製品ドキュメント
Federated Authentication Service
Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912
PDFを表示

展開アーキテクチャ

April 28, 2026
寄稿者: 
C C

はじめに

Federated Authentication Service (FAS) は、Citrix® のコンポーネントであり、Active Directory 証明機関と統合することで、Citrix 環境内でユーザーをシームレスに認証できます。このドキュメントでは、展開に適したさまざまな認証アーキテクチャについて説明します。

  • 有効にすると、FAS はユーザー認証の決定を信頼されたStoreFrontサーバーに委任します。StoreFrontには、最新のWebテクノロジーに基づいて構築された包括的な組み込み認証オプションがあり、StoreFront SDKまたはサードパーティのIISプラグインを使用して簡単に拡張できます。基本的な設計目標は、Webサイトにユーザーを認証できるあらゆる認証テクノロジーを、Citrix Virtual AppsまたはCitrix Virtual Desktops™展開へのログインに使用できることです。

  • このドキュメントでは、複雑さが増すにつれて、トップレベルの展開アーキテクチャの例について説明します。

  • 内部展開
  • Citrix Gateway展開
  • ADFS SAML
  • B2Bアカウントマッピング
  • Windows 10 Azure AD参加

関連するFAS記事へのリンクが提供されています。すべてのアーキテクチャについて、インストールと構成の記事は、FASをセットアップするための主要なリファレンスです。

アーキテクチャの概要

FASは、StoreFrontによって認証されたActive Directoryユーザーに代わって、スマートカードクラスの証明書を自動的に発行することを承認されています。これは、管理者が物理スマートカードをプロビジョニングできるツールと同様のAPIを使用します。ユーザーがCitrix Virtual Apps™またはCitrix Virtual Desktops Virtual Delivery Agent (VDA) に仲介されると、証明書がマシンにアタッチされ、Windowsドメインはログオンを標準のスマートカード認証として認識します。

信頼されたStoreFront™サーバーは、ユーザーがCitrix環境へのアクセスを要求するとFASに接続します。FASは、単一のCitrix Virtual AppsまたはCitrix Virtual Desktopsセッションがそのセッションの証明書で認証することを許可するチケットを付与します。VDAがユーザーを認証する必要がある場合、FASに接続してチケットを引き換えます。FASのみがユーザー証明書の秘密キーにアクセスできます。VDAは、証明書で実行する必要がある署名および復号化操作をすべてFASに送信する必要があります。

次の図は、FASがMicrosoft証明機関と統合し、StoreFrontおよびCitrix Virtual Apps and Desktops™ Virtual Delivery Agents (VDA) にサポートサービスを提供している様子を示しています。

  • FASアーキテクチャ

内部展開

FASを使用すると、ユーザーはさまざまな認証オプション(Kerberosシングルサインオンを含む)を使用してStoreFrontに安全に認証し、完全に認証されたCitrix HDX™セッションに接続できます。

これにより、ユーザー資格情報やスマートカードPINを入力するプロンプトなしで、またシングルサインオンサービスなどの「保存されたパスワード管理」機能を使用せずにWindows認証が可能になります。これは、以前のバージョンのCitrix Virtual Appsで利用可能だったKerberos制約付き委任ログオン機能を置き換えるために使用できます。

すべてのユーザーは、エンドポイントデバイスにスマートカードでログオンしているかどうかにかかわらず、セッション内で公開鍵インフラストラクチャ (PKI) 証明書にアクセスできます。これにより、スマートカードリーダーを持たないスマートフォンやタブレットなどのデバイスからでも、2要素認証モデルへのスムーズな移行が可能になります。

  • この展開では、FASを実行する新しいサーバーが追加され、ユーザーに代わってスマートカードクラスの証明書を発行することが承認されます。これらの証明書は、スマートカードログオンが使用されたかのように、Citrix HDX環境のユーザーセッションにログオンするために使用されます。

FASアーキテクチャの内部展開

Citrix Virtual AppsまたはCitrix Virtual Desktops環境は、スマートカードログオンと同様の方法で構成する必要があります。これはCTX206156に記載されています。

既存の展開では、通常、ドメイン参加済みのMicrosoft証明機関が利用可能であり、ドメインコントローラーにドメインコントローラー証明書が割り当てられていることを確認するだけで済みます。(CTX206156の「ドメインコントローラー証明書の発行」セクションを参照してください。)

