Citrix Gatewayからのパススルー
ユーザーはCitrix Gatewayにログオンするときに認証されるため、ストアにアクセスするときは自動的にログオンできます。Citrix Gatewayからのパススルー認証は、ストアへのリモートアクセスを最初に構成するときにデフォルトで有効になります。ユーザーは、Citrix WorkspaceアプリまたはWebブラウザーを使用して、Citrix Gateway経由でストアに接続できます。Citrix Gatewayを使用するためのStoreFrontの構成について詳しくは、「Citrix Gatewayの構成」を参照してください。
StoreFrontは、次のCitrix Gateway認証方法でのパススルーをサポートします。
- ドメイン。ユーザーは、Active Directoryのユーザー名とパスワードを使用してログオンします。
- RSA。ユーザーは、セキュリティトークンによって生成されるトークンコードから得られるパスコードを使用してCitrix Gatewayにログオンします。トークンコードと暗証番号(PIN)を組み合わせてパスコードにする場合もあります。セキュリティトークンのみによるパススルー認証を有効にする場合は、ユーザーに提供するリソースでほかの認証方法(Microsoft Active Directoryドメインの資格情報など)が使用されないようにしてください。
- スマートカード。ユーザーはスマートカードを使用してログオンします
- RSA+ドメイン。Citrix Gatewayにログオンするユーザーは、ドメイン資格情報とセキュリティトークンパスコードの両方を入力する必要があります。
Citrix Gatewayで認証を無効にしている場合、またはシングルサインオンを無効にしている場合、パススルーは使用されないため、他の認証方法のいずれか1つを構成する必要があります。
Citrix Workspaceアプリ内でストアにアクセスするリモートユーザーに対してCitrix Gatewayでの2要素認証を有効にする場合は、Citrix Gatewayで2つの認証ポリシーを作成する必要があります。プライマリの認証方法としてRADIUS(Remote Authentication Dial-In User Service)を構成し、セカンダリの認証方法としてLDAP(Lightweight Directory Access Protocol)を構成します。セッションプロファイルでセカンダリの認証方法が使用されるように資格情報インデックスを変更して、LDAP資格情報がStoreFrontに渡されるようにします。Citrix GatewayアプライアンスをStoreFront構成に追加する場合は、[ログオンの種類]を[ドメインおよびセキュリティトークン]に設定します。詳しくは、http://support.citrix.com/article/CTX125364を参照してください:
Citrix GatewayからStoreFrontへの複数ドメイン認証を有効にするには、各ドメインのCitrix Gateway LDAP認証ポリシーで[SSO Name Attribute]をuserPrincipalNameに設定します。使用されるLDAPポリシーが特定されるように、Citrix Gatewayのログオンページでユーザーにドメインを指定させることができます。StoreFrontに接続できるようにCitrix Gatewayセッションプロファイルを構成する場合は、シングルサインオンドメインを指定しないでください。管理者は、各ドメイン間の信頼関係を構成する必要があります。明示的に信頼されるドメインのみにアクセスを制限せず、ユーザーがどのドメインからもStoreFrontへログオンできるようにします。
Citrix Gateway展開環境でサポートされる場合は、SmartAccess機能を使用して、Citrix Virtual Apps and DesktopsリソースへのユーザーアクセスをCitrix Gatewayセッションポリシーに基づいて制御できます。
Gatewayパススルーの有効化
Workspaceアプリを介した接続時のストアのGatewayパススルー認証を有効または無効にするには、[認証方法] ウィンドウで [Citrix Gatewayからのパススルー] にチェックを入れるか、チェックを外します。
デフォルトでCitrix Gatewayのパススルー認証を有効にすると、そのストアのすべてのWebサイトでもスマートカード認証が有効になります。[認証方法] タブで、特定のWebサイトのユーザー名とパスワード認証を無効にできます。
信頼されるユーザードメインの構成
Citrix GatewayがLDAP認証を使用するように構成されている場合は、特定のドメインへのアクセスを制限できます。
-
[認証方法の管理] ウィンドウで、[Citrix Gatewayからのパススルー]>[設定] ドロップダウンメニューから [信頼されるドメインの構成] を選択します。
-
[信頼済みドメインのみ] をクリックして [追加] をクリックし、信頼されるドメインの名前を入力します。この認証サービスを使用するすべてのストアでは、ここで追加したドメインのアカウントでログオンできます。ドメイン名を変更するには、[信頼されるドメイン]の一覧でエントリを選択して [編集] をクリックします。特定ドメインのユーザーアカウントでのアクセスを禁止するには、一覧でそのドメインを選択して [削除] をクリックします。
管理者がドメイン名を指定する方法により、ユーザーが資格情報の入力時に使用すべき形式が決まります。ユーザーにドメインユーザー名形式で資格情報を入力させるには、一覧にNetBIOS名を追加します。ユーザーにユーザープリンシパル名形式で資格情報を入力させるには、一覧に完全修飾ドメイン名を追加します。ユーザーがドメインユーザー名形式でもユーザープリンシパル名形式でも資格情報を入力できるようにするには、一覧にNetBIOS名と完全修飾ドメイン名の両方を追加する必要があります。
-
信頼されるドメインを複数構成する場合は、ユーザーがログオンするときにデフォルトで選択されるドメインを[デフォルトドメイン]ボックスの一覧から選択します。
-
