インストールと構成

インストールとセットアップの順序

1. Federated Authentication Service (FAS) のインストール
2. StoreFront ストアでの FAS プラグインの有効化
3. Delivery Controller の構成
4. グループポリシーの構成
5. FAS 管理コンソールの使用:
   1. 証明書テンプレートの展開
   2. 証明機関のセットアップ
   3. FAS による証明機関の使用の承認
   4. ルールの構成
   5. FAS と Citrix Cloud の接続 (オプション)

• Federated Authentication Service のインストール

• セキュリティ上の理由から、Citrix では、Federated Authentication Service (FAS) を、ドメインコントローラーまたは証明機関と同様の方法で保護された専用サーバーにインストールすることを推奨しています。FAS は、次のいずれかの方法でインストールできます。

• Citrix Virtual Apps and Desktops™ インストーラー（ISO の挿入時に自動実行スプラッシュ画面の [Federated Authentication Service] ボタンから）、または

• スタンドアロンの FAS インストーラーファイル（Citrix Downloads で MSI ファイルとして入手可能）。

• これにより、次のコンポーネントがインストールされます。

• Federated Authentication Service
• 高度な FAS 構成のための PowerShell スナップインコマンドレット
• FAS 管理コンソール
• FAS グループポリシーテンプレート (CitrixFederatedAuthenticationService.admx/adml)
• 証明書テンプレートファイル
• パフォーマンスカウンターおよび イベントログ

FAS のアップグレード

インプレースアップグレードを使用して、FAS を新しいバージョンにアップグレードできます。アップグレードする前に、次の点を考慮してください。

• インプレースアップグレードを実行すると、すべての FAS サーバー設定が保持されます。
• FAS をアップグレードする前に、FAS 管理コンソールが閉じていることを確認してください。
• 常に少なくとも 1 つの FAS サーバーが利用可能であることを確認してください。Federation Authentication Service が有効な StoreFront™ サーバーからサーバーに到達できない場合、ユーザーはログオンしたりアプリケーションを起動したりできません。

アップグレードを開始するには、Citrix Virtual Apps and Desktops インストーラーまたはスタンドアロンの FAS インストーラーファイルから FAS をインストールします。

StoreFront ストアでの FAS プラグインの有効化

注：

FAS を Citrix Cloud でのみ使用している場合、この手順は不要です。

StoreFront ストアで FAS 統合を有効にするには、管理者アカウントとして次の PowerShell コマンドレットを実行します。ストア名が異なる場合は、$StoreVirtualPath を変更します。

    Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    $StoreVirtualPath = "/Citrix/Store"
    $store = Get-STFStoreService -VirtualPath $StoreVirtualPath
    $auth = Get-STFAuthenticationService -StoreService $store
    Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
    Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy-->

FAS の使用を停止するには、次の PowerShell スクリプトを使用します。

    Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    $StoreVirtualPath = "/Citrix/Store"
    $store = Get-STFStoreService -VirtualPath $StoreVirtualPath
    $auth = Get-STFAuthenticationService -StoreService $store
    Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
    Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy-->

Delivery Controller™ の構成

注：

FAS を Citrix Cloud でのみ使用している場合、この手順は不要です。

FAS を使用するには、Citrix Virtual Apps または Citrix Virtual Desktops™ Delivery Controller を構成して、それに接続できる StoreFront サーバーを信頼するようにします。Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true PowerShell コマンドレットを実行します。これは、サイト内の Delivery Controller の数に関係なく、サイトごとに 1 回だけ実行すれば済みます。

グループポリシーの構成

FAS をインストールした後、インストールで提供されるグループポリシーテンプレートを使用して、グループポリシーで FAS サーバーの完全修飾ドメイン名 (FQDN) を指定する必要があります。

重要：

チケットを要求する StoreFront サーバーとチケットを引き換える Virtual Delivery Agent (VDA) が、グループポリシーオブジェクトによって適用される自動サーバー番号付けを含め、FQDN の同一の構成を持っていることを確認してください。

簡素化のため、以下の例では、すべてのマシンに適用される単一のポリシーをドメインレベルで構成します。ただし、これは必須ではありません。FAS は、StoreFront サーバー、VDA、および FAS 管理コンソールを実行しているマシンが同じ FQDN のリストを認識している限り機能します。手順 6 を参照してください。

• 手順 1. FAS をインストールしたサーバーで、C:\Program Files\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx および CitrixBase.admx ファイルと、en-US フォルダーを見つけます。

