インストールと構成
インストールとセットアップの順序
- Federated Authentication Service (FAS) のインストール
- StoreFront ストアでの FAS プラグインの有効化
- Delivery Controller の構成
- グループポリシーの構成
- FAS 管理コンソールを使用して、以下を実行します。
-
Federated Authentication Service のインストール
セキュリティのため、Citrix では Federated Authentication Service (FAS) を専用サーバーにインストールすることをお勧めします。このサーバーは、ドメインコントローラーまたは証明機関と同様の方法で保護する必要があります。FAS は以下のいずれかからインストールできます。
- ISO の挿入時に自動実行スプラッシュ画面の [Federated Authentication Service] ボタンから、Citrix Virtual Apps and Desktops™ インストーラーを使用
- Citrix Virtual Apps and Desktops ISO の
x64\XenDesktop Setup\XenDesktopFasSetup.exeにあるXenDesktopFasSetup.exe -
スタンドアロンの FAS インストーラーファイルである
FasSetup_xxxx.exe( Citrix Downloads から入手可能) -
これらのいずれかをインストールすると、以下のコンポーネントがインストールされます。
- Federated Authentication Service
- 高度な FAS 構成のための PowerShell スナップインコマンドレット
- FAS 管理コンソール
- FAS グループポリシーテンプレート (CitrixFederatedAuthenticationService.admx または CitrixFederatedAuthenticationService.adml)
- 証明書テンプレートファイル
- パフォーマンスカウンター および イベントログ
- FAS の常時トレースをサポートする Citrix Telemetry Service
- 常時トレースなどの診断情報を収集するために使用できるアプリケーションである Citrix Scout
インストーラーについて詳しくは、FAS のインストールに関するコマンドラインオプションを参照してください。
FAS のアップグレード
インプレースアップグレードを使用して、FAS を新しいバージョンにアップグレードできます。アップグレードする前に、以下を考慮してください。
- インプレースアップグレードを実行すると、すべての FAS サーバー設定が保持されます。
- FAS をアップグレードする前に、FAS 管理コンソールを必ず閉じてください。
- 常に少なくとも 1 つの FAS サーバーが利用可能であることを確認してください。Federation Authentication Service が有効な StoreFront™ サーバーからサーバーに到達できない場合、ユーザーはログオンしたりアプリケーションを起動したりできません。
アップグレードを開始するには、Citrix Virtual Apps and Desktops インストーラーまたはスタンドアロンの FAS インストーラーファイルから FAS をインストールします。
StoreFront ストアでの FAS プラグインの有効化
注:
FAS を Citrix Cloud でのみ使用している場合は、この手順は不要です。
StoreFront ストアで FAS プラグインを有効にする方法について詳しくは、https://docs.citrix.com/en-us/storefront/current-release/configure-authentication-and-delegation/fas を参照してください。
Delivery Controller™ の構成
注:
FAS を Citrix Cloud でのみ使用している場合は、この手順は不要です。
FAS を使用するには、Citrix Virtual Apps または Citrix Virtual Desktops™ Delivery Controller が接続先の StoreFront サーバーを信頼するように構成します。Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true PowerShell コマンドレットを実行します。このコマンドは、サイト上の Delivery Controller の数に関係なく、サイトごとに 1 回実行します。
グループポリシーの構成
注:
すべての FAS サーバーと VDA がバージョン 2511 以降の場合、VDA 上のグループポリシー FQDN リストは不要になります。FAS V2 チケット発行とレジストリアドレスリストを参照してください。
FAS をインストールした後、インストールで提供されるグループポリシーテンプレートを使用して、グループポリシー内のサーバーの完全修飾ドメイン名 (FQDN) を指定します。
重要:
チケットを要求する StoreFront サーバーとチケットを引き換える Virtual Delivery Agent (VDA) が、グループポリシーオブジェクトによって適用される自動サーバー番号付けを含め、FQDN の同一の構成を持つことを確認してください。