ログオンページに信頼されるドメインを一覧表示するには、[ログオンページにドメイン一覧を表示する]チェックボックスをオンにします。
![[信頼されるドメイン]画面のスクリーンショット](/en-us/storefront/current-release/media/configure-authentication/authentication-trusted-domain.png)
資格情報の検証をCitrix Gatewayに委任する
デフォルトでは、StoreFrontはGatewayから受信したユーザー名とパスワードを検証します。Citrix Gatewayがスマートカードなどのパスワードレス認証方法を使用するように構成されている場合は、StoreFrontが資格情報を検証せず、Gatewayの認証に依存するように構成する必要があります。この場合、Gatewayの構成時にコールバックURLを入力し、StoreFrontがGatewayからのリクエストを確認できるようにすることをお勧めします。「Citrix Gatewayの管理」を参照してください。
-
[認証方法の管理] ウィンドウで、[Citrix Gatewayからのパススルー] > [設定] ドロップダウンメニューから [認証の委任構成] を選択します。
-
[資格情報の検証をCitrix Gatewayに委任する] を選択します。
![[認証の委任構成]ウィンドウのスクリーンショット](/en-us/storefront/current-release/media/configure-authentication/gateway-authentication-delegated.png)
。
PowerShell SDK
PowerShell SDKを使用して認証をゲートウェイに委任するようにストアを構成するには、コマンドレットSet-STFCitrixAGBasicOptionsを使用してCredentialValidationModeをAutoに設定します。資格情報を検証するようにStoreFrontを構成するには、CredentialValidationModeをPasswordに設定します。
ユーザーがログオン時にパスワードを変更できるようにする
Citrix GatewayがLDAP(ユーザー名とパスワード)認証を使用するように構成されている場合は、ログイン時に期限切れのパスワードを変更できるようにNetScalerを構成できます。
- NetScaler管理Webサイトへのログイン
- サイドメニューで [Authentication] > [Dashboard] に移動します。
- 認証サーバーをクリックします。
- [Other Settings] で [Allow Password Change] にチェックを入れます。
ユーザーがログオン後にパスワードを変更できるようにする
[Citrix Gatewayからのパススルー] では、Citrix Gatewayが認証の処理を担当します。ユーザーがログオン後にパスワードを変更できるようにStoreFrontを構成できます。この機能は、ローカルにインストールされたWorkspaceアプリではなく、HTML5向けCitrix Workspaceアプリを介してStoreFrontのストアにアクセスする場合にのみ使用できます。
StoreFrontのデフォルトの構成では、パスワードの有効期限が切れた場合でも、ユーザーはパスワードを変更できません。この機能を有効にする場合は、サーバーが属しているドメインのポリシーでユーザーによるパスワード変更が禁止されていないことを確認してください。ユーザーによるパスワードの変更を有効にすると、この認証サービスを使用するストアにアクセスできるすべてのユーザーに、慎重に扱うべきセキュリティ機能が公開されることになります。組織のセキュリティポリシーにより、ユーザーパスワード変更機能が内部使用のみに制限される環境では、社内ネットワークの外側からそれらのストアにアクセスできないことを確認してください。
-
[認証方法の管理] ウィンドウで、[Citrix Gatewayからのパススルー] > [設定] ドロップダウンメニューから [パスワードオプションの管理] を選択します
-
ユーザーによるパスワードの変更を許可するには、[ユーザーにパスワードの変更を許可する] チェックボックスをオンにします。
![[パスワードオプションの管理]のスクリーンショット](/en-us/storefront/current-release/media/configure-authentication/gateway-authentication-change-password.png)
注:
[ユーザーにパスワードの変更を許可する] を選択または選択解除すると、[ユーザー名とパスワード] 認証の [パスワードオプションの管理] の設定にも影響を与えます。
PowerShell SDK
PowerShell SDKを使用してパスワード変更オプションを変更するには、コマンドレットSet-STFExplicitCommonOptionsを使用します。
StoreFrontを信頼するようにDelivery Controllerを構成する
Citrix GatewayがLDAP認証を使用して構成されている場合、Gatewayは資格情報をStoreFrontに渡します。他の認証方法の場合、StoreFrontはユーザーの資格情報にアクセスできないため、Citrix Virtual Apps and Desktopsに認証できません。したがって、StoreFrontからの要求を信頼するようにDelivery Controllerを構成する必要があります。Citrix Virtual Apps and Desktopsの「セキュリティに関する考慮事項およびベストプラクティス」を参照してください。
フェデレーション認証サービスを使用したVDAへのシングルサインオン
ゲートウェイがLDAP認証を使用して構成されている場合、ゲートウェイは資格情報をStoreFrontに渡して、VDAにシングルサインオンできるようにします。他の認証方法の場合、StoreFrontは資格情報にアクセスできないため、デフォルトではシングル サインオンは使用できません。フェデレーション認証サービスを使用してシングルサインオンを提供できます。