インストールと構成

インストールとセットアップのシーケンス

1. Federated Authentication Service (FAS) のインストール
2. StoreFront ストアでの FAS プラグインの有効化
3. Delivery Controller の構成
4. グループポリシーの構成
5. FAS 管理コンソールを使用して以下を実行します。
   1. 証明書テンプレートの展開
   2. 証明機関のセットアップ
   3. FAS が証明機関を使用するための承認
   4. ルールの構成
   5. FAS と Citrix Cloud の接続 (オプション)

• Federated Authentication Service のインストール

• セキュリティのため、Citrix では Federated Authentication Service (FAS) を専用サーバーにインストールすることを推奨しています。このサーバーは、ドメインコントローラーまたは証明機関と同様に保護する必要があります。FAS は以下のいずれかの方法でインストールできます。

• Citrix Virtual Apps and Desktops™ インストーラー (ISO を挿入した際の自動実行スプラッシュ画面にある Federated Authentication Service ボタンから)

• スタンドアロン FAS インストーラーファイル (Citrix Downloads で MSI ファイルとして入手可能)

• これらにより、以下のコンポーネントがインストールされます。

• Federated Authentication Service
• 高度な FAS 構成のための PowerShell スナップインコマンドレット
• FAS 管理コンソール
• FAS グループポリシーテンプレート (CitrixFederatedAuthenticationService.admx/adml)
• 証明書テンプレートファイル
• パフォーマンスカウンターと イベントログ

FAS のアップグレード

FAS はインプレースアップグレードを使用して新しいバージョンにアップグレードできます。アップグレードする前に、次の点を考慮してください。

• インプレースアップグレードを実行すると、すべての FAS サーバー設定が保持されます。
• FAS をアップグレードする前に、FAS 管理コンソールを閉じてください。
• 常に少なくとも 1 つの FAS サーバーが利用可能であることを確認してください。Federation Authentication Service が有効な StoreFront™ サーバーから到達可能なサーバーがない場合、ユーザーはログオンしたりアプリケーションを起動したりできません。

アップグレードを開始するには、Citrix Virtual Apps and Desktops インストーラーまたはスタンドアロン FAS インストーラーファイルから FAS をインストールします。

StoreFront ストアでの FAS プラグインの有効化

注：

FAS を Citrix Cloud でのみ使用する場合、この手順は不要です。

StoreFront ストアで FAS 統合を有効にするには、管理者アカウントとして以下の PowerShell コマンドレットを実行します。ストア名が異なる場合は、$StoreVirtualPath を変更してください。

    Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    $StoreVirtualPath = "/Citrix/Store"
    $store = Get-STFStoreService -VirtualPath $StoreVirtualPath
    $auth = Get-STFAuthenticationService -StoreService $store
    Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
    Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy-->

FAS の使用を停止するには、以下の PowerShell スクリプトを使用します。

    Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    $StoreVirtualPath = "/Citrix/Store"
    $store = Get-STFStoreService -VirtualPath $StoreVirtualPath
    $auth = Get-STFAuthenticationService -StoreService $store
    Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
    Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy-->

Delivery Controller™ の構成

注：

FAS を Citrix Cloud でのみ使用する場合、この手順は不要です。

FAS を使用するには、Citrix Virtual Apps または Citrix Virtual Desktops™ Delivery Controller が、接続する StoreFront サーバーを信頼するように構成します。これには、Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true PowerShell コマンドレットを実行します。このコマンドは、サイト内の Delivery Controller の数に関係なく、サイトごとに 1 回実行します。

グループポリシーの構成

FAS をインストールした後、インストールで提供されるグループポリシーテンプレートを使用して、グループポリシーでサーバーの完全修飾ドメイン名 (FQDN) を指定します。

重要：

チケットを要求する StoreFront サーバーと、チケットを引き換える Virtual Delivery Agents (VDA) が、グループポリシーオブジェクトによって適用される自動サーバー番号付けを含め、FQDN の同一の構成を持つことを確認してください。

簡素化のため、以下の例では、すべてのマシンに適用される単一のポリシーをドメインレベルで構成します。ただし、これは必須ではありません。FAS は、StoreFront サーバー、VDA、および FAS 管理コンソールを実行しているマシンが同じ FQDN のリストを参照している限り機能します。手順 6 を参照してください。

• 手順 1. FAS をインストールしたサーバーで、C:\Program Files\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx と CitrixBase.admx ファイル、および en-US フォルダーを見つけます。

