Citrix Workspace™

シトリックス フェデレーテッド認証サービスを使用してシングルサインオンを有効にする

Citrix Federated Authentication Service (FAS) は、Active Directory に参加している VDA でホストされているリソースへのシングルサインオン (SSO) を可能にします。これにより、ユーザーは Citrix Workspace™ にログオンすると、資格情報を再入力するよう求められることなく、仮想アプリとデスクトップを起動できます。

Citrix Workspace 認証に以下のいずれかの ID プロバイダーを使用している場合、通常 FAS が採用されます。

  • マイクロソフト エントラ ID
  • オクタ
  • エスエーエムエル 2.0
  • シトリックス ゲートウェイ
  • グーグル クラウド アイデンティティ

Active Directory (AD)、AD plus Token、または Citrix Gateway の特定の構成を使用している場合、リソースへの SSO に FAS は必要ありません。Citrix Gateway の構成の詳細については、「オンプレミス Citrix Gateway で OAuth IdP ポリシーを作成する」を参照してください。

Entra に参加している VDA へのシングルサインオンについては、「Entra ID SSO to VDAs」を参照してください。

FAS サーバー

各リソースの場所内で、複数の FAS サーバーを Citrix Cloud™ に接続して、負荷分散とフェールオーバーの目的で使用できます。

Citrix Cloud は、以下のシナリオで FAS サーバーの使用をサポートしています。

どちらのシナリオでも、フェデレーション ID プロバイダーを介してワークスペースにサインインするサブスクライバーは、アプリとデスクトップにアクセスするために資格情報を一度だけ入力します。

単一のリソースの場所に接続された FAS サーバー

リソースの場所に多様なインフラストラクチャが含まれている場合(たとえば、異なるリソースの場所に異なるADフォレストが含まれている場合)、VDAがあるリソースの場所にFASサーバーを展開します。SSOは、1つ以上のFASサーバーが接続されているリソースの場所でのみアクティブになります。

複数のリソースの場所に接続されたFASサーバー

リソースの場所間にネットワーク接続があり、それらが類似したインフラストラクチャを含んでいる場合、FASサーバーを複数のリソースの場所に接続できます。SSOは、それらのリソースの場所にあるアプリやデスクトップに接続するワークスペースサブスクライバーに対してアクティブになります。このシナリオでは、各リソースの場所に個別のFASサーバーを接続する必要はありません。

サブスクライバーが仮想アプリまたはデスクトップを起動すると、Citrix Cloudは、起動されるアプリまたはデスクトップと同じリソースの場所にあるFASサーバーを選択します。Citrix Cloudは、選択されたFASサーバーに連絡して、FASサーバーに保存されているユーザー証明書へのアクセスを許可するチケットを取得します。サブスクライバーを認証するために、VDAはFASサーバーに接続し、チケットを提示します。

適切なルール構成により、オンプレミスとCitrix Cloudの両方で同じFASサーバーを使用できます。

シトリックスクラウドでのFASサーバー要求フロー

複数のリソースの場所におけるフェイルオーバーの優先順位

複数のリソースの場所でFASサーバーを使用する場合、あるリソースの場所にあるFASサーバーは、他のリソースの場所にあるFASサーバーへのフェイルオーバーを提供できます。他のリソースの場所にFASサーバーを追加する際、各サーバーをプライマリまたはセカンダリとして指定します。サブスクライバーが仮想アプリまたはデスクトップを起動すると、Citrix Cloudは次の方法でこの指定を使用してFASサーバーを選択します。

  • 指定されたリソースの場所でプライマリとして指定されているFASサーバーが最初に考慮されます。
  • プライマリサーバーが利用できない場合、セカンダリとして指定されているFASサーバーが考慮されます。
  • セカンダリサーバーが利用できない場合、起動は続行されますが、シングルサインオンは行われません。

ビデオ概要

シトリックスワークスペース向けフェデレーテッド認証サービスの概要については、このテックインサイトビデオをご覧ください。

シトリックスワークスペース向けシトリックスフェデレーション認証サービス

必要条件

接続に関する要件

FAS管理コンソールを使用して、FASサーバーをCitrix Cloudに接続します。このコンソールを使用して、ローカルまたはリモートのFASサーバーを構成できます。FASでワークスペースのSSOを有効にするには、FAS管理コンソールとFASサービスが、それぞれコンソールユーザーアカウントとネットワークサービスアカウントを使用して、次のアドレスにアクセスします。

