ユーザー認証

StoreFrontではユーザーがストアにアクセスするときにさまざまな認証方法がサポートされますが、ユーザーのアクセス方法とネットワークの場所によっては一部の認証方法を使用できない場合があります。セキュリティ上の理由により、最初のストアの作成時には一部の認証方法がデフォルトで無効になります。ユーザーの認証方法の有効化および無効化について詳しくは、「認証サービスの作成と構成」を参照してください。

ユーザー名とパスワード

ユーザーは、ストアにアクセスするときに、資格情報を入力すると認証されます。デフォルトでは、指定ユーザー認証が有効になります。指定ユーザー認証は、すべてのアクセス方法でサポートされます。

ユーザーがCitrix Gatewayを使用してCitrix Receiver for Webにアクセスする場合、Citrix Gatewayによりログオンおよび期限切れパスワードの変更処理が行われます。ユーザーが自分でパスワードを変更する場合は、Citrix Receiver for Webのユーザーインターフェイスを使用します。ユーザーがパスワードを変更するとCitrix Gatewayセッションが終了します。ユーザーは再ログオンする必要があります。Citrix Receiver for LinuxまたはLinux向けCitrix Workspaceアプリユーザーは、有効期限切れのパスワードのみを変更できます。

SAML認証

ユーザーはAccess Gatewayにログオンすることによって認証を受け、ストアにアクセスするときは自動的にログオンします。StoreFrontでは、Citrix Gatewayを経由することなく社内ネットワーク内でSAML認証を直接サポートすることができます。

SAML(Security Assertion Markup Language:セキュリティアサーションマークアップランゲージ)は、Microsoft AD FS(Active Directoryフェデレーションサービス)などのIDおよび認証製品で採用されている公開標準規格です。StoreFrontとSAML認証を統合することで、管理者はたとえば、ユーザーが一度社内ネットワークへログオンすれば、以降は公開アプリケーションにシングルサインオンできるようにすることができます。

要件:

  • Citrixフェデレーション認証サービスの実装。
  • SAML 2.0準拠のIDプロバイダー(IdPs):
    • SAMLバインドのみを使用するMicrosoft AD FS v4.0(Windows Server 2016)(WSフェデレーションバインドは不可)。詳しくは、「Microsoft AD FS 2016の展開」および「Microsoft AD 2016 FSの運用」を参照してください。
    • Microsoft Windows Server 2012 R2
    • Citrix Gateway(IdPとして構成)
  • StoreFrontの管理コンソールを使用して、SAML認証を新しい展開環境(「新しい展開環境の作成」を参照)または既存の展開環境(「認証サービスの構成」を参照)で構成します。また、PowerShellコマンドレットを使用してSAML認証を構成することもできます。「StoreFront SDK」を参照してください。
  • Citrix Receiver(4.6以降)またはWindows向けCitrix Workspaceアプリ、またはCitrix Receiver for Web。

現在、Citrix GatewayでのSAML認証の使用は、Citrix Receiver for Webサイトでサポートされています。

ドメインパススルー

ユーザーはドメインに参加しているWindowsコンピューターにログオンするときに認証されるため、ストアにアクセスするときは自動的にログオンできます。

StoreFrontをインストールする際、ドメインパススルー認証はデフォルトで無効になっています。ドメインパススルー認証は、Citrix WorkspaceアプリおよびXenApp Servicesサイトからストアに接続するユーザーに対して有効にすることができます。Citrix Receiver for Webサイトは、ドメイン参加WindowsクライアントマシンでInternet Explorer、Microsoft Edge、Mozilla Firefox、Google Chromeによるドメインパススルー認証をサポートします。

