびアカウントのロック解除を許可するかどうかを指定して、パスワードリセットサービスのアカウントURLを追加し [OK]、そして [OK] をクリックします。

ローカライズされた画像

このオプションは、StoreFrontベースのURLがHTTPS(HTTPではない)の場合にのみ利用可能であり、[パスワードリセットを有効にする] オプションは、[パスワードオプションの管理] を使用してユーザーがいつでもパスワードを変更できるようにした後でのみ利用可能です。

ローカライズされた画像

Citrix WorkspaceアプリまたはCitrix Receiver for Webへの次回ユーザーログオン時に、セキュリティ用の質問に対する回答を登録できるようになります。[開始] をクリックすると、ユーザーが回答を登録する必要のある質問が表示されます。

ローカライズされた画像

StoreFrontで構成すると、Citrix Receiver for Webのログオン画面にアカウントセルフサービスへのリンクが(他のCitrix Workspaceアプリ内のボタンとして)ユーザーに表示されます。

このリンクをクリックすると、一連のフォームが表示されます。最初に [アカウントのロック解除][パスワードのリセット] (どちらも使用可能な場合)のいずれかを選択します。

ラジオボタンを選択して [次へ] をクリックすると、次の画面ではドメインとユーザー名(ドメイン\ユーザー)の入力を求められます(この情報がログオンフォームで入力されていない場合)。アカウントセルフサービスでは、username@domain.comなどのUPNログオンはサポートされないことに注意してください。

ローカライズされた画像

ユーザーは、セキュリティの質問に回答するように求められます。すべての回答が、ユーザーが入力した回答と一致すると、要求した操作(ロック解除またはリセット)が実行され、操作に成功したことを示すメッセージが表示されます。

共有認証サービス設定

共有認証サービス設定タスクを使ってストアを指定し、ストア間でシングルサインオンを有効にする認証サービスを共有します。

  1. Windowsの [スタート] 画面または [アプリ] 画面で、[Citrix StoreFront] タイルをクリックします。
  2. Citrix StoreFront管理コンソールの左ペインで [ストア] ノードを選択して、結果ペインでストアを選択します。[操作] ペインで [認証方法の管理] をクリックします。
  3. [詳細] ドロップダウンメニューから、[共有認証サービス設定] を選択します。
  4. [共有認証サービスを使用する] チェックボックスをオンにして、[ストア] 名ドロップダウンメニューからストアを選択します。

注:

共有認証サービスと専用認証サービスに機能的な違いはありません。2つ以上のストアによって共有される認証サービスは、共有認証サービスとして扱われ、構成の変更はいずれも共有認証サービスを使用するすべてのストアに対して適用されます。

資格情報の検証をCitrix Gatewayに委任する

Citrix Gatewayを経由してストアにアクセスするスマートカードユーザーのパススルー認証を有効にするには、[認証の委任構成]タスクを使用します。このタスクは、[Citrix Gatewayからのパススルー]が有効で、その認証方法が結果ペインで選択されている場合のみ使用できます。

資格情報の検証をCitrix Gatewayに委任した場合、ユーザーはスマートカードを使ってCitrix Gatewayへの認証を実行し、ストアにアクセスするときは自動的にログオンします。スマートカードユーザーのパススルー認証は、管理者がCitrix Gatewayからのパススルー認証を有効にするとデフォルトで無効になるため、ユーザーがパスワードを使ってCitrix Gatewayにログオンした場合にのみパススルー認証が発生します。

バージョン

認証サービスの構成