• 

手順 2. これらのファイルをドメインコントローラーにコピーし、C:\Windows\PolicyDefinitions および en-US サブフォルダーに配置します。

手順 3. Microsoft Management Console (mmc.exe をコマンドラインから) を実行します。メニューバーから [ファイル] > [スナップインの追加と削除] を選択します。[グループポリシー管理エディター] を追加します。

グループポリシーオブジェクトの入力を求められたら、[参照] を選択し、[既定のドメインポリシー] を選択します。または、選択したツールを使用して、環境に適したポリシーオブジェクトを作成および選択することもできます。このポリシーは、影響を受ける Citrix ソフトウェア (VDA、StoreFront サーバー、管理ツール) を実行しているすべてのマシンに適用する必要があります。

手順 4. コンピューターの構成/ポリシー/管理用テンプレート/Citrix コンポーネント/認証にある Federated Authentication Service ポリシーに移動します。

• 注:

• フェデレーション認証サービスポリシー設定は、CitrixBase.admx/CitrixBase.admlテンプレートファイルをPolicyDefinitionsフォルダーに追加した場合にのみ、ドメインGPOで利用できます。ステップ3の後、フェデレーション認証サービスポリシー設定は、[管理用テンプレート] > [Citrixコンポーネント] > [認証] フォルダーに表示されます。

ステップ5. フェデレーション認証サービスポリシーを開き、[有効] を選択します。これにより、FASサーバーのFQDNを構成する [表示] ボタンを選択できるようになります。

• ステップ6. FASサーバーのFQDNを入力します。

• 重要:

  複数のFQDNを入力する場合、リストの順序はVDA、StoreFrontサーバー（存在する場合）、およびFASサーバーから見て一貫している必要があります。グループポリシー設定 を参照してください。

ステップ7. [OK] をクリックしてグループポリシーウィザードを終了し、グループポリシーの変更を適用します。変更を有効にするには、マシンを再起動するか、コマンドラインから gpupdate /force を実行する必要がある場合があります。

セッション内の動作

このポリシーは、ユーザーのVDAセッションでエージェントプロセスをアクティブ化し、セッション内証明書、同意、およびロック時の切断をサポートします。セッション内証明書は、このポリシーが有効であり、かつ証明書の作成に使用されたFASルールでセッション内での使用が許可されている場合にのみ利用できます。ルールの構成 を参照してください。

[有効] はこのポリシーを有効にし、FASエージェントプロセスがユーザーのVDAセッションで実行されることを許可します。

[無効] はポリシーを無効にし、FASエージェントプロセスが実行されないようにします。

プロンプトの範囲

このポリシーが有効な場合、[プロンプトの範囲] は、アプリケーションがセッション内証明書を使用することを許可するための同意をユーザーに求める方法を制御します。次の3つのオプションがあります。

• 同意不要 — このオプションはセキュリティプロンプトを無効にし、秘密キーはサイレントに使用されます。
• プロセスごとの同意 — 実行中の各プログラムが個別に同意を求めます。
• セッションごとの同意 — ユーザーが [OK] をクリックすると、このオプションはセッション内のすべてのプログラムに適用されます。

同意のタイムアウト

このポリシーが有効な場合、[同意のタイムアウト] は同意が持続する時間（秒単位）を制御します。たとえば、300秒に設定すると、ユーザーは5分ごとにプロンプトが表示されます。値がゼロの場合、秘密キー操作ごとにユーザーにプロンプトが表示されます。

ロック時の切断

このポリシーが有効な場合、ユーザーが画面をロックすると、ユーザーのセッションは自動的に切断されます。この動作は、「スマートカード取り外し時の切断」ポリシーに似ています。ユーザーがActive Directoryログオン資格情報を持っていない場合に、この機能を使用します。

注:

• ロック時の切断ポリシーは、VDA上のすべてのセッションに適用されます。

• フェデレーション認証サービス管理コンソールの使用

注:

FAS管理コンソールはほとんどの展開に適していますが、PowerShellインターフェイスはより高度なオプションを提供します。FAS PowerShellコマンドレットについては、PowerShellコマンドレット を参照してください。

FAS管理コンソールはFASの一部としてインストールされます。アイコン（Citrix Federated Authentication Service）はスタートメニューに配置されます。

