展開アーキテクチャ
はじめに
フェデレーション認証サービス(FAS)はActive Directory証明機関と統合して、Citrix環境内でのシームレスなユーザー認証を実現するCitrixコンポーネントです。このドキュメントでは、環境に適した、さまざまな認証アーキテクチャについて説明します。
FASが有効化されると、信頼されたStoreFrontサーバーにユーザー認証の判断が委任されます。 StoreFrontは最新のWebテクノロジを中心に構築されたビルトイン認証オプションの包括的なセットを搭載しており、StoreFront SDKやサードパーティのIISプラグインを使用して容易に拡張できます。 基本的な設計目標は、Webサイトへのユーザー認証が可能なすべての認証テクノロジを、Citrix Virtual AppsまたはCitrix Virtual Desktopsの展開へのログインに活用することです。
このドキュメントでは、複雑さを増す上位レベルの展開アーキテクチャに関する例が記載されています。
FAS関連記事にリンクしています。すべてのアーキテクチャにおけるFASのセットアップについては「インストールと構成」を参照してください。
アーキテクチャの概要
FASには、StoreFrontの認証したActive Directoryユーザーの代わりに、スマートカードクラスの証明書を自動的に発行する権限が付与されます。 これは、管理者が物理スマートカードをプロビジョニングできるツールと同様のAPIを使用します。ユーザーがCitrix Virtual AppsまたはCitrix Virtual DesktopsのVirtual Delivery Agent(VDA)に仲介されると、マシンに証明書がアタッチされ、Windowsドメインはログオンを標準のスマートカード認証と見なします。
ユーザーがCitrix環境へのアクセスを要求すると、信頼済みのStoreFrontサーバーがFASにアクセスします。FASは、単一のCitrix Virtual AppsまたはCitrix Virtual Desktopsセッションがそのセッションの証明書で認証できるようにするチケットを付与します。VDAでユーザーを認証する必要がある場合、VDAはFASにアクセスしてチケットを使用します。ユーザー証明書の秘密キーにアクセスできるのはFASだけです。VDAは、証明書を使用して実行する必要のあるすべての署名処理および暗号化解除処理を、FASに送信しなければなりません。
以下の図に、Microsoft証明機関と統合したFASによる、StoreFrontとCitrix Virtual Apps and Desktops Virtual Delivery Agent(VDA)へのサポートサービスの提供について示します。
内部展開
FASでは、さまざまな認証オプション(Kerberosシングルサインオンを含む)を使用したStoreFrontへの安全なユーザー認証、および十分に認証されたCitrix HDXセッションへの接続が可能です。
これにより、Windows認証にユーザーの資格情報やスマートカードのPINの入力が求められることはありません。また、シングルサインオンサービスのような「保存されたパスワードの管理」機能を使用する必要もありません。 これを使用して、Citrix Virtual Appsの旧バージョンで利用可能なKerberos制約付き委任のログオン機能を置き換えることができます。
エンドポイントデバイスへのログオンにスマートカードを使用したかどうかにかかわらず、セッション内ではすべてのユーザーが、公開キー基盤(PKI)の証明書にアクセスできます。このため、スマートフォンやタブレットのように、スマートカードリーダーを搭載していないデバイスからも、2要素認証モデルへの円滑な移行が可能です。
この展開では、FASを実行する新しいサーバーが追加されますが、このサーバーにはユーザーの代わりにスマートカードクラスの証明書を発行する権限が付与されます。これらの証明書は、スマートカードによるログオンの代わりとして、Citrix HDX環境でのユーザーセッションへのログオンに使用されます。
Citrix Virtual AppsまたはCitrix Virtual Desktops環境は、CTX206156で説明するように、スマートカードによるログオンと同様の方法で構成する必要があります。
既存の展開では、通常、ドメインに参加するMicrosoft証明機関を利用可能にし、ドメインコントローラーにドメインコントローラー証明書を割り当てるだけで済みます。 (CTX206156の「Issuing Domain Controller Certificates」セクションを参照してください。)
関連情報:
- キーは、ハードウェアセキュリティモジュール(HSM)やビルトインのトラステッドプラットフォームモジュール(TPM)に保存できます。 詳しくは、「秘密キー保護」を参照してください。
- FASをインストールおよび構成する方法については、「インストールと構成」を参照してください。
Citrix Gatewayの展開
Citrix Gatewayの展開は内部展開と似ていますが、StoreFrontと組み合わせたCitrix Gatewayが追加されており、認証のプライマリポイントがCitrix Gatewayそのものに移動されています。Citrix Gatewayには、企業Webサイトへのリモートアクセスの保護に使用できる、認証および承認の高度なオプションが含まれています。
