フェデレーション認証サービス

Citrix Federated Authentication Serviceは、Active Directory証明書サービスと統合するように設計されている、権限が付与されたコンポーネントです。Citrix Federated Authentication Serviceではユーザー向けの証明書が動的に発行され、ユーザーはスマートカードを持っている場合と同じようにActive Directory環境にログオンできます。これにより、StoreFrontで、SAML(Security Assertion Markup Language)アサーションなどの広範な認証オプションを使用できます。SAMLは、インターネット上で従来のWindowsユーザーアカウントに代わるものとして一般的に使用されています。

以下の図に、Microsoft証明機関と統合したフェデレーション認証サービスによる、StoreFrontとCitrix Virtual Apps and Desktops Virtual Delivery Agent(VDA)へのサポートサービスの提供について示します。

ローカライズされた画像

ユーザーがCitrix環境へのアクセスを要求すると、信頼済みのStoreFrontサーバーがFederated Authentication Service (FAS)にアクセスします。FASは、単一のCitrix Virtual AppsまたはCitrix Virtual Desktopsセッションがそのセッションの証明書で認証できるようにするチケットを付与します。VDAでユーザーを認証する必要がある場合、VDAはFASにアクセスしてチケットを使用します。ユーザー証明書の秘密キーにアクセスできるのはFASだけです。VDAは、証明書を使用して実行する必要のあるすべての署名処理および暗号化解除処理を、FASに送信しなければなりません。

要件

Federated Authentication ServiceはWindowsサーバー((Windows Server 2008 R2以降)でサポートされます。

  • FASは、ほかのCitrixコンポーネントを含まないサーバーにインストールすることをお勧めします。
  • Windowsサーバーはセキュリティ保護されている必要があります。Windowsサーバーには登録機関の証明書および秘密キーへのアクセス権限があり、ドメインユーザーに対して自動的に証明書を発行できます。また、これらのユーザー証明書および秘密キーへのアクセス権限もあります。

Citrix Virtual AppsサイトまたはCitrix Virtual Desktopsサイトの要件:

  • Delivery Controllerのバージョンは7.9以上である必要があります。

  • VDAのバージョンは7.9以上である必要があります。マシンカタログを通常どおりに作成する前に、Federated Authentication Serviceのグループポリシー構成が適切にVDAに適用されていることを確認してください。詳しくは、「グループポリシーの構成」セクションを参照してください。

  • StoreFrontサーバーのバージョンは3.6(XenAppおよびXenDesktop 7.9 ISOで提供されるバージョン)以上である必要があります。

このサービスの展開を計画する場合は、「セキュリティに関する考慮事項」セクションを参照してください。

参照先ドキュメント:

  • Active Directory証明書サービス

https://technet.microsoft.com/en-us/library/hh831740.aspx

  • 証明書ログオン用のWindowsの構成

http://support.citrix.com/article/CTX206156

インストールとセットアップの順序

  1. Federated Authentication Serviceのインストール
  2. StoreFrontサーバーでのFederated Authentication Serviceプラグインの有効化
  3. グループポリシーの構成
  4. フェデレーション認証サービスの管理コンソールを使用した作業:(a)提供されたテンプレートの展開、(b)証明機関のセットアップ、(c)フェデレーション認証サービスへの証明機関の使用権限の付与
  5. ユーザールールの構成

Federated Authentication Serviceのインストール

セキュリティ上の理由により、FASは、ドメインコントローラーや証明機関と同様にセキュリティ保護されている専用サーバーにインストールすることをお勧めします。FASは、ISOの挿入時に自動実行されるスプラッシュスクリーンの [フェデレーション認証サービス] ボタンからインストールできます。

以下のコンポーネントがインストールされます。

StoreFrontストアでのFederated Authentication Serviceプラグインの有効化

StoreFrontストアでFederated Authentication Serviceの統合を有効にするには、管理者アカウントで以下のPowerShellコマンドレットを実行します。複数のストアがある場合、またはストアの名前が異なる場合は、以下のパスのテキストが異なる可能性があります。

Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
$StoreVirtualPath = "/Citrix/Store"
$store = Get-STFStoreService -VirtualPath $StoreVirtualPath
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"

FASの使用を停止するには、以下のPowerShellスクリプトを使用します。

Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
$StoreVirtualPath = "/Citrix/Store"
$store = Get-STFStoreService -VirtualPath $StoreVirtualPath
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""

Delivery Controllerの構成

フェデレーション認証サービスを使用するには、このサービスに接続可能なStoreFrontサーバーを信頼するようにCitrix Virtual AppsまたはCitrix Virtual DesktopsのDelivery Controllerを構成します。PowerShellコマンドレット Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true を実行します。

グループポリシーの構成

Federated Authentication Serviceのインストール後は、インストールで提供されたグループポリシーテンプレートを使用して、グループポリシー内のFASサーバーの完全なDNSアドレスを指定する必要があります。

重要:

チケットを要求するStoreFrontサーバーおよびチケットを使用するVDAに、グループポリシーオブジェクトによって適用されるサーバーの自動番号設定を含む、同じDNSアドレス構成を行う必要があります。

説明をシンプルにするために、以下の例ではすべてのマシンに適用されるドメインレベルで単一のポリシーを構成していますが、これは必須ではありません。StoreFrontサーバー、VDA、およびFAS管理コンソールを実行しているマシンで同じDNSアドレスの一覧が参照されている限り、FASは機能します。グループポリシーオブジェクトによって各エントリにインデックス番号が追加されることに注意してください。このインデックス番号は、複数のオブジェクトを使用する場合も一致する必要があります。

手順1:FASをインストールしたサーバーで、C:\Program Files\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admxファイルおよびen-USフォルダーを見つけます。

ローカライズされた画像

手順2:これらをドメインコントローラーにコピーして、C:\Windows\PolicyDefinitionsおよびen-USサブフォルダーに配置します。

手順3:コマンドラインからMicrosoft管理コンソールを実行します(mmc.exe)。メニューバーから、[ファイル]>[スナップインの追加と削除]の順に選択します。 グループポリシー管理エディターを追加します。

グループポリシーオブジェクトを入力するための画面が開いたら、[参照]を選択してから[既定のドメインポリシー]を選択します。または、任意のツールを使用して、環境に応じたポリシーオブジェクトを作成して選択することもできます。このポリシーは、影響を受けるCitrixソフトウェア(VDA、StoreFrontサーバー、管理ツール)を実行しているすべてのマシンに適用する必要があります。

ローカライズされた画像

手順4:Computer Configuration/Policies/Administrative Templates/Citrix Components/Authenticationに配置されているFederated Authentication Serviceポリシーを参照します。

ローカライズされた画像

注:

Citrixフェデレーション認証サービスのポリシー設定は、CitrixBase.admxまたはCitrixBase.admlテンプレートファイルを\policyDefinitionsフォルダーに追加する際に、ドメインGPOでのみ使用できます。その後、フェデレーション認証サービスのポリシー設定は、[管理用テンプレート]>[Citrixコンポーネント]>[認証]フォルダーに表示されます。

手順5:Federated Authentication Serviceポリシーを開き、[有効]を選択します。これにより、FASサーバーのDNSアドレスを構成する[表示]ボタンを選択できるようになります。

ローカライズされた画像

手順6:Federated Authentication ServiceをホストしているサーバーのDNSアドレスを入力します。

注意:複数のアドレスを入力する場合は、StoreFrontサーバーとVDA間で一覧の順番が統一されている必要があります。これには、空白や使用されないエントリも含まれます。

手順7:[OK]をクリックしてグループポリシーウィザードを終了し、グループポリシーの変更を適用します。変更を反映させるには、マシンを再起動(またはコマンドラインからgpupdate /forceを実行)する必要がある場合があります。

