製品ドキュメント
XenApp and XenDesktop
7.15 LTSR
PDFを表示

フェデレーション認証サービス アーキテクチャの概要

May 20, 2026
寄稿者: 
C C

はじめに

フェデレーション認証サービス (FAS) は、Active Directory証明機関 (CA) と統合されるCitrix®コンポーネントであり、ユーザーがCitrix環境内でシームレスに認証されることを可能にします。このドキュメントでは、お客様の展開に適したさまざまな認証アーキテクチャについて説明します。

有効にすると、FASはユーザー認証の決定を信頼されたStoreFront™サーバーに委任します。StoreFrontには、最新のWebテクノロジーに基づいて構築された包括的な組み込み認証オプションが用意されており、StoreFront SDKまたはサードパーティのIISプラグインを使用して簡単に拡張できます。基本的な設計目標は、Webサイトにユーザーを認証できるあらゆる認証テクノロジーが、Citrix XenAppまたはXenDesktop展開へのログインに使用できるようになったことです。

このドキュメントでは、複雑さが増す順に、いくつかのトップレベルの展開アーキテクチャの例を説明します。

関連するFAS記事へのリンクが提供されています。すべてのアーキテクチャについて、フェデレーション認証サービスの記事がFASをセットアップするための主要なリファレンスです。

仕組み

FASは、StoreFrontによって認証されたActive Directoryユーザーに代わって、スマートカードクラスの証明書を自動的に発行することを承認されています。これは、管理者が物理スマートカードをプロビジョニングできるツールと同様のAPIを使用します。

ユーザーがCitrix XenAppまたはXenDesktop® Virtual Delivery Agent (VDA) に仲介されると、証明書はマシンに添付され、Windowsドメインはログオンを標準のスマートカード認証として認識します。

内部デプロイメント

FASを使用すると、ユーザーはKerberosシングルサインオン(SSO)を含むさまざまな認証オプションを使用してStoreFrontに安全に認証し、完全に認証されたCitrix HDX™セッションに接続できます。

これにより、ユーザー資格情報やスマートカードPINを入力するプロンプトなしで、またSSOサービスなどの「保存されたパスワード管理」機能を使用せずにWindows認証が可能になります。これは、以前のバージョンのXenAppで利用可能だったKerberos制約付き委任ログオン機能を置き換えるために使用できます。

スマートカードでエンドポイントデバイスにログオンするかどうかにかかわらず、すべてのユーザーはセッション内で公開鍵インフラストラクチャ(PKI)証明書にアクセスできます。これにより、スマートカードリーダーを持たないスマートフォンやタブレットなどのデバイスからでも、二要素認証モデルへのスムーズな移行が可能になります。

この展開では、FASを実行するサーバーが追加され、このサーバーはユーザーに代わってスマートカードクラスの証明書を発行することを承認されています。これらの証明書は、スマートカードログオンが使用されたかのように、Citrix HDX環境のユーザーセッションにログオンするために使用されます。

ローカライズされた画像

XenAppまたはXenDesktop環境は、スマートカードログオンと同様の方法で構成する必要があります。これについては、CTX206156に記載されています。

既存の展開では、通常、ドメイン参加済みのMicrosoft証明機関(CA)が利用可能であり、ドメインコントローラーにドメインコントローラー証明書が割り当てられていることを確認するだけで済みます。(CTX206156の「ドメインコントローラー証明書の発行」セクションを参照してください。)

関連情報:

ネットスケーラー ゲートウェイ®の展開

NetScalerの展開は内部展開と似ていますが、Citrix NetScaler GatewayがStoreFrontとペアリングされ、主要な認証ポイントがNetScaler自体に移動します。Citrix NetScalerには、企業のWebサイトへのリモートアクセスを保護するために使用できる高度な認証および承認オプションが含まれています。

この展開を使用すると、最初にNetScalerに認証してからユーザーセッションにログオンする際に発生する複数のPINプロンプトを回避できます。また、ADパスワードやスマートカードを必要とせずに、高度なNetScaler認証テクノロジーを使用することもできます。

ローカライズされた画像

注:

バックエンドリソースがWindows VDAまたはLinux VDAのどちらであっても、違いはありません。

XenAppまたはXenDesktop環境は、スマートカードログオンと同様の方法で構成する必要があります。これはCTX206156に記載されています。

既存の展開では、通常、ドメインに参加しているMicrosoft証明機関(CA)が利用可能であり、ドメインコントローラーにドメインコントローラー証明書が割り当てられていることを確認するだけで済みます。(CTX206156の「ドメインコントローラー証明書の発行」セクションを参照してください。)」

NetScalerをプライマリ認証システムとして構成する場合、NetScalerとStoreFront間のすべての接続がTLSで保護されていることを確認してください。特に、この展開でNetScalerサーバーを認証するために使用できるため、Callback URLがNetScalerサーバーを指すように正しく構成されていることを確認してください。

ローカライズされた画像

関連情報:

エーディーエフエス サムル 展開

主要なNetScaler認証テクノロジーにより、SAML IDプロバイダー(IdP)として機能できるMicrosoft ADFSとの統合が可能になります。SAMLアサーションは、信頼されたIdPによって発行される暗号化署名されたXMLブロックであり、ユーザーがコンピューターシステムにログオンすることを承認します。これは、FASサーバーがユーザーの認証をMicrosoft ADFSサーバー(またはその他のSAML対応IdP)に委任できるようになったことを意味します。

ローカライズされた画像

ADFSは、インターネット経由でリモートから企業リソースへのユーザー認証を安全に行うためによく使用されます。たとえば、Office 365統合によく使用されます。

関連情報:

B2Bアカウントマッピング

2つの企業が互いのコンピューターシステムを使用したい場合、一般的な選択肢は、信頼関係を持つActive Directory Federation Service (ADFS) サーバーをセットアップすることです。これにより、ある企業のユーザーは、別の企業のActive Directory (AD) 環境にシームレスに認証できます。ログオン時、各ユーザーは自社のログオン資格情報を使用します。ADFSはこれをピア企業のAD環境内の「シャドウアカウント」に自動的にマッピングします。

ローカライズされた画像

関連情報:

ウィンドウズ 10 アジュール AD ジョイン

Windows 10では、「Azure AD Join」という概念が導入されました。これは従来のWindowsドメイン参加と概念的には似ていますが、「インターネット経由」のシナリオを対象としています。これはラップトップやタブレットでうまく機能します。従来のWindowsドメイン参加と同様に、Azure ADには企業ウェブサイトやリソース向けのSSOモデルを可能にする機能があります。これらはすべて「インターネット対応」であるため、オフィスLANだけでなく、インターネットに接続されたあらゆる場所から機能します。

ローカライズされた画像

この展開は、「オフィスにいるエンドユーザー」という概念が実質的に存在しない例です。ラップトップは、最新のAzure AD機能を使用して、完全にインターネット経由で登録および認証されます。

この展開のインフラストラクチャは、IPアドレスが利用可能な場所であればどこでも実行できます。オンプレミス、ホスト型プロバイダー、Azure、またはその他のクラウドプロバイダーです。Azure AD Connectシンクロナイザーは、Azure ADに自動的に接続します。例のグラフィックでは、簡潔にするためにAzure VMを使用しています。

関連情報:

フェデレーション認証サービス アーキテクチャの概要
May 20, 2026
寄稿者: 
C C
May 20, 2026
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.