管理コンソールを初めて使用するときは、次のプロセスを通じてガイドされます。

• 証明書テンプレートの展開
• 証明機関の設定
• FASが証明機関を使用するための承認

一部の手順は、OS構成ツールを使用して手動で完了することもできます。

FAS管理コンソールは、デフォルトでローカルFASサービスに接続します。必要に応じて、コンソールの右上にある [別のサーバーに接続] を使用してリモートサービスに接続できます。

証明書テンプレートの展開

他のソフトウェアとの相互運用性の問題を回避するため、FASは独自の用途のために3つのCitrix証明書テンプレートを提供します。

• Citrix_RegistrationAuthority_ManualAuthorization
• Citrix_RegistrationAuthority
• Citrix_SmartcardLogon

これらのテンプレートはActive Directoryに登録する必要があります。[展開] ボタンをクリックし、[OK] をクリックします。

テンプレートの構成は、FASとともにインストールされる拡張子.certificatetemplateのXMLファイルにあります。

C:\Program Files\Citrix\Federated Authentication Service\CertificateTemplates

これらのテンプレートファイルをインストールする権限がない場合は、Active Directory管理者に渡してください。

テンプレートを手動でインストールするには、テンプレートを含むフォルダーから次のPowerShellコマンドを実行します。

    $template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
    $CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
    $CertEnrol.InitializeImport($template)
    $comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
    $writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
    $writabletemplate.Initialize($comtemplate)
    $writabletemplate.Commit(1, $NULL)
<!--NeedCopy-->

Active Directory 証明書サービスの設定

Citrix証明書テンプレートをインストールした後、それらを1つ以上のMicrosoft Enterprise証明機関サーバーに公開する必要があります。Active Directory証明書サービスの展開方法については、Microsoftのドキュメントを参照してください。

証明機関を管理する権限を持つユーザーは、少なくとも1つのサーバーにテンプレートを公開する必要があります。[証明機関のセットアップ] を使用して公開します。

（証明書テンプレートは、Microsoft証明機関コンソールを使用して公開することもできます。）

Federated Authentication Service の承認

この手順により、FASの承認が開始されます。管理コンソールは、Citrix_RegistrationAuthority_ManualAuthorizationテンプレートを使用して証明書要求を生成し、そのテンプレートを公開している証明機関のいずれかに送信します。

要求が送信されると、Microsoft証明機関コンソールの [保留中の要求] リストに、FASマシンアカウントからの保留中の要求として表示されます。FASの構成を続行する前に、証明機関管理者は要求を発行または拒否する必要があります。

FAS管理コンソールは、管理者が [発行] または [拒否] を選択するまで、ビジー状態の「スピナー」を表示します。

Microsoft証明機関コンソールで、[すべてのタスク] を右クリックし、証明書要求に対して [発行] または [拒否] を選択します。[発行] を選択すると、FAS管理コンソールに承認証明書が表示されます。[拒否] を選択すると、コンソールにエラーメッセージが表示されます。

FAS管理コンソールは、このプロセスが完了すると自動的に検出します。これには数分かかる場合があります。

ルールの構成

FASは、StoreFrontの指示に従って、VDAログオンおよびセッション内使用の証明書の発行を承認するためにルールを使用します。

各ルールは以下を指定します。

• 証明書を要求することを信頼されているStoreFrontサーバー
• 証明書が要求されるユーザーのセット
• 証明書の使用が許可されているVDAマシンのセット

Citrixでは、FASに接続する際にStoreFrontが同じ名前のルールを要求するため、「default」という名前のルールを作成することをお勧めします。

異なる証明書テンプレートと証明機関を参照し、異なるプロパティと権限を持つように構成する、より多くのカスタムルールを作成できます。これらのルールは、異なるStoreFrontサーバーまたはWorkspaceで使用するように構成できます。グループポリシー構成オプションを使用して、StoreFrontサーバーがカスタムルールを名前で要求するように構成します。

[作成]（または [ルール] タブの [ルールの作成]）をクリックして、ルールを作成するための情報を収集するルール作成ウィザードを開始します。[ルール] タブには、各ルールの概要が表示されます。

ウィザードは次の情報を収集します。

テンプレート: ユーザー証明書の発行に使用される証明書テンプレート。これは、Citrix_SmartcardLogonテンプレート、またはその変更されたコピーである必要があります（「証明書テンプレート」を参照）。

証明機関: ユーザー証明書を発行し、テンプレートを公開する証明機関。FASは、フェールオーバーと負荷分散のために複数の証明機関の追加をサポートしています。選択した証明機関のステータスが「Template available」と表示されていることを確認してください。「証明機関の管理」を参照してください。

