インストールと構成
インストールとセットアップの順序
- フェデレーション認証サービス (FAS) のインストール
- StoreFrontストアでのFASプラグインの有効化
- Delivery Controllerの構成
- グループポリシーの構成
- FAS管理コンソールを使用して以下を実行:
-
フェデレーション認証サービスのインストール
-
セキュリティ上の理由から、Citrixでは、フェデレーション認証サービス (FAS) を、ドメインコントローラーまたは証明機関と同様の方法で保護された専用サーバーにインストールすることを推奨しています。FASは、以下のいずれかの方法でインストールできます。
- Citrix Virtual Apps and Desktops™インストーラー (ISO挿入時の自動実行スプラッシュスクリーンにある Federated Authentication Service ボタンから)
-
スタンドアロンFASインストーラーファイル (Citrix DownloadsでMSIファイルとして入手可能)
-
これらにより、以下のコンポーネントがインストールされます。
- フェデレーション認証サービス
- 高度なFAS構成のためのPowerShellスナップインコマンドレット
- FAS管理コンソール
- FASグループポリシーテンプレート (CitrixFederatedAuthenticationService.admx/adml)
- 証明書テンプレートファイル
- パフォーマンスカウンターおよびイベントログ
FASのアップグレード
インプレースアップグレードを使用して、FASを新しいバージョンにアップグレードできます。アップグレードする前に、以下を考慮してください。
- インプレースアップグレードを実行すると、すべてのFASサーバー設定が保持されます。
- FASをアップグレードする前に、FAS管理コンソールが閉じていることを確認してください。
- 常に少なくとも1つのFASサーバーが利用可能であることを確認してください。フェデレーション認証サービスが有効なStoreFront™サーバーから到達可能なサーバーがない場合、ユーザーはログオンしたりアプリケーションを起動したりできません。
アップグレードを開始するには、Citrix Virtual Apps and DesktopsインストーラーまたはスタンドアロンFASインストーラーファイルからFASをインストールします。
StoreFrontストアでのFASプラグインの有効化
注:
FASをCitrix Cloudでのみ使用している場合、この手順は不要です。
StoreFrontストアでFAS統合を有効にするには、管理者アカウントとして以下のPowerShellコマンドレットを実行します。ストア名が異なる場合は、$StoreVirtualPathを変更してください。
Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
$StoreVirtualPath = "/Citrix/Store"
$store = Get-STFStoreService -VirtualPath $StoreVirtualPath
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy-->
FASの使用を停止するには、以下のPowerShellスクリプトを使用します。
Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
$StoreVirtualPath = "/Citrix/Store"
$store = Get-STFStoreService -VirtualPath $StoreVirtualPath
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy-->
Delivery Controller™の構成
注:
FASをCitrix Cloudでのみ使用している場合、この手順は不要です。
FASを使用するには、Citrix Virtual AppsまたはCitrix Virtual Desktops™ Delivery Controllerが、それに接続できるStoreFrontサーバーを信頼するように構成します。これには、Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true PowerShellコマンドレットを実行します。これは、サイト内のDelivery Controllerの数に関係なく、サイトごとに1回だけ実行する必要があります。
グループポリシーの構成
FASをインストールした後、インストール時に提供されるグループポリシーテンプレートを使用して、グループポリシーでFASサーバーの完全修飾ドメイン名 (FQDN) を指定する必要があります。
重要:
チケットを要求するStoreFrontサーバーと、チケットを引き換えるVirtual Delivery Agent (VDA) が、グループポリシーオブジェクトによって適用される自動サーバー番号付けを含め、FQDNの同一の構成を持つことを確認してください。
簡素化のため、以下の例では、すべてのマシンに適用される単一のポリシーをドメインレベルで構成します。ただし、これは必須ではありません。FASは、StoreFrontサーバー、VDA、およびFAS管理コンソールを実行しているマシンが同じFQDNリストを参照している限り機能します。手順6を参照してください。