ドメインパススルー認証を有効にするには

  1. Citrix Receiver for Windows、Windows向けCitrix Workspaceアプリ、またはCitrix Online plug-in for Windowsをユーザーデバイスにインストールします。パススルー認証が有効になっていることを確認します。
  2. 管理コンソールのCitrix Receiver for Webサイトのノードでドメインパススルー認証を有効にし、
  3. ドメインパススルー認証の構成」で説明されているように、Citrix Receiver for WindowsまたはWindows向けCitrix Workspaceアプリ上でSSONを構成します。HTML5向けCitrix Workspaceアプリでは、ドメイン資格情報のパススルー認証はサポートされません。
  4. Windowsのデフォルトの動作は、「イントラネットゾーンで自動ログオン」です。Internet Explorer、Mozilla Firefox、Google Chromeの場合、インターネットオプションを使用してCitrix Receiver for Webサイトをイントラネットサイトとして構成するか、信頼済みゾーンで自動ログオンを有効にします。Microsoft Edgeの場合、Citrix Receiver for Webサイトをイントラネットサイトとして構成する必要があります。
  5. Mozilla Firefoxの場合、ブラウザーの詳細設定を変更してCitrix Receiver for WindowsまたはWindows向けCitrix WorkspaceアプリのURIを信頼します。

    警告:

    詳細設定を誤って編集すると、深刻な問題が発生することがあります。お客様の責任と判断の範囲で編集してください。

    1. Firefoxを起動して、アドレスフィールドにabout:configと入力して、[危険性を承知の上で使用する]を選択します。
    2. 検索ボックスにntlmを入力します。
    3. 「network.automatic-ntlm-auth.trusted-uris」でダブルクリックして、Citrix Receiver for WindowsまたはWindows向けCitrix WorkspaceアプリサイトのURLをポップアップダイアログに入力します。
    4. [OK] をクリックします。

Citrix Gatewayからのパススルー

ユーザーはCitrix Gatewayにログオンするときに認証されるため、ストアにアクセスするときは自動的にログオンできます。Citrix Gatewayからのパススルー認証は、ストアへのリモートアクセスを最初に構成するときにデフォルトで有効になります。ユーザーは、Citrix WorkspaceアプリまたはCitrix Receiver for Webサイトを使用して、Citrix Gateway経由でストアに接続できます。デスクトップアプライアンスサイトでは、Citrix Gatewayを経由する接続はサポートされません。Citrix GatewayでのStoreFrontの構成について詳しくは、「Citrix Gateway接続の追加」を参照してください。

StoreFrontは、次のCitrix Gateway認証方法でのパススルーをサポートします。

  • セキュリティトークン:ユーザーは、セキュリティトークンによって生成されるトークンコードから得られるパスコードを使用してCitrix Gatewayにログオンします。トークンコードと暗証番号(PIN)を組み合わせてパスコードにする場合もあります。セキュリティトークンのみによるパススルー認証を有効にする場合は、ユーザーに提供するリソースでほかの認証方法(Microsoft Active Directoryドメインの資格情報など)が使用されないようにしてください。
  • ドメインおよびセキュリティトークン:Citrix Gatewayにログオンするユーザーは、ドメイン資格情報とセキュリティトークンパスコードの両方を入力する必要があります。
  • クライアント証明書:ユーザーは、Citrix Gatewayに提示されるクライアント証明書の属性に基づいて認証を受け、Citrix Gatewayにログオンします。ユーザーがスマートカードを使用してCitrix Gatewayにログオンできるようにするには、クライアント証明書認証を構成します。クライアント証明書による認証は、ほかの種類の認証と共に2要素認証でも使用できます。

StoreFrontでは、リモートユーザーがストアにアクセスするときに資格情報を再入力しなくて済むように、Citrix Gatewayの認証サービスを使用してリモートユーザーをパススルー認証します。ただし、デフォルトでは、パスワードを使用してCitrix Gatewayにログオンするユーザーに対してのみパススルー認証が有効になります。スマートカードユーザーに対してCitrix GatewayからStoreFrontへのパススルー認証を構成するには、資格情報の検証をCitrix Gatewayに委任します。詳しくは、認証サービスの作成と構成を参照してください。

