Citrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化

Citrixフェデレーション認証サービス(FAS)は、Citrix WorkspaceでDaaSへのシングルサインオン(SSO)をサポートします。通常、FASは、Citrix Workspace認証に以下のIDプロバイダーのいずれかを使用している場合に採用されます:

  • Azure Active Directory
  • Okta
  • SAML 2.0
  • Citrix Gateway

FASを使用すると、利用者は資格情報を1回入力するだけでDaaSのアプリとデスクトップにアクセスできます。

Active Directory(AD)、AD+トークン、またはCitrix Gatewayの特定の構成を使用している場合、DaaSへのSSOにFASは必要ありません。Citrix Gatewayの構成について詳しくは、「オンプレミスのCitrix GatewayでのOAuth IDプロバイダーポリシーの作成」を参照してください。

FASサーバー

各リソースの場所内で、負荷分散とフェールオーバーのために複数のFASサーバーをCitrix Cloudに接続できます。

Citrix Cloudは、以下のシナリオでFASサーバーの使用をサポートしています。

どちらのシナリオでも、フェデレーションIDプロバイダーを介してワークスペースにサインインする利用者は、アプリとデスクトップにアクセスするために資格情報を一度だけ入力します。

単一のリソースの場所に接続されたFASサーバー

リソースの場所にさまざまなインフラストラクチャが含まれている場合(たとえば、さまざまなリソースの場所にさまざまなADフォレストが含まれている場合)、FASサーバーをVDAがあるリソースの場所に展開します。SSOは、1つまたは複数のFASサーバーが接続するリソースの場所でのみアクティブになります。

複数のリソースの場所に接続されたFASサーバー

リソースの場所間にネットワーク接続があり、似たインフラストラクチャがそれらに含まれている場合、FASサーバーを複数のリソースの場所に接続できます。SSOは、これらのリソースの場所にあるアプリおよびデスクトップに接続するワークスペース利用者が利用できます。このシナリオでは、個別のFASサーバーを各リソースの場所に接続する必要はありません。

利用者が仮想アプリまたは仮想デスクトップを起動すると、Citrix Cloudは起動中の仮想アプリまたは仮想デスクトップと同じリソースの場所にあるFASサーバーを選択します。Citrix Cloudは、選択したFASサーバーに接続して、FASサーバーに保存されているユーザー証明書へのアクセスを許可するチケットを取得します。利用者を認証するため、VDAはFASサーバーに接続してチケットを提供します。

適切なルール構成を使用して、オンプレミスとCitrix Cloudの両方に同じFASサーバーを使用できます。

Citrix Cloudを使用したFASサーバーのリクエストフロー

複数のリソースの場所のフェイルオーバー優先度

複数のリソースの場所でFASサーバーを使用する場合、1つのリソースの場所にあるFASサーバーは、他のリソースの場所にあるFASサーバーにフェイルオーバーを提供できます。FASサーバーを他のリソースの場所に追加するときは、各サーバーをプライマリまたはセカンダリとして指定します。利用者が仮想アプリまたは仮想デスクトップを起動すると、Citrix Cloudは次の方法でFASサーバーを選択します:

  • 指定されたリソースの場所でプライマリとして指定されているFASサーバーが最初に考慮されます。
  • 使用可能なプライマリサーバーがない場合は、セカンダリとして指定されているFASサーバーが考慮されます。
  • 使用可能なセカンダリサーバーがない場合、起動は続行されますが、シングルサインオンは発生しません。

ビデオの概要

Citrix Workspace向けのフェデレーション認証サービスの概要については、このTech Insightのビデオをご覧ください:

Citrix WorkspaceのCitrixフェデレーション認証サービス

要件

接続の要件

FAS管理コンソールを使用して、FASサーバーをCitrix Cloudに接続します。このコンソールで、ローカルまたはリモートのFASサーバーを構成できます。FASを使用したワークスペースのSSOを有効にするには、FAS管理コンソールとFASサービスが、それぞれコンソールユーザーのアカウントとネットワークサービスアカウントを使用して、次のアドレスにアクセスします。

  • コンソールユーザーのアカウントを使用したFAS管理コンソール
    • *.cloud.com
    • *.citrixworkspacesapi.net
    • サードパーティのIDプロバイダーが必要とするアドレス(環境で使用されている場合)
  • ネットワークサービスアカウントを使用したFASサービス: *.citrixworkspacesapi.net

