フェデレーション認証サービス

Citrix フェデレーション認証サービス (FAS) は、Active Directory 証明書サービスと統合するように設計された特権コンポーネントです。ユーザーに証明書を動的に発行し、スマートカードを持っているかのように Active Directory 環境にログオンできるようにします。FAS を使用すると、StoreFront™ は SAML (Security Assertion Markup Language) アサーションなど、より広範な認証オプションを使用できます。SAML は、インターネット上で従来の Windows ユーザーアカウントの代替として一般的に使用されています。

次の図は、FAS と証明機関が統合され、StoreFront および XenApp と XenDesktop® Virtual Delivery Agent (VDA) にサービスを提供する様子を示しています。

ユーザーが Citrix 環境へのアクセスを要求すると、信頼された StoreFront サーバーはフェデレーション認証サービス (FAS) に接続します。FAS は、単一の XenApp® または XenDesktop セッションがそのセッションの証明書で認証することを許可するチケットを付与します。VDA がユーザーを認証する必要がある場合、FAS に接続してチケットを引き換えます。ユーザー証明書の秘密キーにアクセスできるのは FAS のみです。VDA は、証明書で必要となる署名および復号化の各操作を FAS に送信します。

必要条件

フェデレーション認証サービスは、Windows サーバー (Windows Server 2008 R2 以降) でサポートされています。

• Citrix は、他の Citrix コンポーネントがインストールされていないサーバーに FAS をインストールすることを推奨します。
• Windows Server はセキュリティで保護されている必要があります。登録機関証明書とそれに対応する秘密キーにアクセスできます。サーバーはこれらのアクセスを使用して、ドメインユーザーに証明書を発行します。発行されると、サーバーはユーザー証明書と秘密キーにもアクセスできます。
• FAS PowerShell SDK には、FAS サーバーに Windows PowerShell 64 ビットがインストールされている必要があります。
• ユーザー証明書を発行するには、Microsoft Enterprise などの証明機関、または Citrix Ready プログラムで検証されたその他の証明機関が必要です。

• Microsoft 以外の証明機関の場合は、以下を確認してください。

  • 証明機関 (CA) が Active Directory に登録サービスとして登録されていること。
  • CA証明書はドメインコントローラーのNTAuthストアにあります。詳細については、エンタープライズNTAuthストアにサードパーティの証明機関（CA）証明書をインポートする方法を参照してください。

In the XenApp or XenDesktop Site:

• Delivery Controller はバージョン 7.15 以降である必要があります。
• VDA はバージョン 7.15 以降である必要があります。マシンカタログを作成する前に、FAS グループポリシー構成を VDA に適用してください。詳しくは、「グループポリシーの構成」を参照してください。
• StoreFront サーバーはバージョン 3.12 以降である必要があります (XenApp および XenDesktop 7.15 ISO は 3.12 StoreFront バージョンをサポートしています)。

このサービスの展開を計画する際は、「セキュリティに関する考慮事項」セクションを確認してください。

参照:

• アクティブディレクトリ証明書サービス

https://docs.microsoft.com/ja-jp/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831740(v=ws.11)?redirectedfrom=MSDN

• 証明書ログオンのための Windows の構成

https://support.citrix.com/article/CTX206156

インストールとセットアップの順序

1. フェデレーション認証サービスをインストールする
2. StoreFront サーバーでフェデレーション認証サービスプラグインを有効にする
3. グループポリシーを構成する
4. フェデレーション認証サービス管理コンソールを使用して、次の操作を行います。(a) 提供されたテンプレートを展開する、(b) 証明機関をセットアップする、(c) フェデレーション認証サービスが証明機関を使用することを承認する
5. ユーザー規則を構成する

フェデレーション認証サービスをインストールする

セキュリティのため、CitrixはFASをドメインコントローラーや証明機関と同様に、専用サーバーにインストールすることを推奨します。ISOが挿入されたときに、自動実行スプラッシュ画面のFederated Authentication ServiceボタンからFASをインストールできます。

このプロセスにより、以下のコンポーネントがインストールされます。

• フェデレーション認証サービス
• フェデレーション認証サービスをリモートで構成するための(/ja-jp/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service.html#powershell-sdk)
• フェデレーション認証サービス(/ja-jp/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service.html#using-the-federated-authentication-service-administration-console)
• Federated Authentication Service Group Policy templates (CitrixFederatedAuthenticationService.admx/adml)
• シンプルな証明機関構成用の証明書テンプレートファイル
• (/ja-jp/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service.html#performance-counters)および(/ja-jp/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service.html#event-logs)

