インストールと構成
インストールとセットアップの順序
- フェデレーション認証サービスのインストール(FAS)
- StoreFrontストアでのFASプラグインの有効化
- グループポリシーの構成
- フェデレーション認証サービスの管理コンソールを使用した作業:(a)提供されたテンプレートの展開、(b)証明機関のセットアップ、(c)フェデレーション認証サービスへの証明機関の使用権限の付与
- ユーザー規則の構成
フェデレーション認証サービスのインストール
セキュリティ上の理由により、フェデレーション認証サービス(FAS)は、ドメインコントローラーや証明機関と同様にセキュリティ保護されている専用サーバーにインストールすることをお勧めします。 FASは、ISOの挿入時に自動実行されるスプラッシュスクリーンの [フェデレーション認証サービス] ボタンからインストールできます。
以下のコンポーネントがインストールされます:
- フェデレーション認証サービス
- FASをリモートで構成するためのPowerShellスナップインコマンドレット
- FAS管理コンソール
- FASのグループポリシーテンプレート(CitrixFederatedAuthenticationService.admx/adml)
- 証明機関の簡易構成用の証明書テンプレートファイル
- パフォーマンスカウンターおよびイベントログ
StoreFrontストアでのFASプラグインの有効化
StoreFrontストアでFASの統合を有効にするには、管理者アカウントで以下のPowerShellコマンドレットを実行します。複数のストアがある場合、またはストアの名前が異なる場合は、以下のパスのテキストが異なる可能性があります。
Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
$StoreVirtualPath = "/Citrix/Store"
$store = Get-STFStoreService -VirtualPath $StoreVirtualPath
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy-->
FASの使用を停止するには、以下のPowerShellスクリプトを使用します:
Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
$StoreVirtualPath = "/Citrix/Store"
$store = Get-STFStoreService -VirtualPath $StoreVirtualPath
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy-->
Delivery Controllerの構成
FASを使用するには、このサービスに接続可能なStoreFrontサーバーを信頼するようにCitrix Virtual AppsまたはCitrix Virtual DesktopsのDelivery Controllerを構成します。PowerShellコマンドレットSet-BrokerSite -TrustRequestsSentToTheXmlServicePort $trueを実行します。
グループポリシーの構成
FASのインストール後は、インストールで提供されたグループポリシーテンプレートを使用して、グループポリシー内のFASサーバーの完全なDNSアドレスを指定する必要があります。
重要:
チケットを要求するStoreFrontサーバーおよびチケットを使用するVirtual Delivery Agent(VDA)に、グループポリシーオブジェクトによって適用されるサーバーの自動番号設定を含む、同じDNSアドレス構成を行う必要があります。
説明をシンプルにするために、以下の例ではすべてのマシンに適用されるドメインレベルで単一のポリシーを構成していますが、これは必須ではありません。 StoreFrontサーバー、VDA、およびFAS管理コンソールを実行しているマシンで同じDNSアドレスの一覧が参照されている限り、FASは機能します。グループポリシーオブジェクトによって各エントリにインデックス番号が追加されることに注意してください。このインデックス番号は、複数のオブジェクトを使用する場合も一致する必要があります。
手順1:FASをインストールしたサーバーで、C:\Program Files\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admxファイル、CitrixBase.admxファイル、およびen-USフォルダーを見つけます。
手順2:これらをドメインコントローラーにコピーして、C:\Windows\PolicyDefinitionsおよびen-USサブフォルダーに配置します。
手順3:コマンドラインからMicrosoft管理コンソールを実行します(mmc.exe)。メニューバーから、[ファイル]>[スナップインの追加と削除]の順に選択します。 グループポリシー管理エディターを追加します。
