Citrix Gatewayからのパススルー
ユーザーはCitrix Gatewayで認証され、ストアにアクセスすると自動的にログオンされます。Citrix Gatewayからのパススルー認証は、ストアへのリモートアクセスを初めて構成するときにデフォルトで有効になります。ユーザーは、ローカルにインストールされたCitrix WorkspaceアプリまたはWebブラウザを使用して、Citrix Gateway経由でストアに接続できます。Citrix GatewayのStoreFrontの構成に関する詳細については、「Citrix Gatewayの構成」を参照してください。
StoreFrontは、以下のCitrix Gateway認証方法でのパススルーをサポートしています。
- Domain ユーザーはActive Directoryのユーザー名とパスワードを使用してログオンします。
- RSA ユーザーは、セキュリティトークンによって生成されたトークンコードと、場合によっては個人識別番号を組み合わせて生成されるパスコードを使用してログオンします。セキュリティトークンのみによるパススルー認証を有効にする場合、提供するリソースが、ユーザーのMicrosoft Active Directoryドメイン資格情報など、追加または代替の認証形式を必要としないことを確認してください。
- Smart card ユーザーは、Active Directoryアカウントにリンクされたスマートカードを使用してログオンします。
- RSA + Domain ユーザーは、ドメイン資格情報とセキュリティトークンのパスコードの両方を使用してログオンします。
- SAML ユーザーは、SAML経由でログオンするためにサードパーティのIdPにリダイレクトされます。SAMLアサーションには、ユーザーのActive DirectoryアカウントのUPNを含める必要があります。
- Entra ID via OIDC ユーザーは、認証のためにMicrosoft Entra IDにリダイレクトされます。ユーザーは純粋なEntra IDであるか、ハイブリッドIDを持つことができます。詳細については、「OIDCを使用したEntra ID認証」を参照してください。
Citrix Gatewayで認証を無効にしている場合、またはシングルサインオンを無効にしている場合、パススルーは使用されず、他の認証方法のいずれかを構成する必要があります。
Citrix Workspaceアプリ内からストアにアクセスするリモートユーザー向けにCitrix Gatewayへの二重ソース認証を構成する場合、Citrix Gatewayで2つの認証ポリシーを作成する必要があります。RADIUS(Remote Authentication Dial-In User Service)をプライマリ認証方法として、LDAP(Lightweight Directory Access Protocol)をセカンダリ方法として構成します。セッションプロファイルで資格情報インデックスを変更してセカンダリ認証方法を使用し、LDAP資格情報がStoreFrontに渡されるようにします。Citrix GatewayアプライアンスをStoreFront構成に追加するときは、ログオンタイプを「Domain and security token」に設定します。詳細については、http://support.citrix.com/article/CTX125364を参照してください。
Citrix Gateway経由でStoreFrontへの複数ドメイン認証を有効にするには、各ドメインのCitrix Gateway LDAP認証ポリシーでSSO Name AttributeをuserPrincipalNameに設定します。ユーザーにCitrix Gatewayログオンページでドメインを指定させ、使用する適切なLDAPポリシーを決定させることができます。StoreFrontへの接続用にCitrix Gatewayセッションプロファイルを構成するときは、シングルサインオンドメインを指定しないでください。各ドメイン間に信頼関係を構成する必要があります。明示的に信頼されたドメインのみにアクセスを制限しないことで、ユーザーが任意のドメインからStoreFrontにログオンできるようにしてください。
Citrix Gatewayの展開でサポートされている場合、SmartAccessを使用して、Citrix Gatewayセッションポリシーに基づいてCitrix Virtual Apps and Desktopsリソースへのユーザーアクセスを制御できます。
ゲートウェイパススルー認証の有効化
Workspaceアプリ経由で接続する際にストアのゲートウェイパススルー認証を有効または無効にするには、認証方法ウィンドウでPass-through from Citrix Gatewayをチェックまたはチェック解除します。
ストアのCitrix Gatewayパススルー認証を有効にすると、デフォルトですべてのWebサイトでも有効になります。認証方法タブで、特定のWebサイトのユーザー名とパスワード認証を無効にできます。
信頼済みユーザー ドメインの構成
Citrix GatewayがLDAP認証を使用するように構成されている場合、特定のドメインへのアクセスを制限できます。
-
「認証方法の管理」ウィンドウで、Pass-through from Citrix Gateway > SettingsドロップダウンメニューからConfigure Trusted Domainsを選択します。
-
Trusted Domains onlyを選択し、Addをクリックして信頼済みドメインの名前を入力します。そのドメインのアカウントを持つユーザーは、認証サービスを使用するすべてのストアにログオンできます。ドメイン名を変更するには、信頼済みドメインリストのエントリを選択し、Editをクリックします。ドメイン内のユーザーアカウントのストアへのアクセスを停止するには、リスト内のドメインを選択し、Removeをクリックします。
ドメイン名の指定方法によって、ユーザーが資格情報を入力する必要がある形式が決まります。ユーザーにドメインユーザー名形式で資格情報を入力させたい場合は、NetBIOS名をリストに追加します。ユーザーにユーザープリンシパル名形式で資格情報を入力させたい場合は、完全修飾ドメイン名をリストに追加します。ユーザーにドメインユーザー名形式とユーザープリンシパル名形式の両方で資格情報を入力させたい場合は、NetBIOS名と完全修飾ドメイン名の両方をリストに追加する必要があります。
-
複数の信頼済みドメインを構成する場合、ユーザーがログオンするときにデフォルトで選択されるドメインをDefault domainリストから選択します。
-