セッション中の証明書サポートの有効化

グループポリシーテンプレートには、セッション中の証明書についてのシステムの構成のサポートが含まれます。これにより、ログオン後に、アプリケーションが使用できるようにユーザーの個人証明書ストアに証明書が配置されます。たとえば、VDAセッション内でWebサーバーへのTLS認証が必要な場合、証明書はInternet Explolerによって使用されます。デフォルトで、VDAはログオン後の証明書へのアクセスを許可しません。

ローカライズされた画像

Federated Authentication Service管理コンソールの使用

Federated Authentication Service管理コンソールは、Federated Authentication Serviceの一部としてインストールされます。[スタート]メニューにアイコン(Citrix Federated Authentication Service)が配置されます。

この管理コンソールは、グループポリシー構成を使用して、環境内のFASサーバーを自動的に検出します。この検出に失敗した場合は、「グループポリシーの構成」セクションを参照してください。

ローカライズされた画像

ユーザーアカウントが、Federated Authentication Serviceを実行しているマシンの管理者グループのメンバーでない場合は、資格情報を入力するための画面が開きます。

ローカライズされた画像

管理コンソールの初回使用時は、証明書テンプレートの展開、証明機関のセットアップ、およびFederated Authentication Serviceへの証明機関の使用権限の付与を行う3段階の手順が表示されます。一部の手順は、OS構成ツールを使用して手動で完了することもできます。

ローカライズされた画像

証明書テンプレートの展開

他のソフトウェアとの相互運用性の問題を避けるため、Federated Authentication Serviceでは、独自の目的で使用する3つのCitrix証明書テンプレートが用意されています。

  • Citrix_RegistrationAuthority_ManualAuthorization
  • Citrix_RegistrationAuthority
  • Citrix_SmartcardLogon

これらのテンプレートは、Active Directoryで登録する必要があります。コンソールでこれらのテンプレートが見つからない場合は、証明書テンプレートの展開ツールでインストールできます。このツールは、Enterpriseフォレストの管理権限があるアカウントとして実行する必要があります。

ローカライズされた画像

テンプレートの構成は、以下のフォルダーにFederated Authentication Serviceと一緒にインストールされた、拡張子「.certificatetemplate」のXMLファイル内にあります。

C:\Program Files\Citrix\Federated Authentication Service\CertificateTemplates

これらのテンプレートファイルをインストールする権限がない場合は、テンプレートファイルをActive Directory管理者に渡してください。

以下のPowerShellコマンドを使用すると、テンプレートを手動でインストールできます。

$template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
$CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
$CertEnrol.InitializeImport($template)
$comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
$writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
$writabletemplate.Initialize($comtemplate)
$writabletemplate.Commit(1, $NULL)

Active Directory証明書サービスのセットアップ

Citrix証明書テンプレートのインストール後は、これらのテンプレートを1つまたは複数のMicrosoft証明機関サーバーで公開する必要があります。Active Directory証明書サービスの展開方法について詳しくは、Microsoft社のドキュメントを参照してください。

どのサーバーでもテンプレートが公開されていない場合は、証明書機関のセットアップツールによって公開できます。このツールは、証明機関の管理権限のあるユーザーとして実行する必要があります。

(証明書テンプレートは、Microsoft証明機関コンソールを使用して公開することもできます。)

ローカライズされた画像

Federated Authentication Serviceへの権限付与

コンソールでの最終セットアップ手順では、Federated Authentication Serviceへの権限付与が開始されます。管理コンソールは、Citrix_RegistrationAuthority_ManualAuthorizationテンプレートを使用して証明書の要求生成し、この要求をテンプレートを公開する証明機関のいずれかに送信します。

ローカライズされた画像

要求は、送信後、Microsoft証明機関コンソールの[保留中の要求]リストに表示されます。Federated Authentication Serviceの構成を続行するには、証明機関の管理者が要求の[発行]または[拒否]を選択する必要があります。承認要求は、FASマシンアカウントからの[保留中の要求]として表示されます。

ローカライズされた画像

[すべてのタスク]を右クリックしてから、証明書要求に対して[発行]または[拒否]を選択します。Federated Authentication Service管理コンソールにより、このプロセスの完了が自動的に検出されます。この処理には数分かかることがあります。