Citrix Gateway Plug-inを使用すると、SSL(Secure Sockets Layer)仮想プライベートネットワーク(VPN)トンネルを介したパススルー認証でCitrix Workspaceアプリ内からストアに直接接続できます。Citrix Gateway Plug-inをインストールできないリモートユーザーも、クライアントレスアクセスを使用してパススルー認証によりCitrix Workspaceアプリ内からストアに接続できます。クライアントレスアクセスを使ってストアに接続するには、クライアントレスアクセスをサポートするバージョンのCitrix Workspaceアプリが必要です。

また、Citrix Receiver for Webサイトに対するパススルー認証によるクライアントレスアクセスを有効にできます。これを行うには、セキュアリモートプロキシとして動作するようにCitrix Gatewayを構成する必要があります。ユーザーはCitrix Gatewayに直接ログオンして、Citrix Receiver for Webサイトを使用して再認証なしでアプリケーションにアクセスします。

クライアントレスアクセスによりApp Controllerリソースに接続するユーザーは、外部のSaaS(Software-as-a-Service)アプリケーションにのみアクセスできます。リモートユーザーが内部のWebアプリケーションにアクセスするには、Citrix Gateway Plug-inを使用する必要があります。

Citrix Workspaceアプリ内でストアにアクセスするリモートユーザーに対してCitrix Gatewayでの2要素認証を有効にする場合は、Citrix Gatewayで2つの認証ポリシーを作成する必要があります。プライマリの認証方法としてRADIUS(Remote Authentication Dial-In User Service)を構成し、セカンダリの認証方法としてLDAP(Lightweight Directory Access Protocol)を構成します。セッションプロファイルでセカンダリの認証方法が使用されるように資格情報インデックスを変更して、LDAP資格情報がStoreFrontに渡されるようにします。Citrix GatewayアプライアンスをStoreFront構成に追加する場合は、[ログオンの種類]を[ドメインおよびセキュリティトークン]に設定します。詳しくは、「http://support.citrix.com/article/CTX125364」を参照してください。

Citrix GatewayからStoreFrontへの複数ドメイン認証を有効にするには、各ドメインのCitrix Gateway LDAP認証ポリシーで[SSO Name Attribute]をuserPrincipalNameに設定します。使用されるLDAPポリシーが特定されるように、Citrix Gatewayのログオンページでユーザーにドメインを指定させることができます。StoreFrontに接続できるようにCitrix Gatewayセッションプロファイルを構成する場合は、シングルサインオンドメインを指定しないでください。管理者は、各ドメイン間の信頼関係を構成する必要があります。明示的に信頼されるドメインのみにアクセスを制限せず、ユーザーがどのドメインからもStoreFrontへログオンできるようにします。

Citrix Gateway展開環境でサポートされる場合は、SmartAccess機能を使用して、Citrix Virtual Apps and DesktopsリソースへのユーザーアクセスをCitrix Gatewayセッションポリシーに基づいて制御できます。SmartAccessについて詳しくは、「Citrix Virtual Apps and DesktopsでのSmartAccessの機能」を参照してください。

スマートカード

ユーザーはスマートカードとPINを使ってストアにアクセスします。StoreFrontをインストールする際、スマートカード認証はデフォルトで無効になっています。スマートカード認証は、Citrix Workspaceアプリ、Citrix Receiver for Web、デスクトップアプライアンスサイト、およびXenApp Servicesサイトからストアに接続するユーザーに対して有効にすることができます。

スマートカード認証を使用することで、ユーザーのログオンプロセスを合理化しつつ、ユーザーによるインフラストラクチャへのアクセスにおいてセキュリティを強化することができます。社内ネットワークへのアクセスは、公開キーのインフラストラクチャを使用した証明書ベースの2要素認証によって保護されます。秘密キーは、ハードウェアで保護されるため、スマートカードの外に漏れることはありません。ユーザーは、スマートカードとPINを使用してさまざまなコーポレートデバイスからデスクトップとアプリケーションにアクセスできるようになります。

