展開アーキテクチャ

はじめに

Federated Authentication Service (FAS) は、Citrix®コンポーネントであり、Active Directory証明機関と統合することで、ユーザーがCitrix環境内でシームレスに認証されることを可能にします。このドキュメントでは、展開に適したさまざまな認証アーキテクチャについて説明します。

• FASを有効にすると、ユーザー認証の決定が信頼されたStoreFrontサーバーに委任されます。StoreFrontには、最新のWebテクノロジーに基づいた包括的な組み込み認証オプションのセットがあり、StoreFront SDKまたはサードパーティのIISプラグインを使用して容易に拡張できます。基本的な設計目標は、Webサイトにユーザーを認証できるあらゆる認証テクノロジーを、Citrix Virtual AppsまたはCitrix Virtual Desktops™展開へのログオンに使用できることです。

• このドキュメントでは、複雑さが増す順に、トップレベルの展開アーキテクチャの例について説明します。

• 内部展開
• Citrix Gateway展開
• ADFS SAML
• B2Bアカウントマッピング
• Windows 10 Azure AD参加

関連するFAS記事へのリンクが提供されています。すべてのアーキテクチャにおいて、インストールと構成の記事は、FASのセットアップに関する主要なリファレンスです。

仕組み

FASは、StoreFrontによって認証されたActive Directoryユーザーに代わって、スマートカードクラス証明書を自動的に発行する権限があります。これは、管理者が物理スマートカードをプロビジョニングできるツールと同様のAPIを使用します。

ユーザーがCitrix Virtual Apps™またはCitrix Virtual Desktops Virtual Delivery Agent (VDA) に仲介されると、証明書がマシンにアタッチされ、Windowsドメインはログオンを標準のスマートカード認証として認識します。

• 内部展開

FASを使用すると、ユーザーはさまざまな認証オプション (Kerberosシングルサインオンを含む) を使用してStoreFrontに安全に認証し、完全に認証されたCitrix HDX™セッションに接続できます。

これにより、ユーザー資格情報やスマートカードPINを入力するプロンプトなしで、またシングルサインオンサービスなどの「保存されたパスワード管理」機能を使用せずにWindows認証が可能になります。これは、以前のバージョンのCitrix Virtual Appsで利用可能だったKerberos制約付き委任ログオン機能を置き換えるために使用できます。

すべてのユーザーは、スマートカードを使用してエンドポイントデバイスにログオンしているかどうかにかかわらず、セッション内で公開鍵インフラストラクチャ (PKI) 証明書にアクセスできます。これにより、スマートカードリーダーを持たないスマートフォンやタブレットなどのデバイスからでも、2要素認証モデルへのスムーズな移行が可能になります。

この展開では、FASを実行する新しいサーバーが追加され、ユーザーに代わってスマートカードクラス証明書を発行する権限があります。これらの証明書は、スマートカードログオンが使用されたかのように、Citrix HDX環境のユーザーセッションへのログオンに使用されます。

Citrix Virtual AppsまたはCitrix Virtual Desktops環境は、スマートカードログオンと同様の方法で構成する必要があり、これはCTX206156に記載されています。

既存の展開では、通常、ドメイン参加済みMicrosoft証明機関が利用可能であり、ドメインコントローラーにドメインコントローラー証明書が割り当てられていることを確認するだけで済みます。(CTX206156の「ドメインコントローラー証明書の発行」セクションを参照してください。)

関連情報:

• キーは、ハードウェアセキュリティモジュール (HSM) または組み込みのトラステッドプラットフォームモジュール (TPM) に保存できます。詳細については、秘密鍵の保護の記事を参照してください。
• インストールと構成の記事では、FASのインストールと構成方法について説明しています。

Citrix Gateway展開

Citrix Gateway展開は内部展開に似ていますが、StoreFrontとペアリングされたCitrix Gatewayを追加し、認証の主要なポイントをCitrix Gateway自体に移動します。Citrix Gatewayには、企業のWebサイトへのリモートアクセスを保護するために使用できる洗練された認証および承認オプションが含まれています。