グループポリシーオブジェクトを入力するための画面が開いたら、[参照]を選択してから[既定のドメインポリシー]を選択します。 または、任意のツールを使用して、環境に応じたポリシーオブジェクトを作成して選択することもできます。 このポリシーは、影響を受けるCitrixソフトウェア(VDA、StoreFrontサーバー、管理ツール)を実行しているすべてのマシンに適用する必要があります。
手順4:Computer Configuration/Policies/Administrative Templates/Citrix Components/Authenticationにあるフェデレーション認証サービスポリシーに移動します。
注:
フェデレーション認証サービスのポリシー設定は、CitrixBase.admxまたはCitrixBase.admlテンプレートファイルをPolicyDefinitionsフォルダーに追加する際に、ドメインGPOでのみ使用できます。その後、フェデレーション認証サービスのポリシー設定は、[管理用テンプレート]>[Citrixコンポーネント]>[認証]フォルダーに表示されます。
手順5:フェデレーション認証サービスポリシーを開き、[有効]を選択します。これにより、FASサーバーのDNSアドレスを構成する[表示]ボタンを選択できるようになります。
手順6:FASをホストしているサーバーの完全修飾ドメイン名(FQDN)を入力します。
注意: 複数の完全修飾ドメイン名を入力する場合は、StoreFrontサーバーとVDA間で一覧の順番が統一されている必要があります。 これには、空白や使用されないエントリも含まれます。
手順7:[OK]をクリックしてグループポリシーウィザードを終了し、グループポリシーの変更を適用します。 変更を反映させるには、マシンの再起動(またはコマンドラインからgpupdate /forceの実行)が必要な場合があります。
セッション内証明書サポートおよびロック時の切断
セッション内証明書サポート
デフォルトで、VDAはログオン後の証明書へのアクセスを許可しません。必要に応じて、グループポリシーテンプレートを使用して、次のシステムでセッション内証明書を構成できます。これにより、ログオン後に、アプリケーションが使用できるようにユーザーの個人証明書ストアに証明書が配置されます。たとえば、VDAセッション内でWebサーバーへのTLS認証が必要な場合、証明書はInternet Explolerによって使用されます。
ロック時の切断
このポリシーを有効にすると、ユーザーが画面をロックしたときにセッションが自動的に切断されます。この機能では「スマートカードの取り出し時の切断」ポリシーと同様の動作になるため、ユーザーがActive Directoryログオン資格情報を持っていない場合に便利です。
注:
ロック時の切断ポリシーは、VDA上のすべてのセッションに適用されます。
フェデレーション認証サービス管理コンソールの使用
FAS管理コンソールはFASの一部としてインストールされます。[スタート]メニューにアイコン(Citrix Federated Authentication Service)が配置されます。
管理コンソールの初回使用時は、証明書テンプレートの展開、証明機関のセットアップ、およびFASへの証明機関の使用権限の付与を行う手順が表示されます。 一部の手順は、OS構成ツールを使用して手動で完了することもできます。
証明書テンプレートの展開
他のソフトウェアとの相互運用性の問題を避けるため、FASでは、独自の目的で使用する3つのCitrix証明書テンプレートが用意されています。
- Citrix_RegistrationAuthority_ManualAuthorization
- Citrix_RegistrationAuthority
- Citrix_SmartcardLogon
これらのテンプレートは、Active Directoryで登録する必要があります。 コンソールでこれらのテンプレートが見つからない場合は、証明書テンプレートの展開ツールでインストールできます。 このツールは、Enterpriseフォレストの管理権限があるアカウントとして実行する必要があります。
テンプレートの構成は、以下のフォルダーにFASと一緒にインストールされた、拡張子「.certificatetemplate」のXMLファイル内にあります:
C:\Program Files\Citrix\Federated Authentication Service\CertificateTemplates
これらのテンプレートファイルをインストールする権限がない場合は、テンプレートファイルをActive Directory管理者に渡してください。
以下のPowerShellコマンドを使用すると、テンプレートを手動でインストールできます。
$template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
$CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
$CertEnrol.InitializeImport($template)
$comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
$writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
$writabletemplate.Initialize($comtemplate)
$writabletemplate.Commit(1, $NULL)
<!--NeedCopy-->
Active Directory証明書サービスのセットアップ
Citrix証明書テンプレートのインストール後は、これらのテンプレートを1つまたは複数のMicrosoft証明機関サーバーで公開する必要があります。Active Directory証明書サービスの展開方法について詳しくは、Microsoft社のドキュメントを参照してください。
どのサーバーでもテンプレートが公開されていない場合は、証明書機関のセットアップツールによって公開できます。このツールは、証明機関の管理権限のあるユーザーとして実行する必要があります。
(証明書テンプレートは、Microsoft証明機関コンソールを使用して公開することもできます。)
フェデレーション認証サービスへの権限付与
この手順により、FASの認証が開始されます。 管理コンソールは、Citrix_RegistrationAuthority_ManualAuthorizationテンプレートを使用して証明書の要求生成し、この要求をテンプレートを公開する証明機関のいずれかに送信します。
要求は、送信後、Microsoft証明機関コンソールの[保留中の要求]リストに表示されます。FASの構成を続行するには、証明機関の管理者が要求の [発行] または [拒否] を選択する必要があります。承認要求は、FASマシンアカウントからの[保留中の要求]として表示されます。
[すべてのタスク]を右クリックしてから、証明書要求に対して[発行]または[拒否]を選択します。FAS管理コンソールにより、このプロセスの完了が自動的に検出されます。この処理には数分かかることがあります。
ユーザー規則の構成
ユーザールールにより、StoreFrontの指示に従って、VDAログオンおよびセッション中の使用に関する証明書発行の権限が付与されます。各ルールでは、証明書の要求を信頼するStoreFrontサーバー、証明書を要求できる一連のユーザー、および証明書の使用を許可する一連のVDAマシンを指定します。
FASのセットアップを完了するには、デフォルトルールを定義する必要があります。[作成] をクリックするか、「ルール」タブに切り替えて [ルールを作成] をクリックします。ウィザードは、ルールの定義に必要な情報を収集します。
ウィザードによって次の情報が収集されます:
テンプレート:ユーザー証明書の発行に使用される証明書テンプレート。これはCitrix_SmartcardLogonテンプレートか、その変更されたコピーである必要があります。
証明機関:ユーザー証明書を発行する証明機関。テンプレートは証明機関によって公開される必要があります。FASでは、フェールオーバーおよび負荷分散のために、複数の証明機関の追加することができます。
セッション内使用: [セッション内使用を許可] オプションにより、証明書をVDAへのログオン後に使用できるかどうかを制御します。ユーザーが認証後に証明書にアクセスできるようにする場合にのみ、このオプションを選択します。このオプションが選択されていない場合、証明書はログオンまたは再接続にのみ使用され、ユーザーは認証後、証明書にアクセスできなくなります。
アクセス制御:ユーザーのログオンまたは再接続用に証明書を要求する権限が付与された、信頼済みStoreFrontサーバーの一覧。
重要:
[アクセス制御] 設定はセキュリティ上非常に重要であり、慎重に管理する必要があります。
制限:ユーザーがFASを使用してログオンできるVDAマシンのリストと、FASを介して証明書を発行できるユーザーのリスト。デフォルトでは、VDAの一覧には各ドメインコンピューターが含まれ、ユーザーの一覧には各ドメインユーザーが含まれます。デフォルトが適切でない場合は、これらを変更できます。
クラウドルール:現在サポートされていません。
高度な使用方法
追加のルールを作成して、各種プロパティや権限が含まれるように構成されたさまざまな証明書テンプレートおよび証明機関を参照することができます。これらのルールは、名前別に新しいルールを要求するように構成する必要がある、各StoreFrontサーバーでの使用に合わせて構成できます。デフォルトでは、StoreFrontはFASにアクセスするときにデフォルトを要求します。これは、グループポリシー構成オプションを使って変更できます。
新しい証明書テンプレートを作成するには、Microsoft証明機関コンソールでCitrix_SmartcardLogonテンプレートを複製して名前を(Citrix_SmartcardLogon2などに)変更し、必要に応じて変更を加えます。[追加] をクリックして新しい証明書テンプレートを参照し、新しいユーザールールを作成します。
アップグレードに関する考慮事項
- インプレースアップグレードを行った場合、FASサーバーの設定はすべて保持されます。
- FASのアップグレードは、Citrix Virtual Apps and Desktopsの全製品インストーラーで行ってください。