スマートカードは、Citrix Virtual Apps and Desktopsで提供されるデスクトップとアプリケーションのユーザー認証をStoreFront経由で行うために使用できます。StoreFrontにスマートカードでログオンするユーザーは、App Controllerで提供されるアプリケーションにもアクセスできます。ただし、クライアント証明書認証を使用するApp Controller Webアプリケーションにアクセスするには、再度認証を受ける必要があります。

スマートカード認証を有効にする場合、StoreFrontサーバーが属しているMicrosoft Active Directoryドメインか、そのドメインと直接の双方向の信頼関係が設定されているドメインのいずれかにユーザーのアカウントが属している必要があります。双方向の信頼関係を含んでいるマルチフォレスト展開環境がサポートされます。

StoreFrontのスマートカード認証の構成は、ユーザーデバイス、インストールされているクライアント、およびデバイスがドメインに参加しているかどうかによって異なります。ドメインに参加しているデバイスとは、StoreFrontサーバーを含んでいるActive Directoryフォレスト内のドメインに属しているデバイスを意味します。

Citrix Receiver for WindowsまたはWindows向けCitrix Workspaceアプリでのスマートカードの使用

Citrix Receiver for WindowsまたはWindows向けCitrix Workspaceアプリを実行しているデバイスのユーザーは、スマートカードを使って直接またはCitrix Gateway経由で認証を受けることができます。ドメイン参加デバイスとドメイン不参加デバイスの両方でスマートカード認証を使用できますが、ユーザーエクスペリエンスがわずかに異なります。

この図は、Citrix Receiver for WindowsまたはWindows向けCitrix Workspaceアプリを介したスマートカード認証を示しています。

Citrix Receiver for WindowsまたはWindows向けCitrix Workspaceアプリを介したスマートカード認証

ドメインに参加しているデバイスのローカルユーザーには、資格情報を再入力しなくて済むように、スマートカード認証を有効にします。ユーザーがスマートカードとPINを使ってデバイスにログオンしたら、それ以降PINを再入力する必要はありません。StoreFrontおよびデスクトップやアプリケーションにアクセスするときの認証は透過的に行われます。管理者は、Citrix Receiver for WindowsまたはWindows向けCitrix Workspaceアプリのパススルー認証を構成して、StoreFrontのドメインパススルー認証を有効にします。

ユーザーは、PINを使ってデバイスにログオンし、Citrix Receiver for WindowsまたはWindows向けCitrix Workspaceアプリの認証を受けます。アプリケーションおよびデスクトップを開始するときに、追加でPINの入力を求められることはありません。

ドメイン不参加デバイスのユーザーはCitrix Receiver for WindowsまたはWindows向けCitrix Workspaceアプリに直接ログオンするため、管理者は指定ユーザー認証へのフォールバックを有効にすることができます。管理者がスマートカード認証と指定ユーザー認証の両方を構成した場合、ユーザーは最初にスマートカードとPINを使ったログオンを要求されますが、スマートカードでログオンできない場合は指定ユーザー認証を選択することができます。

ユーザーがCitrix Gateway経由でデスクトップやアプリケーションにアクセスする場合は、スマートカードとPINを使って最低でも2回ログオン操作を行う必要があります。これはドメイン参加デバイスとドメイン不参加デバイスの両方に適用されます。ユーザーは、スマートカードとPINを使ってデバイスにログオンし、デスクトップやアプリケーションにアクセスするときにもう一度PINを入力します。管理者は、Citrix Gateway認証のStoreFrontへのパススルーを有効にして、資格情報の検証をCitrix Gatewayに委任します。さらにCitrix Gateway仮想サーバーを追加して、リソースへのユーザー接続がそのCitrix Gateway経由で行われるように構成します。ドメインに参加しているデバイスに対しては、Citrix Receiver for WindowsまたはWindows向けCitrix Workspaceアプリのパススルー認証も構成する必要があります。

注:

Citrix Receiver for WindowsまたはWindows向けCitrix Workspaceアプリをお使いの場合、2つ目のvServerをセットアップし、最適なゲートウェイルーティング機能を使用することで、アプリおよびデスクトップの起動時にPINの入力を不要にすることができます。

