インストールと構成
インストールとセットアップの順序
- フェデレーション認証サービス (FAS) のインストール (FAS)
- StoreFront ストアでの FAS プラグインの有効化
- Delivery Controller の構成
- グループポリシーの構成
- FAS 管理コンソールを使用して以下を実行:
-
フェデレーション認証サービス (FAS) のインストール
-
セキュリティ上の理由から、Citrix では、フェデレーション認証サービス (FAS) を、ドメインコントローラーまたは証明機関と同様の方法で保護された専用サーバーにインストールすることを推奨しています。FAS は、次のいずれかの方法でインストールできます。
- Citrix Virtual Apps and Desktops™ インストーラー (ISO の挿入時に自動実行スプラッシュ画面の [Federated Authentication Service] ボタンから)
-
スタンドアロンの FAS インストーラーファイル (Citrix Downloads で MSI ファイルとして入手可能)
-
これにより、次のコンポーネントがインストールされます。
- フェデレーション認証サービス
- 高度な FAS 構成用の PowerShell スナップインコマンドレット
- FAS 管理コンソール
- FAS グループポリシーテンプレート (CitrixFederatedAuthenticationService.admx/adml)
- 証明書テンプレートファイル
- パフォーマンスカウンターとイベントログ
FAS のアップグレード
インプレースアップグレードを使用して、FAS を新しいバージョンにアップグレードできます。アップグレードする前に、次の点を考慮してください。
- インプレースアップグレードを実行すると、すべての FAS サーバー設定が保持されます。
- FAS をアップグレードする前に、FAS 管理コンソールが閉じていることを確認してください。
- 常に少なくとも 1 つの FAS サーバーが利用可能であることを確認してください。フェデレーション認証サービスが有効な StoreFront™ サーバーからサーバーに到達できない場合、ユーザーはログオンしたりアプリケーションを起動したりできません。
アップグレードを開始するには、Citrix Virtual Apps and Desktops インストーラーまたはスタンドアロンの FAS インストーラーファイルから FAS をインストールします。
StoreFront ストアでの FAS プラグインの有効化
注:
Citrix Cloud のみで FAS を使用している場合、この手順は不要です。
StoreFront ストアで FAS 統合を有効にするには、管理者アカウントとして次の PowerShell コマンドレットを実行します。ストアの名前が異なる場合は、$StoreVirtualPath を変更してください。
Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
$StoreVirtualPath = "/Citrix/Store"
$store = Get-STFStoreService -VirtualPath $StoreVirtualPath
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy-->
FAS の使用を停止するには、次の PowerShell スクリプトを使用します。
Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
$StoreVirtualPath = "/Citrix/Store"
$store = Get-STFStoreService -VirtualPath $StoreVirtualPath
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy-->
Delivery Controller™ の構成
注:
Citrix Cloud のみで FAS を使用している場合、この手順は不要です。
FAS を使用するには、Citrix Virtual Apps または Citrix Virtual Desktops™ Delivery Controller が、接続できる StoreFront サーバーを信頼するように構成します。Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true PowerShell コマンドレットを実行します。これは、サイト内の Delivery Controller の数に関係なく、サイトごとに 1 回だけ実行する必要があります。
グループポリシーの構成
FAS をインストールした後、インストールで提供されるグループポリシーテンプレートを使用して、グループポリシーで FAS サーバーの完全修飾ドメイン名 (FQDN) を指定する必要があります。
重要:
チケットを要求する StoreFront サーバーと、チケットを引き換える Virtual Delivery Agent (VDA) が、グループポリシーオブジェクトによって適用される自動サーバー番号付けを含め、FQDN の構成が同一であることを確認してください。
簡素化のため、以下の例では、すべてのマシンに適用されるドメインレベルで単一のポリシーを構成していますが、これは必須ではありません。FAS は、StoreFront サーバー、VDA、および FAS 管理コンソールを実行しているマシンが同じ FQDN のリストを参照している限り機能します。手順 6 を参照してください。