ログオンページに信頼済みドメインのリストを表示したい場合は、Show domains list in the logon pageチェックボックスをオンにします。
委任認証
デフォルトでは、StoreFrontはCitrix Gatewayから受信したユーザー名とパスワードを検証します。Citrix GatewayがLDAP経由でActive Directory資格情報を使用しない場合(SAMLやスマートカードを使用する場合など)、StoreFrontがゲートウェイによって行われた検証を信頼するように構成する必要があります。この場合、StoreFrontがCitrix Gatewayからのリクエストであることを確認できるように、ゲートウェイを構成するときにコールバックURLを入力することが重要です。「Citrix Gatewayの管理」を参照してください。
-
Manage Authentication Methodsウィンドウで、Pass-through from Citrix Gateway > SettingsドロップダウンメニューからConfigure Delegated Authenticationを選択します。
-
Fully delegate credential validation to Citrix Gatewayを選択します。
。
PowerShell
PowerShellを使用してストアがCitrix Gatewayに認証を委任するように構成するには、Set-STFCitrixAGBasicOptionsコマンドレットを実行します。
- ゲートウェイに認証を委任するには、
CredentialValidationModeをAutoに設定します。 - StoreFrontが資格情報を検証するには、
CredentialValidationModeをPasswordに設定します。
パスワード検証
StoreFrontが資格情報を自身で検証するか、デリバリーコントローラーに資格情報の検証を要求するかを選択できます。詳細については、「ユーザー名とパスワード認証 - パスワード検証」を参照してください。
Fully delegate credential validation to citrix gatewayが選択されている場合、Delivery Controllerを使用してパスワードを検証する設定は無効になります。この場合、StoreFrontはActive Directoryでユーザーを検索できる必要があるため、StoreFrontサーバーのドメインは常にユーザーのドメインとの信頼関係を持つ必要があります。
ログオン時に期限切れパスワードの変更を許可する
Citrix GatewayがLDAP(ユーザー名とパスワード)認証を使用するように構成されている場合、NetScalerを構成して、ログオン時に期限切れパスワードの変更を許可できます。
- NetScaler®管理Webサイトにログオンします。
- サイドメニューで、Authentication > Dashboardに移動します。
- 認証サーバーをクリックします。
- Other Settingsの下で、Allow Password Changeをチェックします。
ログオン後のパスワード変更を許可する
StoreFrontを構成して、ユーザーがログオン後にパスワードを変更できるようにすることができます。この機能は、ゲートウェイがLDAP認証を使用し、ユーザーがローカルにインストールされたCitrix Workspaceアプリではなくブラウザ経由でストアにアクセスする場合にのみ利用可能です。
デフォルトのStoreFront構成では、パスワードが期限切れになっている場合でも、ユーザーがパスワードを変更することはできません。この機能を有効にすることを決定した場合、サーバーを含むドメインのポリシーがユーザーのパスワード変更を妨げないことを確認してください。ユーザーがパスワードを変更できるようにすると、認証サービスを使用するストアにアクセスできるすべてのユーザーに機密性の高いセキュリティ機能が公開されます。組織にユーザーパスワード変更機能を内部使用のみに限定するセキュリティポリシーがある場合は、企業ネットワーク外からアクセスできるストアがないことを確認してください。
-
Manage Authentication Methodsウィンドウで、Pass-through from Citrix Gateway > SettingsドロップダウンメニューからManage Password Optionsを選択します。
-
ユーザーがパスワードを変更できるようにするには、Allow users to change passwordsチェックボックスをオンにします。
Note:
Allow users to change passwordsを選択またはクリアすると、ユーザー名とパスワード認証のManage Password Optionsの下の設定にも影響します。
PowerShell
PowerShellを使用してパスワード変更オプションを変更するには、Set-STFExplicitCommonOptionsコマンドレットを実行します。
Delivery ControllerがStoreFrontを信頼するように構成する
Citrix GatewayがLDAP認証で構成されている場合、資格情報はStoreFrontにパススルーされます。他の認証方法の場合、StoreFrontは資格情報にアクセスできないため、Citrix Virtual Apps and Desktopsへの認証はできません。したがって、Delivery ControllerがStoreFrontからの要求を信頼するように構成する必要があります。「Citrix Virtual Apps and Desktopsのセキュリティに関する考慮事項とベストプラクティス」を参照してください。
VDAへのシングルサインオン
Active Directory資格情報の使用
ユーザーがLDAP認証を使用してゲートウェイで認証すると、ゲートウェイは資格情報をStoreFrontにパススルーし、VDAへの認証を提供してシングルサインオンを実現します。これには追加の構成は不要です。
フェデレーション認証サービスの使用
ユーザーがLDAP以外の認証方法を使用してゲートウェイで認証する場合、StoreFrontはユーザーの資格情報にアクセスできないため、デフォルトではシングルサインオンは利用できません。フェデレーション認証サービスを構成してシングルサインオンを提供できます。
Entra IDの使用
ゲートウェイをOIDC経由でEntra ID認証を使用するように構成する場合、Entra IDシングルサインオンを有効にできます。この機能にはCU1以降が必要です。詳細については、「VDA Entra IDシングルサインオンの構成」を参照してください。