簡素化のため、以下の例では、すべてのマシンに適用されるドメインレベルで単一のポリシーを構成します。ただし、これは必須ではありません。FAS は、StoreFront サーバー、VDA、および FAS 管理コンソールを実行しているマシンが同じ FQDN のリストを参照している限り機能します。手順 6 を参照してください。
手順 1. FAS をインストールしたサーバーで、C:\Program Files\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx および CitrixBase.admx ファイルと、en-US フォルダーを見つけます。
手順 2. これらのファイルをドメインコントローラーにコピーし、C:\Windows\PolicyDefinitions および en-US サブフォルダーに配置します。
手順 3. Microsoft Management Console (コマンドラインから mmc.exe) を実行します。メニューバーから [ファイル] > [スナップインの追加と削除] を選択します。[グループポリシー管理エディター] を追加します。
グループポリシーオブジェクトの入力を求められたら、[参照] を選択し、[既定のドメインポリシー] を選択します。または、選択したツールを使用して、環境に適したポリシーオブジェクトを作成および選択することもできます。このポリシーは、影響を受ける Citrix ソフトウェア (VDA、StoreFront サーバー、管理ツール) を実行しているすべてのマシンに適用する必要があります。
手順 4. [コンピューターの構成/ポリシー/管理用テンプレート/Citrix コンポーネント/認証] で Federated Authentication Service ポリシーに移動します。
注:
Federated Authentication Service ポリシー設定は、CitrixBase.admx/CitrixBase.adml テンプレートファイルを PolicyDefinitions フォルダーに追加した場合にのみ、ドメイン GPO で利用できます。手順 3 の後、Federated Authentication Service ポリシー設定は [管理用テンプレート] > [Citrix コンポーネント] > [認証] フォルダーに表示されます。
ステップ 5. Federated Authentication Serviceポリシーを開き、有効を選択します。これにより、表示ボタンを選択できるようになり、FASサーバーのFQDNを構成できます。
ステップ 6. FASサーバーのFQDNを入力します。
-
重要:
-
複数のFQDNを入力する場合、VDA、StoreFrontサーバー(存在する場合)、およびFASサーバーから見て、リストの順序は一貫している必要があります。グループポリシー設定を参照してください。
ステップ 7. OKをクリックしてグループポリシーウィザードを終了し、グループポリシーの変更を適用します。変更を有効にするには、マシンを再起動するか(またはコマンドラインから gpupdate /force を実行する)必要がある場合があります。
セッション内動作
このポリシーは、ユーザーのVDAセッションでエージェントプロセスをアクティブ化し、セッション内証明書、同意、およびロック時の切断をサポートします。セッション内証明書は、このポリシーが有効になっている場合、および証明書の作成に使用されたFASルールでセッション内での使用が許可されている場合にのみ利用できます。ルールの構成を参照してください。
有効にすると、このポリシーが有効になり、ユーザーのVDAセッションでFASエージェントプロセスを実行できるようになります。
無効にすると、ポリシーが無効になり、FASエージェントプロセスが実行されなくなります。
プロンプトスコープ
このポリシーが有効な場合、プロンプトスコープは、アプリケーションがセッション内証明書を使用することを許可するための同意をユーザーに求める方法を制御します。次の3つのオプションがあります。
- 同意不要—このオプションはセキュリティプロンプトを無効にし、プライベートキーはサイレントに使用されます。
- プロセスごとの同意—実行中の各プログラムが個別に同意を求めます。
- セッションごとの同意—ユーザーがOKをクリックすると、このオプションはセッション内のすべてのプログラムに適用されます。
同意タイムアウト
このポリシーが有効な場合、同意タイムアウトは、同意が持続する期間(秒単位)を制御します。たとえば、300秒の場合、ユーザーは5分ごとにプロンプトが表示されます。値がゼロの場合、プライベートキー操作ごとにユーザーにプロンプトが表示されます。
ロック時の切断
このポリシーが有効な場合、ユーザーが画面をロックすると、ユーザーのセッションは自動的に切断されます。この動作は、「スマートカード取り外し時の切断」ポリシーに似ています。ユーザーがActive Directoryログオン資格情報を持っていない場合に、この機能を使用します。
注:
ロック時の切断ポリシーは、VDA上のすべてのセッションに適用されます。
-
Federated Authentication Service管理コンソールの使用
注:
FAS管理コンソールはほとんどの展開に適していますが、PowerShellインターフェイスはより高度なオプションを提供します。FAS PowerShellコマンドレットの詳細については、PowerShellコマンドレットを参照してください。
FAS管理コンソールはFASの一部としてインストールされます。アイコン(Citrix Federated Authentication Service)はスタートメニューに配置されます。