この展開を利用すれば、Citrix Gatewayへの初回認証時およびユーザーセッションへのログイン時に、何度もPINの入力が求められることはありません。 また、ADパスワードやスマートカードを必要とせずに、高度なCitrix Gateway認証テクノロジを利用することができます。
Citrix Virtual AppsまたはCitrix Virtual Desktops環境は、CTX206156で説明するように、スマートカードによるログオンと同様の方法で構成する必要があります。
既存の展開では、通常、ドメインに参加するMicrosoft証明機関を利用可能にし、ドメインコントローラーにドメインコントローラー証明書を割り当てるだけで済みます。 (CTX206156の「Issuing Domain Controller Certificates」セクションを参照してください。)
Citrix Gatewayをプライマリ認証システムとして構成する場合は、Citrix GatewayとStoreFront間のすべての接続をTLSで保護するようにします。特に、この展開ではCitrix Gatewayサーバーの認証にコールバックURLが使用されるため、コールバックURLがCitrix Gatewayサーバーを指すよう正しく構成する必要があります。
関連情報:
- Citrix Gatewayを構成する方法については、『How to Configure NetScaler Gateway 10.5 to use with StoreFront 3.6 and Citrix Virtual Desktops 7.6』を参照してください。
- FASをインストールおよび構成する方法については、「インストールと構成」を参照してください。
ADFS SAMLの展開
Citrix Gatewayの主要な認証テクノロジにより、SAML IDプロバイダー(IdP)として機能できる、Microsoft ADFSとの統合が実現します。 SAMLアサーションは暗号を使用して署名されたXMLブロックであり、コンピューターシステムへのユーザーのログオンを承認する、信頼されたIdPによって発行されます。 つまり、FASサーバーによって、Microsoft ADFSサーバー(またはほかのSAML対応IdP)へのユーザー認証の委任が許可されます。
ADFSは、一般的にインターネットを利用して企業リソースにリモートでユーザーを安全に認証するために使用され、たとえば、Office 365の統合に多く利用されます。
関連情報:
- 詳しい情報については、「ADFSの展開」を参照してください。
- FASをインストールおよび構成する方法については、「インストールと構成」を参照してください。
- 構成に関する考慮事項については、この記事の「Citrix Gatewayの展開」セクションを参照してください。
B2Bアカウントのマッピング
2つの会社が互いのコンピューターシステムを利用する場合、一般的なオプションはActive Directoryフェデレーションサービス(ADFS)サーバーを信頼関係でセットアップすることです。これにより、一方の会社のユーザーが、他方の会社のActive Directory(AD)環境にシームレスに認証されるようになります。 ログオン時に、各ユーザーは自社のログオン資格情報を使用します。ADFSはこれを相手の会社のAD環境の「シャドウアカウント」に自動的にマップします。
関連情報:
- FASをインストールおよび構成する方法については、「インストールと構成」を参照してください。
Windows 10 Azure ADへの参加
Windows 10では、「Azure ADへの参加」というコンセプトが導入されました。これは、従来のWindowsドメインへの参加とコンセプトが似ていますが、「インターネット上」のシナリオに焦点を当てている点が特徴です。 これは、ラップトップおよびタブレットとうまく機能します。 従来のWindowsドメイン参加と同様に、Azure ADには企業のWebサイトやリソースで、シングルサインオンモデルを実現する機能があります。 これらはすべて「インターネットに対応」しているため、社内LANだけでなく、インターネットに接続したすべての場所から機能します。
この展開は、事実上「オフィスにいるエンドユーザー」という概念のない一例です。ラップトップコンピューターは最新のAzure AD機能を使用して完全にインターネット経由で登録および認証されています。
この展開では、IPアドレスが使用可能なすべての場所、つまりオンプレミス、ホストされたプロバイダー、Azure、あるいはそのほかのクラウドプロバイダーで、インフラストラクチャが実行できる点に注意してください。 Azure AD Connectの同期機能により、自動的にAzure ADに接続します。 例として示した図では、簡単にするためにAzure仮想マシンを使用しています。
関連情報:
- FASをインストールおよび構成する方法については、「インストールと構成」を参照してください。
- 詳しくは、「Azure ADの統合」を参照してください。