この展開は、最初にCitrix Gatewayに認証し、次にユーザーセッションにログオンする際に発生する複数のPINプロンプトを回避するために使用できます。また、ADパスワードやスマートカードを別途必要とせずに、高度なCitrix Gateway認証テクノロジーを使用することもできます。

Citrix Virtual AppsまたはCitrix Virtual Desktops環境は、スマートカードログオンと同様の方法で構成する必要があり、これはCTX206156に記載されています。

• 既存の展開では、通常、ドメイン参加済みMicrosoft証明機関が利用可能であり、ドメインコントローラーにドメインコントローラー証明書が割り当てられていることを確認するだけで済みます。(CTX206156の「ドメインコントローラー証明書の発行」セクションを参照してください。)

Citrix Gatewayを主要な認証システムとして構成する場合、Citrix GatewayとStoreFront間のすべての接続がTLSで保護されていることを確認してください。特に、コールバックURLがCitrix Gatewayサーバーを指すように正しく構成されていることを確認してください。これは、この展開でCitrix Gatewayサーバーを認証するために使用できます。

関連情報:

• Citrix Gatewayを構成するには、「NetScaler Gateway 10.5をStoreFront 3.6およびCitrix Virtual Desktops 7.6で使用するように構成する方法」を参照してください。
• インストールと構成では、FASのインストールと構成方法について説明しています。

ADFS SAML展開

主要なCitrix Gateway認証テクノロジーは、SAML IDプロバイダー (IdP) として機能できるMicrosoft ADFSとの統合を可能にします。SAMLアサーションは、信頼されたIdPによって発行される暗号署名されたXMLブロックであり、ユーザーがコンピューターシステムにログオンすることを承認します。これは、FASサーバーがユーザーの認証をMicrosoft ADFSサーバー (またはその他のSAML対応IdP) に委任することを可能にすることを意味します。

ADFSは、インターネット経由でリモートから企業リソースにユーザーを安全に認証するためによく使用されます。たとえば、Office 365統合によく使用されます。

関連情報:

• ADFS展開の記事に詳細が記載されています。
• インストールと構成の記事では、FASのインストールと構成方法について説明しています。
• この記事のCitrix Gateway展開セクションには、構成に関する考慮事項が含まれています。

B2Bアカウントマッピング

2つの企業が互いのコンピューターシステムを利用したい場合、一般的な選択肢として、信頼関係を持つActive Directoryフェデレーションサービス (ADFS) サーバーをセットアップする方法があります。これにより、一方の企業のユーザーは、もう一方の企業のActive Directory (AD) 環境にシームレスに認証できます。ログオン時、各ユーザーは自身の会社のログオン資格情報を使用し、ADFSはこれをピア企業のAD環境内の「シャドウアカウント」に自動的にマッピングします。

関連情報:

• インストールと構成の記事では、FASのインストールと構成方法について説明しています。

Windows 10 Azure AD参加

Windows 10では、「Azure AD参加」の概念が導入されました。これは、従来のWindowsドメイン参加と概念的には似ていますが、「インターネット経由」のシナリオを対象としています。これはラップトップやタブレットでうまく機能します。従来のWindowsドメイン参加と同様に、Azure ADには会社のWebサイトやリソースに対するシングルサインオンモデルを可能にする機能があります。これらはすべて「インターネット対応」であるため、オフィスLANだけでなく、インターネットに接続されたあらゆる場所から機能します。

この展開は、「オフィスにエンドユーザーがいる」という概念が実質的にない例です。ラップトップは、最新のAzure AD機能を使用して、完全にインターネット経由で登録および認証されます。

この展開のインフラストラクチャは、IPアドレスが利用可能な場所であればどこでも実行できることに注意してください。オンプレミス、ホスト型プロバイダー、Azure、またはその他のクラウドプロバイダーです。Azure AD Connect同期ツールは、Azure ADに自動的に接続します。この図の例では、簡素化のためにAzure VMを使用しています。

関連情報:

• インストールと構成の記事では、FASのインストールと構成方法について説明しています。
• Azure AD統合の記事に詳細が記載されています。