Citrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化
Citrixフェデレーション認証サービス(FAS)は、Citrix WorkspaceでDaaSへのシングルサインオン(SSO)をサポートします。通常、FASは、Citrix Workspace認証に以下のIDプロバイダーのいずれかを使用している場合に採用されます:
- Azure Active Directory
- Okta
- SAML 2.0
- Citrix Gateway
- Google Cloud Identity
FASを使用すると、利用者は資格情報を1回入力するだけでDaaSのアプリとデスクトップにアクセスできます。
Active Directory(AD)、AD+トークン、またはCitrix Gatewayの特定の構成を使用している場合、DaaSへのSSOにFASは必要ありません。Citrix Gatewayの構成について詳しくは、「オンプレミスのCitrix GatewayでのOAuth IDプロバイダーポリシーの作成」を参照してください。
FASサーバー
各リソースの場所内で、負荷分散とフェールオーバーのために複数のFASサーバーをCitrix Cloudに接続できます。
Citrix Cloudは、以下のシナリオでFASサーバーの使用をサポートしています。
どちらのシナリオでも、フェデレーションIDプロバイダーを介してワークスペースにサインインする利用者は、アプリとデスクトップにアクセスするために資格情報を一度だけ入力します。
単一のリソースの場所に接続されたFASサーバー
リソースの場所にさまざまなインフラストラクチャが含まれている場合(たとえば、さまざまなリソースの場所にさまざまなADフォレストが含まれている場合)、FASサーバーをVDAがあるリソースの場所に展開します。SSOは、1つまたは複数のFASサーバーが接続するリソースの場所でのみアクティブになります。
複数のリソースの場所に接続されたFASサーバー
リソースの場所間にネットワーク接続があり、似たインフラストラクチャがそれらに含まれている場合、FASサーバーを複数のリソースの場所に接続できます。SSOは、これらのリソースの場所にあるアプリおよびデスクトップに接続するワークスペース利用者が利用できます。このシナリオでは、個別のFASサーバーを各リソースの場所に接続する必要はありません。
利用者が仮想アプリまたは仮想デスクトップを起動すると、Citrix Cloudは起動中の仮想アプリまたは仮想デスクトップと同じリソースの場所にあるFASサーバーを選択します。Citrix Cloudは、選択したFASサーバーに接続して、FASサーバーに保存されているユーザー証明書へのアクセスを許可するチケットを取得します。利用者を認証するため、VDAはFASサーバーに接続してチケットを提供します。
適切なルール構成を使用して、オンプレミスとCitrix Cloudの両方に同じFASサーバーを使用できます。
複数のリソースの場所のフェイルオーバー優先度
複数のリソースの場所でFASサーバーを使用する場合、1つのリソースの場所にあるFASサーバーは、他のリソースの場所にあるFASサーバーにフェイルオーバーを提供できます。FASサーバーを他のリソースの場所に追加するときは、各サーバーをプライマリまたはセカンダリとして指定します。利用者が仮想アプリまたは仮想デスクトップを起動すると、Citrix Cloudは次の方法でFASサーバーを選択します:
- 指定されたリソースの場所でプライマリとして指定されているFASサーバーが最初に考慮されます。
- 使用可能なプライマリサーバーがない場合は、セカンダリとして指定されているFASサーバーが考慮されます。
- 使用可能なセカンダリサーバーがない場合、起動は続行されますが、シングルサインオンは発生しません。
ビデオの概要
Citrix Workspace向けのフェデレーション認証サービスの概要については、このTech Insightのビデオをご覧ください:
要件
接続の要件
FAS管理コンソールを使用して、FASサーバーをCitrix Cloudに接続します。このコンソールで、ローカルまたはリモートのFASサーバーを構成できます。FASを使用したワークスペースのSSOを有効にするには、FAS管理コンソールとFASサービスが、それぞれコンソールユーザーのアカウントとネットワークサービスアカウントを使用して、次のアドレスにアクセスします。
- コンソールユーザーのアカウントを使用したFAS管理コンソール
*.cloud.com
*.citrixworkspacesapi.net
- サードパーティのIDプロバイダーが必要とするアドレス(環境で使用されている場合)
- ネットワークサービスアカウントを使用したFASサービス:
*.citrixworkspacesapi.net