  • コンソールユーザーアカウントを使用するFAS管理コンソール:
    • *.cloud.com
    • *.citrixworkspacesapi.net
    • 環境でサードパーティのIDプロバイダーを使用している場合に必要となるアドレス
  • ネットワークサービスアカウントを使用するFASサービス:
    • *.citrixworkspacesapi.net
    • https://*.citrixnetworkapi.net/

環境にプロキシサーバーが含まれている場合は、FAS管理コンソールのアドレスでユーザープロキシを構成します。また、ネットワークサービスアカウントのアドレスが環境に合わせて適切に構成されていることを確認してください。

FASのシステム要件

シングルサインオンを有効にする各リソースの場所に、Federated Authentication Service 2003 (バージョン10.1)以降を展開する必要があります。FASサーバーの完全なシステム要件については、FAS製品ドキュメントのシステム要件セクションで説明されています。

シトリックス ワークスペース

WorkspaceでCitrix DaaS™がプロビジョニングされ、有効になっている必要があります。デフォルトでは、サービスをサブスクライブすると、Workspace ConfigurationでDaaSが有効になります。ただし、このサービスでは、Citrix Cloudがオンプレミス環境と通信できるように、Citrix Cloud Connectorを展開する必要があります。

クラウドコネクタ

Citrix Cloud Connectorは、リソースの場所(VDAが存在する場所)とCitrix Cloud間の通信を可能にします。高可用性を確保するために、少なくとも2つのCloud Connectorを展開してください。Cloud Connectorソフトウェアをインストールするサーバーは、以下の要件を満たしている必要があります。

  • (/ja-jp/citrix-cloud/citrix-cloud-resource-locations/citrix-cloud-connector/technical-details.html)に記載されているシステム要件
  • 他のCitrixコンポーネントがインストールされておらず、サーバーがActive Directoryドメインコントローラーではなく、リソースの場所のインフラストラクチャにとって重要なマシンではないこと。
  • VDAが存在するドメインに参加していること。

Cloud Connectorの展開に関する詳細については、以下の記事を参照してください。

セットアップの概要

  1. 新しいFASサーバーを展開する場合は、(#requirements)を確認し、この記事の(#install-and-configure-fas)の手順に従ってください。
  2. この記事の「Connect a FAS server to Citrix Cloud」に記載されているように、FASサーバーをCitrix Cloudに接続します。このタスクを完了すると、FASサーバーが単一のリソースの場所に接続されます。
  3. FASサーバーを複数のリソースの場所に接続する予定がある場合は、この記事の(#add-a-fas-server-to-multiple-resource-locations)の手順に従ってください。

FASのインストールと構成

(/ja-jp/federated-authentication-service/current-release/install-configure.html)に記載されているFASのインストールおよび構成プロセスに従ってください。StoreFrontおよびDelivery Controllerの構成手順は不要です。

ヒント:

Citrix Cloud コンソールから、フェデレーテッド認証サービス インストーラーをダウンロードすることもできます。

  1. Citrix Cloudメニューから、リソースの場所を選択します。
  2. FASサーバータイルを選択し、ダウンロードをクリックします。

FASサーバーをシトリックスクラウドに接続する

FAS管理コンソールを使用して、FAS製品ドキュメントのインストールと構成に記載されているように、FASサーバーをCitrix Cloudに接続します。

Citrix Cloudへの接続構成ステップを完了すると、Citrix CloudはFASサーバーを登録し、Citrix Cloudアカウントの「リソースの場所」ページに表示します。

FASサーバーが追加されたリソースの場所ページ

ブラウザに「リソースの場所」ページがすでに読み込まれている場合は、ページを更新して登録済みのFASサーバーを表示します。

クラウド通知のサポート

FASはクラウド通知をサポートするようになりました。FASサーバーの新しいクラウド通知により、次のインスタンスで通知を受け取ることができます。

  • FASサーバーがダウンしているか、利用できません。
  • FASサーバーのレジストリ機関 (RA) 証明書の有効期限が切れているか、まもなく切れます。
  • FASの新しいバージョンがダウンロード可能です。

通知を発生させる

新しい通知の定期的なチェックが実行され、Citrix Cloud管理コンソールに表示されます。通知は、Citrix Cloud管理コンソールの右上隅にあるベルアイコンの下に表示されます。すべての通知を表示するには、通知アイコンのすべて表示を選択します。詳細については、通知を参照してください。

FASクラウド通知

注記:

通知が発行されると、問題が解決されない限り、定期的に再度発行されます。

すべての通知には、影響を受けるFASサーバーのFQDNが含まれます。RA証明書の有効期限切れ通知は、バージョン10.10.0.14以降のFASサーバーに対してのみ表示されます。