StoreFrontストアでフェデレーション認証サービスプラグインを有効にする

StoreFrontストアでフェデレーション認証サービス統合を有効にするには、管理者アカウントとして以下のPowerShellコマンドレットを実行します。複数のストアがある場合、またはストアの名前が異なる場合、以下のパスのテキストは異なることがあります。

```
Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module

$StoreVirtualPath = "/Citrix/Store"

$store = Get-STFStoreService -VirtualPath $StoreVirtualPath

$auth = Get-STFAuthenticationService -StoreService $store

Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"

Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy--> ```

FASの使用を停止するには、以下のPowerShellスクリプトを使用します。

```
Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module

$StoreVirtualPath = "/Citrix/Store"

$store = Get-STFStoreService -VirtualPath $StoreVirtualPath

$auth = Get-STFAuthenticationService -StoreService $store

Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"

Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy--> ```

デリバリーコントローラー™を構成する

FASを使用するには、XenAppまたはXenDesktop デリバリーコントローラーが接続できるストアフロントサーバーを信頼するように構成します。Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true PowerShellコマンドレットを実行します。

グループポリシーを構成する

FASをインストールした後、インストール時に提供されるグループポリシーテンプレートを使用して、グループポリシーでFASサーバーの完全なDNSアドレスを指定します。

重要： チケットを要求するStoreFrontサーバーとチケットを引き換えるVDAが、グループポリシーオブジェクトによって適用される自動サーバー番号付けを含め、DNSアドレスの構成が同一であることを確認してください。

以下の例では、すべてのマシンに適用されるドメインレベルで単一のポリシーを構成します。ただし、StoreFrontサーバー、VDA、およびFAS管理コンソールを実行しているマシンが同じDNSアドレスのリストを参照している限り、FASは機能します。グループポリシーオブジェクトは各エントリにインデックス番号を追加しますが、複数のオブジェクトが使用される場合、これも一致する必要があります。

Step 1. On the server where you installed the FAS, locate the C:\Program Files\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx file and the en-US folder.

手順2. ファイルとフォルダーをドメインコントローラーにコピーし、C:\Windows\PolicyDefinitionsおよびen-USサブフォルダーに配置します。

手順3. Microsoft Management Console（コマンドラインからmmc.exe）を実行します。メニューバーから、ファイル > スナップインの追加と削除を選択します。グループポリシー管理エディターを追加します。

グループポリシーオブジェクトの入力を求められたら、参照を選択し、Default Domain Policyを選択します。また、任意のツールを使用して、環境に適したポリシーオブジェクトを作成および選択することもできます。このポリシーは、影響を受けるCitrixソフトウェア（VDA、StoreFrontサーバー、管理ツール）を実行しているすべてのマシンに適用する必要があります。

手順4. コンピューターの構成/ポリシー/管理用テンプレート/Citrixコンポーネント/認証にあるFederated Authentication Serviceポリシーに移動します。

手順5. Federated Authentication Serviceポリシーを開き、有効を選択します。このオプションを使用すると、表示ボタンを選択して、FASサーバーのDNSアドレスを構成できます。

手順6. Federated Authentication ServiceをホストしているサーバーのDNSアドレスを入力します。

注意： 複数のアドレスを入力する場合、空白または未使用のエントリを含め、リストの順序はStoreFrontサーバーとVDAの間で一貫している必要があります。

ステップ 7. OKをクリックしてグループポリシーウィザードを終了し、グループポリシーの変更を適用します。変更を有効にするには、マシンを再起動するか（またはコマンドラインからgpupdate /forceを実行する）必要がある場合があります。

セッション内証明書サポートを有効にし、ロック時に切断する

セッション内証明書サポート

グループポリシーテンプレートには、セッション内証明書用にシステムを構成するためのサポートが含まれています。これにより、ログオン後にユーザーの個人証明書ストアに証明書が配置され、アプリケーションで使用できるようになります。たとえば、VDAセッション内でWebサーバーへのTLS認証が必要な場合、Internet Explorerはその証明書を使用できます。VDAは、デフォルトではログオン後に証明書へのアクセスを許可しません。

