ドメインパススルーアクセスマトリックス
Citrix Workspace を使用しており、ドメインパススルーを実現したい場合、以下のサブセクションの表は、さまざまなシナリオと、各シナリオでドメインパススルーを実現できるかどうかを説明しています。
-
表のさまざまなヘッダー要素と、それらに関する追加情報は以下のとおりです。
- エンドポイントの参加先: エンドポイントが参加しているディレクトリを示します。このディレクトリは、オンプレミスリソースへのアクセス制御を提供します。これは、オンプレミスの Active Directory (AD)、Azure Active Directory (AAD)、またはハイブリッドである場合があります。
- ID プロバイダー (IdP): Citrix Workspace に認証サービスを提供するために使用されるエンティティです。これにより、リソースに接続できます。
- Federated Authentication Service (FAS): 詳細については、「Citrix Federated Authentication Service を使用してワークスペースのシングルサインオンを有効にする」を参照してください。
- Virtual Delivery Agent (VDA): 詳細については、「VDA をインストールする」を参照してください。
- VDA の参加先: VDA デバイスが参加しているディレクトリを示します。詳細については、「ID およびアクセス管理」を参照してください。
- Citrix Workspace/VDA へのシングルサインオン (SSO): 「はい」または「いいえ」の値は、Citrix Workspace または VDA へのドメインパススルーがサポートされているかどうかを示します。
- Citrix Workspace アプリ: シングルサインオンを実現するには、「ドメインパススルー認証での新規インストール時のシングルサインオンの構成」または「シングルサインオンのための拡張ドメインパススルー」を参照してください。
注:
以下のシナリオの一部でドメインパススルーをサポートするには、最新バージョンの Citrix Workspace アプリが必要になる場合があります。
Citrix Workspace のドメインパススルーサポート
| エンドポイントの参加先 | IdP | VDA の参加先 | Citrix Workspace への SSO | VDA への SSO | ドキュメント |
|---|---|---|---|---|---|
| AD | オンプレミス Citrix Gateway | AD | はい | Citrix Workspace アプリ/FAS | オンプレミス Citrix Gateway を ID プロバイダーとして使用した Citrix Workspace へのドメインパススルー。 |
| AD | アダプティブ認証 | AD | はい | Citrix Workspace アプリ/FAS | アダプティブ認証を構成するには、「アダプティブ認証サービス」を参照し、「オンプレミス Citrix Gateway を ID プロバイダーとして使用した Citrix Workspace へのドメインパススルー」の手順に従ってください。 |
| AD | 他の IdP (AAD/Okta) にフェデレーションされた Citrix Gateway | AD | はい | Citrix Workspace アプリ/FAS | SAML シングルサインオンの構成を使用して IdP を構成し、ドメインパススルーの構成に使用した IdP のドキュメントを参照してください。 |
| AD | Okta | AD | はい | Citrix Workspace アプリ/FAS | Okta を ID プロバイダーとして使用した Citrix Workspace へのドメインパススルー。 |
| AD/ハイブリッド参加 | AAD (AAD Connect を使用した AD) | AD | はい | Citrix Workspace アプリ/FAS ** | Azure Active Directory を ID プロバイダーとして使用した Citrix Workspace へのドメインパススルー。 |
| AD | 任意の SAML ベース IdP (例: ADFS) | AD | はい | Citrix Workspace アプリ/FAS | 「SAML を ID プロバイダーとして Citrix Cloud に接続する」を参照し、ドメインパススルーの構成に使用した IdP のドキュメントを参照してください。 |
| AD | AD | AD | いいえ | サポートされていません | 該当なし |
| AD | AD+OTP | AD | いいえ | サポートされていません | 該当なし |
| AD | AAD | AAD | いいえ | サポートされていません | 該当なし |
| AAD | オンプレミス AD なしの AAD | AD | はい | FAS | Citrix Workspace は Microsoft Edge WebView を使用しており、ワークスペースへの SSO を可能にします。VDA への SSO は FAS を介してサポートされます。詳細については、「Citrix Federated Authentication Service を使用してワークスペースのシングルサインオンを有効にする」を参照してください。 |
| AAD | AAD | AAD | はい | ユーザーは資格情報を入力する必要があります。 | Citrix Workspace は Microsoft Edge WebView を使用しており、ワークスペースへの SSO を可能にします。VDA への SSO はサポートされていません。 |
| ドメイン非参加 | パスワードレス認証をサポートする IdP - リンク | AD | いいえ | FAS | Citrix Workspace は Microsoft Edge WebView を使用しており、ワークスペースへの SSO を可能にします。VDA への SSO は FAS を介してサポートされます。詳細については、「Citrix Workspace へのその他の認証方法」を参照してください。 |
注:
- Kerberos が機能するには、クライアントが AD に到達可能である必要があります。
- Citrix シングルサインオン (SSONSVR.exe) は、クライアント上のユーザー名またはパスワードでのみ機能します。ユーザーが Windows Hello を使用してサインインしている場合、FAS が必要になるか、シングルサインオンのための拡張ドメインパススルーを使用してください。
- LLT が有効になっている場合、またはエンドユーザー承諾ポリシーが構成されている場合、クラウドでの認証は完全にサイレントではない可能性があります。
- FAS は非 Windows プラットフォームにも適用されるため、FAS を構成することをお勧めします。
StoreFront のドメインパススルーサポート
| エンドポイントの参加先 | IdP | VDA の参加先 | Citrix Workspace への SSO | VDA への SSO | ドキュメント |
|---|---|---|---|---|---|
| AD | StoreFront | AD | はい | Citrix Workspace アプリ/FAS | ドメインパススルー認証 |
| AD/ハイブリッド参加/Windows Hello for Business | StoreFront | AD | はい(1) | Citrix Workspace アプリ /FAS(2) | ドメインパススルー認証およびCitrix Federated Authentication Service を使用してワークスペースのシングルサインオンを有効にする。 |
| AD | Citrix Gateway - 高度な認証 | AD | はい | Citrix Workspace アプリ/FAS(3)) | |
| AD | Citrix Gateway - 基本認証 | AD | はい | Citrix Workspace アプリ(4) | ドメインパススルー認証。 |
注:
シングルサインオンのための拡張ドメインパススルーを使用するか、シングルサインオンコンポーネントをインストールしていない場合は、レジストリエディターで次のパスに移動し、
SSONCheckEnabled文字列をFalseに設定します。`HKEY_LOCAL_MACHINE\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\`このキーは、Citrix Workspace アプリの認証マネージャーがシングルサインオンコンポーネントをチェックするのを防ぎ、Citrix Workspace アプリが StoreFront に対して認証することを許可します。
- Windows Hello を使用してサインインしている場合、FAS と SSO を有効にするためのレジストリ設定が必要です。
- Kerberos を使用するため、クライアントが AD に到達可能である必要があります。
- クライアントが AD に到達できない場合でも機能します。Kerberos は使用しません。
ドメインパススルーアクセスマトリックス
コピー完了
コピー失敗