• 

手順 2. これらをドメインコントローラーにコピーし、C:\Windows\PolicyDefinitions および en-US サブフォルダーに配置します。

手順 3. Microsoft Management Console (コマンドラインから mmc.exe) を実行します。メニューバーから [ファイル] > [スナップインの追加と削除] を選択します。[グループポリシー管理エディター] を追加します。

グループポリシーオブジェクトの入力を求められたら、[参照] を選択し、[既定のドメインポリシー] を選択します。または、任意のツールを使用して、環境に適したポリシーオブジェクトを作成および選択することもできます。このポリシーは、影響を受ける Citrix ソフトウェア（VDA、StoreFront サーバー、管理ツール）を実行しているすべてのマシンに適用する必要があります。

手順 4. Computer Configuration/Policies/Administrative Templates/Citrix Components/Authentication にある Federated Authentication Service ポリシーに移動します。

注:

フェデレーション認証サービスポリシー設定は、CitrixBase.admx/CitrixBase.admlテンプレートファイルをPolicyDefinitionsフォルダーに追加した場合にのみ、ドメインGPOで使用できます。手順3の後、フェデレーション認証サービスポリシー設定は、［管理用テンプレート］>［Citrixコンポーネント］>［認証］フォルダーに表示されます。

• 手順 5. フェデレーション認証サービスポリシーを開き、［有効］を選択します。これにより、［表示］ボタンを選択できるようになり、FASサーバーのFQDNを構成できます。

• 

手順 6. FASサーバーのFQDNを入力します。

重要:

複数のFQDNを入力する場合、リストの順序は、VDA、StoreFrontサーバー（存在する場合）、およびFASサーバーから見て一貫している必要があります。詳しくは、「グループポリシー設定」を参照してください。

手順 7. ［OK］をクリックしてグループポリシーウィザードを終了し、グループポリシーの変更を適用します。変更を有効にするには、マシンを再起動するか（またはコマンドラインからgpupdate /forceを実行する）、再起動が必要になる場合があります。

セッション内動作

このポリシーは、ユーザーのVDAセッションでエージェントプロセスをアクティブ化し、セッション内証明書、同意、およびロック時の切断をサポートします。セッション内証明書は、このポリシーが有効であり、かつ証明書の作成に使用されたFASルールでセッション内での使用が許可されている場合にのみ使用できます。詳しくは、「ルールの構成」を参照してください。

［有効］は、このポリシーを有効にし、FASエージェントプロセスがユーザーのVDAセッションで実行されることを許可します。

［無効］は、ポリシーを無効にし、FASエージェントプロセスが実行されないようにします。

プロンプトスコープ

このポリシーが有効な場合、［プロンプトスコープ］は、アプリケーションがセッション内証明書を使用することを許可するための同意をユーザーに求める方法を制御します。3つのオプションがあります。

• 同意不要—このオプションはセキュリティプロンプトを無効にし、秘密キーはサイレントに使用されます。
• プロセスごとの同意—実行中の各プログラムが個別に同意を求めます。
• セッションごとの同意—ユーザーが［OK］をクリックすると、セッション内のすべてのプログラムに適用されます。

同意タイムアウト

このポリシーが有効な場合、［同意タイムアウト］は、同意が持続する期間（秒単位）を制御します。たとえば、300秒の場合、ユーザーは5分ごとにプロンプトが表示されます。値がゼロの場合、すべての秘密キー操作に対してユーザーにプロンプトが表示されます。

ロック時の切断

このポリシーが有効な場合、ユーザーが画面をロックすると、ユーザーのセッションは自動的に切断されます。この機能は、「スマートカード取り外し時の切断」ポリシーと同様の動作を提供し、ユーザーがActive Directoryログオン資格情報を持っていない状況で役立ちます。

注:

ロック時の切断ポリシーは、VDA上のすべてのセッションに適用されます。

フェデレーション認証サービス管理コンソールの使用

• 注:

  FAS管理コンソールはほとんどの展開に適していますが、PowerShellインターフェイスはより高度なオプションを提供します。FAS PowerShellコマンドレットについて詳しくは、「PowerShellコマンドレット」を参照してください。

FAS管理コンソールはFASの一部としてインストールされます。アイコン（Citrix Federated Authentication Service）はスタートメニューに配置されます。

管理コンソールを初めて使用すると、証明書テンプレートを展開し、証明機関を設定し、FASが証明機関を使用することを承認するプロセスがガイドされます。一部の手順は、OS構成ツールを使用して手動で完了することもできます。