-
手順1. FASをインストールしたサーバーで、C:\Program Files\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admxおよびCitrixBase.admxファイルと、en-USフォルダーを見つけます。
-
手順2. これらをドメインコントローラーにコピーし、C:\Windows\PolicyDefinitionsおよびen-USサブフォルダーに配置します。
手順3. Microsoft管理コンソール (コマンドラインからのmmc.exe) を実行します。メニューバーから、ファイル > スナップインの追加と削除を選択します。グループポリシー管理エディターを追加します。
グループポリシーオブジェクトの入力を求められたら、参照を選択し、既定のドメインポリシーを選択します。または、任意のツールを使用して、環境に適したポリシーオブジェクトを作成および選択することもできます。このポリシーは、影響を受けるCitrixソフトウェア (VDA、StoreFrontサーバー、管理ツール) を実行しているすべてのマシンに適用する必要があります。
手順4. コンピューターの構成/ポリシー/管理用テンプレート/Citrixコンポーネント/認証にあるフェデレーション認証サービスポリシーに移動します。
注:
Federated Authentication Serviceポリシー設定は、CitrixBase.admx/CitrixBase.admlテンプレートファイルをPolicyDefinitionsフォルダーに追加した場合にのみ、ドメインGPOで利用できます。ステップ3の後、Federated Authentication Serviceポリシー設定は、管理用テンプレート > Citrixコンポーネント > 認証フォルダーに表示されます。
-
ステップ5. Federated Authentication Serviceポリシーを開き、[有効] を選択します。これにより、[表示] ボタンを選択できるようになり、FASサーバーのFQDNを構成できます。
-
ステップ6. FASサーバーのFQDNを入力します。
重要:
複数のFQDNを入力する場合、VDAs、StoreFrontサーバー(存在する場合)、およびFASサーバーから見て、リストの順序は一貫している必要があります。「グループポリシー設定」を参照してください。
ステップ7. [OK] をクリックしてグループポリシーウィザードを終了し、グループポリシーの変更を適用します。変更を有効にするには、マシンを再起動するか(またはコマンドラインから gpupdate /force を実行する)必要がある場合があります。
インセッション動作
このポリシーは、ユーザーのVDAセッションでエージェントプロセスをアクティブ化し、インセッション証明書、同意、およびロック時の切断をサポートします。インセッション証明書は、このポリシーが有効になっているかつ、証明書の作成に使用されたFASルールでインセッション使用が許可されている場合にのみ利用できます。「ルールの構成」を参照してください。
[有効] はこのポリシーを有効にし、FASエージェントプロセスがユーザーのVDAセッションで実行されることを許可します。
[無効] はこのポリシーを無効にし、FASエージェントプロセスが実行されるのを停止します。
プロンプトスコープ
このポリシーが有効な場合、[プロンプトスコープ] は、アプリケーションがインセッション証明書を使用することを許可するための同意をユーザーにどのように求めるかを制御します。3つのオプションがあります。
- [同意不要] —このオプションはセキュリティプロンプトを無効にし、秘密キーはサイレントに使用されます。
- [プロセスごとの同意] —実行中の各プログラムが個別に同意を求めます。
- [セッションごとの同意] —ユーザーが [OK] をクリックすると、これはセッション内のすべてのプログラムに適用されます。
同意タイムアウト
このポリシーが有効な場合、[同意タイムアウト] は同意が持続する期間(秒単位)を制御します。たとえば、300秒の場合、ユーザーは5分ごとにプロンプトが表示されます。値がゼロの場合、秘密キー操作ごとにユーザーにプロンプトが表示されます。
ロック時の切断
このポリシーが有効な場合、ユーザーが画面をロックすると、ユーザーのセッションは自動的に切断されます。この機能は、「スマートカード取り外し時の切断」ポリシーと同様の動作を提供し、ユーザーがActive Directoryログオン資格情報を持っていない状況で役立ちます。
注:
ロック時の切断ポリシーは、VDA上のすべてのセッションに適用されます。
Federated Authentication Service管理コンソールの使用
-
注:
FAS管理コンソールはほとんどの展開に適していますが、PowerShellインターフェイスはより高度なオプションを提供します。FAS PowerShellコマンドレットの詳細については、「PowerShellコマンドレット」を参照してください。
FAS管理コンソールはFASの一部としてインストールされます。アイコン(Citrix Federated Authentication Service)はスタートメニューに配置されます。
管理コンソールを初めて使用すると、証明書テンプレートの展開、証明機関の設定、およびFASが証明機関を使用するための承認を行うプロセスが案内されます。一部のステップは、OS構成ツールを使用して手動で完了することもできます。