環境にプロキシサーバーが含まれている場合は、FAS管理コンソールのアドレスを使用してユーザープロキシを構成します。また、ネットワークサービスアカウントのアドレスが環境に応じて適切に構成されていることを確認してください。

FASシステム要件

このセクションの要件は、Citrix Cloudに接続する予定のすべてのFASサーバーに適用されます。

FASサーバーの完全なシステム要件については、FAS製品ドキュメントの「システム要件」セクションを参照してください。

オンプレミスのCitrix Virtual Apps and Desktops環境のFASサーバーには、フェデレーション認証サービス2003(バージョン10.1)以降がインストールされている必要があります。

既存のFASサーバーがバージョン10よりも古い場合、Citrixから最新のFASソフトウェアをダウンロードし、この接続を作成する前にサーバーをインプレースでアップグレードできます。接続の作成時に、FASサーバーのリソースの場所を選択します。SSOは、FASサーバーが存在するリソースの場所でのみ利用者に対してアクティブになります。

既存のFASサーバーのアップグレードについて詳しくは、FAS製品ドキュメントの「インストールと構成」を参照してください。同じFASサーバーをWorkspaceとオンプレミスの展開に使用できます。

Citrix Workspace

WorkspaceでCitrix DaaSをプロビジョニングおよび有効化しておく必要があります。デフォルトでは、DaaSは、サービスへのサブスクライブ後にWorkspace構成で有効になります。ただし、このサービスでは、Citrix Cloudがオンプレミス環境と通信できるよう、Citrix Cloud Connectorを展開する必要があります。

Cloud Connector

Citrix Cloud Connectorは、リソースの場所(VDAがある場所)とCitrix Cloudとの間の通信を可能にします。高可用性を確保するために、少なくとも2つのCloud Connectorを展開します。Cloud Connectorソフトウェアをインストールするサーバーは、次の要件を満たす必要があります:

  • Cloud Connectorの技術詳細」に記載されているシステム要件
  • 他のCitrixコンポーネントがインストールされておらず、サーバーがActive Directoryドメインコントローラーではなく、リソースの場所のインフラストラクチャに不可欠なマシンでもない。
  • VDAがあるドメインに参加している。

Cloud Connectorの展開について詳しくは、以下の記事を参照してください:

セットアップの概要

  1. 新しいFASサーバーを展開する場合は、「要件」を確認し、本記事の「FASのインストールと構成」の指示に従ってください。
  2. 本記事の「FASサーバーのCitrix Cloudへの接続」の説明に従って、FASサーバーをCitrix Cloudに接続します。このタスクを完了すると、FASサーバーが単一のリソースの場所に接続されます。
  3. FASサーバーを複数のリソースの場所に接続する場合は、本記事の「FASサーバーを複数のリソースの場所に追加する」で説明されている手順に従います。

FASのインストールと構成

FAS製品ドキュメントで説明されているFASのインストールおよび構成プロセスに従います。StoreFrontとDelivery Controllerの構成手順は不要です。

ヒント:

フェデレーション認証サービスインストーラーはCitrix Cloudコンソールからもダウンロードできます:

  1. Citrix Cloudメニューから [リソースの場所] を選択します。
  2. [FASサーバー] タイルを選択し、[ダウンロード] をクリックします。

FASサーバーをCitrix Cloudに接続する

FAS製品ドキュメントの「インストールと構成」で説明されているとおり、FAS管理コンソールを使用してFASサーバーをCitrix Cloudに接続します。

Citrix Cloudに接続するための構成手順が完了すると、Citrix CloudでFASサーバーが登録され、Citrix Cloudアカウントの[リソースの場所]ページに表示されます。