- FASをアップグレードする前に、Delivery ControllerとVDA(およびその他のコアコンポーネント)を所定のバージョンにアップグレードしてください。
- FASをアップグレードする前に、FAS管理コンソールが閉じていることを確認してください。
- 1台以上のFASサーバーを常に利用可能な状態に維持してください。フェデレーション認証サービスに対応したStoreFrontサーバーから到達可能なサーバーがない場合、ユーザーはログオンやアプリケーションの起動を行えなくなります。
セキュリティに関する注意事項
FASには、FASがドメインユーザーの代わりに自律的に証明書を発行できるようにする、登録機関の証明書があります。このため、セキュリティポリシーを作成および実装してFASサーバーを保護し、権限を制限することは重要です。
委任された登録エージェント
FASは登録エージェントとして機能することによってユーザー証明書を発行します。Microsoft証明機関では、FASサーバーが使用可能なテンプレートの管理、およびFASサーバーが証明書を発行可能な対象ユーザーの制限を行うことができます。
FASが必要なユーザーにのみ証明書を発行できるように、これらのオプションを構成することを強くお勧めします。 たとえば、管理グループまたは保護されたユーザーのグループに属するユーザーにFASが証明書を発行できないようにすることをお勧めします。
アクセス制御リストの構成
「ユーザールールの構成」セクションで説明しているように、証明書が発行された場合にFASに対するユーザーIDの承認を信頼するStoreFrontサーバーの一覧を構成する必要があります。 同様に、証明書の発行対象となるユーザー、およびユーザーが認証可能なVDAマシンを制限することができます。 この操作は、標準で構成を行うActive Directoryまたは証明機関のセキュリティ機能に追加で行います。
ファイアウォールの設定
FASサーバーへのすべての通信では、相互認証されたWindows Communication Foundation(WCF)Kerberosネットワーク接続がポート80で使用されます。
イベントログの監視
FASおよびVDAは、Windowsイベントログに情報を書き込みます。 これは、情報の監視および監査に使用できます。 「イベントログ」セクションに、生成される可能性のあるイベントログの一覧を示します。
ハードウェアセキュリティモジュール
FASによって発行されたユーザー証明書の秘密キーを含むすべての秘密キーは、Network Serviceアカウントによってエクスポート不可の秘密キーとして保存されます。FASは、セキュリティポリシーで暗号化ハードウェアセキュリティモジュールが必要とされる場合、このモジュールの使用をサポートします。
FederatedAuthenticationService.exe.configファイルでは、低レベルの暗号化構成が使用可能です。これらの設定は、秘密キーが最初に作成されたときに適用されます。 そのため、登録機関の秘密キー(4096ビット、TPM保護など)およびランタイムのユーザー証明書には異なる設定が使用されることがあります。
| パラメーター | 説明 |
|---|---|
| ProviderLegacyCsp | trueに設定した場合、FASではMicrosoft CryptoAPI(CAPI)が使用されます。falseに設定した場合、FASではMicrosoft Cryptography Next Generation(CNG)APIが使用されます。 |
| ProviderName | 使用するCAPIまたはCNGプロバイダーの名前。 |
| ProviderType | Microsoft KeyContainerPermissionAccessEntry.ProviderType Property PROV_RSA_AES 24を参照します。CAPIでHSMを使用する場合、およびHSMベンダーで別のタイプを指定されている場合以外は、常に24である必要があります。 |
| KeyProtection | 秘密キーの「エクスポート可能」フラグを制御します。 さらに、ハードウェアでサポートされている場合は、トラステッドプラットフォームモジュール(TPM)のキーストレージの使用も許可されます。 |
| KeyLength | RSA秘密キーのキー長。 サポートされる値は1024、2048、および4096です(デフォルトは2048です)。 |
PowerShell SDK
シンプルな展開にはFAS管理コンソールが適していますが、PowerShellインターフェイスにはより詳細なオプションもあります。 コンソールでは使用できないオプションを使用する場合は、CitrixではPowerShellのみを使用して構成を行うことをお勧めします。
次のコマンドによってPowerShellコマンドレットが追加されます。
Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1
