Citrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化

Citrixフェデレーション認証サービス(FAS)では、Citrix Workspaceでの仮想アプリとデスクトップへのシングルサインオンがサポートされています。各リソースの場所内で、負荷分散とフェールオーバーのために複数のFASサーバーをCitrix Cloudに接続できます。適切なルール構成を使用して、オンプレミスとCitrix Cloudの両方に同じFASサーバーを使用できます。

Citrix CloudでのFASサーバーの要求フロー

Azure ADを介してワークスペースにサインインする利用者は、アプリとデスクトップにアクセスするために資格情報を一度だけ入力します。利用者がワークスペースで仮想アプリまたはデスクトップを起動すると、Citrix Cloudは起動中のVDAと同じリソースの場所にあるFASサーバーを選択します。Citrix Cloudは、選択したFASサーバーに接続して、FASサーバーに保存されているユーザー証明書へのアクセスを許可するチケットを取得します。利用者を認証するため、VDAはFASに接続してチケットを提供します。

重要:

  • FASからシングルサインオンを有効にした場合、シングルサインオンはFASサーバーを接続したリソースの場所でのみアクティブになります。リソースの場所にFASサーバーがない場合、そのリソースの場所にあるリソースに対してシングルサインオンはアクティブになりません。
  • お使いのリソースの場所でFASを有効にすると、Citrix Workspaceからのすべての仮想アプリおよびデスクトップの起動に対してフェデレーション認証サービスがアクティブになります。

Citrix Workspace向けのフェデレーション認証サービスの概要については、このTech Insightのビデオをご覧ください:

Citrix Workspace向けCitrixフェデレーション認証サービス

要件

接続の要件

FASサーバーをCitrix Cloudに接続するには、FAS管理コンソールを使用します。このコンソールでは、ローカルまたはリモートのFASサーバーを構成できます。機能を有効にするために、コンソールとFASサービスは、それぞれユーザーアカウントとネットワークサービスアカウントを使用して次のアドレスにアクセスします。

  • ユーザーアカウントの下のFAS管理コンソール
    • *.cloud.com
    • *.citrixworkspaceapi.net
    • サードパーティのIDプロバイダーが必要とするアドレス(環境で使用されている場合)
  • ネットワークサービスアカウントの下のFASサービス: *.citrixworkspaceapi.net

環境にプロキシサーバーが含まれている場合は、FAS管理コンソールのアドレスを使用してユーザープロキシを構成します。また、ネットワークサービスアカウントのアドレスが環境に応じて適切に構成されていることを確認してください。

FASサーバー

FASサーバーの完全な要件については、FAS製品ドキュメントの「システム要件」セクションを参照してください。

オンプレミスのVirtual Apps and Desktops環境にFASサーバーがないか、既存のFASサーバーをアップグレードする場合は、この記事の「FASのインストールと構成」を参照してください。

既存のFASサーバーがバージョン10.0以降の場合は、「FASサーバーのCitrix Cloudへの接続」に進みます。

Citrix Workspace

WorkspaceでVirtual Apps and Desktopsサービスをプロビジョニングおよび有効化しておく必要があります。デフォルトでは、Virtual Apps and Desktopsサービスは、サブスクライブ後にWorkspace構成で有効になります。ただし、このサービスでは、Citrix Cloudがオンプレミス環境と通信できるよう、Citrix Cloud Connectorを展開する必要があります。

Cloud Connector

Citrix Cloud Connectorは、リソースの場所(FASサーバーが存在する場所)にあるリソースとCitrix Cloud間の通信を可能にします。高可用性を確保するには、Cloud Connectorソフトウェアのインストール先となるサーバーが少なくとも2台必要です。これらのサーバーは、次の要件を満たしている必要があります:

  • Cloud Connectorの技術詳細」に記載されているシステム要件を満たしている。
  • 他のCitrixコンポーネントがインストールされておらず、Active Directoryドメインコントローラーではなく、リソースの場所のインフラストラクチャに不可欠なマシンでもない。
  • FASサーバーが存在するドメインに参加している。

Cloud Connectorの展開について詳しくは、以下の記事を参照してください:

FASのインストールと構成

次の場合は、1つ以上のFASサーバーをインストールして構成します:

  • オンプレミス環境にFASサーバーがない。
  • 既存のFASサーバーがバージョン10.0よりも古いため、Citrix Cloudに接続できるようインプレースでアップグレードする必要がある。

既存のFASサーバーがバージョン10.0以降の場合は、「FASサーバーのCitrix Cloudへの接続」に進みます。

重要:

FASからシングルサインオンを有効にした場合、シングルサインオンはFASサーバーを接続したリソースの場所でのみアクティブになります。リソースの場所にFASサーバーがない場合、そのリソースの場所を介して接続するワークスペースの利用者に対してシングルサインオンはアクティブになりません。

FASのインストールと構成に関するガイダンス

FASサーバーのインストールと構成は「FASドキュメント」に記載されているプロセスに従いますが、以下の例外があります:

  • StoreFrontまたはDelivery Controllerの構成手順は不要です。
  • FAS管理コンソールの見た目がFAS製品のドキュメントとは異なる場合があります。ただし、機能は同じです。
  • FAS管理コンソールでは、接続するFASサーバーを指定する必要がありません。デフォルトでローカルのFASサービスに接続されます。必要に応じ、コンソールの右上に表示される [Connect to another server] を使用してリモートサービスに接続できます。