FAS管理コンソールは、デフォルトでローカルFASサービスに接続します。必要に応じて、コンソールの右上にある [別のサーバーに接続] を使用してリモートサービスに接続できます。
証明書テンプレートの展開
-
他のソフトウェアとの相互運用性の問題を回避するため、FASは独自の用途のために3つのCitrix証明書テンプレートを提供します。
- Citrix_RegistrationAuthority_ManualAuthorization
- Citrix_RegistrationAuthority
- Citrix_SmartcardLogon
これらのテンプレートはActive Directoryに登録する必要があります。[展開] ボタンをクリックし、次に [OK] をクリックします。
テンプレートの構成は、FASとともにインストールされる拡張子.certificatetemplateのXMLファイルにあります。
C:\Program Files\Citrix\Federated Authentication Service\CertificateTemplates
これらのテンプレートファイルをインストールする権限がない場合は、Active Directory管理者に渡してください。
テンプレートを手動でインストールするには、テンプレートを含むフォルダーから次のPowerShellコマンドを実行します。
$template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
$CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
$CertEnrol.InitializeImport($template)
$comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
$writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
$writabletemplate.Initialize($comtemplate)
$writabletemplate.Commit(1, $NULL)
<!--NeedCopy-->
Active Directory証明書サービスの設定
Citrix証明書テンプレートをインストールした後、1つ以上のMicrosoft Enterprise証明機関サーバーに公開する必要があります。Active Directory証明書サービスの展開方法については、Microsoftのドキュメントを参照してください。
テンプレートが少なくとも1つのサーバーに公開されていない場合は、証明機関のセットアップを使用して公開します。これを行うには、証明機関を管理する権限を持つユーザーとして実行する必要があります。
(証明書テンプレートは、Microsoft証明機関コンソールを使用して公開することもできます。)
Federated Authentication Serviceの承認
この手順により、FASの承認が開始されます。管理コンソールは、Citrix_RegistrationAuthority_ManualAuthorizationテンプレートを使用して証明書要求を生成し、そのテンプレートを公開している証明機関のいずれかに送信します。
要求が送信されると、Microsoft証明機関コンソールの保留中の要求リストに、FASマシンアカウントからの保留中の要求として表示されます。FASの構成を続行する前に、証明機関管理者は要求を発行または拒否する必要があります。
管理者が発行または拒否を選択するまで、FAS管理コンソールにはビジー状態の「スピナー」が表示されます。
Microsoft証明機関コンソールで、すべてのタスクを右クリックし、証明書要求に対して発行または拒否を選択します。発行を選択すると、FAS管理コンソールに承認証明書が表示されます。拒否を選択すると、コンソールにエラーメッセージが表示されます。
FAS管理コンソールは、このプロセスが完了したことを自動的に検出します。これには数分かかる場合があります。
ルールの構成
FASは、StoreFrontの指示に従って、VDAログオンおよびセッション内使用の証明書の発行を承認するためにルールを使用します。各ルールは、証明書を要求することが信頼されているStoreFrontサーバー、要求できるユーザーのセット、およびそれらを使用することが許可されているVDAマシンのセットを指定します。
FASには、少なくとも1つのルールを作成して構成する必要があります。StoreFrontはFASに接続する際にデフォルトで「default」という名前のルールを要求するため、「default」という名前のルールを作成することをお勧めします。
異なる証明書テンプレートと証明機関を参照し、異なるプロパティと権限を持つように構成する追加のカスタムルールを作成できます。これらのルールは、異なるStoreFrontサーバーまたはWorkspaceで使用するように構成できます。グループポリシー構成オプションを使用して、カスタムルールを名前で要求するようにStoreFrontサーバーを構成します。
作成(または「ルール」タブのルールの作成)をクリックして、ルールを作成するための情報を収集するルール作成ウィザードを開始します。「ルール」タブには、各ルールの概要が表示されます。