FASサーバーが追加された[リソースの場所]ページ

Webブラウザーに[リソースの場所]ページが既にロードされている場合は、ページを更新して登録済みのFASサーバーを表示します。

FASサーバーを複数のリソースの場所に追加する

  1. Citrix Cloudメニューの [リソースの場所] を選択してから、[FASサーバー] タブを選択します。
  2. 管理するFASサーバーを見つけ、エントリの右側にある省略記号(…)をクリックしてから、[サーバーの管理] を選択します。 [サーバーの管理]メニューオプションが強調表示された[FASサーバー]タブ
  3. [リソースの場所に追加] を選択してから、必要なリソースの場所を選択します。 [リソースの場所に追加]オプションが強調表示された[サーバーの管理]ダイアログボックス
  4. 選択した各リソースの場所で、FASサーバーのフェイルオーバー優先度として [プライマリ] または [セカンダリ] を選択します。
  5. [Save Changes] を選択します。

追加したFASサーバーを表示するには、Citrix Cloudメニューの [リソースの場所] を選択してから、[FASサーバー] タブを選択します。接続されているすべてのリソースの場所の全FASサーバー一覧が表示されます。特定のリソースの場所のFASサーバーを表示するには、ドロップダウンリストからリソースの場所を選択します。

FASサーバーのフェイルオーバー優先度を変更する

  1. [リソースの場所] ページから、管理するリソースの場所の [FASサーバー] タイルを選択します。
  2. [FASサーバー] タブを選択します。
  3. 管理するFASサーバーを見つけ、エントリの右側にある省略記号(…)をクリックしてから、[サーバーの管理] を選択します。
  4. 変更する優先度付きのリソースの場所を見つけて、ドロップダウンリストから新しい優先度を選択します。 優先度のドロップダウンが強調表示されたFASサーバーの管理
  5. [Save Changes] を選択します。

ワークスペースのフェデレーション認証を有効にする

  1. Citrix Cloudメニューから [ワークスペース構成] を選択し、[認証] を選択します。
  2. [FAS を有効にする] をクリックします。この変更が利用者のセッションに適用されるまで、最大5分かかる場合があります。

[FASを有効にする]ボタンが強調表示された[ワークスペース構成]ページ

その後、Citrix Workspaceからのすべての仮想アプリおよびデスクトップの起動に対してフェデレーション認証がアクティブになります。

FASが有効な[ワークスペース構成]ページ

利用者が自分のワークスペースにログインして、FASサーバーと同じリソースの場所で仮想アプリまたはデスクトップを起動すると、アプリまたはデスクトップは資格情報のプロンプトを表示せずに起動します。

注:

リソースの場所内のすべてのFASサーバーがダウンしているか、またはメンテナンスモードの場合、アプリケーションの起動は成功しますが、シングルサインオンはアクティブになりません。利用者は、各アプリケーションまたはデスクトップにアクセスするためにActive Directory資格情報の入力を求められます。

FASサーバーの削除

単一のリソースの場所からFASサーバーを削除するには:

  1. [リソースの場所] ページから、管理するリソースの場所の [FASサーバー] タイルを選択します。
  2. [FASサーバー] タブを選択します。
  3. 管理するFASサーバーを見つけ、エントリの右側にある省略記号(…)をクリックしてから、[サーバーの管理] を選択します。
  4. 削除するリソースの場所を見つけて、[X] アイコンをクリックします。 削除アイコンが強調表示されたFASサーバーの管理

接続されたすべてのリソースの場所からFASサーバーを削除するには:

  1. Citrix Cloudメニューから [リソースの場所] を選択します。
  2. 管理するリソースの場所を指定して [FASサーバー] タイルを選択します。
  3. 削除するFASサーバーを見つけ、エントリの右側にある省略記号(…)をクリックしてから、[FASサーバーの削除] を選択します。 FASサーバーを削除のメニューコマンド
  4. FAS管理コンソール(オンプレミスのFASサーバー上)の [Connect to Citrix Cloud][Disconnect] を選択します。また、FASをアンインストールすることもできます。 無効化コマンドを表示したFAS管理コンソール

トラブルシューティング

FASサーバーが利用できない場合、FASサーバーページに警告メッセージが表示されます。

FASサーバーのコンソールページ

問題を診断するには、オンプレミスのFASサーバーでFAS管理コンソールを開き、状態を確認します。たとえば、FASサーバーがFASサーバーのGPOに存在しない場合:

FASサーバー管理者コンソールでFASサーバーが使用できない

サーバーが正常に動作していることをFAS管理コンソールが示していても、VDAログオンの問題が解決しない場合は、「FASトラブルシューティングガイド」を確認してください。