  • 関連情報

  • キーは、ハードウェアセキュリティモジュール (HSM) または組み込みのトラステッドプラットフォームモジュール (TPM) に保存できます。詳細については、秘密キーの保護の記事を参照してください。
  • インストールと構成の記事では、FASのインストールと構成方法について説明しています。

Citrix Gateway展開

Citrix Gateway展開は内部展開と似ていますが、Citrix GatewayとStoreFrontを組み合わせることで、認証の主要なポイントをCitrix Gateway自体に移動します。Citrix Gatewayには、企業のWebサイトへのリモートアクセスを保護するために使用できる高度な認証および承認オプションが含まれています。

この展開は、最初にCitrix Gatewayに認証してからユーザーセッションにログインする際に発生する複数のPINプロンプトを回避するために使用できます。また、ADパスワードやスマートカードを追加で必要とせずに、高度なCitrix Gateway認証テクノロジーを使用することもできます。

localized image

  • Citrix Virtual AppsまたはCitrix Virtual Desktops環境は、スマートカードログオンと同様の方法で構成する必要があります。これについては、CTX206156に記載されています。

既存の展開では、通常、ドメイン参加済みのMicrosoft証明機関が利用可能であること、およびドメインコントローラーにドメインコントローラー証明書が割り当てられていることを確認するだけです。(CTX206156の「ドメインコントローラー証明書の発行」セクションを参照してください)。

Citrix Gatewayをプライマリ認証システムとして構成する場合、Citrix GatewayとStoreFront間のすべての接続がTLSで保護されていることを確認してください。特に、コールバックURLがCitrix Gatewayサーバーを指すように正しく構成されていることを確認してください。これは、この展開でCitrix Gatewayサーバーを認証するために使用できます。

localized image

関連情報:

ADFS SAML展開

主要なCitrix Gateway認証テクノロジは、SAML IDプロバイダー(IdP)として機能できるMicrosoft ADFSとの統合を可能にします。SAMLアサーションは、信頼されたIdPによって発行される暗号署名されたXMLブロックであり、ユーザーがコンピューターシステムにログオンすることを承認します。これは、FASサーバーがユーザーの認証をMicrosoft ADFSサーバー(またはその他のSAML対応IdP)に委任できることを意味します。

localized image

ADFSは、インターネット経由でリモートから企業リソースに対してユーザーを安全に認証するためによく使用されます。たとえば、Office 365との統合によく使用されます。

関連情報:

  • ADFS展開の記事に詳細が記載されています。
  • インストールと構成の記事では、FASのインストールと構成方法について説明しています。
  • この記事のCitrix Gateway展開セクションには、構成に関する考慮事項が含まれています。

B2Bアカウントマッピング

2つの会社が互いのコンピューターシステムを使用したい場合、一般的なオプションは、信頼関係を持つActive Directoryフェデレーションサービス(ADFS)サーバーをセットアップすることです。これにより、ある会社のユーザーは、別の会社のActive Directory(AD)環境にシームレスに認証できます。ログオン時、各ユーザーは自身の会社のログオン資格情報を使用します。ADFSはこれをピア会社のAD環境の「シャドウアカウント」に自動的にマッピングします。

localized image

関連情報:

Windows 10 Azure AD参加

Windows 10では「Azure AD参加」の概念が導入されました。これは、従来のWindowsドメイン参加と概念的に類似していますが、「インターネット経由」のシナリオを対象としています。これはラップトップやタブレットでうまく機能します。従来のWindowsドメイン参加と同様に、Azure ADには企業ウェブサイトやリソース向けのシングルサインオンモデルを可能にする機能があります。これらはすべて「インターネット対応」であるため、オフィスLANだけでなく、インターネットに接続されたあらゆる場所から機能します。

localized image

この展開は、「オフィス内のエンドユーザー」という概念が事実上存在しない例です。ラップトップは登録され、最新のAzure AD機能を使用してインターネット経由で完全に認証されます。

この展開のインフラストラクチャは、IPアドレスが利用可能な場所であればどこでも実行できることに注意してください。オンプレミス、ホスト型プロバイダー、Azure、またはその他のクラウドプロバイダーです。Azure AD Connect同期ツールはAzure ADに自動的に接続します。例のグラフィックでは、簡素化のためにAzure VMを使用しています。

関連情報:

展開アーキテクチャ
April 28, 2026
寄稿者: 
C C
April 28, 2026
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.