-
手順 1. FAS をインストールしたサーバーで、C:\Program Files\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx および CitrixBase.admx ファイルと、en-US フォルダーを見つけます。
-
手順 2. これらをドメインコントローラーにコピーし、C:\Windows\PolicyDefinitions および en-US サブフォルダーに配置します。
手順 3. Microsoft 管理コンソール (コマンドラインから mmc.exe) を実行します。メニューバーから、[ファイル] > [スナップインの追加と削除] を選択します。[グループポリシー管理エディター] を追加します。
グループポリシーオブジェクトの入力を求められたら、[参照] を選択し、[既定のドメインポリシー] を選択します。または、任意のツールを使用して、環境に適したポリシーオブジェクトを作成および選択することもできます。このポリシーは、影響を受ける Citrix ソフトウェア (VDA、StoreFront サーバー、管理ツール) を実行しているすべてのマシンに適用する必要があります。
ステップ 4. コンピューターの構成/ポリシー/管理用テンプレート/Citrixコンポーネント/認証にある、フェデレーション認証サービスポリシーに移動します。
注:
フェデレーション認証サービスポリシー設定は、CitrixBase.admx/CitrixBase.admlテンプレートファイルをPolicyDefinitionsフォルダーに追加した場合にのみ、ドメインGPOで利用できます。ステップ3の後、フェデレーション認証サービスポリシー設定は、管理用テンプレート > Citrixコンポーネント > 認証フォルダーに表示されます。
-
ステップ 5. フェデレーション認証サービスポリシーを開き、[有効]を選択します。これにより、[表示]ボタンを選択できるようになり、FASサーバーのFQDNを構成できます。
-
ステップ 6. FASサーバーのFQDNを入力します。
重要:
複数のFQDNを入力する場合、リストの順序はVDA、StoreFrontサーバー(存在する場合)、およびFASサーバーから見て一貫している必要があります。「グループポリシー設定」を参照してください。
ステップ 7. [OK]をクリックしてグループポリシーウィザードを終了し、グループポリシーの変更を適用します。変更を有効にするには、マシンを再起動するか(またはコマンドラインからgpupdate /forceを実行する)必要がある場合があります。
セッション内の動作
このポリシーは、ユーザーのVDAセッションでエージェントプロセスをアクティブ化し、セッション内証明書、同意、およびロック時の切断をサポートします。セッション内証明書は、このポリシーが有効になっており、かつ証明書の作成に使用されたFASルールでセッション内での使用が許可されている場合にのみ利用できます。「ルールの構成」を参照してください。
[有効]にすると、このポリシーが有効になり、FASエージェントプロセスがユーザーのVDAセッションで実行できるようになります。
[無効]にすると、ポリシーが無効になり、FASエージェントプロセスが実行されなくなります。
プロンプトの範囲
このポリシーが有効になっている場合、[プロンプトの範囲]は、アプリケーションがセッション内証明書を使用することを許可するための同意をユーザーに求める方法を制御します。次の3つのオプションがあります。
- [同意は不要]—このオプションはセキュリティプロンプトを無効にし、秘密キーはサイレントに使用されます
- [プロセスごとの同意]—実行中の各プログラムが個別に同意を求めます
- [セッションごとの同意]—ユーザーが[OK]をクリックすると、セッション内のすべてのプログラムに適用されます
同意のタイムアウト
このポリシーが有効になっている場合、[同意のタイムアウト]は、同意が持続する期間(秒単位)を制御します。たとえば、300秒に設定すると、ユーザーは5分ごとにプロンプトが表示されます。値がゼロの場合、秘密キー操作ごとにユーザーにプロンプトが表示されます。
ロック時の切断
このポリシーが有効になっている場合、ユーザーが画面をロックすると、ユーザーのセッションは自動的に切断されます。この機能は、「スマートカード取り外し時の切断」ポリシーと同様の動作を提供し、ユーザーがActive Directoryログオン資格情報を持っていない状況で役立ちます。
注:
ロック時の切断ポリシーは、VDA上のすべてのセッションに適用されます。
フェデレーション認証サービス管理コンソールの使用
-
注:
FAS管理コンソールはほとんどの展開に適していますが、PowerShellインターフェイスはより高度なオプションを提供します。FAS PowerShellコマンドレットの詳細については、「PowerShellコマンドレット」を参照してください。
FAS管理コンソールは、FASの一部としてインストールされます。アイコン(Citrix Federated Authentication Service)はスタートメニューに配置されます。
管理コンソールを初めて使用すると、証明書テンプレートの展開、証明機関のセットアップ、およびFASが証明機関を使用するための承認を行うプロセスが案内されます。一部の手順は、OS構成ツールを使用して手動で完了することもできます。