FASサーバーをインストールして構成するには、次のタスクを実行します:

  1. CitrixからFASサーバーソフトウェアの最新バージョンをダウンロードしてインストールします。
  2. FASルールを構成します。 FASサーバーのルールダイアログ

    FASルールを構成する際に、ルールを使用できるStoreFrontサーバーを指定できます。ただし、Citrix Cloudでルールが使用される場合、StoreFrontのアクセス許可は無視されます。Citrix CloudとオンプレミスのStoreFront環境で、同じルールを使用できます。StoreFrontのアクセス許可は、ルールがオンプレミスのStoreFrontで使用される場合には適用されます。Citrix CloudのみでFASサーバーを使用している場合、このタスクを実行する必要はありません。

  3. Citrix CloudでのみFAS展開を使用している場合でも、グループポリシーを構成します。 DNSアドレスを表示したFASサーバーグループポリシーダイアログボックス

    リスト内におけるFASサーバーのDNSアドレスの順序は、次のように一貫している必要があります:

    • VDA
    • StoreFrontサーバー(存在する場合)
    • FASサーバー

    これは、インデックス(整数)がVDAで仮想アプリまたはデスクトップの起動用に選択されたFASサーバーを見つけるために使用されるためです。

FASソフトウェアのダウンロード

FASソフトウェアの最新版は、Citrixダウンロードサイト(https://www.citrix.com/downloads/citrix-cloud/betas-and-tech-previews/federated-authentication-service–fas-.html)から入手できます。

Citrix Cloudコンソールからフェデレーション認証サービスのダウンロードページにアクセスするには:

  1. Citrix Cloudメニューから [リソースの場所] を選択します。
  2. [FASサーバー] タイルを選択し、[ダウンロード] をクリックします。 [FASサーバー]タイルが強調表示された[リソースの場所]ページ FASダウンロード画面

ダウンロード後にインストーラーを起動し、ウィザードに従ってFASルールとグループポリシーを構成して、Citrix Cloudに接続します。

FASサーバーのCitrix Cloudへの接続

このセクションでは、既存のFASサーバーが「FASドキュメント」の説明に従ってインストールおよび構成されていると想定されています。

  1. FASインストーラーから、[Initial Setup] タブが選択されていることを確認します。 [Connect]ボタンが強調表示されたFASインストーラー
  2. [Connect to Citrix Cloud] で、[Connect] を選択します。
  3. プロンプトが表示されたらCitrix Cloudにサインインし、必要に応じてカスタマーアカウントを選択して、FASサーバーを接続するリソースの場所を選択します。

インストールが完了すると、Citrix CloudでFASサーバーが登録され、Citrix Cloudアカウントの[リソースの場所]ページに表示されます。

FASサーバーが追加された[リソースの場所]ページ

Webブラウザーに[リソースの場所]ページが既にロードされている場合は、ページを更新して登録済みのFASサーバーを表示します。

ワークスペースのフェデレーション認証を有効にする

  1. Citrix Cloudメニューから [ワークスペース構成] を選択し、[認証] を選択します。
  2. [FAS を有効にする] をクリックします。この変更が利用者のセッションに適用されるまで、最大5分かかる場合があります。

[FASを有効にする]ボタンが強調表示された[ワークスペース構成]ページ

その後、Citrix Workspaceからのすべての仮想アプリおよびデスクトップの起動に対してフェデレーション認証がアクティブになります。

FASが有効な[ワークスペース構成]ページ

利用者が自分のワークスペースにログインして、FASサーバーと同じリソースの場所で仮想アプリまたはデスクトップを起動すると、アプリまたはデスクトップは資格情報のプロンプトを表示せずに起動します。

注:

FASサーバーがダウンしているか、またはメンテナンスモードの場合、アプリケーションの起動は成功しますが、シングルサインオンはアクティブになりません。利用者は、各アプリケーションまたはデスクトップにアクセスするためにActive Directory資格情報の入力を求められます。

FASサーバーの削除

  1. Citrix Cloudメニューから [リソースの場所] を選択します。
  2. 管理するリソースの場所を指定して [FASサーバー] タイルを選択します。
  3. 削除するFASサーバーを指定して省略記号ボタンをクリックし、[FASサーバーを削除] を選択します。 FASサーバーを削除のメニューコマンド
  4. FAS管理コンソール(オンプレミスのFASサーバー上)の [Connect to Citrix Cloud][Disable] を選択します。また、FASをアンインストールすることもできます。 無効化コマンドを表示したFAS管理コンソール

トラブルシューティング

FASサーバーが利用できない場合、FASサーバーページに警告メッセージが表示されます。

FASサーバーコンソールページ

問題を診断するには、オンプレミスのFASサーバーでFAS管理コンソールを開き、状態を確認します。たとえば、FASサーバーがFASサーバーのGPOに存在しないとします。

FASサーバー管理コンソールでFASサーバーが利用できない

FAS管理コンソールがサーバーが正常に動作していることを示していても、VDAログオンの問題が解決しない場合は、「FASトラブルシューティングガイド」を確認してください。

追加のヘルプとサポート

トラブルシューティングのヘルプを依頼するか、質問があるか、またはワークスペースのフェデレーション認証に関するフィードバックを提供する場合は、ワークスペースのプレビューのフェデレーション認証サービスサポートフォーラムにアクセスし、CitrixエキスパートやCitrix Cloudコミュニティの他のメンバーに相談してください。