製品ドキュメント
Federated Authentication Service
Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912
PDFを表示

展開アーキテクチャ

April 28, 2026
寄稿者: 
C C

はじめに

Federated Authentication Service (FAS) は、Citrix® 環境内でユーザーがシームレスに認証できるように、Active Directory 証明機関と統合する Citrix® コンポーネントです。このドキュメントでは、展開に適したさまざまな認証アーキテクチャについて説明します。

  • 有効にすると、FAS はユーザー認証の決定を信頼された StoreFront サーバーに委任します。StoreFront には、最新の Web テクノロジーに基づいて構築された包括的な組み込み認証オプションのセットがあり、StoreFront SDK またはサードパーティの IIS プラグインを使用して簡単に拡張できます。基本的な設計目標は、Web サイトにユーザーを認証できるあらゆる認証テクノロジーを、Citrix Virtual Apps または Citrix Virtual Desktops™ 展開へのログインに使用できるようになったことです。

  • このドキュメントでは、複雑さが増す順に、トップレベルの展開アーキテクチャの例について説明します。

  • 内部展開
  • Citrix Gateway 展開
  • ADFS SAML
  • B2B アカウントマッピング
  • Windows 10 Azure AD Join

関連する FAS の記事へのリンクが提供されています。すべてのアーキテクチャについて、インストールと構成の記事は、FAS をセットアップするための主要なリファレンスです。

アーキテクチャの概要

FAS は、StoreFront によって認証された Active Directory ユーザーに代わって、スマートカードクラスの証明書を自動的に発行することを許可されています。これは、管理者が物理スマートカードをプロビジョニングできるツールと同様の API を使用します。ユーザーが Citrix Virtual Apps™ または Citrix Virtual Desktops Virtual Delivery Agent (VDA) に仲介されると、証明書がマシンにアタッチされ、Windows ドメインはログオンを標準のスマートカード認証として認識します。

信頼された StoreFront™ サーバーは、ユーザーが Citrix 環境へのアクセスを要求すると FAS に接続します。FAS は、単一の Citrix Virtual Apps または Citrix Virtual Desktops セッションがそのセッションの証明書で認証できるようにするチケットを付与します。VDA がユーザーを認証する必要がある場合、FAS に接続してチケットを引き換えます。FAS のみがユーザー証明書の秘密キーにアクセスできます。VDA は、証明書で実行する必要がある署名および復号化操作をそれぞれ FAS に送信する必要があります。

次の図は、FAS が Microsoft 証明機関と統合し、StoreFront および Citrix Virtual Apps and Desktops™ Virtual Delivery Agent (VDA) にサポートサービスを提供している様子を示しています。

  • ローカライズされた画像

内部展開

FAS を使用すると、ユーザーはさまざまな認証オプション (Kerberos シングルサインオンを含む) を使用して StoreFront に安全に認証し、完全に認証された Citrix HDX™ セッションに接続できます。

これにより、ユーザー資格情報やスマートカード PIN を入力するプロンプトなしで、またシングルサインオンサービスなどの「保存されたパスワード管理」機能を使用せずに Windows 認証が可能になります。これは、以前のバージョンの Citrix Virtual Apps で利用可能だった Kerberos 制限付き委任ログオン機能を置き換えるために使用できます。

すべてのユーザーは、スマートカードを使用してエンドポイントデバイスにログオンしているかどうかにかかわらず、セッション内で公開キーインフラストラクチャ (PKI) 証明書にアクセスできます。これにより、スマートカードリーダーを持たないスマートフォンやタブレットなどのデバイスからでも、二要素認証モデルへのスムーズな移行が可能になります。

  • この展開では、FAS を実行する新しいサーバーが追加され、ユーザーに代わってスマートカードクラスの証明書を発行することが許可されます。これらの証明書は、スマートカードログオンが使用されたかのように、Citrix HDX 環境のユーザーセッションにログオンするために使用されます。

ローカライズされた画像

Citrix Virtual Apps または Citrix Virtual Desktops 環境は、スマートカードログオンと同様の方法で構成する必要があります。これは CTX206156 に記載されています。

既存の展開では、通常、ドメイン参加済みの Microsoft 証明機関が利用可能であり、ドメインコントローラーにドメインコントローラー証明書が割り当てられていることを確認するだけです。(CTX206156 の「ドメインコントローラー証明書の発行」セクションを参照してください。)

  • 関連情報:

  • キーは、ハードウェアセキュリティモジュール (HSM) または組み込みのトラステッドプラットフォームモジュール (TPM) に保存できます。詳細については、秘密キーの保護の記事を参照してください。
  • インストールと構成の記事では、FAS のインストールと構成方法について説明しています。

Citrix Gateway 展開

Citrix Gateway 展開は内部展開と似ていますが、StoreFront とペアになった Citrix Gateway が追加され、認証の主要なポイントが Citrix Gateway 自体に移されます。Citrix Gateway には、企業の Web サイトへのリモートアクセスを保護するために使用できる高度な認証および承認オプションが含まれています。

この展開は、最初に Citrix Gateway に認証してからユーザーセッションにログインするときに発生する複数の PIN プロンプトを回避するために使用できます。また、AD パスワードやスマートカードを別途必要とせずに、高度な Citrix Gateway 認証テクノロジーを使用することもできます。

localized image

  • Citrix Virtual AppsまたはCitrix Virtual Desktops環境は、スマートカードログオンと同様の方法で構成する必要があります。これについては、CTX206156に記載されています。

既存の展開では、通常、ドメイン参加済みのMicrosoft証明機関が利用可能であり、ドメインコントローラーにドメインコントローラー証明書が割り当てられていることを確認するだけです。(CTX206156の「ドメインコントローラー証明書の発行」セクションを参照してください)。

Citrix Gatewayをプライマリ認証システムとして構成する場合、Citrix GatewayとStoreFront間のすべての接続がTLSで保護されていることを確認してください。特に、この展開でCitrix Gatewayサーバーを認証するために使用できるため、コールバックURLがCitrix Gatewayサーバーを指すように正しく構成されていることを確認してください。

localized image

関連情報:

ADFS SAML展開

主要なCitrix Gateway認証テクノロジーにより、SAML IDプロバイダー (IdP) として機能できるMicrosoft ADFSとの統合が可能になります。SAMLアサーションは、信頼されたIdPによって発行される暗号化署名されたXMLブロックであり、ユーザーがコンピューターシステムにログオンすることを承認します。これは、FASサーバーがユーザーの認証をMicrosoft ADFSサーバー (またはその他のSAML対応IdP) に委任できることを意味します。

localized image

ADFSは、インターネット経由でリモートから企業リソースにユーザーを安全に認証するためによく使用されます。たとえば、Office 365統合によく使用されます。

関連情報:

  • ADFS展開の記事には詳細が記載されています。
  • インストールと構成の記事では、FASのインストールと構成方法について説明しています。
  • この記事のCitrix Gateway展開セクションには、構成に関する考慮事項が含まれています。

B2Bアカウントマッピング

2つの会社が互いのコンピューターシステムを使用したい場合、一般的な選択肢は、信頼関係を持つActive Directoryフェデレーションサービス (ADFS) サーバーをセットアップすることです。これにより、ある会社のユーザーは、別の会社のActive Directory (AD) 環境にシームレスに認証できます。ログオン時、各ユーザーは自社のログオン資格情報を使用し、ADFSはこれをピア会社のAD環境の「シャドウアカウント」に自動的にマッピングします。

localized image

関連情報:

Windows 10 Azure AD参加

Windows 10では、「Azure AD参加」という概念が導入されました。これは、従来のWindowsドメイン参加と概念的には似ていますが、「インターネット経由」のシナリオを対象としています。これはラップトップやタブレットでうまく機能します。従来のWindowsドメイン参加と同様に、Azure ADには会社のWebサイトやリソースに対するシングルサインオンモデルを可能にする機能があります。これらはすべて「インターネット対応」であるため、オフィスLANだけでなく、インターネットに接続された任意の場所から機能します。

localized image

この展開は、「オフィス内のエンドユーザー」という概念が実質的に存在しない例です。ラップトップは、最新のAzure AD機能を使用して、インターネット経由で完全に登録および認証されます。

この展開のインフラストラクチャは、IPアドレスが利用可能な場所であればどこでも実行できることに注意してください。オンプレミス、ホスト型プロバイダー、Azure、またはその他のクラウドプロバイダーです。Azure AD Connect同期ツールは、Azure ADに自動的に接続します。例のグラフィックでは、簡素化のためにAzure VMを使用しています。

関連情報:

展開アーキテクチャ
April 28, 2026
寄稿者: 
C C
April 28, 2026
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.