FAS管理コンソールは、デフォルトでローカルFASサービスに接続します。必要に応じて、コンソールの右上にある［別のサーバーに接続］を使用してリモートサービスに接続できます。

証明書テンプレートの展開

• 他のソフトウェアとの相互運用性の問題を回避するため、FASは独自の用途のために3つのCitrix証明書テンプレートを提供します。

• Citrix_RegistrationAuthority_ManualAuthorization
• Citrix_RegistrationAuthority
• Citrix_SmartcardLogon

これらのテンプレートはActive Directoryに登録する必要があります。［展開］ボタンをクリックし、［OK］をクリックします。

テンプレートの構成は、FASとともにインストールされる.certificatetemplate拡張子を持つXMLファイルにあります。

C:\Program Files\Citrix\Federated Authentication Service\CertificateTemplates

これらのテンプレートファイルをインストールする権限がない場合は、Active Directory管理者に渡してください。

テンプレートを手動でインストールするには、テンプレートを含むフォルダーから次のPowerShellコマンドを実行します。

    $template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
    $CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
    $CertEnrol.InitializeImport($template)
    $comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
    $writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
    $writabletemplate.Initialize($comtemplate)
    $writabletemplate.Commit(1, $NULL)
<!--NeedCopy-->

Active Directory証明書サービスをセットアップする

Citrix証明書テンプレートをインストールした後、1つ以上のMicrosoft Enterprise証明機関サーバーで公開する必要があります。Active Directory証明書サービスの展開方法については、Microsoftのドキュメントを参照してください。

テンプレートが少なくとも1つのサーバーで公開されていない場合は、[証明機関のセットアップ] を使用して公開します。証明機関を管理する権限を持つユーザーとしてこれを行う必要があります。

（証明書テンプレートは、Microsoft証明機関コンソールを使用して公開することもできます。）

Federated Authentication Serviceを承認する

この手順により、FASの承認が開始されます。管理コンソールは、Citrix_RegistrationAuthority_ManualAuthorizationテンプレートを使用して証明書要求を生成し、そのテンプレートを公開している証明機関のいずれかに送信します。

要求が送信されると、Microsoft証明機関コンソールの [保留中の要求] リストに、FASマシンアカウントからの保留中の要求として表示されます。FASの構成を続行する前に、証明機関管理者は要求を発行または拒否する必要があります。

管理者が [発行] または [拒否] を選択するまで、FAS管理コンソールにはビジー状態の「スピナー」が表示されます。

Microsoft証明機関コンソールで、[すべてのタスク] を右クリックし、証明書要求に対して [発行] または [拒否] を選択します。[発行] を選択すると、FAS管理コンソールに承認証明書が表示されます。[拒否] を選択すると、コンソールにエラーメッセージが表示されます。

FAS管理コンソールは、このプロセスが完了したことを自動的に検出します。これには数分かかる場合があります。

ルールを構成する

FASは、StoreFrontの指示に従って、VDAログオンおよびセッション内使用の証明書の発行を承認するためにルールを使用します。各ルールは、証明書を要求することが信頼されているStoreFrontサーバー、要求できるユーザーのセット、およびそれらを使用することが許可されているVDAマシンのセットを指定します。

FASには、少なくとも1つのルールを作成および構成する必要があります。StoreFrontはデフォルトでFASに接続するときに「default」という名前のルールを要求するため、「default」という名前のルールを作成することをお勧めします。

異なる証明書テンプレートと証明機関を参照し、異なるプロパティと権限を持つように構成する追加のカスタムルールを作成できます。これらのルールは、異なるStoreFrontサーバーまたはWorkspaceで使用するように構成できます。グループポリシー構成オプションを使用して、カスタムルールを名前で要求するようにStoreFrontサーバーを構成します。

[作成] （または「ルール」タブの [ルールの作成]）をクリックして、ルールを作成するための情報を収集するルール作成ウィザードを開始します。「ルール」タブには、各ルールの概要が表示されます。

ウィザードによって収集される情報は次のとおりです。

テンプレート: ユーザー証明書の発行に使用される証明書テンプレート。これは、Citrix_SmartcardLogonテンプレート、またはその変更されたコピーである必要があります（証明書テンプレートを参照）。