ユーザーは、スマートカードとPINを使って、または指定ユーザーの資格情報を使ってCitrix Gatewayにログオンできます。これにより、管理者はユーザーがCitrix Gatewayにログオンするときに指定ユーザー認証へのフォールバックを有効にすることができます。ユーザーがStoreFrontに透過的に認証されるように、Citrix GatewayからStoreFrontへのパススルー認証を構成し、スマートカードユーザーの資格情報の検証をCitrix Gatewayに委任します。

デスクトップアプライアンスサイトでのスマートカードの使用

ドメイン不参加のWindowsデスクトップアプライアンスでは、ユーザーがスマートカードを使用してデスクトップにログオンできるように構成できます。アプライアンスにはCitrix Desktop Lockが必要で、デスクトップアプライアンスサイトへのアクセスにはInternet Explorerを使用する必要があります。

この図は、ドメインに参加していないデスクトップアプライアンスからのスマートカード認証を示しています。

ドメインに参加していないデスクトップアプライアンスからのスマートカード認証

ユーザーがデスクトップアプライアンスにアクセスすると、Internet Explorerは全画面モードで起動して、デスクトップアプライアンスサイトのログオン画面を表示します。ユーザーは、スマートカードとPINを使ってサイトの認証を受けます。デスクトップアプライアンスサイトでパススルー認証が構成されている場合、ユーザーはデスクトップやアプリケーションにアクセスするときに自動的に認証されます。PINの再入力は要求されません。パススルー認証が構成されていない場合は、デスクトップまたはアプリケーションにアクセスするときにPINをもう一度入力する必要があります。

管理者は、スマートカードでの認証に問題が生じた場合に指定ユーザー認証を使用できるように設定できます。これを行うには、デスクトップアプライアンスサイトにスマートカード認証と指定ユーザー認証の両方を構成します。この構成では、スマートカード認証がプライマリのアクセス方法とみなされます。そのため、ユーザーはまずPINの入力を要求されます。ただし、指定ユーザーの資格情報でログオンするためのリンクも表示されます。

XenApp Servicesサイトでのスマートカードの使用

ドメイン参加のデスクトップアプライアンスとCitrix Desktop Lockを実行している再目的化されたPCのユーザーは、スマートカードを使って認証を受けることができます。ほかのアクセス方法とは異なり、スマートカードのパススルー認証は、XenApp Servicesサイトでスマートカード資格情報が構成されている場合には自動的に有効になります。

この図は、Citrix Desktop Lockを実行しているドメイン参加デバイスからのスマートカード認証を示しています。

Citrix Desktop Lockを実行しているドメイン参加デバイスからのスマートカード認証

ユーザーは、スマートカードとPINを使ってデバイスにログオンします。その後、Citrix Desktop Lockにより、ユーザーはXenApp Servicesサイトを介してサイレントにStoreFrontに認証されます。ユーザーがデスクトップやアプリケーションにアクセスすると自動的に認証され、PINを再入力する必要はありません。

Citrix Receiver for Webでのスマートカードの使用

StoreFrontの管理コンソールを使用して、Citrix Receiver for Webでのスマートカード認証を有効にすることができます。

  1. 左ペインで[Citrix Receiver for Web]ノードを選択します。
  2. スマートカード認証を使用するサイトを選択します。
  3. 右ペインで[認証方法の選択]を選択します。
  4. ポップアップダイアログボックスでスマートカードのチェックボックスをオンにして、[OK]をクリックします。

ドメイン参加デバイスを使用するCitrix Receiver for WindowsまたはWindows向けCitrix WorkspaceアプリユーザーがCitrix Gatewayを使用せずにストアにアクセスする場合、Citrix Virtual Apps and Desktopsへのスマートカードでのパススルー認証を有効にすると、その設定がストアのすべてのユーザーに適用されます。デスクトップおよびアプリケーションに対するドメインパススルー認証とスマートカードパススルー認証の両方を有効にするには、これらの認証方法について個別のストアを作成する必要があります。この場合、どのストアにアクセスすべきかをユーザーに通知してください。

