Citrix DaaSでSAML認証を構成するとアプリケーション起動時に再認証が求められる

こんにちはDXソリューション統括部の村松です。

 

Citrix DaaSにおいてAzure ADやADFSによるSAML認証を構成したい場合があるかと思います。

SAML認証を構成すると利用者がワークスペースもしくはStore Frontにアクセスした際に指定した

Idp(IDプロバイダー)にリダイレクトされ、そこで取得したトークンでログインができます。

しかし、SAML認証でログインして、アプリケーション(もしくはデスクトップ)起動すると、

以下のように再認証が求められてしまいます。

(以下ではADFSによるSAML認証を用いてStore Frontへログインしてアプリケーションを起動しています。)

 

①ADFS認証でStore Frontへログインする。

 

②Store Frontにログイン後にアプリケーションを起動する。

 

③アプリケーションを起動するの資格情報の入力が求められる。

 

こちらについて以下のドキュメントにある通り、SAML認証では、Citrix GatewayとStoreFront はユーザーのパスワードにアクセスできません。
SAMLトークンを使用すると、VDAへのシングルサインオン(SSO)が切断され、アプリケーション起動時にユーザーに再認証が求められます。

 

フェデレーション認証サービス

 

再認証が求められないようにするには、以下のようにFASサーバおよびADCSサーバ(証明書サーバ)を構成する必要があります。(以下の図はADFS認証を用いている環境でのFASおよびADCSの構成例です。)

 

これにより、SAML認証後のアプリケーション起動時にユーザー証明書が用いられ、再認証なくアプリケーションが起動されます。

 

詳細は以下のドキュメントを参照ください。

Citrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化

フェデレーション認証サービスの ADFS 展開

 

以上 今回はここまでになります。またの機会お会いしましょう。

 

 

いいね (この記事が参考になった人の数:1)
(↑参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルクロステクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください