技術情報

Citrix シングルサインオン/パススルー認証設定方法

こんにちは、SSO ばにゃです。

本記事では、Citrix XenApp / XenDesktop 環境で、Citrix Receiver よりシングルサインオン / パススルー認証を行うための設定方法について解説します。

デフォルトではパススルー認証は無効となっているため、以下3箇所で設定変更が必要となります。

  • Citrix Receiver をインストールするクライアント端末
  • StoreFrontサーバー
  • DeliveryControllerサーバー
スポンサーリンク

前提となる環境

本記事では、以下のような環境を例として記載します。
この環境で私自身が実機動作確認済みの手順となります。

環境
  • Citrix XenApp 7.x
  • Citrix XenDesktop 7.x
  • Citrix StoreFront 2.x
  • Citrix StoreFront 3.x
  • Citrix Receiver 3.x
  • Citrix Receiver 4.x

パススルー認証設定方法

管理者権限のユーザーで以降の手順を実施します。

Citrix Receiverの設定

シングルサインオンを有効にする

Citrix Receiverインストール時に、シングルサインオン機能を有効にします。

重要

Citrix Receiver インストール後に機能を有効にすることはできません。
無効の状態でインストールしている場合、Citrix Receiverの再インストールが必要です。

以下にGUIとコマンド、2つの手順について記載します。
どちらの手順も、インストール完了後にクライアント端末を再起動する必要があります。

  • GUIでのインストール方法
    Citrix Receiver インストールウィザードの「シングルサインオンの有効化」で
    「シングルサインオンを有効にする」にチェックをいれてインストールします。
    sso_001
  • コマンドでのインストール方法
    /includeSSON ENABLE_SSON=Yes オプションを付けてインストールします。

CitrixReceiver.exe /includeSSON ENABLE_SSON=Yes

グループポリシーの設定

Citrix Receverをインストールしたクライアント端末に対して、パススルー認証を行うためのグループポリシーを適用します。

  1. Citrix Receiverをインストールした端末より、以下のファイルを取得します。
%ProgramFiles(x86)%\Citrix\ICA Client\Configuration\receiver.admx
%ProgramFiles(x86)%\Citrix\ICA Client\Configuration\CitrixBase.admx
%ProgramFiles(x86)%\Citrix\ICA Client\Configuration\ja-JP\receiver.adml
%ProgramFiles(x86)%\Citrix\ICA Client\Configuration\ja-JP\CitrixBase.adml
  1. 取得したadmxファイル、admlファイルを以下のフォルダに格納します。
    (admxファイルを①フォルダ、admlファイルを②フォルダに格納)
ドメインのグループポリシーで設定する場合
  1. C:\Windows\Sysvol\domain\Policies\PolicyDefinitions
  2. C:\Windows\Sysvol\domain\Policies\PolicyDefinitions\ja-JP
ローカルグループポリシーで設定する場合
  1. C:\Windows\PolicyDefinitions
  2. C:\Windows\PolicyDefinitions\ja-JP
  1. グループポリシーエディターより以下の設定を行います。
コンピュータの構成
 管理用テンプレート
  Citrix Receiver
   ユーザー認証
    ローカルユーザー名とパスワード:有効
    オプション
    ■ パススルー認証を有効にします
    ■ すべてのICA接続にパススルー認証を許可します
    □ Novell Directory Server 資格情報を使用します
  1. 以下のコマンドを実行します。
gpupdate /force

IEの設定

Internet Explorerで以下の設定を行います。

  1. ファイル名を指定して実行より「inetcpl.cpl」を実行し「インターネットのプロパティ」画面を開きます。
  2. 「セキュリティ」タブより「信頼済みサイト」を選択し「サイト」をクリックします。
    sso_002
  3. 「このWebサイトをゾーンに追加する」よりStoreFrontのURLを入力し「追加」をクリックします。
    sso_003
  4. 「閉じる」をクリックし「信頼済みサイト」画面を閉じます。
    sso_004
  5. 「セキュリティ」タブより「信頼済みサイト」を選択し「レベルのカスタマイズ」をクリックします。
    sso_005
  6. 「ユーザー認証」-「ログオン」設定で「現在のユーザー名とパスワードで自動的にログオンする」を選択し「OK」をクリックします。
    sso_006
  7. 警告が表示された場合は「はい」をクリックします。
    sso_007
  8. 「インターネットのプロパティ」画面より「OK」をクリックして画面を閉じます。
    sso_008



StoreFrontの設定

ドメインパススルーを有効にする

StoreFrontサイトの認証方法でドメインパススルーを有効にします。

  1. StoreFrontの管理コンソールを開き、StoreFrontサイトの「認証方法の管理」をクリックします。
  2. 「ドメインパススルー」にチェックを入れ「OK」をクリックします。
    sso_009
補足

ドメインパススルー認証のみ有効にしたい場合は「ユーザー名とパスワード」のチェックを外します。この場合、パススルー認証に失敗した際に手動でユーザー名/パスワードを入力してStoreFrontにログオンすることができなくなります。

DeliveryControllerの設定

XMLの信頼を有効にする

XML信頼設定を有効にします。

  1. Citrix Studioを起動し、Citrix Studio上からPowerShellを起動します。
  2. 以下のコマンドを実行します。
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True

以上でパススルー認証の設定は完了です。

設定のチェック方法

Citrix 構成チェッカー

Citrix Receiverのバージョンが4.5以降の場合、Citrix構成チェッカーを使用して、パススルー認証設定に問題がないかどうかを確認することが可能です。

Citrix構成チェッカーについては以下Citrixサイトを参照してください。

ssonsvr.exeプロセスの起動状態

Citrix Receiver インストール時にシングルサインオン機能を有効にしている場合は、ssonsvr.exe プロセスが起動します。

Citrix Receiverをインストールした端末でプロセスの一覧を確認し、ssonsvr.exe プロセスが起動していれば、シングルサインオン機能が有効になっていると判断可能です。

にほんブログ村 IT技術ブログへ
にほんブログ村


コメント