ドメイン参加デバイスを使用するCitrix Receiver for WindowsまたはWindows向けCitrix WorkspaceアプリユーザーがCitrix Gatewayを使用してストアにアクセスする場合、Citrix Virtual Apps and Desktopsへのスマートカードでのパススルー認証を有効にすると、その設定がストアのすべてのユーザーに適用されます。一部のユーザーに対してのみパススルー認証を有効にする場合は、それらのユーザー用に個別のストアを作成する必要があります。この場合、どのストアにアクセスすべきかをユーザーに通知してください。

iOS向けCitrix WorkspaceアプリおよびAndroid向けCitrix Workspaceアプリでのスマートカードの使用

iOS向けCitrix WorkspaceアプリおよびAndroid向けCitrix Workspaceアプリを実行しているデバイスのユーザーは、スマートカードを使って直接またはCitrix Gateway経由で認証を受けることができます。また、ドメインに参加していないデバイスを使用することもできます。

iOS向けCitrix WorkspaceアプリおよびAndroid向けCitrix Workspaceアプリでのスマートカードの使用

ローカルネットワーク上のデバイスの場合、ユーザーは最低でも2回ログオン操作を行う必要があります。ユーザーがStoreFrontで認証する場合、または初めてストアを作成する場合は、スマートカードPINの入力が求められます。さらに、ユーザーがデスクトップやアプリケーションにアクセスするときに、もう一度PINを入力します。この認証方法を構成するには、StoreFrontでスマートカード認証を有効にして、VDAにスマートカードドライバーをインストールします。

これらのCitrix Workspaceアプリに対しては、スマートカード認証またはドメイン資格情報による認証のいずれかを指定する必要があります。スマートカード認証を有効にしてストアを作成した後でドメイン資格情報による接続を許可するには、スマートカード認証が無効な別のストアを追加する必要があります。

ユーザーがCitrix Gateway経由でデスクトップやアプリケーションにアクセスする場合は、スマートカードとPINを使って最低でも2回ログオン操作を行う必要があります。ユーザーは、スマートカードとPINを使ってデバイスにログオンし、デスクトップやアプリケーションにアクセスするときにもう一度PINを入力します。管理者は、Citrix Gateway認証のStoreFrontへのパススルーを有効にして、資格情報の検証をCitrix Gatewayに委任します。さらにCitrix Gateway仮想サーバーを追加して、リソースへのユーザー接続がそのCitrix Gateway経由で行われるように構成します。

ユーザーは、管理者が接続の認証をどう指定しているかに応じて、スマートカードとPIN、または指定ユーザー認証の資格情報を使用してCitrix Gatewayにログオンできます。ユーザーがStoreFrontに透過的に認証されるように、Citrix GatewayからStoreFrontへのパススルー認証を構成し、スマートカードユーザーの資格情報の検証をCitrix Gatewayに委任します。認証方法を変更する場合は、接続を削除し、再作成する必要があります。

Citrix Receiver for LinuxまたはLinux向けCitrix Workspaceアプリでのスマートカードの使用

Citrix Receiver for LinuxまたはLinux向けCitrix Workspaceアプリを実行するデバイスを使用するユーザーは、ドメイン不参加のWindowsデバイスのユーザーと同様の方法で、スマートカードを使用して認証できます。ユーザーがスマートカードを使用してLinuxデバイスで認証されている場合にも、Citrix Receiver for LinuxまたはLinux向けCitrix Workspaceアプリには入力済みのPINを取得または再利用するメカニズムがありません。

Citrix Receiver for WindowsまたはWindows向けCitrix Workspaceアプリ用に構成したときと同じ方法で、サーバー側のコンポーネントのスマートカード認証を構成します。詳しくは、「スマートカード認証の構成」を参照してください。また、スマートカードの使用方法について詳しくは、「Citrix Receiver for Linux」を参照してください。