FAS管理コンソールは、デフォルトでローカルFASサービスに接続します。必要に応じて、コンソールの右上にある[別のサーバーに接続]を使用してリモートサービスに接続できます。
証明書テンプレートの展開
-
他のソフトウェアとの相互運用性の問題を回避するため、FASは独自の用途のために3つのCitrix証明書テンプレートを提供します。
- Citrix_RegistrationAuthority_ManualAuthorization
- Citrix_RegistrationAuthority
- Citrix_SmartcardLogon
これらのテンプレートは、Active Directory に登録する必要があります。[展開] ボタンをクリックし、次に [OK] をクリックします。
テンプレートの構成は、FAS とともにインストールされる拡張子 .certificatetemplate の XML ファイルにあります。
C:\Program Files\Citrix\Federated Authentication Service\CertificateTemplates
これらのテンプレートファイルをインストールする権限がない場合は、Active Directory 管理者に渡してください。
テンプレートを手動でインストールするには、テンプレートを含むフォルダーから次の PowerShell コマンドを実行します。
$template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
$CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
$CertEnrol.InitializeImport($template)
$comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
$writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
$writabletemplate.Initialize($comtemplate)
$writabletemplate.Commit(1, $NULL)
<!--NeedCopy-->
Active Directory 証明書サービスの設定
Citrix 証明書テンプレートをインストールした後、それらを1つ以上の Microsoft Enterprise 証明機関サーバーに公開する必要があります。Active Directory 証明書サービスの展開方法については、Microsoft のドキュメントを参照してください。
テンプレートが少なくとも1つのサーバーに公開されていない場合は、[証明機関のセットアップ] を使用して公開します。これを行うには、証明機関を管理する権限を持つユーザーとして実行する必要があります。
(証明書テンプレートは、Microsoft 証明機関コンソールを使用して公開することもできます。)
Federated Authentication Service の承認
この手順により、FAS の承認が開始されます。管理コンソールは、Citrix_RegistrationAuthority_ManualAuthorization テンプレートを使用して証明書要求を生成し、そのテンプレートを公開している証明機関のいずれかに送信します。
要求が送信されると、Microsoft 証明機関コンソールの [保留中の要求] リストに、FAS マシンアカウントからの保留中の要求として表示されます。FAS の構成を続行する前に、証明機関管理者は要求を発行または拒否する必要があります。
管理者が [発行] または [拒否] を選択するまで、FAS 管理コンソールにはビジー状態の「スピナー」が表示されます。
Microsoft 証明機関コンソールで、[すべてのタスク] を右クリックし、証明書要求に対して [発行] または [拒否] を選択します。[発行] を選択すると、FAS 管理コンソールに承認証明書が表示されます。[拒否] を選択すると、コンソールにエラーメッセージが表示されます。
FAS 管理コンソールは、このプロセスが完了したことを自動的に検出します。これには数分かかる場合があります。
ルールの構成
FAS は、StoreFront の指示に従って、VDA ログオンおよびセッション内使用のための証明書の発行を承認するためにルールを使用します。各ルールは、証明書を要求することが信頼されている StoreFront サーバー、要求できるユーザーのセット、およびそれらを使用することが許可されている VDA マシンのセットを指定します。
FAS では、少なくとも1つのルールを作成および構成する必要があります。デフォルトでは、StoreFront が FAS に接続するときに「default」という名前のルールを要求するため、「default」という名前のルールを作成することをお勧めします。
異なる証明書テンプレートと証明機関を参照し、異なるプロパティと権限を持つように構成する追加のカスタムルールを作成できます。これらのルールは、異なる StoreFront サーバーまたは Workspace で使用するように構成できます。グループポリシー構成オプションを使用して、StoreFront サーバーがカスタムルールを名前で要求するように構成します。
[作成] (または [ルール] タブの [ルールの作成]) をクリックして、ルールを作成するための情報を収集するルール作成ウィザードを開始します。[ルール] タブには、各ルールの概要が表示されます。