管理コンソールを初めて使用する際には、次のプロセスを通じてガイドされます。
- 証明書テンプレートの展開
- 証明機関のセットアップ
- FASが証明機関を使用するための承認
OS構成ツールを使用して、一部の手順を手動で完了することもできます。
FAS管理コンソールは、デフォルトでローカルFASサービスに接続します。必要に応じて、コンソールの右上にある別のサーバーに接続を使用してリモートサービスに接続できます。
証明書テンプレートの展開
他のソフトウェアとの相互運用性の問題を回避するため、FASは独自の用途のために3つのCitrix証明書テンプレートを提供します。
- Citrix_RegistrationAuthority_ManualAuthorization
- Citrix_RegistrationAuthority
- Citrix_SmartcardLogon
これらのテンプレートはActive Directoryに登録する必要があります。展開ボタンをクリックし、次にOKをクリックします。
テンプレートの構成は、FASとともにインストールされる拡張子 .certificatetemplate のXMLファイルにあります。
C:\Program Files\Citrix\Federated Authentication Service\CertificateTemplates
これらのテンプレートファイルをインストールする権限がない場合は、Active Directory管理者に渡してください。
テンプレートを手動でインストールするには、テンプレートを含むフォルダーから以下のPowerShellコマンドを実行します。
$template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
$CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
$CertEnrol.InitializeImport($template)
$comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
$writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
$writabletemplate.Initialize($comtemplate)
$writabletemplate.Commit(1, $NULL)
<!--NeedCopy-->
Active Directory証明書サービスの設定
Citrix証明書テンプレートをインストールした後、それらを1つ以上のMicrosoft Enterprise証明機関サーバーに公開する必要があります。Active Directory証明書サービスの展開方法については、Microsoftのドキュメントを参照してください。
証明機関を管理する権限を持つユーザーは、少なくとも1台のサーバーにテンプレートを公開する必要があります。[証明機関のセットアップ] を使用して公開します。
(証明書テンプレートは、Microsoft証明機関コンソールを使用して公開することもできます。)
Federated Authentication Serviceの承認
この手順により、FASの承認が開始されます。管理コンソールは、Citrix_RegistrationAuthority_ManualAuthorizationテンプレートを使用して証明書要求を生成し、そのテンプレートを公開しているいずれかの証明機関に送信します。
要求が送信されると、Microsoft証明機関コンソールの [保留中の要求] リストに、FASマシンアカウントからの保留中の要求として表示されます。FASの構成を続行する前に、証明機関管理者はその要求を発行または拒否する必要があります。
管理者が [発行] または [拒否] を選択するまで、FAS管理コンソールにはビジー状態の「スピナー」が表示されます。
Microsoft証明機関コンソールで、[すべてのタスク] を右クリックし、証明書要求に対して [発行] または [拒否] を選択します。[発行] を選択すると、FAS管理コンソールに承認証明書が表示されます。[拒否] を選択すると、コンソールにエラーメッセージが表示されます。
FAS管理コンソールは、このプロセスが完了したことを自動的に検出します。これには数分かかる場合があります。
ルールの構成
FASは、StoreFrontの指示に従い、VDAログオンおよびセッション内使用の証明書の発行を承認するためにルールを使用します。
各ルールは以下を指定します。
- 証明書を要求するために信頼されているStoreFrontサーバー
- 証明書が要求されるユーザーのセット
- 証明書の使用が許可されているVDAマシンのセット
Citrixは、「default」という名前のルールを作成することを推奨します。これは、StoreFrontがFASに接続する際に、同じ名前のルールを要求するためです。
異なる証明書テンプレートや証明機関を参照するカスタムルールをさらに作成し、異なるプロパティと権限を持つように構成できます。これらのルールは、異なるStoreFrontサーバーまたはWorkspaceで使用するように構成できます。グループポリシー構成オプションを使用して、StoreFrontサーバーがカスタムルールを名前で要求するように構成します。
[作成] (または [ルール] タブの [ルールの作成]) をクリックして、ルールを作成するための情報を収集するルール作成ウィザードを開始します。[ルール] タブには、各ルールの概要が表示されます。