ユーザーは最低でも1回のログオン操作を行う必要があります。ユーザーは、スマートカードとPINを使ってデバイスにログオンし、Citrix Receiver for LinuxまたはLinux向けCitrix Workspaceアプリの認証を受けます。ユーザーがデスクトップやアプリケーションにアクセスするときにPINを再入力する必要はありません。管理者は、StoreFrontのスマートカード認証を有効にします。

ユーザーはCitrix Receiver for LinuxまたはLinux向けCitrix Workspaceアプリに直接ログオンするので、管理者は指定ユーザー認証へのフォールバックを有効にすることができます。管理者がスマートカード認証と指定ユーザー認証の両方を構成した場合、ユーザーは最初にスマートカードとPINを使ったログオンを要求されますが、スマートカードでログオンできない場合は指定ユーザー認証を選択することができます。

ユーザーがCitrix Gateway経由でデスクトップやアプリケーションにアクセスする場合は、スマートカードとPINを使って最低でも1回ログオン操作を行う必要があります。ユーザーは、スマートカードとPINを使ってデバイスにログオンします。デスクトップやアプリケーションにアクセスするときに、PINを再入力する必要はありません。管理者は、Citrix Gateway認証のStoreFrontへのパススルーを有効にして、資格情報の検証をCitrix Gatewayに委任します。さらにCitrix Gateway仮想サーバーを追加して、リソースへのユーザー接続がそのCitrix Gateway経由で行われるように構成します。

ユーザーは、スマートカードとPINを使って、または指定ユーザーの資格情報を使ってCitrix Gatewayにログオンできます。これにより、管理者はユーザーがCitrix Gatewayにログオンするときに指定ユーザー認証へのフォールバックを有効にすることができます。ユーザーがStoreFrontに透過的に認証されるように、Citrix GatewayからStoreFrontへのパススルー認証を構成し、スマートカードユーザーの資格情報の検証をCitrix Gatewayに委任します。

Citrix Receiver for LinuxまたはLinux向けCitrix WorkspaceアプリでXenApp Servicesサポートサイトにアクセスする場合、スマートカードはサポートされません。

サーバーとCitrix Workspaceアプリの両方でスマートカードのサポートを有効にすると、スマートカード証明書のアプリケーションポリシーで許可されていれば、以下の目的でスマートカードを使用できます:

  • スマートカードによるログオン認証。スマートカードを使って、Citrix Virtual Apps and Desktopsサーバーにログオンするユーザーを認証します。
  • スマートカード対応アプリケーションのサポート。スマートカード対応の公開アプリケーションを使って、ローカルのスマートカードリーダーにアクセスできます。

XenApp Servicesサポートサイトでのスマートカードの使用

XenApp Servicesサポートサイトにログオンしてアプリケーションやデスクトップを開始するユーザーは、スマートカードを使って認証を受けることができます。特定のハードウェア、オペレーティングシステム、およびCitrix Workspaceアプリを使用する必要はありません。ユーザーがXenApp ServicesサポートサイトにアクセスしてスマートカードとPINを使ってログオンすると、PNAがユーザーIDを決定してStoreFrontでの認証を行い、使用できるリソースを返します。

パススルーおよびスマートカード認証が正しく動作するためには、[Citrix XML Serviceへの要求を信頼する]をオンにする必要があります。

Delivery Controller上でローカルの管理者アカウントを使用してWindows PowerShellを起動して、コマンドプロンプトで次のコマンドを実行します。これにより、StoreFrontから送信されたXML要求をDelivery Controllerが信頼するようになります。次の手順は、XenApp 7.5~7.8、およびXenDesktop 7.0~7.8に適用されます。

  1. asnp Citrix*.」と入力してCitrixコマンドレットを読み込みます。
  2. Add-PSSnapin citrix.broker.admin.v2」と入力します。
  3. Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True」と入力します。
  4. PowerShellを閉じます。

