StoreFront

異なるドメインを使用した認証

組織によっては、サードパーティの開発者や契約社員に実稼働環境で公開リソースへのアクセスをポリシーで禁止している場合があります。ここでは、Citrix Gateway経由で1つのドメインに認証することでテスト環境での公開リソースへのアクセスを許可する方法を説明します。これによって、異なるドメインを使用してStoreFrontおよびReceiver for Webサイトへの認証を実行できます。ここで説明されたCitrix Gateway経由の認証は、Receiver for Webサイト経由でログオンするユーザーが対象です。この認証方法は、ネイティブのデスクトップまたはモバイルCitrix ReceiverまたはCitrix Workspaceアプリのユーザーは使用できません。

テスト環境のセットアップ

ここでは、production.comという実稼働ドメインとdevelopment.comというテストドメインを使用します。

production.comドメイン

この例では、production.comドメインを以下のようにセットアップします:

  • production.comのLDAP認証ポリシーが構成されたCitrix Gateway。
  • production\testuser1アカウントおよびパスワードを使用してゲートウェイ経由で認証。

development.comドメイン

この例では、development.comドメインを以下のようにセットアップします:

  • StoreFront、Citrix Virtual App and Desktops、およびVDAはすべてdevelopment.comドメイン上にあります。
  • production\testuser1アカウントおよびパスワードを使用してCitrix Receiver for Webサイトに認証。
  • 2つのドメインの間には、信頼関係はありません。

ストアのCitrix Gatewayの構成

ストアのCitrix Gatewayを構成するには:

  1. Citrix StoreFront管理コンソールの左ペインで [ストア] を選択して、[操作] ペインの [Citrix Gatewayの管理] をクリックします。
  2. [Citrix Gatewayの管理]画面で、[追加] をクリックします。
  3. 全般設定、Secure Ticket Authority、認証手順を完了します。

    [Citrix Gatewayアプライアンスの追加]ウィンドウ、[全般設定]セクションのスクリーンショット

    [Citrix Gatewayアプライアンスの追加]ウィンドウ、[Secure Ticket Authority]セクションのスクリーンショット

    [Citrix Gatewayアプライアンスの追加]ウィンドウ、[認証設定]セクションのスクリーンショット

注:

両方のドメインで使用中のDNSサーバーが他方のドメインのFQDNを解決できるよう、DNS条件付きフォワーダーの追加が必要な場合があります。Citrix ADCアプライアンスは、production.comのDNSサーバーを使用して、development.comドメインでSTAサーバーのFQDNを解決できるようにする必要があります。StoreFrontは、development.comのDNSサーバーを使用して、production.comドメインでコールバックURLを解決できるようにする必要があります。または、development.comのFQDNを使用して、Citrix Gateway仮想サーバーvirtual IP(VIP)として解決することもできます。

Citrix Gatewayからのパススルーを有効にする

  1. Citrix StoreFront管理コンソールの左ペインで [ストア] ノードを選択して、[操作] ペインの [認証方法の管理] をクリックします。
  2. [認証方法の管理]画面で、[Citrix Gatewayからのパススルー] を選択します。
  3. [OK] をクリックします。

[認証方法の管理]ウィンドウのスクリーンショット

NetScaler Gatewayを使用したリモートアクセスをストアで構成する

  1. Citrix StoreFront管理コンソールの左ペインで [ストア] ノードを選択して、結果ペインでストアを選択します。[操作] ペインで [リモートアクセス設定の構成] をクリックします。
  2. [リモートアクセスの有効化] を選択します。
  3. Citrix Gatewayがストアに登録されたことを確認します。Citrix Gatewayが登録されていないと、STAチケット発行機能は機能しません。

[リモートアクセス設定の構成]ウィンドウのスクリーンショット

トークンの一貫性を無効にする

  1. Citrix StoreFront管理コンソールの左ペインで [ストア] ノードを選択して、結果ペインでストアを選択します。[操作] ペインで、[ストア設定の構成] を選択します。
  2. [ストア設定の構成]ページで、[詳細設定] を選択します。
  3. [トークンの一貫性を要求する] チェックボックスをオフにします。詳しくは、「上級ストア設定」を参照してください。