ウィザードによって収集される情報は次のとおりです。
テンプレート: ユーザー証明書の発行に使用される証明書テンプレートです。これは、Citrix_SmartcardLogonテンプレート、またはその変更されたコピーである必要があります(「証明書テンプレート」を参照)。
証明機関: ユーザー証明書を発行する証明機関です。テンプレートは証明機関によって公開されている必要があります。FASは、フェールオーバーと負荷分散のために複数の証明機関の追加をサポートしています。選択した証明機関のステータスが「テンプレート利用可能」と表示されていることを確認してください。「証明機関の管理」を参照してください。
セッション内使用: セッション内使用を許可オプションは、VDAへのログオン後に証明書を使用できるかどうかを制御します。
- セッション内使用を許可が選択されていない場合(デフォルト、推奨)—証明書はログオンまたは再接続にのみ使用され、ユーザーは認証後に証明書にアクセスできません。
-
セッション内使用を許可が選択されている場合—ユーザーは認証後に証明書にアクセスできます。ほとんどのお客様は、このオプションを選択すべきではありません。イントラネットのWebサイトやファイル共有など、VDAセッション内からアクセスされるリソースは、Kerberosシングルサインオンを使用してアクセスできるため、セッション内証明書は必要ありません。
セッション内使用を許可を選択した場合、セッション内動作グループポリシーも有効にしてVDAに適用する必要があります。証明書は、アプリケーションで使用するために、ログオン後にユーザーの個人証明書ストアに配置されます。たとえば、VDAセッション内でWebサーバーへのTLS認証が必要な場合、証明書はInternet Explorerで使用できます。
アクセス制御: ユーザーのログオンまたは再接続のために証明書を要求することが承認されている、信頼されたStoreFrontサーバーマシンのリストです。これらのすべての権限に対して、個々のADオブジェクトまたはグループを追加できます。
重要:
アクセス制御設定はセキュリティ上重要であり、慎重に管理する必要があります。
注:
FASサーバーをCitrix Cloudでのみ使用している場合、アクセス制御を構成する必要はありません。Citrix Cloudでルールが使用される場合、StoreFrontのアクセス許可は無視されます。Citrix CloudとオンプレミスのStoreFront展開の両方で同じルールを使用できます。オンプレミスのStoreFrontでルールが使用される場合、StoreFrontのアクセス許可は引き続き適用されます。
デフォルトの許可(「IDアサート」が許可されている)はすべてを拒否します。したがって、StoreFrontサーバーを明示的に許可する必要があります。
制限: FASを使用してユーザーをログオンできるVDAマシンのリストと、FASを介して証明書を発行できるユーザーのリスト。
-
VDAの許可を管理すると、どのVDAがFASを使用してユーザーをログオンできるかを指定できます。VDAのリストはデフォルトでドメインコンピューターです。
-
ユーザーの許可を管理すると、どのユーザーがFASを使用してVDAにサインインできるかを指定できます。ユーザーのリストはデフォルトでドメインユーザーです。
注:
FASサーバーがVDAおよびユーザーとは異なるドメインにある場合、デフォルトの制限を変更する必要があります。
クラウドルール: Citrix WorkspaceからIDアサーションが受信されたときにルールが適用されるかどうかを示します。Citrix Cloudに接続するときに、Citrix Cloudで使用するルールを選択します。Citrix Cloudに接続した後、Citrix Cloudへの接続セクションのリンクからルールを変更することもできます。
Citrix Cloudへの接続
FASサーバーをCitrix WorkspaceでCitrix Cloudに接続できます。詳細については、このCitrix Workspaceの記事を参照してください。
-
[初期設定] タブのCitrix Cloudへの接続の下にある接続をクリックします。
-
接続するクラウドを選択し、次へをクリックします。
注
プレビューではCitrix Cloudのみが利用可能です。
-
ウィンドウに一意の登録コードが表示されます。これはCitrix Cloudで承認する必要があります。詳細については、「オンプレミス製品をCitrix Cloudに登録する」を参照してください。
-
登録コードが検証されたら、ドロップダウンリストから目的のリソースの場所を選択します。
-
該当する場合は顧客アカウントを選択し、FASサーバーを接続するリソースの場所を選択します。続行をクリックし、確認ウィンドウを閉じます。
-
ルールの選択セクションで、既存のルールを使用するか、ルールを作成します。次へをクリックします。
-
概要セクションで、完了をクリックしてCitrix Cloudへの接続を完了します。
Citrix CloudはFASサーバーを登録し、Citrix Cloudアカウントの[リソースの場所]ページに表示します。
Citrix Cloudからの切断
このCitrix Workspaceの記事に記載されているように、Citrix Cloudのリソースの場所からFASサーバーを削除した後、Citrix Cloudへの接続で無効にするを選択します。