製品ドキュメント
Federated Authentication Service
Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912
PDFを表示

展開アーキテクチャ

April 28, 2026
寄稿者: 
C C

はじめに

Federated Authentication Service (FAS) は、Citrix® コンポーネントであり、Active Directory 証明機関と統合して、ユーザーが Citrix 環境内でシームレスに認証できるようにします。このドキュメントでは、展開に適したさまざまな認証アーキテクチャについて説明します。

  • 有効にすると、FAS はユーザー認証の決定を信頼された StoreFront サーバーに委任します。StoreFront には、最新の Web テクノロジーに基づいて構築された包括的な組み込み認証オプションのセットがあり、StoreFront SDK またはサードパーティの IIS プラグインを使用して簡単に拡張できます。基本的な設計目標は、Web サイトにユーザーを認証できるあらゆる認証テクノロジーを、Citrix Virtual Apps または Citrix Virtual Desktops™ 展開へのログインに使用できるようになったことです。

  • このドキュメントでは、複雑さが増す順に、トップレベルの展開アーキテクチャの例について説明します。

  • 内部展開
  • Citrix Gateway展開
  • ADFS SAML
  • B2Bアカウントマッピング
  • Windows 10 Azure AD参加

関連する FAS 記事へのリンクが提供されています。すべてのアーキテクチャについて、インストールと構成の記事は、FAS のセットアップに関する主要なリファレンスです。

アーキテクチャの概要

FAS は、StoreFront によって認証された Active Directory ユーザーに代わって、スマートカードクラス証明書を自動的に発行する権限があります。これは、管理者が物理スマートカードをプロビジョニングできるツールと同様の API を使用します。ユーザーが Citrix Virtual Apps™ または Citrix Virtual Desktops Virtual Delivery Agent (VDA) に仲介されると、証明書はマシンにアタッチされ、Windows ドメインはログオンを標準のスマートカード認証として認識します。

ユーザーが Citrix 環境へのアクセスを要求すると、信頼された StoreFront™ サーバーは FAS に接続します。FAS は、そのセッションの証明書で単一の Citrix Virtual Apps または Citrix Virtual Desktops セッションを認証できるチケットを付与します。VDA がユーザーを認証する必要がある場合、FAS に接続し、チケットを引き換えます。FAS のみがユーザー証明書の秘密キーにアクセスできます。VDA は、証明書で実行する必要がある署名および復号化操作をそれぞれ FAS に送信する必要があります。

次の図は、FAS が Microsoft 証明機関と統合し、StoreFront および Citrix Virtual Apps and Desktops™ Virtual Delivery Agent (VDA) にサポートサービスを提供していることを示しています。

  • ローカライズされた画像

内部展開

FAS を使用すると、ユーザーはさまざまな認証オプション (Kerberos シングルサインオンを含む) を使用して StoreFront に安全に認証し、完全に認証された Citrix HDX™ セッションに接続できます。

これにより、ユーザー資格情報やスマートカード PIN の入力を求めるプロンプトなしで Windows 認証が可能になり、シングルサインオンサービスなどの「保存されたパスワード管理」機能を使用する必要がなくなります。これは、以前のバージョンの Citrix Virtual Apps で利用可能だった Kerberos 制約付き委任ログオン機能を置き換えるために使用できます。

すべてのユーザーは、エンドポイントデバイスにスマートカードでログオンしているかどうかにかかわらず、セッション内で公開鍵インフラストラクチャ (PKI) 証明書にアクセスできます。これにより、スマートカードリーダーを持たないスマートフォンやタブレットなどのデバイスからでも、二要素認証モデルへのスムーズな移行が可能になります。

  • この展開では、FAS を実行する新しいサーバーが追加され、ユーザーに代わってスマートカードクラス証明書を発行する権限があります。これらの証明書は、スマートカードログオンが使用されたかのように、Citrix HDX 環境のユーザーセッションにログオンするために使用されます。

ローカライズされた画像

Citrix Virtual Apps または Citrix Virtual Desktops 環境は、スマートカードログオンと同様の方法で構成する必要があります。これは CTX206156 に記載されています。

既存の展開では、通常、ドメイン参加済みの Microsoft 証明機関が利用可能であること、およびドメインコントローラーにドメインコントローラー証明書が割り当てられていることを確認するだけです。(CTX206156 の「ドメインコントローラー証明書の発行」セクションを参照してください。)