ロック時に切断

このポリシーが有効になっている場合、ユーザーが画面をロックすると、ユーザーのセッションは自動的に切断されます。この動作は「スマートカード取り外し時に切断」ポリシーに似ており、ユーザーがActive Directoryログオン資格情報を持っていない場合に役立ちます。

注：

ロック時に切断するポリシーは、VDA上のすべてのセッションに適用されます。

フェデレーテッド認証サービス管理コンソールの使用

フェデレーション認証サービス管理コンソールは、フェデレーション認証サービスの一部としてインストールされます。アイコン（Citrix フェデレーション認証サービス）は、スタートメニューに配置されます。

コンソールは、グループポリシー構成を使用して、環境内のFASサーバーを自動的に検索しようとします。このプロセスが失敗した場合は、「グループポリシーの構成」セクションを参照してください。

Federated Authentication Serviceを実行しているマシンのAdministratorsグループにユーザーアカウントが属していない場合、資格情報の入力を求められます。

管理コンソールを初めて使用すると、次の3つの手順で構成されるプロセスが案内されます。

• 証明書テンプレートを展開します。
• 証明機関をセットアップします。
• フェデレーション認証サービスが証明機関を使用することを承認します。

OS構成ツールを使用して、一部の手順を手動で完了できます。

証明書テンプレートを展開する

他のソフトウェアとの相互運用性の問題を回避するため、Federated Authentication Serviceは独自の用途のために3つのCitrix証明書テンプレートを提供します。

• Citrix_登録機関_手動承認
• Citrix_登録機関
• Citrix_スマートカードログオン

これらのテンプレートはActive Directoryに登録する必要があります。コンソールがそれらを検出できない場合、証明書テンプレートを展開するツールでインストールできます。このツールは、Enterpriseフォレストを管理する権限を持つアカウントとして実行する必要があります。

テンプレートの構成は、Federated Authentication Serviceとともにインストールされる拡張子.certificatetemplateのXMLファイルにあります。場所は次のとおりです。

