製品ドキュメント
Federated Authentication Service
Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912
PDFを表示

展開アーキテクチャ

April 28, 2026
寄稿者: 
C C

はじめに

Federated Authentication Service (FAS) は、Citrix® のコンポーネントであり、Active Directory 証明機関と統合することで、ユーザーがCitrix環境内でシームレスに認証されることを可能にします。このドキュメントでは、展開に適したさまざまな認証アーキテクチャについて説明します。

  • 有効にすると、FASはユーザー認証の決定を信頼されたStoreFrontサーバーに委任します。StoreFrontには、最新のWebテクノロジーに基づいて構築された包括的な組み込み認証オプションがあり、StoreFront SDKまたはサードパーティのIISプラグインを使用して簡単に拡張できます。基本的な設計目標は、Webサイトにユーザーを認証できるあらゆる認証テクノロジーを、Citrix Virtual AppsまたはCitrix Virtual Desktops™展開へのログインに使用できることです。

  • このドキュメントでは、複雑さが増す順に、トップレベルの展開アーキテクチャの例について説明します。

  • 内部展開
  • Citrix Gateway展開
  • ADFS SAML
  • B2Bアカウントマッピング
  • Windows 10 Azure AD参加

関連するFAS記事へのリンクが提供されています。すべてのアーキテクチャについて、インストールと構成の記事は、FASをセットアップするための主要なリファレンスです。

アーキテクチャの概要

FASは、StoreFrontによって認証されたActive Directoryユーザーに代わって、スマートカードクラスの証明書を自動的に発行することを承認されています。これは、管理者が物理スマートカードをプロビジョニングできるツールと同様のAPIを使用します。ユーザーがCitrix Virtual Apps™またはCitrix Virtual Desktops Virtual Delivery Agent (VDA) に仲介されると、証明書がマシンにアタッチされ、Windowsドメインはログオンを標準のスマートカード認証として認識します。

信頼されたStoreFront™サーバーは、ユーザーがCitrix環境へのアクセスを要求するとFASに接続します。FASは、単一のCitrix Virtual AppsまたはCitrix Virtual Desktopsセッションがそのセッションの証明書で認証することを許可するチケットを付与します。VDAがユーザーを認証する必要がある場合、FASに接続してチケットを引き換えます。FASのみがユーザー証明書の秘密キーにアクセスできます。VDAは、証明書で実行する必要がある署名および復号化操作をすべてFASに送信する必要があります。

次の図は、FASがMicrosoft証明機関と統合し、StoreFrontおよびCitrix Virtual Apps and Desktops™ Virtual Delivery Agent (VDA) にサポートサービスを提供している様子を示しています。

  • localized image

内部展開

FASを使用すると、ユーザーはさまざまな認証オプション(Kerberosシングルサインオンを含む)を使用してStoreFrontに安全に認証し、完全に認証されたCitrix HDX™セッションに接続できます。

これにより、ユーザー資格情報やスマートカードPINを入力するプロンプトなしで、またシングルサインオンサービスなどの「保存されたパスワード管理」機能を使用せずにWindows認証が可能になります。これは、以前のバージョンのCitrix Virtual Appsで利用可能だったKerberos Constrained Delegationログオン機能を置き換えるために使用できます。

すべてのユーザーは、エンドポイントデバイスにスマートカードでログオンしているかどうかにかかわらず、セッション内で公開鍵基盤 (PKI) 証明書にアクセスできます。これにより、スマートフォンやタブレットなど、スマートカードリーダーを持たないデバイスからでも、2要素認証モデルへのスムーズな移行が可能になります。

  • この展開では、FASを実行する新しいサーバーが追加され、ユーザーに代わってスマートカードクラスの証明書を発行することが承認されます。これらの証明書は、スマートカードログオンが使用されたかのように、Citrix HDX環境のユーザーセッションにログオンするために使用されます。

localized image

Citrix Virtual AppsまたはCitrix Virtual Desktops環境は、スマートカードログオンと同様の方法で構成する必要があります。これはCTX206156に記載されています。

既存の展開では、通常、ドメインに参加しているMicrosoft証明機関が利用可能であり、ドメインコントローラーにドメインコントローラー証明書が割り当てられていることを確認するだけで済みます。(CTX206156の「Issuing Domain Controller Certificates」セクションを参照してください。)

  • 関連情報:

  • キーは、ハードウェアセキュリティモジュール (HSM) または組み込みのトラステッドプラットフォームモジュール (TPM) に保存できます。詳細については、秘密キーの保護の記事を参照してください。
  • インストールと構成の記事では、FASのインストールと構成方法について説明しています。

Citrix Gateway展開

Citrix Gateway展開は内部展開と似ていますが、StoreFrontとペアになったCitrix Gatewayが追加され、認証の主要なポイントがCitrix Gateway自体に移動します。Citrix Gatewayには、企業のWebサイトへのリモートアクセスを保護するために使用できる高度な認証および承認オプションが含まれています。

この展開は、最初にCitrix Gatewayに認証し、次にユーザーセッションにログインする際に発生する複数のPINプロンプトを回避するために使用できます。また、ADパスワードやスマートカードを別途必要とせずに、高度なCitrix Gateway認証テクノロジーを使用することもできます。

ローカライズされた画像

  • Citrix Virtual AppsまたはCitrix Virtual Desktops環境は、スマートカードログオンと同様の方法で構成する必要があります。これはCTX206156に記載されています。

既存の展開では、通常、ドメイン参加済みのMicrosoft証明機関が利用可能であり、ドメインコントローラーにドメインコントローラー証明書が割り当てられていることを確認するだけです。(CTX206156の「ドメインコントローラー証明書の発行」セクションを参照してください)。

Citrix Gatewayをプライマリ認証システムとして構成する場合、Citrix GatewayとStoreFront間のすべての接続がTLSで保護されていることを確認してください。特に、この展開でCitrix Gatewayサーバーを認証するために使用できるため、コールバックURLがCitrix Gatewayサーバーを指すように正しく構成されていることを確認してください。

ローカライズされた画像

関連情報:

ADFS SAML展開

主要なCitrix Gateway認証テクノロジーにより、SAML IDプロバイダー (IdP) として機能するMicrosoft ADFSとの統合が可能になります。SAMLアサーションは、信頼されたIdPによって発行される暗号化署名付きXMLブロックであり、ユーザーがコンピューターシステムにログオンすることを承認します。これは、FASサーバーがユーザーの認証をMicrosoft ADFSサーバー (またはその他のSAML対応IdP) に委任できることを意味します。

ローカライズされた画像

ADFSは、インターネット経由でリモートから企業リソースにユーザーを安全に認証するためによく使用されます。たとえば、Office 365統合によく使用されます。

関連情報:

  • ADFS展開の記事には詳細が記載されています。
  • インストールと構成の記事では、FASのインストールと構成方法について説明しています。
  • この記事のCitrix Gateway展開セクションには、構成に関する考慮事項が含まれています。

B2Bアカウントマッピング

2つの会社が互いのコンピューターシステムを使用したい場合、一般的なオプションは、信頼関係を持つActive Directory Federation Service (ADFS) サーバーをセットアップすることです。これにより、ある会社のユーザーは、別の会社のActive Directory (AD) 環境にシームレスに認証できます。ログオン時、各ユーザーは自社のログオン資格情報を使用し、ADFSはこれをピア会社のAD環境の「シャドウアカウント」に自動的にマッピングします。

ローカライズされた画像

関連情報:

Windows 10 Azure AD Join

Windows 10では、「Azure AD Join」という概念が導入されました。これは、従来のWindowsドメイン参加と概念的には似ていますが、「インターネット経由」のシナリオを対象としています。これはラップトップやタブレットでうまく機能します。従来のWindowsドメイン参加と同様に、Azure ADには、会社のWebサイトやリソースに対するシングルサインオンモデルを可能にする機能があります。これらはすべて「インターネット対応」であるため、オフィスLANだけでなく、インターネットに接続されたあらゆる場所から機能します。

ローカライズされた画像

この展開は、「オフィスにエンドユーザーがいない」という概念が実質的にない例です。ラップトップは、最新のAzure AD機能を使用して、インターネット経由で完全に登録および認証されます。

この展開のインフラストラクチャは、IPアドレスが利用可能な場所であればどこでも実行できることに注意してください。オンプレミス、ホスト型プロバイダー、Azure、またはその他のクラウドプロバイダーです。Azure AD Connectシンクロナイザーは、Azure ADに自動的に接続します。例のグラフィックでは、簡素化のためにAzure VMを使用しています。

関連情報:

展開アーキテクチャ
April 28, 2026
寄稿者: 
C C
April 28, 2026
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.