ウィザードによって収集される情報は次のとおりです。
テンプレート: ユーザー証明書の発行に使用される証明書テンプレート。これはCitrix_SmartcardLogonテンプレート、またはその変更されたコピーである必要があります (証明書テンプレートを参照)。
証明機関: ユーザー証明書を発行する証明機関。テンプレートは証明機関によって公開されている必要があります。FASは、フェールオーバーと負荷分散のために複数の証明機関の追加をサポートしています。選択した証明機関のステータスが「Template available」と表示されていることを確認してください (証明機関の管理を参照)。
セッション内使用: セッション内使用を許可オプションは、VDAへのログオン後に証明書を使用できるかどうかを制御します。
- セッション内使用を許可が選択されていない場合 (デフォルト、推奨) — 証明書はログオンまたは再接続にのみ使用され、ユーザーは認証後に証明書にアクセスできません。
-
セッション内使用を許可が選択されている場合 — ユーザーは認証後に証明書にアクセスできます。ほとんどのお客様はこのオプションを選択すべきではありません。イントラネットのWebサイトやファイル共有など、VDAセッション内からアクセスされるリソースはKerberosシングルサインオンを使用してアクセスできるため、セッション内証明書は必要ありません。
セッション内使用を許可を選択した場合、セッション内動作グループポリシーも有効にしてVDAに適用する必要があります。証明書は、ログオン後にアプリケーションで使用するためにユーザーの個人証明書ストアに配置されます。たとえば、VDAセッション内のWebサーバーへのTLS認証が必要な場合、証明書はInternet Explorerで使用できます。
アクセスコントロール: ユーザーのログオンまたは再接続のために証明書を要求することを許可されている、信頼されたStoreFrontサーバーマシンのリスト。これらのすべての権限に対して、個々のADオブジェクトまたはグループを追加できます。
重要:
アクセスコントロール設定はセキュリティ上重要であり、慎重に管理する必要があります。
注:
FASサーバーをCitrix Cloudでのみ使用している場合、アクセスコントロールを構成する必要はありません。ルールがCitrix Cloudによって使用される場合、StoreFrontのアクセス権限は無視されます。同じルールをCitrix CloudとオンプレミスのStoreFront展開の両方で使用できます。ルールがオンプレミスのStoreFrontによって使用される場合、StoreFrontのアクセス権限は引き続き適用されます。
デフォルトの権限(「Assert Identity」が許可されている)はすべてを拒否します。したがって、StoreFrontサーバーを明示的に許可する必要があります。
制限: FASを使用してユーザーをログオンできるVDAマシンのリストと、FASを介して証明書を発行できるユーザーのリスト。
-
VDA権限の管理では、どのVDAがFASを使用してユーザーをログオンできるかを指定できます。VDAのリストはデフォルトでDomain Computersです。
-
ユーザー権限の管理では、どのユーザーがFASを使用してVDAにサインインできるかを指定できます。ユーザーのリストはデフォルトでDomain Usersです。
注:
FASサーバーがVDAおよびユーザーとは異なるドメインにある場合、デフォルトの制限を変更する必要があります。
クラウド規則: Citrix WorkspaceからIDアサーションが受信されたときに、その規則が適用されるかどうかを示します。Citrix Cloudに接続するときに、Citrix Cloudに使用する規則を選択します。Citrix Cloudへの接続セクションのリンクからCitrix Cloudに接続した後で、規則を変更することもできます。
Citrix Cloudへの接続
FASサーバーをCitrix Workspaceを使用してCitrix Cloudに接続できます。このCitrix Workspaceの記事を参照してください。
-
[初期設定] タブの Citrix Cloudへの接続で、接続をクリックします。
-
オプションで、接続するクラウドを選択します。「Citrix Cloud」(デフォルト)、「Citrix Cloud Japan」、または「Citrix Cloud US Government」に接続できます。
-
サインインをクリックし、接続先のクラウド顧客の管理者資格情報を使用してCitrix Cloudにサインインします。
-
該当する場合は顧客アカウントを選択し、FASサーバーを接続するリソースの場所を選択します。続行をクリックし、確認ウィンドウを閉じます。
- FAS管理コンソールで、Citrix WorkspaceからIDアサーションが受信されたときに適用する規則を選択するか、このウィザードの完了時に規則の作成を選択します。(「規則」タブでは、選択または作成した規則のクラウド規則の値は「はい」になります。)
- 「概要」タブで完了をクリックして、Citrix Cloudへの接続を完了します。
Citrix CloudはFASサーバーを登録し、Citrix Cloudアカウントの「リソースの場所」ページに表示します。
Citrix Cloudからの切断
このCitrix Workspaceの記事で説明されているように、Citrix Cloudリソースの場所からFASサーバーを削除した後、Citrix Cloudへの接続で無効を選択します。