C:\Program Files\Citrix\Federated Authentication Service\CertificateTemplates

これらのテンプレートファイルをインストールする権限がない場合は、Active Directory管理者に渡してください。

テンプレートを手動でインストールするには、次のPowerShellコマンドを使用します。

```
$template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")

 $CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService

 $CertEnrol.InitializeImport($template)

 $comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
$writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable

 $writabletemplate.Initialize($comtemplate)

 $writabletemplate.Commit(1, $NULL)
 <!--NeedCopy--> ```

Active Directory証明書サービスをセットアップする

Citrix証明書テンプレートをインストールしたら、1つ以上の証明機関サーバーに公開する必要があります。Active Directory証明書サービスの展開方法については、Microsoftのドキュメントを参照してください。

テンプレートが少なくとも1つのサーバーに公開されていない場合、証明機関のセットアップツールがそれらを公開することを提案します。このツールは、証明機関を管理する権限を持つユーザーとして実行する必要があります。

（証明書テンプレートは、Microsoft証明機関コンソールを使用して公開することもできます。）

フェデレーション認証サービスを承認する

コンソールでの最終セットアップ手順により、フェデレーション認証サービスの承認が開始されます。管理コンソールは、Citrix_RegistrationAuthority_ManualAuthorizationテンプレートを使用して証明書要求を生成します。その後、その要求をそのテンプレートを公開している証明機関のいずれかに送信します。

要求が送信されると、Microsoft証明機関コンソールの保留中の要求リストに表示されます。フェデレーション認証サービスの構成を続行する前に、証明機関管理者は要求を発行するか拒否するかを選択する必要があります。承認要求は、FASマシンアカウントからの保留中の要求として表示されます。

すべてのタスクを右クリックし、証明書要求に対して発行または拒否を選択します。フェデレーション認証サービス管理コンソールは、このプロセスが完了したことを自動的に検出します。この手順には数分かかる場合があります。

ユーザー規則を構成する

ユーザー規則は、StoreFront の指示に従って、VDA ログオンおよびセッション内使用のための証明書の発行を承認します。各規則は以下を指定します。

• 証明書を要求するために信頼されている StoreFront サーバー。
• 証明書を要求できるユーザーのセット。
• 証明書の使用が許可されている VDA マシンのセット。

管理者は、Federated Authentication Service のセットアップを完了するために、デフォルトの規則を定義する必要があります。 デフォルトの規則を定義するには、FAS 管理コンソールのユーザー規則タブに移動し、Citrix_SmartcardLogon テンプレートが公開されている証明機関を選択して、StoreFront サーバーのリストを編集します。VDA のリストはデフォルトで Domain Computers に、ユーザーのリストはデフォルトで Domain Users に設定されています。これらのデフォルトが不適切な場合は変更できます。

フィールド:

証明機関と証明書テンプレート: ユーザー証明書の発行に使用される証明書テンプレートと証明機関。テンプレートは、Citrix_SmartcardLogon テンプレート、またはその変更されたコピーである必要があり、テンプレートが公開されている証明機関のいずれかに存在する必要があります。

FAS は、PowerShell コマンドを使用して、フェールオーバーと負荷分散のために複数の証明機関の追加をサポートしています。同様に、より高度な証明書生成オプションは、コマンドラインと構成ファイルを使用して構成できます。PowerShell および ハードウェアセキュリティモジュール のセクションを参照してください。

セッション内証明書: ログオン後に利用可能チェックボックスは、証明書をセッション内証明書としても使用できるかどうかを制御します。このチェックボックスが選択されていない場合、証明書はログオンまたは再接続にのみ使用され、ユーザーは認証後に証明書にアクセスできなくなります。

この規則を使用できる StoreFront サーバーのリスト: ユーザーのログオンまたは再接続のために証明書を要求することを承認されている、信頼された StoreFront サーバーマシンのリスト。この設定はセキュリティ上重要であり、慎重に管理する必要があります。

この規則によってログオンできる VDA デスクトップおよびサーバーのリスト: Federated Authentication Service システムを使用してユーザーをログオンできる VDA マシンのリスト。

StoreFront がこの規則を使用してログオンできるユーザーのリスト: Federated Authentication Service を介して証明書を発行できるユーザーのリスト。

高度な使用法

異なる証明書テンプレートと認証局を参照する追加のルールを作成し、異なるプロパティと権限を持つように構成できます。これらのルールは、異なるStoreFrontサーバーで使用するように構成できます。Group Policy Configurationオプションを使用して、StoreFrontサーバーがカスタムルールを名前で要求するように構成します。

デフォルトでは、StoreFrontはフェデレーション認証サービスに接続する際に default を要求します。これは、グループポリシー構成オプションを使用して変更できます。

証明書テンプレートを作成するには、Microsoft Certification AuthorityコンソールでCitrix_SmartcardLogonテンプレートを複製し、名前を変更（例：Citrix_SmartcardLogon2）して、必要に応じて変更します。新しい証明書テンプレートを参照するには、追加 をクリックしてユーザー ルールを作成します。

アップグレードに関する考慮事項

• インプレースアップグレードを実行すると、すべてのFederated Authentication Serviceサーバー設定が保持されます。
• フル製品のXenAppおよびXenDesktopインストーラーを実行して、フェデレーション認証サービスをアップグレードします。
