異なるドメインでの認証
一部の組織では、サードパーティの開発者や請負業者に本番環境の公開リソースへのアクセスを許可しないポリシーを導入しています。この記事では、Citrix Gateway を介して単一のドメインで認証することにより、テスト環境の公開リソースへのアクセスを許可する方法について説明します。その後、別のドメインを使用して StoreFront および Receiver for Web サイトに認証できます。この記事で説明する Citrix Gateway を介した認証は、Receiver for Web サイトを介してログオンするユーザーに対してサポートされています。この認証方法は、ネイティブデスクトップまたはモバイルの Citrix Receiver または Citrix Workspace アプリのユーザーにはサポートされていません。
テスト環境のセットアップ
この例では、production.com という本番ドメインと、development.com というテストドメインを使用します。
production.com ドメイン
この例の production.com ドメインは、次のように設定されています。
-
production.comLDAP 認証ポリシーが構成された Citrix Gateway - ゲートウェイを介した認証は、
production\testuser1アカウントとパスワードを使用して行われます
development.com ドメイン
この例の development.com ドメインは、次のように設定されています。
- StoreFront、Citrix Virtual Apps and Desktops、および VDA はすべて
development.comドメイン上にあります - Citrix Receiver for Web サイトへの認証は、
development\testuser1アカウントとパスワードを使用して行われます - 2 つのドメイン間に信頼関係はありません
ストアの Citrix Gateway の構成
ストアの Citrix Gateway を構成するには、次の手順を実行します。
- Citrix StoreFront 管理コンソールの左ペインで [ストア] を選択し、[操作] ペインで [Citrix Gateway の管理] をクリックします。
- [Citrix Gateway の管理] 画面で、[追加] をクリックします。
-
[一般設定]、[Secure Ticket Authority]、および [認証] の手順を完了します。
注:
両方のドメインで使用されている DNS サーバーが他のドメインの FQDN を解決できるように、DNS 条件付きフォワーダーを追加する必要がある場合があります。Citrix Gateway は、
production.comDNS サーバーを使用してdevelopment.comドメイン上の STA サーバー FQDN を解決できる必要があります。StoreFront も、development.comDNS サーバーを使用してproduction.comドメイン上のコールバック URL を解決できる必要があります。または、Citrix Gateway 仮想サーバーの仮想 IP (VIP) に解決されるdevelopment.comFQDN を使用することもできます。
Citrix Gateway からのパススルーの有効化
- Citrix StoreFront 管理コンソールの左ペインで [ストア] を選択し、[操作] ペインで [認証方法の管理] をクリックします。
- [認証方法の管理] 画面で、[Citrix Gateway からのパススルー] を選択します。
- [OK] をクリックします。
Gateway を使用したリモートアクセス用のストアの構成
- Citrix StoreFront 管理コンソールの左ペインで [ストア] ノードを選択し、結果ペインでストアを選択します。[操作] ペインで [リモートアクセス設定の構成] をクリックします。
- [リモートアクセスを有効にする] を選択します。
- Citrix Gateway がストアに登録されていることを確認します。Citrix Gateway を登録しないと、STA チケット発行は機能しません。
トークンの一貫性の無効化
- Citrix StoreFront 管理コンソールの左ペインで [ストア] ノードを選択し、結果ペインでストアを選択します。[操作] ペインで [ストア設定の構成] をクリックします。
- [ストア設定の構成] ページで、[詳細設定] を選択します。
-
[トークンの一貫性を要求する] チェックボックスをオフにします。詳細については、「ストアの詳細設定」を参照してください。
- [OK] をクリックします。
注:
[トークンの一貫性を要求する] 設定は、デフォルトで選択されています (オン)。この設定を無効にすると、Citrix Gateway のエンドポイント分析 (EPA) に使用される SmartAccess 機能が動作しなくなります。
Web サイトの Citrix Gateway からのパススルーの無効化
重要:
Citrix Gateway からのパススルーを無効にすると、Web サイトが Citrix Gateway から渡された
production.comドメインの誤った資格情報を使用しようとするのを防ぎます。Citrix Gateway からのパススルーを無効にすると、Web サイトはユーザーに資格情報の入力を求めます。これらの資格情報は、Citrix Gateway を介してログオンするために使用された資格情報とは異なります。
- Citrix StoreFront 管理コンソールの左ペインで [ストア] ノードを選択します。
- 変更する ストア を選択します。
- [操作] ペインで [Web サイトの管理] をクリックします。
- [認証方法] で、[Citrix Gateway からのパススルー] をオフにします。
- [OK] をクリックします。
production.com ユーザーと資格情報を使用した Gateway へのログオン
テストするには、production.com ユーザーと資格情報を使用して Gateway にログオンします。
ログオン後、ユーザーは development.com の資格情報を入力するように求められます。
StoreFront での信頼済みドロップダウンリストの追加 (オプション)
この設定はオプションですが、ユーザーが誤って間違ったドメインを入力して Citrix Gateway を介して認証するのを防ぐのに役立つ場合があります。
両方のドメインでユーザー名が同じである場合、間違ったドメインを入力する可能性が高くなります。新規ユーザーは、Citrix Gateway を介してログオンするときにドメインを省略することに慣れている場合もあります。その場合、ユーザーは Receiver for Web サイトへのログオンを求められたときに、2 番目のドメインの domain\username を入力するのを忘れる可能性があります。
- Citrix StoreFront 管理コンソールの左ペインで [ストア] を選択し、[操作] ペインで [認証方法の管理] をクリックします。
- [ユーザー名とパスワード] の横にあるドロップダウン矢印を選択します。
-
[追加] をクリックして
development.comを信頼済みドメインとして追加し、[ログオンページにドメインリストを表示する] チェックボックスをオンにします。 - [OK] をクリックします。
注:
この認証シナリオでは、ブラウザのパスワードキャッシュは推奨されません。ユーザーが 2 つの異なるドメインアカウントで異なるパスワードを持っている場合、パスワードキャッシュはエクスペリエンスの低下につながる可能性があります。
NetScaler® セッションアクションポリシー
- Citrix Gateway セッションポリシー内で Web アプリケーションへのシングルサインオンが有効になっている場合、Web サイトで [Citrix Gateway からのパススルー] 認証方法を無効にしているため、Citrix Gateway から Web サイトに送信された誤った資格情報は無視されます。このオプションの設定に関係なく、Web サイトは資格情報の入力を求めます。
-
Citrix Gateway の [クライアントエクスペリエンス] タブと [公開アプリ] タブでシングルサインオンエントリを設定しても、この記事で説明されている動作は変更されません。