https://*.citrixnetworkapi.net/
環境にプロキシサーバーが含まれている場合は、FAS管理コンソールのアドレスを使用してユーザープロキシを構成します。また、ネットワークサービスアカウントのアドレスが環境に応じて適切に構成されていることを確認してください。
FASシステム要件
このセクションの要件は、Citrix Cloudに接続する予定のすべてのFASサーバーに適用されます。
FASサーバーの完全なシステム要件については、FAS製品ドキュメントの「システム要件」セクションを参照してください。
オンプレミスのCitrix Virtual Apps and Desktops環境のFASサーバーには、フェデレーション認証サービス2003(バージョン10.1)以降がインストールされている必要があります。
既存のFASサーバーがバージョン10よりも古い場合、Citrixから最新のFASソフトウェアをダウンロードし、この接続を作成する前にサーバーをインプレースでアップグレードできます。接続の作成時に、FASサーバーのリソースの場所を選択します。SSOは、FASサーバーが存在するリソースの場所でのみ利用者に対してアクティブになります。
既存のFASサーバーのアップグレードについて詳しくは、FAS製品ドキュメントの「インストールと構成」を参照してください。同じFASサーバーをWorkspaceとオンプレミスの展開に使用できます。
Citrix Workspace
WorkspaceでCitrix DaaSをプロビジョニングおよび有効化しておく必要があります。デフォルトでは、DaaSは、サービスへのサブスクライブ後にWorkspace構成で有効になります。ただし、このサービスでは、Citrix Cloudがオンプレミス環境と通信できるよう、Citrix Cloud Connectorを展開する必要があります。
Cloud Connector
Citrix Cloud Connectorは、リソースの場所(VDAがある場所)とCitrix Cloudとの間の通信を可能にします。高可用性を確保するために、少なくとも2つのCloud Connectorを展開します。Cloud Connectorソフトウェアをインストールするサーバーは、次の要件を満たす必要があります:
- 「Cloud Connectorの技術詳細」に記載されているシステム要件
- 他のCitrixコンポーネントがインストールされておらず、サーバーがActive Directoryドメインコントローラーではなく、リソースの場所のインフラストラクチャに不可欠なマシンでもない。
- VDAがあるドメインに参加している。
Cloud Connectorの展開について詳しくは、以下の記事を参照してください:
セットアップの概要
- 新しいFASサーバーを展開する場合は、「要件」を確認し、本記事の「FASのインストールと構成」の指示に従ってください。
- 本記事の「FASサーバーのCitrix Cloudへの接続」の説明に従って、FASサーバーをCitrix Cloudに接続します。このタスクを完了すると、FASサーバーが単一のリソースの場所に接続されます。
- FASサーバーを複数のリソースの場所に接続する場合は、本記事の「FASサーバーを複数のリソースの場所に追加する」で説明されている手順に従います。
FASのインストールと構成
FAS製品ドキュメントで説明されているFASのインストールおよび構成プロセスに従います。StoreFrontとDelivery Controllerの構成手順は不要です。
ヒント:
フェデレーション認証サービスインストーラーはCitrix Cloudコンソールからもダウンロードできます:
- Citrix Cloudメニューから [リソースの場所] を選択します。
- [FASサーバー] タイルを選択し、[ダウンロード] をクリックします。
FASサーバーをCitrix Cloudに接続する
FAS製品ドキュメントの「インストールと構成」で説明されているとおり、FAS管理コンソールを使用してFASサーバーをCitrix Cloudに接続します。
Citrix Cloudに接続するための構成手順が完了すると、Citrix CloudでFASサーバーが登録され、Citrix Cloudアカウントの[リソースの場所]ページに表示されます。
Webブラウザーに[リソースの場所]ページが既にロードされている場合は、ページを更新して登録済みのFASサーバーを表示します。
Cloud通知のサポート
FASはCloud通知をサポートするようになりました。FASサーバーの新しいCloud通知では、次の場合に通知を受信します:
- FASサーバーがダウンしているか使用できない。
- FASサーバーの登録機関(RA)証明書の有効期限が切れているか、期限切れ間近である。
- 新しいバージョンのFASがダウンロード可能である。
通知の発生