• Federated Authentication Serviceを7.15 LTSRから7.15 LTSR CU2（またはそれ以降のサポートされているCU）にアップグレードする前に、ControllerおよびVDA（およびその他のコアコンポーネント）を必要なバージョンにアップグレードしてください。
• フェデレーション認証サービスをアップグレードする前に、フェデレーション認証サービスコンソールが閉じていることを確認してください。
• 常に少なくとも1つのFederated Authentication Serviceサーバーが利用可能であることを確認してください。Federation Authentication Serviceが有効なStoreFrontサーバーからサーバーに到達できない場合、ユーザーはログオンしたりアプリケーションを起動したりできません。

セキュリティに関する考慮事項

Federated Authentication Serviceには、ドメインユーザー向けに証明書を自律的に発行できる登録機関証明書があります。FASサーバーを保護し、その権限を制限するためのセキュリティポリシーを策定および実装することが重要です。

委任された登録エージェント

FASは、登録エージェントとして機能することでユーザー証明書を発行します。Microsoft Certification Authorityは、FASサーバーが使用できるテンプレートを制御します。また、FASサーバーが証明書を発行できるユーザーも決定します。

Citrixは、フェデレーション認証サービスが意図したユーザーにのみ証明書を発行できるように、これらのオプションを構成することを強く推奨します。例えば、フェデレーション認証サービスが管理者グループや保護されたユーザーグループのユーザーに証明書を発行するのを防ぐことは良い習慣です。

アクセス制御リストの構成

ユーザー規則の構成セクションで説明されているように、証明書が発行される際に、フェデレーション認証サービスにユーザーIDをアサートすることを信頼されているStoreFrontサーバーのリストを構成する必要があります。同様に、どのユーザーに証明書が発行されるか、およびどのVDAマシンに認証できるかを制限できます。この手順は、構成する標準のActive Directoryまたは証明機関のセキュリティ機能に追加されるものです。

ファイアウォール設定

FASサーバーへのすべての通信は、ポート80を介した相互認証されたWindows Communication Foundation (WCF) Kerberosネットワーク接続を使用します。

イベントログの監視

フェデレーション認証サービスとVDAは、Windowsイベントログに情報を書き込みます。このログは、監視および監査情報に使用できます。イベントログセクションには、生成される可能性のあるイベントログエントリがリストされています。

ハードウェアセキュリティモジュール

フェデレーション認証サービスによって発行されたユーザー証明書キーを含むすべての秘密キーは、ネットワークサービスアカウントによってエクスポート不可能な秘密キーとして保存されます。セキュリティポリシーで必要とされる場合、フェデレーション認証サービスは暗号化ハードウェアセキュリティモジュールの使用をサポートします。

低レベルの暗号化構成は、FederatedAuthenticationService.exe.configファイルで利用できます。これらの設定は、秘密キーが最初に作成されるときに適用されます。したがって、登録機関の秘密キー（例：4096ビット、TPM保護）とランタイムユーザー証明書には異なる設定を使用できます。

PowerShell ソフトウェア開発キット

Federated Authentication Service管理コンソールはシンプルな展開に適していますが、PowerShellインターフェイスはより高度なオプションを提供します。コンソールで利用できないオプションを使用する場合は、Citrixは構成にPowerShellのみを使用することを推奨します。

次のコマンドはPowerShellコマンドレットを追加します:

Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1

コマンドレットのヘルプを表示するには、Get-Help <cmdlet name> を使用します。次の表は、* が標準のPowerShell動詞 (New、Get、Set、Removeなど) を表すいくつかのコマンドを一覧表示しています。

PowerShellコマンドレットは、FASサーバーのアドレスを指定することでリモートで使用できます。

すべてのFAS PowerShellコマンドレットヘルプファイルを含むzipファイルをダウンロードすることもできます。PowerShell SDKの記事を参照してください。

パフォーマンスカウンター

フェデレーション認証サービスには、負荷追跡を目的とした一連のパフォーマンスカウンターが含まれています。

利用可能なカウンターを次の表に示します。ほとんどのカウンターは、5分間の移動平均です。

イベントログ

次の表に、フェデレーション認証サービスによって生成されるイベントログエントリを示します。

管理イベント

[Event Source: Citrix.Authentication.FederatedAuthenticationService]

FASは、FASサーバーでの構成変更に応じてこれらのイベントをログに記録します。

ID アサーションの作成 [フェデレーション認証サービス]

これらのイベントは、信頼されたサーバーがユーザーログオンをアサートしたときに、Federated Authentication Service サーバーで実行時にログに記録されます。

依拠当事者として機能する [フェデレーション認証サービス]

これらのイベントは、VDA がユーザーをログオンしたときに、Federated Authentication Service サーバーで実行時にログに記録されます。

セッション内証明書サーバー [フェデレーション認証サービス]

ユーザーがセッション内証明書を使用すると、これらのイベントはFederated Authentication Serviceサーバーにログ記録されます。

ログオン [VDA]

[Event Source: Citrix.Authentication.IdentityAssertion]

これらのイベントは、ログオン段階中にVDAにログ記録されます。

インセッション証明書 [VDA]

これらのイベントは、ユーザーがインセッション証明書を使用しようとしたときにVDAにログ記録されます。

証明書要求および生成コード [フェデレーテッド認証サービス]

[Event Source: Citrix.TrustFabric]

これらの低レベルイベントは、Federated Authentication Serviceサーバーがログレベルの暗号化操作を実行するときにログに記録されます。

関連する情報

• 一般的なFAS展開は、フェデレーション認証サービスアーキテクチャの概要記事にまとめられています。
• 「ハウツー」記事は、フェデレーション認証サービス構成と管理の記事で紹介されています。