ローカライズされた画像

ユーザールールの構成

ユーザールールにより、StoreFrontの指示に従って、VDAログオンおよびセッション中の使用に関する証明書発行の権限が付与されます。各ルールでは、証明書の要求を信頼するStoreFrontサーバー、証明書を要求できる一連のユーザー、および証明書の使用を許可する一連のVDAマシンを指定します。

Federated Authentication Serviceのセットアップを完了するには、管理者がFAS管理コンソールの[ユーザールール]タブに切り替え、Citrix_SmartcardLogonテンプレートの公開先となる証明機関を選択し、StoreFrontサーバーの一覧を編集して、デフォルトのルールを定義する必要があります。デフォルトでは、VDAの一覧には各ドメインコンピューターが含まれ、ユーザーの一覧には各ドメインユーザーが含まれます。デフォルトが適切でない場合は、これらを変更できます。

ローカライズされた画像

フィールド:

[証明機関および証明書テンプレート]:ユーザー証明書の発行に使用される証明書テンプレートおよび証明機関。これは、Citrix_SmartcardLogonテンプレートまたはこれのコピーを変更したものであり、いずれかの証明機関にはこのテンプレートが公開されている必要があります。

FASでは、フェールオーバーおよび負荷分散のために、PowerShellを使用して複数の証明機関の追加することができます。同様に、コマンドラインと構成ファイルを使用して、より詳細な証明書生成オプションを構成できます。詳しくは、「PowerShell」セクションおよび「ハードウェアセキュリティモジュール」セクションを参照してください。

[セッション中の証明書][ログオン後に使用可能]チェックボックスで、証明書をセッション中の証明書としても使用可能かどうかを制御します。このチェックボックスがオフの場合、証明書はログオンまたは再接続にのみ使用され、ユーザーは認証後、証明書にアクセスできなくなります。

[このルールを使用できるStoreFrontサーバーの一覧]: ユーザーのログオンまたは再接続用に証明書を要求する権限が付与された、信頼済みStoreFrontサーバーの一覧。この設定はセキュリティ上非常に重要であり、慎重に管理する必要があります。

ローカライズされた画像

[このルールによってログインできるVDAデスクトップおよびサーバーの一覧]:Federated Authentication Serviceシステムを使用してユーザーをログオンさせることができるVDAマシンの一覧。

ローカライズされた画像

[このルールを使用してStoreFrontがログインさせることのできるユーザーの一覧]:Federated Authentication Serviceを通じて証明書の発行を受けられるユーザーの一覧。

ローカライズされた画像

高度な使用方法

追加のルールを作成して、各種プロパティや権限が含まれるように構成されたさまざまな証明書テンプレートおよび証明機関を参照することができます。これらのルールは、名前別に新しいルールを要求するように構成する必要がある、各StoreFrontサーバーでの使用に合わせて構成できます。デフォルトでは、StoreFrontはFederated Authentication Serviceにアクセスするときにデフォルトを要求します。これは、グループポリシー構成オプションを使って変更できます。

新しい証明書テンプレートを作成するには、Microsoft証明機関コンソールでCitrix_SmartcardLogonテンプレートを複製して名前を(Citrix_SmartcardLogon2などに)変更し、必要に応じて変更を加えます。[追加] をクリックして新しい証明書テンプレートを参照し、新しいユーザールールを作成します。

アップグレードに関する考慮事項

  • インプレースアップグレードを行った場合、フェデレーション認証サービスサーバーの設定はすべて保持されます。
  • フェデレーション認証サービスのアップグレードは、Citrix Virtual Apps and Desktopsの全製品インストーラーで行ってください。
  • フェデレーション認証サービスをアップグレードする前に、Delivery ControllerとVDA(およびその他のコアコンポーネント)を所定のバージョンにアップグレードしてください。
  • フェデレーション認証サービスのアップグレード前に、フェデレーション認証サービスコンソールを必ず閉じてください。
  • 1台以上のフェデレーション認証サービスサーバーを常に利用可能な状態に維持してください。フェデレーション認証サービスに対応したStoreFrontサーバーから到達可能なサーバーがない場合、ユーザーはログオンやアプリケーションの起動を行えなくなります。

