異なるドメインを使用した認証
組織によっては、サードパーティの開発者や契約社員に実稼働環境で公開リソースへのアクセスをポリシーで禁止している場合があります。ここでは、Citrix Gateway経由で1つのドメインに認証することでテスト環境での公開リソースへのアクセスを許可する方法を説明します。これによって、異なるドメインを使用してStoreFrontおよびReceiver for Webサイトへの認証を実行できます。ここで説明されたCitrix Gateway経由の認証は、Receiver for Webサイト経由でログオンするユーザーが対象です。この認証方法は、ネイティブのデスクトップまたはモバイルCitrix ReceiverまたはCitrix Workspaceアプリのユーザーは使用できません。
テスト環境のセットアップ
ここでは、production.comという実稼働ドメインとdevelopment.comというテストドメインを使用します。
production.com
ドメイン
この例では、production.com
ドメインを以下のようにセットアップします:
-
production.com
のLDAP認証ポリシーが構成されたCitrix Gateway。 - production\testuser1アカウントおよびパスワードを使用してゲートウェイ経由で認証。
development.com
ドメイン
この例では、development.com
ドメインを以下のようにセットアップします:
- StoreFront、Citrix Virtual App and Desktops、およびVDAはすべて
development.com
ドメイン上にあります。 - production\testuser1アカウントおよびパスワードを使用してCitrix Receiver for Webサイトに認証。
- 2つのドメインの間には、信頼関係はありません。
ストアのCitrix Gatewayの構成
ストアのCitrix Gatewayを構成するには:
- Citrix StoreFront管理コンソールの左ペインで [ストア] を選択して、[操作] ペインの [Citrix Gatewayの管理] をクリックします。
- [Citrix Gatewayの管理]画面で、[追加] をクリックします。
-
全般設定、Secure Ticket Authority、認証手順を完了します。
注:
両方のドメインで使用中のDNSサーバーが他方のドメインのFQDNを解決できるよう、DNS条件付きフォワーダーの追加が必要な場合があります。Citrix ADCアプライアンスは、
production.com
のDNSサーバーを使用して、development.com
ドメインでSTAサーバーのFQDNを解決できるようにする必要があります。StoreFrontは、development.com
のDNSサーバーを使用して、production.com
ドメインでコールバックURLを解決できるようにする必要があります。または、development.com
のFQDNを使用して、Citrix Gateway仮想サーバーvirtual IP(VIP)として解決することもできます。
Citrix Gatewayからのパススルーを有効にする
- Citrix StoreFront管理コンソールの左ペインで [ストア] ノードを選択して、[操作] ペインの [認証方法の管理] をクリックします。
- [認証方法の管理]画面で、[Citrix Gatewayからのパススルー] を選択します。
- [OK] をクリックします。
NetScaler Gatewayを使用したリモートアクセスをストアで構成する
- Citrix StoreFront管理コンソールの左ペインで [ストア] ノードを選択して、結果ペインでストアを選択します。[操作] ペインで [リモートアクセス設定の構成] をクリックします。
- [リモートアクセスの有効化] を選択します。
- Citrix Gatewayがストアに登録されたことを確認します。Citrix Gatewayが登録されていないと、STAチケット発行機能は機能しません。
トークンの一貫性を無効にする
- Citrix StoreFront管理コンソールの左ペインで [ストア] ノードを選択して、結果ペインでストアを選択します。[操作] ペインで、[ストア設定の構成] を選択します。
- [ストア設定の構成]ページで、[詳細設定] を選択します。
-
[トークンの一貫性を要求する] チェックボックスをオフにします。詳しくは、「上級ストア設定」を参照してください。
- [OK] をクリックします。
注:
[トークンの一貫性を要求する]設定はデフォルトでオンになっています。この設定を無効にすると、Citrix ADC End Point Analysis(EPA)SmartAccess機能が停止します。SmartAccessについて詳しくは、CTX138110を参照してください。
Receiver for WebサイトでCitrix Gatewayからのパススルーを無効にする
重要:
Citrix Gatewayからのパススルーを無効にすると、Receiver for WebがCitrix ADCアプライアンスから渡された
production.com
ドメインの誤った資格情報を使用しないようにできます。Citrix Gatewayからのパススルーを無効にすると、Receiver for Webがユーザーに資格情報の入力を求めます。これらの資格情報は、Citrix Gatewayでログオンする場合に使用する資格情報とは異なります。
- Citrix StoreFront管理コンソールの左ペインで [ストア] ノードを選択します。
- 変更するストアを選択します。
- [操作] ペインで [Receiver for Webサイトの管理] をクリックします。
- 認証方法で、[Citrix Gatewayからのパススルー]をオフにします。
-
[OK] をクリックします。
production.com
ユーザー名およびパスワードを使用してNetScaler Gatewayにログオンする
テストのために、production.com
ユーザー名およびパスワードを使用して、NetScaler Gatewayにログオンします。
ログオン後、ユーザーはdevelopment.com
の資格情報を入力するよう求められます。
StoreFrontで信頼済みドメインドロップダウンリストを追加する(オプション)
この設定はオプションですが、これによってCitrix Gateway経由の認証で誤ったドメインの入力を回避できる場合があります。
両方のドメインで同じユーザー名を使用する場合、誤ったドメインを入力する可能性が高くなります。慣れていないユーザーが、Citrix Gateway経由でログオンする時、ドメインの入力を省略することもあります。その後、Receiver for Webサイトにログオンするよう求められると、ドメインでドメイン\ユーザー名の入力を忘れる可能性があります。
- Citrix StoreFront管理コンソールの左ペインで [ストア] ノードを選択して、[操作] ペインの [認証方法の管理] をクリックします。
- [ユーザー名とパスワード] の横の下向き矢印を選択します。
-
[追加] を選択して、
development.com
を信頼済みドメインとして追加し、[ログオンページにドメイン一覧を表示する] チェックボックスをオンにします。 - [OK] をクリックします。
注:
この認証方法では、ブラウザーのパスワードキャッシュ機能は使用しないでください。2つの異なるドメインアカウントに異なるパスワードがある場合、パスワードキャッシュによって操作が複雑になる可能性があります。
Citrix GatewayのクライアントレスVPN(CVPN)セッションの操作ポリシー
- Citrix GatewayセッションポリシーでWebアプリケーションへのシングルサインオン機能が有効になっていると、Citrix ADCアプライアンスからReceiver for Webに送信された正しくない資格情報は無視されます。これは、Receiver for Webで [Citrix Gatewayからのパススルー] 認証方法が無効になっているためです。このオプションがどのように設定されていても、Receiver for Webは資格情報を求めます。
-
Citrix ADCアプライアンスの[Client Experience]および[Published Applications]タブでシングルサインオンを指定しても、ここで説明された動作は影響を受けません。
この記事の概要
- テスト環境のセットアップ
- ストアのCitrix Gatewayの構成
- Citrix Gatewayからのパススルーを有効にする
- NetScaler Gatewayを使用したリモートアクセスをストアで構成する
- トークンの一貫性を無効にする
- Receiver for WebサイトでCitrix Gatewayからのパススルーを無効にする
- production.comユーザー名およびパスワードを使用してNetScaler Gatewayにログオンする
- StoreFrontで信頼済みドメインドロップダウンリストを追加する(オプション)
- Citrix GatewayのクライアントレスVPN(CVPN)セッションの操作ポリシー