Get-Help <cmdlet name>を使用すると、コマンドレットのヘルプが表示されます。 次の表にいくつかのコマンドの一覧を示します。「*」は標準のPowerShellの動詞を表します(New、Get、Set、Removeなど)。
| コマンド | 概要 |
|---|---|
| *-FasServer | 現在の環境のFASサーバーを一覧表示および再構成します。 |
| *-FasAuthorizationCertificate | 登録機関証明書を管理します。 |
| *-FasCertificateDefinition | FASが証明書の生成に使用するパラメーターを制御します。 |
| *-FasRule | FASで構成されたユーザールールを管理します。 |
| *-FasUserCertificate | FASによってキャッシュされた証明書を一覧にして管理します。 |
PowerShellコマンドレットは、FASサーバーのアドレスを指定することによってリモートで使用できます。
FAS PowerShellコマンドレットについて詳しくは、「PowerShellコマンドレット」を参照してください。
パフォーマンスカウンター
FASには、負荷の追跡用の一連のパフォーマンスカウンターが含まれます。
次の表は、使用可能なカウンターの一覧です。ほとんどのカウンターは、5分間の移動平均値です、
| 名前 | 説明 |
|---|---|
| アクティブなセッション | FASによって追跡される接続の数。 |
| 同時実行CSR数 | 同時に処理される証明書要求の数。 |
| 秘密キーの処理数 | 1分あたりに実行される秘密キー処理の数。 |
| 要求時間 | 証明書の生成および署名にかかる時間の長さ。 |
| Certificate Count | FASでキャッシュされた証明書の数。 |
| 1分あたりのCSR | 1分あたりに処理される証明書署名要求の数。 |
| 低/中/高 | 「1分あたりのCSR」の観点からFASが許容可能な負荷の推定値。 「高負荷」しきい値を超過すると、セッションの起動に失敗することがあります。 |
イベントログ
次の表は、FASで生成されるイベントログエントリの一覧です。
管理イベント[フェデレーション認証サービス]
[イベントソース:Citrix.Authentication.FederatedAuthenticationService]
これらのイベントは、FASサーバーでの構成変更に応じて記録されます。
| ログコード |
|---|
| [S001]アクセス拒否:ユーザー[{0}]は管理者グループのメンバーではありません |
| [S002]アクセス拒否:ユーザー[{0}]はロール[{1}]の管理者ではありません |
| [S003]管理者[{0}]はメンテナンスモードを[{1}]に設定しています |
| [S004]管理者[{0}]はCA[{1}]テンプレート[{2} および {3}]で登録しています |
| [S005]管理者[{0}]はCA[{1}]の権限を取り消しています |
| [S006]管理者[{0}]は新しい証明書定義[{1}]を作成しています |
| [S007]管理者[{0}]は証明書定義[{1}]を更新しています |
| [S008]管理者[{0}]は証明書定義[{1}]を削除しています |
| [S009]管理者[{0}]は新しいロール[{1}]を作成しています |
| [S010]管理者[{0}]はロール[{1}]を更新しています |
| [S011]管理者[{0}]はロール[{1}]を削除しています |
| [S012]管理者[{0}]は証明書を作成しています[UPN:{1} SID:{2} ロール:{3} 証明書定義:{4} セキュリティコンテキスト:{5}] |
| [S013]管理者[{0}]は証明書を削除しています[UPN:{1} ロール:{2} 証明書定義:{3} セキュリティコンテキスト:{4}] |
| [S015]管理者[{0}]は証明書を作成しています[TPM:{1}] |
| [S016]管理者[{0}]は認証証明書をインポートしています[参照:{1}] |
| ログコード |
|---|
| [S401]構成アップグレードを実行中です –[バージョン{0}からバージョン{1}] |
| [S402]エラー:Citrixフェデレーション認証サービスはNetwork Serviceとして実行する必要があります[現在は{0}として実行中] |
| [S404]Citrixフェデレーション認証サービスのデータベースを強制的に消去しています |
| [S405]レジストリからデータベースへのデータの移行中にエラーが発生しました:[{0}] |
| [S406]レジストリからデータベースへのデータ移行が完了しました(注:ユーザー証明書は移行されない) |
| [S407]データベースがすでに存在していたため、レジストリベースのデータはデータベースに移行されませんでした |
| [S408]構成をダウングレードできません –[バージョン{0}からバージョン{1} |
| [S409] ThreadPool MinThreadsはワーカー: {0} 完了:{1}からワーカー:{2} 完了: {3}に変更されました |