セキュリティに関する注意事項

Federated Authentication Serviceには、Federated Authentication Serviceがドメインユーザーの代わりに自律的に証明書を発行できるようにする、登録機関の証明書があります。このため、セキュリティポリシーを作成および実装してFASサーバーを保護し、権限を制限することは重要です。

委任された登録エージェント

Microsoft証明機関では、FASサーバーが使用可能なテンプレートの管理、およびFASサーバーが証明書を発行可能な対象ユーザーの制限を行うことができます。

ローカライズされた画像

Federated Authentication Serviceが必要なユーザーにのみ証明書を発行できるように、これらのオプションを構成することを強くお勧めします。たとえば、管理グループまたは保護されたユーザーのグループに属するユーザーにFederated Authentication Serviceが証明書を発行できないようにすることをお勧めします。

アクセス制御リストの構成

ユーザー規則の構成」セクションで説明しているように、証明書が発行された場合のフェデレーション認証サービスに対するユーザーIDの承認を信頼するStoreFrontサーバーの一覧を構成する必要があります。同様に、証明書の発行対象となるユーザー、およびユーザーが認証可能なVDAマシンを制限することができます。この操作は、標準で構成を行うActive Directoryまたは証明機関のセキュリティ機能に追加で行います。

ファイアウォールの設定

FASサーバーへのすべての通信では、相互認証されたWindows Communication Foundation(WCF)Kerberosネットワーク接続がポート80で使用されます。

イベントログの監視

Federated Authentication ServiceおよびVDAは、Windowsイベントログに情報を書き込みます。これは、情報の監視および監査に使用できます。「イベントログ」セクションに、生成される可能性のあるイベントログの一覧を示します。

ハードウェアセキュリティモジュール

Federated Authentication Serviceによって発行されたユーザー証明書の秘密キーを含むすべての秘密キーは、Network Serviceアカウントによってエクスポート不可の秘密キーとして保存されます。Federated Authentication Serviceは、セキュリティポリシーで暗号化ハードウェアセキュリティモジュールが必要とされる場合、このモジュールの使用をサポートします。

FederatedAuthenticationService.exe.configファイルでは、低レベルの暗号化構成が使用可能です。これらの設定は、秘密キーが最初に作成されたときに適用されます。そのため、登録機関の秘密キー(4096ビット、TPM保護など)およびランタイムのユーザー証明書には異なる設定が使用されることがあります。

パラメーター 説明
ProviderLegacyCsp trueに設定した場合、FASではMicrosoft CryptoAPI(CAPI)が使用されます。falseに設定した場合、FASではMicrosoft Cryptography Next Generation(CNG)APIが使用されます。
ProviderName 使用するCAPIまたはCNGプロバイダーの名前。
ProviderType Microsoft KeyContainerPermissionAccessEntry.ProviderType Property PROV_RSA_AES 24を参照します。CAPIでHSMを使用する場合、およびHSMベンダーで別のタイプを指定されている場合以外は、常に24である必要があります。
KeyProtection 秘密キーの「エクスポート可能」フラグを制御します。さらに、ハードウェアでサポートされている場合は、トラステッドプラットフォームモジュール(TPM)のキーストレージの使用も許可されます。
KeyLength RSA秘密キーのキー長。サポートされる値は1024、2048、および4096です(デフォルトは2048です)。

PowerShell SDK

シンプルな展開にはFederated Authentication Service管理コンソールが適していますが、PowerShellインターフェイスにはより詳細なオプションもあります。コンソールでは使用できないオプションを使用する場合は、PowerShellのみを使用して構成を行うことをお勧めします。

次のコマンドによってPowerShellコマンドレットが追加されます。

Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1

Get-Help <cmdlet name>を使用すると、コマンドレットのヘルプが表示されます。次の表にいくつかのコマンドの一覧を示します。「*」は標準のPowerShellの動詞を表します(New、Get、Set、Removeなど)。

