ドメインパススルーアクセス行列
Citrix Workspaceを使用しており、ドメインパススルーを実現したい場合、サブセクションの表は、さまざまなシナリオと、各シナリオでドメインパススルーを実現できるかどうかを説明しています。
-
表のさまざまなヘッダー要素と、それらに関する追加情報は以下のとおりです。
- エンドポイントの参加先: エンドポイントが参加しているディレクトリを示します。このディレクトリは、オンプレミスリソースへのアクセス制御を提供します。これは、オンプレミスのActive Directory (AD)、Azure Active Directory (AAD)、またはハイブリッドである場合があります。
- IDプロバイダー (IdP): Citrix Workspaceに認証サービスを提供するために使用されるエンティティです。これにより、リソースに接続できます。
- フェデレーション認証サービス (FAS): 詳細については、「Citrixフェデレーション認証サービスを使用したワークスペースのシングルサインオンの有効化」を参照してください。
- Virtual Delivery Agent (VDA): 詳細については、「VDAのインストール」を参照してください。
- VDAの参加先: VDAデバイスが参加しているディレクトリを示します。詳細については、「IDおよびアクセス管理」を参照してください。
- Citrix Workspace/VDAへのシングルサインオン (SSO): 「はい」または「いいえ」の値は、Citrix WorkspaceまたはVDAへのドメインパススルーがサポートされているかどうかを示します。
- Citrix Workspaceアプリ: シングルサインオンを実現するには、「ドメインパススルー認証での新規インストール時のシングルサインオンの構成」または「シングルサインオンのための拡張ドメインパススルー」を参照してください。
注:
以下のシナリオの一部でドメインパススルーをサポートするには、最新バージョンのCitrix Workspaceアプリが必要になる場合があります。
Citrix Workspaceのドメインパススルーサポート
| エンドポイントの参加先 | IdP | VDAの参加先 | Citrix WorkspaceへのSSO | VDAへのSSO | ドキュメント |
|---|---|---|---|---|---|
| AD | オンプレミスCitrix Gateway | AD | はい | Citrix Workspaceアプリ/FAS | IDプロバイダーとしてオンプレミスCitrix Gatewayを使用したCitrix Workspaceへのドメインパススルー。 |
| AD | アダプティブ認証 | AD | はい | Citrix Workspaceアプリ/FAS | アダプティブ認証を構成するには、「アダプティブ認証サービス」を参照し、「IDプロバイダーとしてオンプレミスCitrix Gatewayを使用したCitrix Workspaceへのドメインパススルー」の手順に従ってください。 |
| AD | 別のIdP (AAD/Okta) にフェデレーションされたCitrix Gateway | AD | はい | Citrix Workspaceアプリ/FAS | SAMLシングルサインオンの構成を使用してIdPを構成し、ドメインパススルーの構成に使用するIdPのドキュメントを参照してください。 |
| AD | Okta | AD | はい | Citrix Workspaceアプリ/FAS | IDプロバイダーとしてOktaを使用したCitrix Workspaceへのドメインパススルー。 |
| AD/ハイブリッド参加済み | AAD (AAD Connectを使用したAD) | AD | はい | Citrix Workspaceアプリ/FAS ** | IDプロバイダーとしてAzure Active Directoryを使用したCitrix Workspaceへのドメインパススルー。 |
| AD | SAMLベースの任意のIdP (例: ADFS) | AD | はい | Citrix Workspaceアプリ/FAS | SAMLをIDプロバイダーとしてCitrix Cloudに接続するを参照し、ドメインパススルーの構成に使用するIdPのドキュメントを参照してください。 |
| AD | AD | AD | いいえ | サポートされていません | 該当なし |
| AD | AD+OTP | AD | いいえ | サポートされていません | 該当なし |
| AD | AAD | AAD | いいえ | サポートされていません | 該当なし |
| AAD | オンプレミスADなしのAAD | AD | はい | FAS | Citrix WorkspaceはMicrosoft Edge WebViewを使用しており、ワークスペースへのSSOを可能にします。VDAへのSSOはFASを介してサポートされます。詳細については、「Citrixフェデレーション認証サービスを使用したワークスペースのシングルサインオンの有効化」を参照してください。 |
| AAD | AAD | AAD | はい | ユーザーは資格情報を入力する必要があります。 | Citrix WorkspaceはMicrosoft Edge WebViewを使用しており、WorkspaceへのSSOを可能にします。VDAへのSSOはサポートされていません。 |
| ドメイン非参加 | パスワードレス認証をサポートするIdP - リンク | AD | いいえ | FAS | Citrix WorkspaceはMicrosoft Edge WebViewを使用しており、WorkspaceへのSSOを可能にします。VDAへのSSOはFASを介してサポートされます。詳細については、「Citrix Workspaceへのその他の認証方法」を参照してください。 |
注:
- Kerberosが機能するには、クライアントがADに到達可能である必要があります。
- **Citrixシングルサインオン (
SSONSVR.exe) は、クライアント上のユーザー名またはパスワードでのみ機能します。ユーザーがWindows Helloを使用してサインインしている場合、FASが必要であるか、シングルサインオンのための拡張ドメインパススルーを使用してください。- LLTが有効になっている場合、またはエンドユーザー承諾ポリシーが構成されている場合、クラウドでの認証は完全にサイレントではない可能性があります。
- FASは非Windowsプラットフォームにも適用されるため、FASを構成することをお勧めします。
Citrix Workspace™アプリ for Windowsバージョン2503以降、システムはデフォルトでSSONを休止モードでインストールします。インストール後にグループポリシーオブジェクト (GPO) ポリシーを使用してSSONを有効にできます。有効にするには、[ユーザー認証] > [ローカルユーザー名とパスワード] に移動し、[パススルー認証を有効にする] チェックボックスを選択します。
注:
SSON設定のGPOポリシーを更新した後、システムを再起動する必要があります。
StoreFrontのドメインパススルーサポート
| エンドポイントの参加先 | IdP | VDAの参加先 | Citrix WorkspaceへのSSO | VDAへのSSO | ドキュメント |
|---|---|---|---|---|---|
| AD | StoreFront | AD | はい | Citrix Workspaceアプリ/FAS | ドメインパススルー認証 |
| AD/ハイブリッド参加済み/Windows Hello for Business | StoreFront | AD | はい(1) | Citrix Workspaceアプリ/FAS(2) | ドメインパススルー認証およびCitrixフェデレーション認証サービスを使用したワークスペースのシングルサインオンの有効化。 |
| AD | Citrix Gateway - 高度な認証 | AD | はい | Citrix Workspaceアプリ/FAS(3) | |
| AD | Citrix Gateway - 基本認証 | AD | はい | Citrix Workspaceアプリ(4) | ドメインパススルー認証。 |
注:
シングルサインオンのための拡張ドメインパススルーを使用するか、シングルサインオンコンポーネントをインストールしていない場合は、レジストリエディターで次のパスに移動し、
SSONCheckEnabled文字列をFalseに設定します。
HKEY_LOCAL_MACHINE\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\このキーは、Citrix Workspaceアプリ認証マネージャーがシングルサインオンコンポーネントをチェックするのを防ぎ、Citrix WorkspaceアプリがStoreFrontに認証することを可能にします。
- Windows Helloを使用してサインインしている場合、FASとSSOを有効にするためのレジストリ構成が必要です。
Kerberosを使用するため、クライアントがADに到達可能である必要があります。
- クライアントがADに到達できない場合でも機能します。Kerberosは使用しません。