ドメインパススルーアクセスのマトリックス
Citrix Workspaceを使用していて、ドメインパススルーを実現したい場合、サブセクションの表では、さまざまなシナリオと、各シナリオでドメインパススルーを実現できるかどうかについて説明します。
表のさまざまなヘッダー要素とヘッダー要素に関する追加情報は次のとおりです:
- エンドポイントの参加先:エンドポイントが参加しているディレクトリを示します。このディレクトリは、オンプレミスリソースへのアクセス制御を提供します。これは、オンプレミスのActive Directory(AD)、Azure Active Directory(AAD)、またはハイブリッドの場合があります。
- IDプロバイダー(IdP):Citrix Workspaceに認証サービスを提供するために使用されるエンティティ。リソースへの接続を可能にします。
- フェデレーション認証サービス(FAS):詳しくは、「Citrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化」を参照してください。
- Virtual Delivery Agent(VDA):詳しくは、「VDAのインストール」を参照してください。
- VDAの参加先:VDAデバイスが参加しているディレクトリを示します。詳しくは、「IDおよびアクセス管理」を参照してください。
- Citrix Workspace/VDAへのシングルサインオン(SSO):「はい」または「いいえ」の値は、Citrix WorkspaceまたはVDAへのドメインパススルーがサポートされているかどうかを示します。
- Citrix Workspaceアプリ:シングルサインオンを実現するには、「ドメインパススルー認証での新規インストール中にシングルサインオンを構成する」を参照してください。
注:
次のシナリオの一部では、ドメインパススルーをサポートするために、最新バージョンのCitrix Workspaceアプリが必要になる場合があります。
Citrix Workspaceでのドメインパススルーのサポート
| エンドポイントの参加先 | IDプロバイダー | VDAの参加先 | Citrix WorkspaceへのSSO | VDAへのSSO | ドキュメント |
|---|---|---|---|---|---|
| AD | オンプレミスのCitrix Gateway | AD | はい | Citrix Workspaceアプリ/FAS | オンプレミスCitrix GatewayをIDプロバイダーとして使用したCitrix Workspaceへのドメインパススルー。 |
| AD | アダプティブ認証 | AD | はい | Citrix Workspaceアプリ/FAS | アダプティブ認証を構成するには、「アダプティブ認証サービス」を参照 し、「オンプレミスのCitrix GatewayをIDプロバイダーとして使用したCitrix Workspaceへのドメインパススルー」の手順に従います。 |
| AD | 別のIDプロバイダー(Azure Active Directory/Okta)とフェデレーションされたCitrix Gateway | AD | はい | Citrix Workspaceアプリ/FAS | 「SAMLシングルサインオンの構成」を使用してIDプロバイダーを構成し、ドメインパススルーの構成に使用されるIDプロバイダーのドキュメントを参照します。 |
| AD | Okta | AD | はい | Citrix Workspaceアプリ/FAS | OktaをIDプロバイダーとして使用したCitrix Workspaceへのドメインパススルー。 |
| AD/ハイブリッド参加済み | AAD(AAD接続によるAD) | AD | はい | Citrix Workspaceアプリ/FAS** | Azure Active DirectoryをIDプロバイダーとして使用したCitrix Workspaceへのドメインパススルー。 |
| AD | SAMLベースの任意のIDプロバイダー(ADFSなど) | AD | はい | Citrix Workspaceアプリ/FAS | 「SAMLをIDプロバイダーとしてCitrix Cloudに接続する」を参照し、ドメインパススルーの構成に使用されるIDプロバイダーのドキュメントを参照してください。 |
| AD | AD | AD | いいえ | 未サポート | - |
| AD | AD+OTP | AD | いいえ | 未サポート | - |
| AD | AAD | AAD | いいえ | 未サポート | - |
| AAD | オンプレミスADなしのAAD | AD | はい | FAS | Citrix Workspaceは、Microsoft Edge WebViewを使用してワークスペースへのSSOを可能にします。VDAへのSSOは、FASを介してサポートされます。詳しくは、「Citrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化」を参照してください。 |
| AAD | AAD | AAD | はい | ユーザーは資格情報を入力する必要があります。 | Citrix Workspaceは、Microsoft Edge WebViewを使用してワークスペースへのSSOを可能にします。VDAへのSSOはサポートされていません。 |
| ドメイン非参加 | パスワード不要の認証をサポートするIDプロバイダー - リンク | AD | いいえ | FAS | Citrix Workspaceは、Microsoft Edge WebViewを使用してワークスペースへのSSOを可能にします。VDAへのSSOは、FASを介してサポートされます。詳しくは、「Citrix Workspaceへの認証を行う他の方法」参照してください。 |
メモ:
- Kerberosが機能するには、クライアントがADに到達できる必要があります。
- **Citrix Single Sign-on(SSONSVR.exe)は、クライアントでユーザー名またはパスワードでのみ機能します。ユーザーがWindows Helloを使用してサインインしている場合は、FASが必要です。
- LLTが有効になっている場合、またはエンドユーザー承認ポリシーが構成されている場合、クラウドで完全なサイレント認証にならない可能性があります。
- Windows以外のプラットフォームに適用するためには、FASを構成することをお勧めします。
StoreFrontのドメインパススルーサポート
| エンドポイントの参加先 | IDプロバイダー | VDAの参加先 | Citrix WorkspaceへのSSO | VDAへのSSO | ドキュメント |
|---|---|---|---|---|---|
| AD | StoreFront | AD | はい | Citrix Workspaceアプリ | ドメインパススルー認証 |
| AD/ハイブリッド参加済み/Windows Hello for Business | StoreFront | AD | はい(1) | Citrix Workspaceアプリ/FAS(2) | ドメインパススルー認証およびCitrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化 |
| AD | Citrix Gateway - 高度な認証 | AD | はい | Citrix Workspaceアプリ(3)) | |
| AD | Citrix Gateway - 基本認証 | AD | はい | Citrix Workspaceアプリ(4) | ドメインパススルー認証。 |
メモ:
レジストリエディターで次のパスに移動し、シングルサインオンコンポーネントをインストールしていない場合は
SSONCheckEnabled文字列をFalseに設定します。
HKEY_LOCAL_MACHINE\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\The key prevents the Citrix Workspace app authentication manager from checking for the single sign-on component and allows Citrix Workspace app to authenticate to StoreFront.
- Windows Helloを使用してサインインしている場合は、SSOを有効にするためにFASとレジストリ構成が必要です。
- クライアントはKerberosを使用するために、ADに到達可能である必要があります。
- クライアントがADに到達できない場合でも機能します。Kerberosを使用していません。
ドメインパススルーアクセスのマトリックス
コピー完了
コピー失敗