コマンド 概要
*-FasServer 現在の環境のFASサーバーを一覧表示および再構成します。
*-FasAuthorizationCertificate 登録機関証明書を管理します。
*-FasCertificateDefinition FASが証明書の生成に使用するパラメーターを制御します。
*-FasRule Federated Authentication Serviceで構成済みのユーザールールを管理します。
*-FasUserCertificate Federated Authentication Serviceによってキャッシュされた証明書を一覧表示および管理します。

PowerShellコマンドレットは、FASサーバーのアドレスを指定することによってリモートで使用できます。

FAS PowerShellコマンドレットのすべてのヘルプファイルを含むzipファイルをダウンロードすることもできます。PowerShell SDKの記事を参照してください。

パフォーマンスカウンター

Federated Authentication Serviceには、負荷の追跡用の一連のパフォーマンスカウンターが含まれます。

ローカライズされた画像

次の表は、使用可能なカウンターの一覧です。ほとんどのカウンターは、5分間の移動平均値です、

名前 説明
アクティブなセッション Federated Authentication Serviceによって追跡される接続の数。
同時実行CSR数 同時に処理される証明書要求の数。
秘密キーの処理数 1分あたりに実行される秘密キー処理の数。
要求時間 証明書の生成および署名にかかる時間の長さ。
証明書の数 Federated Authentication Serviceでキャッシュされた証明書の数。
1分あたりのCSR 1分あたりに処理されるCSRの数。
低/中/高 「1分あたりのCSR」の観点からフェデレーション認証サービスが許容可能な負荷の推定値。「高負荷」しきい値を超過すると、セッションの起動に失敗することがあります。

イベントログ

次の表は、Federated Authentication Serviceで生成されるイベントログエントリの一覧です。

管理イベント

[イベントソース:Citrix.Authentication.FederatedAuthenticationService]

これらのイベントは、Federated Authentication Serviceサーバーでの構成変更に応じて記録されます。

ログコード
[S001] アクセス拒否:ユーザー[{0}]は管理者グループのメンバーではありません
[S002] アクセス拒否:ユーザー[{0}]はロール[{1}]の管理者ではありません
[S003] 管理者[{0}]は保守モードを[{1}]に設定しています
[S004] 管理者[{0}]はCA [{1}]テンプレート[{2} および {3}]で登録しています
[S005] 管理者[{0}]はCA [{1}]の権限を取り消しています
[S006] 管理者[{0}]は新しい証明書定義[{1}]を作成しています
[S007] 管理者[{0}]は証明書定義[{1}]を更新しています
[S008] 管理者[{0}]は証明書定義[{1}]を削除しています
[S009] 管理者[{0}]は新しいロール[{1}]を作成しています
[S010] 管理者[{0}]はロール[{1}]を更新しています
[S011] 管理者[{0}]はロール[{1}]を削除しています
[S012] 管理者[{0}]は証明書を作成しています[UPN:{0} SID:{1} ロール:{2}][証明書定義:{3}]
[S013] 管理者[{0}]は証明書を削除しています[UPN:{0}ロール:{1} 証明書定義:{2}]
ログコード
[S401] 構成アップグレードを実行中です – [開始バージョン{0}][to version {1}]
[S402] エラー:Citrixフェデレーション認証サービスはNetwork Serviceとして実行する必要があります[現在は{0}として実行中]
[S404] Citrixフェデレーション認証サービスのデータベースを強制的に消去しています
[S405] レジストリからデータベースへのデータの移行中にエラーが発生しました:[{0}]
[S406] レジストリからデータベースへのデータ移行が完了しました(注:ユーザー証明書は移行されない)
[S407] データベースが既に存在していたため、レジストリベースのデータはデータベースに移行されませんでした

IDアサーションの作成 [フェデレーション認証サービス]

これらのイベントは、信頼済みのサーバーがユーザーログオンをアサートすると、ランタイム時にFederated Authentication Serviceサーバーに記録されます。