  • 関連情報

  • キーは、ハードウェアセキュリティモジュール (HSM) または組み込みのトラステッドプラットフォームモジュール (TPM) に保存できます。詳細については、秘密キーの保護の記事を参照してください。
  • インストールと構成の記事では、FAS のインストールと構成方法について説明しています。

Citrix Gateway展開

Citrix Gateway展開は内部展開と似ていますが、StoreFront とペアになった Citrix Gateway を追加し、認証の主要なポイントを Citrix Gateway 自体に移動します。Citrix Gateway には、会社の Web サイトへのリモートアクセスを保護するために使用できる高度な認証および承認オプションが含まれています。

この展開は、最初に Citrix Gateway に認証し、次にユーザーセッションにログインするときに発生する複数の PIN プロンプトを回避するために使用できます。また、AD パスワードやスマートカードを別途必要とせずに、高度な Citrix Gateway 認証テクノロジーを使用することもできます。

ローカライズされた画像

  • Citrix Virtual AppsまたはCitrix Virtual Desktops環境は、スマートカードログオンと同様の方法で構成する必要があります。これについては、CTX206156に記載されています。

既存の展開では、通常、ドメイン参加済みのMicrosoft証明機関が利用可能であること、およびドメインコントローラーにドメインコントローラー証明書が割り当てられていることを確認するだけです。(CTX206156の「Issuing Domain Controller Certificates」セクションを参照してください)。

Citrix Gatewayをプライマリ認証システムとして構成する場合、Citrix GatewayとStoreFront間のすべての接続がTLSで保護されていることを確認してください。特に、この展開でCitrix Gatewayサーバーを認証するために使用できるため、Callback UrlがCitrix Gatewayサーバーを指すように正しく構成されていることを確認してください。

ローカライズされた画像

関連情報:

ADFS SAML展開

主要なCitrix Gateway認証テクノロジーにより、SAML IDプロバイダー(IdP)として機能できるMicrosoft ADFSとの統合が可能になります。SAMLアサーションは、信頼されたIdPによって発行される暗号化署名されたXMLブロックであり、ユーザーがコンピューターシステムにログオンすることを承認します。これは、FASサーバーがユーザーの認証をMicrosoft ADFSサーバー(またはその他のSAML対応IdP)に委任できることを意味します。

ローカライズされた画像

ADFSは、インターネット経由でリモートから企業リソースにユーザーを安全に認証するためによく使用されます。たとえば、Office 365の統合によく使用されます。

関連情報:

  • ADFS展開の記事に詳細が記載されています。
  • インストールと構成の記事では、FASのインストールと構成方法について説明しています。
  • この記事のCitrix Gateway展開セクションには、構成に関する考慮事項が含まれています。

B2Bアカウントマッピング

2つの企業が互いのコンピューターシステムを使用したい場合、一般的な選択肢は、信頼関係を持つActive Directory Federation Service(ADFS)サーバーをセットアップすることです。これにより、一方の企業のユーザーは、もう一方の企業のActive Directory(AD)環境にシームレスに認証できます。ログオン時、各ユーザーは自社のログオン資格情報を使用し、ADFSはこれをピア企業のAD環境の「シャドウアカウント」に自動的にマッピングします。

ローカライズされた画像

関連情報:

Windows 10 Azure AD参加

Windows 10では、「Azure AD参加」の概念が導入されました。これは、従来のWindowsドメイン参加と概念的には似ていますが、「インターネット経由」のシナリオを対象としています。これは、ラップトップやタブレットでうまく機能します。従来のWindowsドメイン参加と同様に、Azure ADには、企業Webサイトやリソースのシングルサインオンモデルを可能にする機能があります。これらはすべて「インターネット対応」であるため、オフィスLANだけでなく、インターネットに接続された任意の場所から機能します。

ローカライズされた画像

この展開は、「オフィスにエンドユーザーがいない」という概念が実質的にない例です。ラップトップは、最新のAzure AD機能を使用して、インターネット経由で完全に登録および認証されます。

この展開のインフラストラクチャは、IPアドレスが利用可能な場所であればどこでも実行できることに注意してください。オンプレミス、ホスト型プロバイダー、Azure、またはその他のクラウドプロバイダーです。Azure AD Connect同期ツールは、Azure ADに自動的に接続します。例のグラフィックでは、簡素化のためにAzure VMを使用しています。

関連情報:

展開アーキテクチャ
April 28, 2026
寄稿者: 
C C
April 28, 2026
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.