Citrix DaaS用のオンプレミスStoreFront認証参照アーキテクチャ
Citrix Workspaceプラットフォームを使用せず、顧客データセンター内でCitrix StoreFrontをホストする理由はさまざまです。一部の環境は複雑であるため、StoreFrontがサービスのプライマリユーザーフロントエンドである場合は、Citrix CloudコンポーネントがStoreFrontおよびActive Directoryとどのように通信するかを理解しておく必要があります。
Citrix WorkspaceはCitrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)のほとんどのユースケースの要件を満たすことができますが、StoreFrontを顧客のデータセンターやリソースの場所にホストする必要があるユースケースと要件がいくつかあります。
オンプレミスStoreFrontを保守する理由
- Cloud Connectorでのローカルホストキャッシュ機能のサポート
- スマートカード認証は、Citrix Workspaceではサポートされていません。
- 非デフォルトのストア構成(web.configの変更)
- 内部ユーザーおよび外部ユーザー用の複数のストア構成のホスティング
この記事では、高レベルのアーキテクチャについて、および、Active Directoryの仕様でサポートされているさまざまな認証シナリオとコンポーネントがどのように通信するかについて、説明します。Cloud Connectorはドメインの1つに参加し、Citrix DaaSが、Active Directoryユーザーと、ドメインまたは信頼済みドメインのグループを割り当てられるようにします。Cloud Connectorは、StoreFrontおよびCitrix Gatewayコンポーネント用のDelivery ControllerおよびSTAサーバーとしても機能します。
この記事では、StoreFrontとGatewayのコンポーネントが、各データセンターで一緒にホストされていることを前提としています。
リソースドメインとしての親子関係のドメイン
このシナリオでは、子ドメインはVirtual Desktop Agent(VDA)とStoreFrontインスタンスのリソースドメインとして機能しています。親ドメインは、子ドメインのリソースにアクセスする予定のユーザーを保持します。
- Cloud Connectorは、子ドメインにのみ参加します。子ドメインと親ドメインの間の双方向の推移的な信頼関係により、Cloud Connectorは親ドメインのグローバルカタログと通信できます。
- StoreFrontは子ドメインに参加しています。ストア認証は、Citrix Gatewayからユーザー名/パスワードおよびパススルー用に設定されます。ユーザー名/パスワード認証は、任意のドメインを信頼するように設定されています。
- Citrix Gateway認証プロファイルは、UPNをプライマリログオン方法として使用するように、親ドメイン用に設定されています。子ドメインから認証する必要があるユーザーがいる場合は、子ドメインのLDAP認証プロファイルとポリシーもGateway vServerにバインドする必要があります。
- Citrix Gateway Session OSとWebのプロファイルを編集し、公開アプリケーション/Single Sign-On Domain設定を空白に設定します(設定を上書きする必要がある場合があります)。
接続ワークフロー
- User@corp.comが、Citrix Gatewayにログオンします。Gatewayは認証プロファイルを介してユーザーを検索し、ポリシーアクションを照合します。
- 資格情報がStoreFrontに渡されます。StoreFrontは資格情報を受け入れてCloud Connectorに渡します(Delivery Controllerとして機能します)。
- Cloud Connectorは、Citrix Cloudに必要なユーザーオブジェクトの詳細を調べます。
- Cloud ConnectorはID情報をCitrix Cloudに渡し、IDトークンはユーザーを認証して、ユーザーに割り当てられているリソースを列挙します。
- Cloud Connectorは、ユーザーの列挙のために、割り当てられたリソースをStoreFrontに返します。
- ユーザーがアプリケーションまたはデスクトップを起動すると、Citrix Gatewayは設定済みのCloud Connectorを使用して、STAチケット要求を生成します。
- Citrix Cloudブローカーは、リソースドメインのCloud Connectorとそのリソースの場所に登録されているVDAとの間のセッションを管理します。
- セッションは、クライアント、Citrix Gateway、解決済みのVDAの間で確立されます。
外部の信頼済みドメインからリソースドメインへ
このシナリオでは、ビジネスパートナーはコーポレートユーザーに公開されているリソースにアクセスする必要があります。企業ドメインはcorp.comで、パートナードメインはpartner.comです。
- 企業ドメインは、パートナードメインに対して送信できる外部の信頼を持っています。パートナードメインのユーザーは、企業ドメインに参加しているリソースに対して認証できます。
- Citrix Cloudの顧客には、corp.comのCloud Connector用とpartner.comのCloud Connector用の2つのリソースの場所が必要です。partner.comのCloud Connectorは、ドメインへの認証およびID呼び出しにのみ必要です。VDAやセッションの仲介には使用されません。
- StoreFrontは、corp.comのドメインに参加しています。corp.comドメインのCloud Connectorは、ストア構成のDelivery Controllerとして使用されます。ストア認証は、Citrix Gatewayからユーザー名/パスワードおよびパススルー用に設定されます。ユーザー名/パスワード認証は、任意のドメインを信頼するように設定されています。
- Citrix Gateway認証プロファイルは、UPNをプライマリログオン方法として使用するように、corp.comドメイン用に設定されています。UPNを使用し、それをcorp.comドメインと同じGateway vServerにバインドするよう、partner.comドメインの2番目のプロファイルとポリシーを設定します。
- Citrix Gateway Session OSとWebのプロファイルを編集し、公開アプリケーション/Single Sign-On Domain設定を空白に設定します(設定を上書きする必要がある場合があります)。
注:
外部の信頼済みドメインの場所によっては、外部ドメインのユーザーはリソースまたは親ドメインのユーザーよりも起動時間が長くなる可能性があります。
接続ワークフロー
- User@partner.comが、Citrix Gatewayにログオンします。Gatewayは、UPN参照を照合する認証プロファイルを介してユーザーを検索し、ポリシーアクションを照合します。
- 資格情報がStoreFrontに渡されます。StoreFrontは資格情報を受け入れてCloud Connectorに渡します(Delivery Controllerとして機能します)。
- Cloud Connectorは、Citrix Cloudに必要なユーザーオブジェクトの詳細の参照を実行します。
- Cloud ConnectorはID情報をCitrix Cloudに渡し、IDトークンはユーザーを認証して、ユーザーに割り当てられているリソースを列挙します。
- Cloud Connectorは、ユーザーの列挙のために、割り当てられたリソースをStoreFrontに返します。
- ユーザーがアプリケーションまたはデスクトップを起動すると、Citrix Gatewayは設定済みのCloud Connectorを使用して、STAチケット要求を生成します(この場合はchild1.corp.comから)。
- Citrix Cloudブローカーは、リソースドメインのCloud Connectorとそのリソースの場所に登録されているVDAとの間のセッションを管理します。
- このセッションはクライアント、Citrix Gateway、および解決されたVDAの間で確立されます。
リソースドメインへのフォレストの信頼/ショートカットの信頼
フォレストの信頼およびショートカットの信頼のドメインは、リソースドメインに対する外部ドメインの信頼関係として扱われる場合にのみサポートされます。フォレストの信頼については、「外部の信頼済みドメインからリソースドメインへ」セクションで説明されているのと同じ手順に従うことができます。このセクションの内容は、ユーザーとリソース間のネイティブのフォレストの信頼のサポート状況によって、将来変更される可能性があります。