シングルサインオンの拡張ドメインパススルー
シングルサインオン用の拡張ドメインパススルーでは、Kerberosを使用して、Active Directory(AD)に参加しているクライアントデバイスとCitrix StoreFrontを使用しているときに、Citrix Workspaceアプリおよび仮想アプリとデスクトップセッションへのシングルサインオンを有効にします。
注:
この機能は32ビットオペレーティングシステムではサポートされていません。
この機能は、Citrix Single Sign-On Service(ssonsvr.exe)に基づく従来のパススルー認証機能に代わるものです。
システム要件
- コントロールプレーン
- Citrix DaaS
- Citrix Virtual Apps and Desktops 2311以降
- Virtual Delivery Agent
- Windows:バージョン2407以降
- Workspaceアプリ
- Windows向けCitrix Workspaceアプリ2405.1以降
- クライアントデバイス
- Active Directory(AD)ドメインに参加している
- Windows 10(64ビット)
- Windows 11(64ビット)
- マルチセッションのセッションホスト:
- Windows Server 2019
- Windows Server 2022
- Windows 10 Enterpriseマルチセッション22H2
- Windows 11 Enterpriseマルチセッション22H2以降
- シングルセッションのセッションホスト:
- Windows 10バージョン22H2
- Windows 11バージョン22H2以降
注:
クライアントデバイスはドメインコントローラーに直接接続できる必要があります。デバイスがネットワーク外にある場合、シングルサインオンはサポートされません。
次のバージョンのCitrix WorkspaceアプリとVDAを使用している場合、この機能はWindows 11ではサポートされません:
❖ VDA: 2308、2311、2402
❖ Citrix Workspaceアプリ:2309、2309.1、2311、2402
StoreFrontの構成
ストアと関連するWebサイトのドメインパススルー認証を有効にする必要があります。
ストアのドメインパススルーを有効にするには、次の手順を実行します:
- StoreFront管理コンソールを開きます。
-
[ストア]>[認証方法の管理] に移動します。[認証方法の管理 - Web] ウィンドウが開きます。
-
[ドメインパススルー] チェックボックスを選択します。
- [OK] をクリックします。
Webサイトのドメインパススルーを有効にするには、次の手順を実行します:
- StoreFront管理コンソールを開きます。
- [ストア]>[Receiver for Websites] タブ>[Receiver for Webサイトの管理]>[構成]>[認証方法] を開きます。[Receiver for Webサイト-/Citrix/Webウィンドウの編集] が表示されます。
-
[ドメインパススルー] チェックボックスを選択します。
- [OK] をクリックします。
Citrixポリシー構成
Citrixポリシーを使用して設定を有効にする必要があります:
- Citrix StudioまたはWebコンソールに移動します。
- [ポリシー]>[ポリシーの作成] をクリックします。[ポリシーの作成] ダイアログボックスが開きます。
- Enhanced domain pass-through for single sign-onポリシーを検索します。[Edit Settings] ダイアログボックスが表示されます。
-
[Allowed] オプションを選択してEnhanced domain pass-through for single sign-onポリシーを有効にします。
- [OK] をクリックします。
セッションホストの構成
Citrixポリシーを使用してEnhanced domain pass-through for single sign onを有効にした後、セッションホストでWindows設定も有効にする必要があります。ローカルポリシーまたはGPOを使用して、Windows設定を有効にできます:
-
Computer Configuration\Policies\Administrative Templates\System\CredentialsDelegation
にアクセスします。 -
VDAでWindowsポリシー「リモートホストでエクスポート不可の資格情報を許可する」を有効にします。
- 設定を有効にするには、セッションホストを再起動します。
注:
リモートホストでエクスポート不可の資格情報を許可する設定は、Windows Server 2016のローカルポリシーでは使用できません。GPOを使用する代わりに、セッションホスト上でこの設定をローカルに構成する必要がある場合は、次のレジストリ値を追加する必要があります:
キー: HKLM\SOFTWARE\Citrix\Rcg
- 値の種類:DWORD
- 値の名前:ForceEnableRcg
- 値のデータ:1
キー:HKLM\SYSTEM\CurrentControlSet\Control\Lsa
- 値の種類:DWORD
- 値の名前:DisableRestrictedAdmin
- 値のデータ:0
クライアントデバイスの構成
クライアントデバイスで次の操作を実行する必要があります:
- シングルサインオンで拡張ドメインパススルーを有効にする
- StoreFrontサイトの信頼
シングルサインオンで拡張ドメインパススルーを有効にする
クライアントデバイスでシングルサインオンでの拡張ドメインパススルー機能を有効にする必要があります。これは、ローカルポリシーまたはGPOを通じて実行できます。
-
Computer Configuration\Policies\Administrative Templates\Citrix Components\Citrix Workspace\User Authentication
にアクセスします。 -
Enhanced Domain pass-through for single sign-on設定を有効にします。
- 設定を有効にするには、Citrix Workspaceアプリを再起動します。
StoreFrontサイトの信頼
StoreFront URLがクライアントデバイスによって信頼されていることを確認する必要があります。このURLが信頼済みドメインの一部でない場合は、ローカルイントラネットサイトまたは信頼済みサイトとして追加する必要があります。これは、ローカルポリシーまたはGPOを通じて実行できます。
-
Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security
ページに移動します。 -
Site to Zone Assignment List設定を有効にし、適切なURLと関連するゾーンの割り当てを追加します。
-
Logon options設定を有効にし、現在のユーザー名とパスワードで自動的にログオンするように設定します。