ウィザードは以下の情報を収集します。
テンプレート: ユーザー証明書の発行に使用される証明書テンプレート。これはCitrix_SmartcardLogonテンプレート、またはその変更されたコピーである必要があります (証明書テンプレートを参照)。
証明機関: ユーザー証明書を発行し、テンプレートを公開する証明機関。FASは、フェールオーバーと負荷分散のために複数の証明機関の追加をサポートしています。選択した証明機関のステータスが「テンプレート利用可能」と表示されていることを確認してください。証明機関の管理を参照してください。
セッション内使用: [セッション内使用を許可] オプションは、VDAへのログオン後に証明書を使用できるかどうかを制御します。
- [セッション内使用を許可] が選択されていない場合 (デフォルト、推奨) — 証明書はログオンまたは再接続にのみ使用され、ユーザーは認証後に証明書にアクセスできません。
-
[セッション内使用を許可] が選択されている場合 — ユーザーは認証後に証明書にアクセスできます。ほとんどのお客様はこのオプションを選択しないでください。イントラネットWebサイトやファイル共有など、VDAセッション内からアクセスされるリソースは、Kerberosシングルサインオンを使用してアクセスできるため、セッション内証明書は必要ありません。
[セッション内使用を許可] を選択した場合、セッション内動作グループポリシーも有効にしてVDAに適用する必要があります。証明書は、ログオン後にアプリケーションで使用するためにユーザーの個人証明書ストアに配置されます。たとえば、VDAセッション内のWebサーバーへのTLS認証が必要な場合、Internet Explorerはその証明書を使用できます。
アクセスコントロール: ユーザーのログオンまたは再接続用の証明書を要求することを承認された、信頼できるStoreFrontサーバーマシンのリスト。これらのすべての権限について、個々のADオブジェクトまたはグループを追加できます。
重要:
「アクセス制御」設定はセキュリティ上非常に重要であり、慎重に管理する必要があります。
注:
FASサーバーをCitrix Cloudでのみ使用している場合、アクセス制御を構成する必要はありません。ルールがCitrix Cloudで使用される場合、StoreFrontのアクセス許可は無視されます。同じルールをCitrix CloudとオンプレミスのStoreFront展開の両方で使用できます。オンプレミスのStoreFrontでルールが使用される場合、StoreFrontのアクセス許可は引き続き適用されます。
デフォルトの許可(「IDアサート」が許可されている)はすべてを拒否します。したがって、StoreFrontサーバーを明示的に許可する必要があります。
制限: FASを使用してユーザーをログオンできるVDAマシンのリストと、FASを介して証明書を発行できるユーザーのリスト。
-
VDA権限の管理では、どのVDAがFASを使用してユーザーをログオンできるかを指定します。VDAのリストはデフォルトで「ドメインコンピューター」です。
-
ユーザー権限の管理では、どのユーザーがFASを使用してVDAにサインインできるかを指定します。ユーザーのリストはデフォルトで「ドメインユーザー」です。
注:
FASサーバーのドメインがVDAおよびユーザーのドメインと異なる場合、デフォルトの制限を変更する必要があります。
クラウド規則: Citrix WorkspaceからIDアサーションが受信されたときにルールが適用されるかどうかを示します。Citrix Cloudに接続するときに、Citrix Cloudで使用するルールを選択します。Citrix Cloudに接続した後、「Citrix Cloudへの接続」セクションのリンクからルールを変更することもできます。
Citrix Cloudへの接続
FASサーバーをCitrix WorkspaceでCitrix Cloudに接続できます。詳しくは、このCitrix Workspaceの記事を参照してください。
-
[初期設定] タブの「Citrix Cloudへの接続」で、接続をクリックします。
-
接続するクラウドを選択し、次へをクリックします。
-
ウィンドウに一意の登録コードが表示されます。これはCitrix Cloudで承認する必要があります。詳しくは、「オンプレミス製品をCitrix Cloudに登録する」を参照してください。
-
登録コードが検証されたら、ドロップダウンリストから必要な「リソースの場所」を選択します。
-
該当する場合は顧客アカウントを選択し、FASサーバーを接続するリソースの場所を選択します。続行をクリックし、確認ウィンドウを閉じます。
-
「規則の選択」セクションで、既存の規則を使用するか、新しい規則を作成します。次へをクリックします。
-
「概要」セクションで、完了をクリックしてCitrix Cloudへの接続を完了します。
Citrix CloudはFASサーバーを登録し、Citrix Cloudアカウントの「リソースの場所」ページに表示します。
注:
オンプレミスのFASサーバーは、Citrix CloudとCitrix Virtual Apps and Desktopsへのアクセスを同時に許可するためにユーザー証明書を発行できます。
Citrix Cloudからの切断
このCitrix Workspaceの記事に記載されているように、Citrix Cloudのリソースの場所からFASサーバーを削除した後、「Citrix Cloudへの接続」で無効化を選択します。