    [詳細設定]、[トークンの一貫性を要求する]設定のスクリーンショット

  4. [OK] をクリックします。

注:

[トークンの一貫性を要求する]設定はデフォルトでオンになっています。この設定を無効にすると、Citrix ADC End Point Analysis(EPA)SmartAccess機能が停止します。SmartAccessについて詳しくは、CTX138110を参照してください。

Receiver for WebサイトでCitrix Gatewayからのパススルーを無効にする

重要:

Citrix Gatewayからのパススルーを無効にすると、Receiver for WebがCitrix ADCアプライアンスから渡されたproduction.comドメインの誤った資格情報を使用しないようにできます。Citrix Gatewayからのパススルーを無効にすると、Receiver for Webがユーザーに資格情報の入力を求めます。これらの資格情報は、Citrix Gatewayでログオンする場合に使用する資格情報とは異なります。

  1. Citrix StoreFront管理コンソールの左ペインで [ストア] ノードを選択します。
  2. 変更するストアを選択します。
  3. [操作] ペインで [Receiver for Webサイトの管理] をクリックします。
  4. 認証方法で、[Citrix Gatewayからのパススルー]をオフにします。
  5. [OK] をクリックします。

    [Receiver for Webサイトの編集]ウィンドウ、[認証方法]セクションのスクリーンショット

production.comユーザー名およびパスワードを使用してNetScaler Gatewayにログオンする

テストのために、production.comユーザー名およびパスワードを使用して、NetScaler Gatewayにログオンします。

ログオン画面のスクリーンショット

ログオン後、ユーザーはdevelopment.comの資格情報を入力するよう求められます。

2番目のログオン画面のスクリーンショット

StoreFrontで信頼済みドメインドロップダウンリストを追加する(オプション)

この設定はオプションですが、これによってCitrix Gateway経由の認証で誤ったドメインの入力を回避できる場合があります。

両方のドメインで同じユーザー名を使用する場合、誤ったドメインを入力する可能性が高くなります。慣れていないユーザーが、Citrix Gateway経由でログオンする時、ドメインの入力を省略することもあります。その後、Receiver for Webサイトにログオンするよう求められると、ドメインでドメイン\ユーザー名の入力を忘れる可能性があります。

  1. Citrix StoreFront管理コンソールの左ペインで [ストア] ノードを選択して、[操作] ペインの [認証方法の管理] をクリックします。
  2. [ユーザー名とパスワード] の横の下向き矢印を選択します。
  3. [追加] を選択して、development.comを信頼済みドメインとして追加し、[ログオンページにドメイン一覧を表示する] チェックボックスをオンにします。
  4. [OK] をクリックします。

[信頼されるドメインの構成]ウィンドウのスクリーンショット

ドメインのドロップダウンが表示されたログイン画面のスクリーンショット

注:

この認証方法では、ブラウザーのパスワードキャッシュ機能は使用しないでください。2つの異なるドメインアカウントに異なるパスワードがある場合、パスワードキャッシュによって操作が複雑になる可能性があります。

Citrix GatewayのクライアントレスVPN(CVPN)セッションの操作ポリシー

  • Citrix GatewayセッションポリシーでWebアプリケーションへのシングルサインオン機能が有効になっていると、Citrix ADCアプライアンスからReceiver for Webに送信された正しくない資格情報は無視されます。これは、Receiver for Webで [Citrix Gatewayからのパススルー] 認証方法が無効になっているためです。このオプションがどのように設定されていても、Receiver for Webは資格情報を求めます。
  • Citrix ADCアプライアンスの[Client Experience]および[Published Applications]タブでシングルサインオンを指定しても、ここで説明された動作は影響を受けません。

    NetScalerポリシー画面、[Client Experience]タブのスクリーンショット

    Netscalerポリシー画面、[公開アプリ]タブのスクリーンショット