複数のリソースの場所にFASサーバーを追加する

  1. Citrix Cloudメニューから、リソースの場所を選択し、次にFASサーバータブを選択します。
  2. 管理するFASサーバーを見つけ、エントリの右側にある省略記号(…)をクリックし、サーバーの管理を選択します。 FAS Servers tab with Manage server menu option highlighted
  3. リソースの場所に追加」を選択し、目的のリソースの場所を選択します。 「リソースの場所に追加」オプションが強調表示されたサーバーの管理ダイアログ
  4. 選択した各リソースの場所で、FASサーバーのフェールオーバー優先度としてプライマリまたはセカンダリを選択します。
  5. 変更を保存を選択します。

追加されたFASサーバーを表示するには、Citrix Cloudメニューからリソースの場所を選択し、次にFASサーバータブを選択します。接続されているすべてのリソースの場所のすべてのFASサーバーのリストが表示されます。特定のリソースの場所のFASサーバーを表示するには、ドロップダウンリストからそのリソースの場所を選択します。

FASサーバーのフェールオーバー優先度を変更する

  1. リソースの場所ページから、管理するリソースの場所のFASサーバータイルを選択します。
  2. FASサーバータブを選択します。
  3. 管理するFASサーバーを見つけ、エントリの右側にある省略記号をクリックし、サーバーの管理を選択します。
  4. 変更したい優先度を持つリソースの場所を見つけ、ドロップダウンリストから新しい優先度を選択します。 Manage FAS Servers with priority drop-down highlighted
  5. 変更を保存」を選択します。

ワークスペースのフェデレーション認証を有効にする

  1. Citrix Cloudメニューから、「ワークスペース構成」を選択し、次に「認証」を選択します。
  2. FASを有効にする」をクリックします。この変更がサブスクライバーセッションに適用されるまで、最大5分かかる場合があります。

FASを有効にするボタンが強調表示されたワークスペース構成ページ(/ja-jp/citrix-workspace/media/workspace-config-fas-disabled.png)

その後、Citrix Workspaceからのすべての仮想アプリおよびデスクトップの起動に対して、フェデレーション認証サービスがアクティブになります。

FASが有効になったワークスペース構成ページ(/ja-jp/citrix-workspace/media/workspace-config-fas-enabled.png)

サブスクライバーがワークスペースにサインインし、FASサーバーと同じリソースの場所に仮想アプリまたはデスクトップを起動すると、資格情報の入力を求められることなく、アプリまたはデスクトップが起動します。

注:

リソースの場所にあるすべてのFASサーバーがダウンしているか、メンテナンスモードの場合、アプリケーションの起動は成功しますが、シングルサインオンはアクティブになりません。サブスクライバーは、各アプリケーションまたはデスクトップにアクセスするためにAD資格情報の入力を求められます。

FASサーバーを削除する

単一のリソースの場所からFASサーバーを削除するには:

  1. リソースの場所」ページから、管理するリソースの場所の「FASサーバー」タイルを選択します。
  2. FASサーバー」タブを選択します。
  3. 管理するFASサーバーを見つけ、エントリの右側にある省略記号をクリックし、「サーバーの管理」を選択します。
  4. 削除したいリソースの場所を見つけて、Xアイコンをクリックします。 削除アイコンが強調表示されたFASサーバーの管理

接続されているすべてのリソースの場所からFASサーバーを削除するには:

  1. Citrix Cloudメニューから、リソースの場所を選択します。
  2. 管理したいリソースの場所を見つけて、FASサーバータイルを選択します。
  3. 削除したいFASサーバーを見つけ、エントリの右側にある省略記号をクリックして、FASサーバーの削除を選択します。 Remove FAS Server menu command
  4. FAS管理コンソール(オンプレミスのFASサーバー上)で、Citrix Cloudに接続から切断を選択します。または、FASをアンインストールすることもできます。 FAS Administration console with Disable command highlighted

トラブルシューティング

FASサーバーが利用できない場合、FASサーバーページに警告メッセージが表示されます。

FASサーバーコンソールページ

問題を診断するには、オンプレミスのFASサーバーでFAS管理コンソールを開き、状態を確認します。たとえば、FASサーバーがFASサーバーGPOに存在しない場合:

FASサーバー管理者コンソールでFASサーバーが利用できません

FAS管理コンソールがサーバーが正常に動作していることを示しているにもかかわらず、VDAログオンの問題がまだ発生する場合は、FASトラブルシューティングガイドを参照してください。

詳細情報

Workspaceアプリへのシングルサインオンの構成