ログコード
[S101] サーバー[{0}]にはロール[{1}]のIDをアサートする権限がありません
[S102] サーバー[{0}]はUPN [{1}]のアサートに失敗しました(例外:{2}{3})
[S103] サーバー[{0}]はUPN [{1}]、SID {2}を要求しましたが、検索でSID {3}が返されました
[S104] サーバー[{0}]はUPN [{1}]のアサートに失敗しました(UPNはロール[{2}]によって許可されていません)
[S105] サーバー[{0}]はIDのアサーションを発行しました[UPN:{0}、ロール:{1}、セキュリティコンテキスト:[{2}]
[S120] [UPN:{0}、ロール:{1}、セキュリティコンテキスト:[{2}]]に対して証明書を発行しています
[S121] [UPN:{0}、ロール:{1}]に対してアカウント{2}の代わりに証明書を発行しています
[S122] 警告:サーバー過負荷です[UPN:{0}、ロール:{1}][1分あたりの要求{2}]。

証明書利用者の行動[フェデレーション認証サービス]

これらのイベントは、VDAにユーザーがログオンすると、ランタイム時にFederated Authentication Serviceサーバーに記録されます。

ログコード
[S201] 証明書利用者[{0}]にはパスワードへのアクセス権がありません。
[S202] 証明書利用者[{0}]には証明書へのアクセス権がありません。
[S203] 証明書利用者[{0}]にはログオンCSPへのアクセス権がありません
[S204] 証明書利用者[{0}]がログオンCSPにアクセスしています[操作:{1}]
[S205] 呼び出しアカウント[{0}]はロール[{1}]の証明書利用者ではありません
[S206] 呼び出しアカウント[{0}]は証明書利用者ではありません
[S207] 証明書利用者[{0}]はロール:[{2}]のIDをアサートしています[UPN:{1}]
[S208] 秘密キーの処理が失敗しました[操作:{0}][UPN:{1}、ロール:{2}、証明書定義{3}][エラー {4} {5}]

セッション内証明書サーバー[フェデレーション認証サービス]

これらのイベントは、ユーザーはセッション内証明書を使用すると、Federated Authentication Serviceサーバーで記録されます。

ログコード
[S301] アクセス拒否:ユーザー[{0}]には仮想スマートカードへのアクセス権がありません
[S302] ユーザー[{0}]は不明な仮想スマートカードを要求しました[拇印:{1}]
[S303] ユーザー[{0}]が仮想スマートカード[UPN:{1}]と一致しません
[S304] コンピューター[{3}]でプログラム[{2}]を実行中のユーザー[{1}]は秘密キー処理:[{6}]のために仮想スマートカードを使用しています[UPN:{4}、ロール:{5}]
[S305] 秘密キーの処理が失敗しました[操作:{0}][UPN:{1}、ロール:{2}、コンテナ名{3}][エラー {4} {5}]。

ログオン[VDA]

[イベントソース:Citrix.Authentication.IdentityAssertion]

これらのイベントは、ログオン時にVDAで記録されます。

ログコード
[S101] IDアサーションログオンに失敗しました。 認識できないフェデレーション認証サービス[ID:{0}]
[S102] IDアサーションログオンに失敗しました。{0}のSIDが見つかりませんでした[例外:{1}{2}]
[S103] IDアサーションログオンに失敗しました。ユーザー{0}のSIDは{1}ですが、想定されたSIDは{2}です
[S104] IDアサーションログオンに失敗しました。フェデレーション認証サービスへの接続に失敗しました:{0} [エラー:{1} {2}]
[S105] IDアサーションログオン。[ユーザー名:{0}][Domain: {1}]にログインしています
[S106] IDアサーションログオン。[証明書:{0}]にログインしています。
[S107] IDアサーションログオンに失敗しました。 [例外:{1}{2}]
[S108] IDアサーションサブシステム。ACCESS_DENIED [呼び出し元:{0}]

セッション内証明書[VDA]