| [S410] ThreadPool MinThreadsはワーカー: {0} 完了:{1}からワーカー:{2} 完了: {3}に変更できませんでした |
IDアサーションの作成[フェデレーション認証サービス]
[イベントソース:Event Source: Citrix.Authentication.FederatedAuthenticationService]
これらのイベントは、信頼済みのサーバーがユーザーログオンをアサートすると、ランタイム時にFASサーバーに記録されます。
| ログコード |
|---|
| [S101]サーバー[{0}]にはロール[{1}]のIDをアサートする権限がありません |
| [S102]サーバー[{0}]はUPN[{1}]のアサートに失敗しました(例外:{2}{3}) |
| [S103]サーバー[{0}]はUPN[{1}]、SID {2}を要求しましたが、検索でSID {3}が返されました |
| [S104]サーバー[{0}]はUPN[{1}]のアサートに失敗しました(UPNはロール[{2}]によって許可されていません) |
| [S105]サーバー[{0}]はIDのアサーションを発行しました[UPN:{1}、ロール:{2}、セキュリティコンテキスト:[{3}]] |
| [S120][UPN:{0}、ロール:{1}、セキュリティコンテキスト:[{2}]]に対して証明書を発行しています |
| [S121]証明書が[UPN:{0} ロール:{1}]に[認証局:{2}]から発行されました |
| [S122]警告:サーバー過負荷です[UPN:{0}、ロール:{1}][1分あたりの要求{2}]。 |
| [S123][UPN:{0} ロール:{1}]の証明書の発行に失敗しました[例外:{2}] |
| [S124][証明機関(CA):{2}]で[UPN:{0} ロール:{1}]に対する証明書の発行に失敗しました[例外:{3}] |
証明書利用者としての機能[フェデレーション認証サービス]
[イベントソース:Event Source: Citrix.Authentication.FederatedAuthenticationService]
これらのイベントは、VDAにユーザーがログオンすると、ランタイム時にFASサーバーに記録されます。
| ログコード |
|---|
| [S201]証明書利用者[{0}]にはパスワードへのアクセス権がありません。 |
| [S202]証明書利用者[{0}]には証明書へのアクセス権がありません。 |
| [S203]証明書利用者[{0}]にはログオンCSPへのアクセス権がありません |
| [S204]証明書利用者[{0}]が[{4}]によって承認されたロール:[{2}]でログオンCSPにアクセスしています[UPN:{1}][操作:{3}] |
| [S205]呼び出しアカウント[{0}]はロール[{1}]の証明書利用者ではありません |
| [S206]呼び出しアカウント[{0}]は証明書利用者ではありません |
| [S208]秘密キーの処理が失敗しました[操作:{0} UPN:{1} ロール:{2} 証明書定義{3} エラー {4} {5}]。 |
セッション内証明書サーバー[フェデレーション認証サービス]
[イベントソース:Event Source: Citrix.Authentication.FederatedAuthenticationService]
これらのイベントは、ユーザーはセッション内証明書を使用すると、FASサーバーで記録されます。
| ログコード |
|---|
| [S301]アクセス拒否:ユーザー[{0}]には仮想スマートカードへのアクセス権がありません |
| [S302]ユーザー[{0}]は不明な仮想スマートカードを要求しました[拇印:{1}] |
| [S303]アクセス拒否:ユーザー[{0}]が仮想スマートカードと一致しません[UPN:{1}] |
| [S304]コンピューター[{2}]でプログラム[{1}]を実行中のユーザー[{0}]は秘密キー処理[{6}]のために仮想スマートカードを使用しています[UPN:{3}、ロール:{4}、拇印: {5}] |
| [S305]秘密キーの処理が失敗しました[操作:{0} UPN:{1} ロール:{2} コンテナ名 {3} エラー {4} {5}]。 |
FASアサーションプラグイン[フェデレーション認証サービス]
[イベントソース:Event Source: Citrix.Authentication.FederatedAuthenticationService]
これらのイベントは、FASアサーションプラグインによって記録されます。
| ログコード |
|---|
| [S500]FASアサーションプラグインが設定されていません |
| [S501]設定されたFASアサーションプラグインをロードできませんでした[例外:{0}] |
| [S502]FASアサーションプラグインがロードされました[pluginId={0}][assembly={1}][location={2}] |
| [S503]サーバー[{0}]がUPN[{1}] のアサートに失敗しました(ログオン値が提供されましたがプラグイン[{2}]が対応していません) |