セッション内使用: [セッション内使用を許可] オプションは、VDAへのログオン後に証明書を使用できるかどうかを制御します。

• [セッション内使用を許可] が選択されていない場合（デフォルト、推奨）—証明書はログオンまたは再接続にのみ使用され、認証後にユーザーは証明書にアクセスできません。

• [セッション内使用を許可] が選択されている場合—認証後にユーザーは証明書にアクセスできます。ほとんどのお客様は、このオプションを選択する必要はありません。イントラネットWebサイトやファイル共有など、VDAセッション内からアクセスされるリソースは、Kerberosシングルサインオンを使用してアクセスできるため、セッション内証明書は必要ありません。

  [セッション内使用を許可] を選択した場合、セッション内動作グループポリシーも有効にしてVDAに適用する必要があります。証明書は、ログオン後にアプリケーションで使用するためにユーザーの個人証明書ストアに配置されます。たとえば、VDAセッション内のWebサーバーへのTLS認証が必要な場合、Internet Explorerは証明書を使用できます。

アクセス制御: ユーザーのログオンまたは再接続のために証明書を要求することを許可されている、信頼されたStoreFrontサーバーマシンのリストです。これらのすべての権限に対して、個々のADオブジェクトまたはグループを追加できます。

重要:

アクセス制御の設定はセキュリティ上重要であり、慎重に管理する必要があります。

注:

FASサーバーをCitrix Cloudでのみ使用している場合、アクセス制御を構成する必要はありません。ルールがCitrix Cloudによって使用される場合、StoreFrontのアクセス許可は無視されます。同じルールをCitrix CloudとオンプレミスのStoreFront展開の両方で使用できます。オンプレミスのStoreFrontによってルールが使用される場合、StoreFrontのアクセス許可は引き続き適用されます。

デフォルトの権限（「IDアサーション」が許可されている）はすべてを拒否します。したがって、StoreFrontサーバーを明示的に許可する必要があります。

制限: FASを使用してユーザーをログオンできるVDAマシンのリスト、およびFASを介して証明書を発行できるユーザーのリストです。

• VDA権限の管理では、どのVDAがFASを使用してユーザーをログオンできるかを指定できます。VDAのリストはデフォルトで「ドメインコンピューター」です。

• ユーザー権限の管理では、どのユーザーがFASを使用してVDAにサインインできるかを指定できます。ユーザーのリストはデフォルトで「ドメインユーザー」です。

注:

FASサーバーのドメインがVDAおよびユーザーのドメインと異なる場合、デフォルトの制限を変更する必要があります。

クラウドルール: Citrix WorkspaceからIDアサーションが受信されたときにルールが適用されるかどうかを示します。Citrix Cloudに接続するときに、Citrix Cloudに使用するルールを選択します。Citrix Cloudに接続した後、Citrix Cloudへの接続セクションのリンクからルールを変更することもできます。

Citrix Cloudへの接続

FASサーバーをCitrix WorkspaceでCitrix Cloudに接続できます。このCitrix Workspaceの記事を参照してください。

1. [初期設定] タブで、Citrix Cloudへの接続の下にある接続をクリックします。

   

2. 接続するクラウドを選択し、次へをクリックします。

   

   注

   プレビューではCitrix Cloudのみが利用可能です。

3. ウィンドウに一意の登録コードが表示されます。これはCitrix Cloudで承認する必要があります。詳細については、オンプレミス製品をCitrix Cloudに登録するを参照してください。

   

4. 登録コードが検証されたら、ドロップダウンリストから必要なリソースの場所を選択します。

   

5. 該当する場合は顧客アカウントを選択し、FASサーバーを接続するリソースの場所を選択します。続行をクリックし、確認ウィンドウを閉じます。

6. ルールの選択セクションで、既存のルールを使用するか、新しいルールを作成します。次へをクリックします。

   

7. 概要セクションで、完了をクリックしてCitrix Cloudへの接続を完了します。

   

Citrix CloudはFASサーバーを登録し、Citrix Cloudアカウントの[リソースの場所]ページに表示します。

注

オンプレミスのFASサーバーは、Citrix CloudとCitrix Virtual Apps and Desktopsへのアクセスを同時に許可するユーザー証明書を発行できます。

Citrix Cloudからの切断

このCitrix Workspaceの記事で説明されているように、Citrix Cloudのリソースの場所からFASサーバーを削除した後、Citrix Cloudへの接続で無効にするを選択します。