これらのイベントは、ユーザーがセッション内証明書を使用しようとすると、VDAに記録されます。

ログコード
[S201] 仮想スマートカードが認証されました[ユーザー:{0}][PID: {1} Name:{2}][証明書{3}]
[S202] 仮想スマートカードサブシステム。セッション{0}で使用可能なスマートカードはありません
[S203] 仮想スマートカードサブシステム。アクセスが拒否されました[呼び出し元:{0}、セッション:{1}、予測:{2}]
[S204] 仮想スマートカードサブシステム。スマートカードのサポートが無効化されました。

証明書要求および生成コード[フェデレーション認証サービス]

[イベントソース:Citrix.Authentication.FederatedAuthenticationService]

これらの低レベルイベントは、Federated Authentication Serviceサーバーがログレベルの暗号化操作を実行すると記録されます。

ログコード
[S11001] TrustArea::TrustArea:証明書チェーンがインストールされました
[S11002] TrustArea::Join:信頼されていない証明書がコールバックによって認証されました
[S11003] TrustArea::Join:信頼済みサーバーに参加しています
[S11004] TrustArea::Maintain:証明書が更新されました
[S11005] TrustArea::Maintain:新しい証明書チェーンが取得されました
[S11006] TrustArea::Export:秘密キーをエクスポートしています
[S11007] TrustArea::Import:信頼領域をインポートしています
[S11008] TrustArea::Leave:信頼領域を終了しています
[S11009] TrustArea::SecurityDescriptor:セキュリティ記述子を設定しています
[S11010] CertificateVerification:新しい信頼済みの証明書をインストールしています
[S11011] CertificateVerification:期限の切れた信頼済みの証明書をアンインストールしています
[S11012] TrustFabricHttpClient:{0}へのシングルサインオンを試行しています
[S11013] TrustFabricHttpClient:{0}に対して指定ユーザー資格情報が入力されました
[S0014] Pkcs10Request::Create:PKCS10要求が作成されました
[S0015] Pkcs10Request::Renew:PKCS10要求が作成されました
[S11016] PrivateKey::Create
[S11017] PrivateKey::Delete
[S11018] TrustArea::TrustArea:承認待ち
[S11019] TrustArea::Join:参加遅延
[S11020] TrustArea::Join:参加遅延
[S11021] TrustArea::Maintain:証明書チェーンがインストールされました
ログコード
[S0101] TrustAreaServer::ルート証明書が作成されました
[S0102] TrustAreaServer::Subordinate:参加に成功しました
[S0103] TrustAreaServer::PeerJoin:参加に成功しました
[S0104] MicrosoftCertificateAuthority::GetCredentials:{0}の使用権限が付与されました
[S0104]MicrosoftCertificateAuthority::SubmitCertificateRequest エラー{0}
[S0105] MicrosoftCertificateAuthority::SubmitCertificateRequest 証明書{0}が発行されました
[S0106] MicrosoftCertificateAuthority::PublishCRL:CRLが公開されました
[S0107] MicrosoftCertificateAuthority::ReissueCertificate エラー{0}
[S0108] MicrosoftCertificateAuthority::ReissueCertificate 証明書{0}が発行されました
[S0109] MicrosoftCertificateAuthority::CompleteCertificateRequest - 承認待機継続中
[S0110] MicrosoftCertificateAuthority::CompleteCertificateRequest - 保留中の証明書が拒否されました
[S0111] MicrosoftCertificateAuthority::CompleteCertificateRequest 証明書が発行されました
[S0112] MicrosoftCertificateAuthority::SubmitCertificateRequest - 承認待機中
[S0120] NativeCertificateAuthority::SubmitCertificateRequest 証明書{0}が発行されました
[S0121] NativeCertificateAuthority::SubmitCertificateRequest エラー
[S0122] NativeCertificateAuthority::RootCARollover 新規ルート証明書
[S0123] NativeCertificateAuthority::ReissueCertificate 新規証明書
[S0124] NativeCertificateAuthority::RevokeCertificate
[S0125] NativeCertificateAuthority::PublishCRL

関連情報