| [S504]サーバー[{0}]がUPN[{1}]のアサートに失敗しました(ログオン値が提供されましたが、FASプラグインが構成されていません) |
| [S505]サーバー[{0}]がUPN[{1}]のアサートに失敗しました(プラグイン[{2}]によりログオン値が拒否されステータス[{3}]とメッセージ[{4}]が返されました) |
| [S506]プラグイン[{0}]がサーバー[{1}]のログオン値をUPN[{2}]として承認しメッセージ[{3}]が返されました |
| [S507]サーバー[{0}]はUPN[{1}]のアサートに失敗しました(プラグイン[{2}]が例外[{3}]をスローしました) |
| [S507]サーバー[{0}]はUPN[{1}]のアサートに失敗しました(プラグイン[{2}]が例外[{3}]をスローしました) |
| [S508]サーバー[{0}]がUPN[{1}]のアサートに失敗しました(処理へのアクセスが提供されましたがプラグイン[{2}]が対応していません) |
| [S509]サーバー[{0}]がUPN[{1}]のアサートに失敗しました(処理へのアクセスが提供されましたが、FASプラグインが構成されていません) |
| [S510]サーバー[{0}]がUPN[{1}] のアサートに失敗しました(プラグイン[{2}]によってアクセス処理が無効と判断されました) |
ログオン[VDA]
[イベントソース:Citrix.Authentication.IdentityAssertion]
これらのイベントは、ログオン時にVDAで記録されます。
| ログコード |
|---|
| [S101]IDアサーションログオンに失敗しました。 認識できないフェデレーション認証サービス[ID:{0}] |
| [S102]IDアサーションログオンに失敗しました。 {0}のSIDが見つかりませんでした[例外:{1}{2}] |
| [S103]IDアサーションログオンに失敗しました。 ユーザー{0}のSIDは{1}ですが、想定されたSIDは{2}です |
| [S104]IDアサーションログオンに失敗しました。 フェデレーション認証サービスへの接続に失敗しました:{0}[エラー:{1} {2}] |
| [S105]IDアサーションログオン。 [ユーザー名:{0}][ドメイン:{1}]にログインしています |
| [S106]IDアサーションログオン。 [証明書:{0}]にログインしています |
| [S107]IDアサーションログオンに失敗しました。 [例外:{0}{1}] |
| [S108]IDアサーションサブシステム。 ACCESS_DENIED[呼び出し元:{0}] |
セッション内証明書[VDA]
[イベントソース:Citrix.Authentication.IdentityAssertion]
これらのイベントは、ユーザーがセッション内証明書を使用しようとすると、VDAに記録されます。
| ログコード |
|---|
| [S201]仮想スマートカードの[PID:{1} プログラム名:{2} 証明書の拇印:{3}]へのアクセスが[{0}]に認証されました |
| [S203]仮想スマートカードサブシステム。 アクセスが拒否されました[呼び出し元:{0}、セッション:{1}] |
| [S204]仮想スマートカードサブシステム。 スマートカードのサポートが無効化されました。 |
証明書要求およびキーペア生成[フェデレーション認証サービス]
[イベントソース:Citrix.Fas.PkiCore]
これらのイベントは、FASサーバーが低レベルの暗号化操作を実行すると記録されます。
| ログコード |
|---|
| [S001]TrustArea::TrustArea:証明書がインストールされました[TrustArea: {0}][証明書 {1} TrustAreaJoinParameters {2}] |
| [S014]Pkcs10Request::Create: PKCS10要求が作成されました[別名 {0}] |
| [S016]PrivateKey::Create [識別子 {0} マシン全体:{1} プロバイダー:{2} プロバイダーの種類:{3} EllipticCurve:{4} KeyLength:{5} isExportable:{6}] |
| [S017]PrivateKey::Delete[CspName: {0}、識別子 {1}] |
| ログコード |
|---|
| [S104]MicrosoftCertificateAuthority::GetCredentials:{0}の使用権限が付与されました |
| [S105]MicrosoftCertificateAuthority::SubmitCertificateRequestエラーが応答[{0}]を返しました |
| [S106]MicrosoftCertificateAuthority::SubmitCertificateRequest証明書[{0}]が発行されました |
| [S112]MicrosoftCertificateAuthority::SubmitCertificateRequest - 承認待機中[CR_DISP_UNDER_SUBMISSION][参照:{0}] |