XenApp Servicesサポートのスマートカード認証方法の構成について詳しくは、「XenApp Services URLの認証の構成」を参照してください。

重要な注意事項

StoreFrontでのユーザー認証にスマートカードを使用する場合は、次の要件と制限があります。

  • スマートカード認証で仮想プライベートネットワーク(VPN)トンネルを使用するには、ユーザーがCitrix Gateway Plug-inをインストールしてWebページ経由でログオンする必要があります。この場合、各手順でスマートカードとPINによる認証が必要になります。スマートカードユーザーは、Citrix Gateway Plug-inを使用したStoreFrontへのパススルー認証を使用できません。

  • 同一ユーザーデバイス上で複数のスマートカードやスマートカードリーダーを使用することができますが、スマートカードでのパススルー認証を有効にする場合は、ユーザーがデスクトップやアプリケーションにアクセスするときにスマートカードが1枚のみ挿入されていることを確認する必要があります。

  • アプリケーション内でスマートカードを使用する場合(デジタル署名または暗号化機能など)、スマートカードの挿入またはPINの入力を求めるメッセージが表示されることがあります。これは、同時に複数のスマートカードが挿入されている場合に発生します。また、構成設定(通常グループポリシーを使用して構成されるPINキャッシュなどのミドルウェア設定)が原因で発生することもあります。スマートカードをリーダーに挿入しているにもかかわらずスマートカードの挿入を求めるメッセージが表示された場合は、[キャンセル]をクリックする必要があります。ただし、PINの入力が求められた場合は、PINを再入力する必要があります。

  • ドメイン参加デバイスを使用するCitrix Receiver for WindowsまたはWindows向けCitrix WorkspaceアプリユーザーがCitrix Gatewayを使用せずにストアにアクセスする場合、Citrix Virtual Apps and Desktopsへのスマートカードでのパススルー認証を有効にすると、その設定がストアのすべてのユーザーに適用されます。デスクトップおよびアプリケーションに対するドメインパススルー認証とスマートカードパススルー認証の両方を有効にするには、これらの認証方法について個別のストアを作成する必要があります。この場合、どのストアにアクセスすべきかをユーザーに通知してください。

  • ドメイン参加デバイスを使用するCitrix Receiver for WindowsまたはWindows向けCitrix WorkspaceアプリユーザーがCitrix Gatewayを使用してストアにアクセスする場合、Citrix Virtual Apps and Desktopsへのスマートカードでのパススルー認証を有効にすると、その設定がストアのすべてのユーザーに適用されます。一部のユーザーに対してのみパススルー認証を有効にする場合は、それらのユーザー用に個別のストアを作成する必要があります。この場合、どのストアにアクセスすべきかをユーザーに通知してください。

  • 各XenApp Servicesサイトに構成できる認証方法と各ストアで使用できるXenApp Servicesサイトは、それぞれ1つだけです。スマートカード認証に加えてほかの認証方法を有効にする必要がある場合は、認証方法ごとに個別のストアを作成し、それぞれのストアにXenApp Servicesサイトを1つずつ割り当てる必要があります。この場合、どのストアにアクセスすべきかをユーザーに通知してください。

  • StoreFrontインストール時のMicrosoftインターネットインフォメーションサービス(IIS)のデフォルト構成では、StoreFront認証サービスの証明書認証URLへのHTTPS接続でのみクライアント証明書が要求されます。それ以外のStoreFront URLにはクライアント証明書は必要ありません。この構成により、管理者は、スマートカードでの認証に問題が生じた場合に指定ユーザー認証を使用できるように設定できます。適用されるWindowsポリシー設定によっては、ユーザーが再認証なしにスマートカードを取り出すこともできます。

    すべてのStoreFront URLへのHTTPS接続でクライアント証明書が必要になるようにIISを構成する場合は、認証サービスとストアを同じサーバー上に配置する必要があります。この場合、すべてのストアに有効なクライアント証明書を使用する必要があります。このIISサイト構成では、スマートカードユーザーがCitrix Gateway経由で接続できなくなり、指定ユーザー認証にもフォールバックされません。また、スマートカードをデバイスから取り出す場合は再度ログオンする必要があります。