証明機関: ユーザー証明書を発行する証明機関。テンプレートは証明機関によって公開されている必要があります。FASは、フェールオーバーと負荷分散のために複数の証明機関の追加をサポートしています。選択した証明機関のステータスが「Template available」と表示されていることを確認してください。証明機関の管理を参照してください。

セッション内使用: [セッション内使用を許可] オプションは、VDAへのログオン後に証明書を使用できるかどうかを制御します。

• [セッション内使用を許可] が選択されていない（デフォルト、推奨）—証明書はログオンまたは再接続にのみ使用され、ユーザーは認証後に証明書にアクセスできません。

• [セッション内使用を許可] が選択されている—ユーザーは認証後に証明書にアクセスできます。ほとんどのお客様は、このオプションを選択すべきではありません。イントラネットWebサイトやファイル共有など、VDAセッション内からアクセスされるリソースは、Kerberosシングルサインオンを使用してアクセスできるため、セッション内証明書は必要ありません。

  [セッション内使用を許可] を選択した場合、セッション内動作グループポリシーも有効にしてVDAに適用する必要があります。証明書は、アプリケーションで使用するために、ログオン後にユーザーの個人証明書ストアに配置されます。たとえば、VDAセッション内のWebサーバーへのTLS認証が必要な場合、証明書はInternet Explorerで使用できます。

アクセス制御: ユーザーのログオンまたは再接続のために証明書を要求することが承認されている、信頼されたStoreFrontサーバーマシンのリスト。これらのすべての権限について、個々のADオブジェクトまたはグループを追加できます。

重要:

アクセス制御の設定はセキュリティ上重要であり、慎重に管理する必要があります。

注:

FASサーバーをCitrix Cloudでのみ使用している場合、アクセス制御を構成する必要はありません。ルールがCitrix Cloudで使用される場合、StoreFrontのアクセス許可は無視されます。Citrix CloudとオンプレミスのStoreFront展開の両方で同じルールを使用できます。ルールがオンプレミスのStoreFrontで使用される場合、StoreFrontのアクセス許可は引き続き適用されます。

デフォルトのアクセス許可（「Assert Identity」が許可されている）はすべてを拒否します。そのため、StoreFrontサーバーを明示的に許可する必要があります。

制限: FASを使用してユーザーをログオンできるVDAマシンのリストと、FASを介して証明書を発行できるユーザーのリスト。

• VDAアクセス許可の管理：どのVDAがFASを使用してユーザーをログオンできるかを指定します。VDAのリストはデフォルトでドメインコンピューターです。

• ユーザーアクセス許可の管理：どのユーザーがFASを使用してVDAにサインインできるかを指定します。ユーザーのリストはデフォルトでドメインユーザーです。

注:

FASサーバーがVDAおよびユーザーとは異なるドメインにある場合、デフォルトの制限を変更する必要があります。

クラウド規則: Citrix WorkspaceからIDアサーションが受信されたときに、この規則が適用されるかどうかを示します。Citrix Cloudに接続するときに、Citrix Cloudで使用する規則を選択します。Citrix Cloudに接続した後、Connect to Citrix Cloudセクションのリンクから規則を変更することもできます。

Citrix Cloudへの接続

FASサーバーをCitrix WorkspaceでCitrix Cloudに接続できます。このCitrix Workspaceの記事を参照してください。

1. [Initial Setup] タブのConnect to Citrix Cloudで、Connectをクリックします。

   

2. 接続するクラウドを選択し、Nextをクリックします。

   

   注

   プレビューではCitrix Cloudのみが利用可能です。

3. ウィンドウに一意の登録コードが表示されます。これはCitrix Cloudで承認する必要があります。詳しくは、「オンプレミス製品をCitrix Cloudに登録する」を参照してください。

   

4. 登録コードが検証されたら、ドロップダウンリストから目的のリソースの場所を選択します。

   

5. 該当する場合は顧客アカウントを選択し、FASサーバーを接続するリソースの場所を選択します。Continueをクリックし、確認ウィンドウを閉じます。

6. Choose a ruleセクションで、既存の規則を使用するか、新しい規則を作成します。Nextをクリックします。

   

7. Summaryセクションで、FinishをクリックしてCitrix Cloudへの接続を完了します。

   

Citrix CloudはFASサーバーを登録し、Citrix Cloudアカウントの[リソースの場所]ページに表示します。

Citrix Cloudからの切断

このCitrix Workspaceの記事で説明されているように、Citrix Cloudのリソースの場所からFASサーバーを削除した後、Connect to Citrix CloudでDisableを選択します。