Citrix Cloud管理コンソールで新しい通知がないかどうかが定期的にチェックされ、あれば通知が行われます。通知は、Citrix Cloud管理コンソールの右上隅にあるベルアイコンの下に表示されます。通知アイコンで [すべて表示] を選択して、すべての通知を表示します。詳しくは、「通知」を参照してください。
注:
通知が行われた場合、問題が解決されなかったときにのみ、定期的に再度通知が行われます。
すべての通知に、影響を受けたFASサーバーの完全修飾ドメイン名が含まれます。RA証明書の有効期限切れ通知は、バージョン10.10.0.14以降のFASサーバーに関してのみ表示されます。
FASサーバーを複数のリソースの場所に追加する
- Citrix Cloudメニューの [リソースの場所] を選択してから、[FASサーバー] タブを選択します。
- 管理するFASサーバーを見つけ、エントリの右側にある省略記号(…)をクリックしてから、[サーバーの管理] を選択します。
- [リソースの場所に追加] を選択してから、必要なリソースの場所を選択します。
- 選択した各リソースの場所で、FASサーバーのフェイルオーバー優先度として [プライマリ] または [セカンダリ] を選択します。
- [Save Changes] を選択します。
追加したFASサーバーを表示するには、Citrix Cloudメニューの [リソースの場所] を選択してから、[FASサーバー] タブを選択します。接続されているすべてのリソースの場所の全FASサーバー一覧が表示されます。特定のリソースの場所のFASサーバーを表示するには、ドロップダウンリストからリソースの場所を選択します。
FASサーバーのフェイルオーバー優先度を変更する
- [リソースの場所] ページから、管理するリソースの場所の [FASサーバー] タイルを選択します。
- [FASサーバー] タブを選択します。
- 管理するFASサーバーを見つけ、エントリの右側にある省略記号(…)をクリックしてから、[サーバーの管理] を選択します。
- 変更する優先度付きのリソースの場所を見つけて、ドロップダウンリストから新しい優先度を選択します。
- [Save Changes] を選択します。
ワークスペースのフェデレーション認証を有効にする
- Citrix Cloudメニューから [ワークスペース構成] を選択し、[認証] を選択します。
- [FAS を有効にする] をクリックします。この変更が利用者のセッションに適用されるまで、最大5分かかる場合があります。
その後、Citrix Workspaceからのすべての仮想アプリおよびデスクトップの起動に対してフェデレーション認証がアクティブになります。
利用者が自分のワークスペースにログインして、FASサーバーと同じリソースの場所で仮想アプリまたはデスクトップを起動すると、アプリまたはデスクトップは資格情報のプロンプトを表示せずに起動します。
注:
リソースの場所内のすべてのFASサーバーがダウンしているか、またはメンテナンスモードの場合、アプリケーションの起動は成功しますが、シングルサインオンはアクティブになりません。利用者は、各アプリケーションまたはデスクトップにアクセスするためにActive Directory資格情報の入力を求められます。
FASサーバーの削除
単一のリソースの場所からFASサーバーを削除するには:
- [リソースの場所] ページから、管理するリソースの場所の [FASサーバー] タイルを選択します。
- [FASサーバー] タブを選択します。
- 管理するFASサーバーを見つけ、エントリの右側にある省略記号(…)をクリックしてから、[サーバーの管理] を選択します。
- 削除するリソースの場所を見つけて、[X] アイコンをクリックします。
接続されたすべてのリソースの場所からFASサーバーを削除するには:
- Citrix Cloudメニューから [リソースの場所] を選択します。
- 管理するリソースの場所を指定して [FASサーバー] タイルを選択します。
- 削除するFASサーバーを見つけ、エントリの右側にある省略記号(…)をクリックしてから、[FASサーバーの削除] を選択します。
- FAS管理コンソール(オンプレミスのFASサーバー上)の [Connect to Citrix Cloud] で [Disconnect] を選択します。また、FASをアンインストールすることもできます。
トラブルシューティング
FASサーバーが利用できない場合、FASサーバーページに警告メッセージが表示されます。
問題を診断するには、オンプレミスのFASサーバーでFAS管理コンソールを開き、状態を確認します。たとえば、FASサーバーがFASサーバーのGPOに存在しない場合:
サーバーが正常に動作していることをFAS管理コンソールが示していても、VDAログオンの問題が解決しない場合は、「FASトラブルシューティングガイド」を確認してください。