Citrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化

Citrixフェデレーション認証サービス(FAS)では、Citrix Workspaceでの仮想アプリとデスクトップへのシングルサインオンがサポートされています。各リソースの場所内で、負荷分散とフェールオーバーのために複数のFASサーバーをCitrix Cloudに接続できます。

Citrix Cloudは、以下のシナリオでFASサーバーの使用をサポートしています:

  • 単一のリソースの場所に接続されたFASサーバー: リソースの場所にさまざまなインフラストラクチャが含まれている場合(たとえば、異なるリソースの場所に異なるActive Directoryフォレスト(ADフォレスト)が含まれている場合)、FASサーバーをVDAが存在する同じリソースの場所に展開します。シングルサインオンは、1つまたは複数のFASサーバーが接続するリソースの場所でのみアクティブになります。
  • 複数のリソースの場所に接続されたFASサーバー: リソースの場所間にネットワーク接続があり、似たインフラストラクチャがそれらに含まれている場合(たとえば、単一のADフォレスト内にある場合)、FASサーバーを複数のリソースの場所に接続できます。シングルサインオンは、これらのリソースの場所にある仮想アプリおよび仮想デスクトップに接続するワークスペース利用者に対してアクティブです。このシナリオでは、個別のFASサーバーを各リソースの場所に接続する必要はありません。

    注:

    現在、複数のリソースの場所でのFAS使用は、プレビュー機能として利用できます。プレビュー機能は、テスト環境または限定された実稼働環境でのみ使用することをお勧めします。

どちらのシナリオでも、フェデレーションIDプロバイダー(Azure AD、Okta、SAMLなど)を介してワークスペースにサインインする利用者は、アプリとデスクトップにアクセスするために資格情報を一度だけ入力します。

利用者が仮想アプリまたは仮想デスクトップを起動すると、Citrix Cloudは起動中の仮想アプリまたは仮想デスクトップと同じリソースの場所にあるFASサーバーを選択します。Citrix Cloudは、選択したFASサーバーに接続して、FASサーバーに保存されているユーザー証明書へのアクセスを許可するチケットを取得します。利用者を認証するため、VDAはFASサーバーに接続してチケットを提供します。

適切なルール構成を使用して、オンプレミスとCitrix Cloudの両方に同じFASサーバーを使用できます。

Citrix CloudでのFASサーバーの要求フロー

Citrix Workspace向けのフェデレーション認証サービスの概要については、このTech Insightのビデオをご覧ください:

Citrix Workspace向けCitrixフェデレーション認証サービス

要件

接続の要件

FAS管理コンソールを使用して、FASサーバーをCitrix Cloudに接続します。このコンソールで、ローカルまたはリモートのFASサーバーを構成できます。FASを使用したワークスペースのシングルサインオンを有効にするには、FAS管理コンソールとFASサービスが、それぞれコンソールユーザーのアカウントとネットワークサービスアカウントを使用して、次のアドレスにアクセスします。

  • コンソールユーザーのアカウントを使用したFAS管理コンソール
    • *.cloud.com
    • *.citrixworkspacesapi.net
    • サードパーティのIDプロバイダーが必要とするアドレス(環境で使用されている場合)
  • ネットワークサービスアカウントを使用したFASサービス: *.citrixworkspacesapi.net

環境にプロキシサーバーが含まれている場合は、FAS管理コンソールのアドレスを使用してユーザープロキシを構成します。また、ネットワークサービスアカウントのアドレスが環境に応じて適切に構成されていることを確認してください。

FASシステム要件

このセクションの要件は、Citrix Cloudに接続する予定のすべてのFASサーバーに適用されます。

FASサーバーの完全なシステム要件については、FAS製品ドキュメントの「システム要件」セクションを参照してください。

オンプレミスのCitrix Virtual Apps and Desktops環境のFASサーバーには、フェデレーション認証サービス2003(バージョン10.1)以降がインストールされている必要があります。既存のFASサーバーのアップグレードについて詳しくは、FAS製品ドキュメントの「インストールと構成」を参照してください。同じFASサーバーをWorkspaceとオンプレミスの展開に使用できます。

Citrix Workspace

WorkspaceでCitrix Virtual Apps and Desktopsサービスをプロビジョニングおよび有効化しておく必要があります。デフォルトでは、Virtual Apps and Desktopsサービスは、サブスクライブ後にWorkspace構成で有効になります。ただし、このサービスでは、Citrix Cloudがオンプレミス環境と通信できるよう、Citrix Cloud Connectorを展開する必要があります。

Cloud Connector

Citrix Cloud Connectorは、リソースの場所(VDAが存在する場所)とCitrix Cloud間の通信を可能にします。高可用性を確保するために、少なくとも2つのCloud Connectorを展開します。Cloud Connectorソフトウェアをインストールするサーバーは、次の要件を満たす必要があります:

  • Cloud Connectorの技術詳細」で説明されているシステム要件
  • 他のCitrixコンポーネントがインストールされておらず、サーバーがActive Directoryドメインコントローラーではなく、リソースの場所のインフラストラクチャに不可欠なマシンでもない。
  • VDAが存在するドメインに参加している。

Cloud Connectorの展開について詳しくは、以下の記事を参照してください:

セットアップの概要

  1. 新しいFASサーバーを展開する場合は、要件を確認し、この記事の「FASのインストールと構成」の指示に従ってください。
  2. この記事の「FASサーバーのCitrix Cloudへの接続」の説明に従って、FASサーバーをCitrix Cloudに接続します。このタスクを完了すると、FASサーバーが単一のリソースの場所に接続されます。
  3. FASサーバーを複数のリソースの場所に接続する場合は、この記事の「FASサーバーを複数のリソースの場所に追加する」で説明されているようにFASサーバーを追加します。

FASのインストールと構成

FAS製品ドキュメント」で説明されているFASのインストールおよび構成プロセスに従います。StoreFrontとDelivery Controllerの構成手順は不要です。

ヒント:

フェデレーション認証サービスインストーラーはCitrix Cloudコンソールからもダウンロードできます:

  1. Citrix Cloudメニューから [リソースの場所] を選択します。
  2. [FASサーバー] タイルを選択し、[ダウンロード] をクリックします。

FASサーバーをCitrix Cloudに接続する

FAS製品ドキュメントの「インストールと構成」で説明されているとおり、FAS管理コンソールを使用してFASサーバーをCitrix Cloudに接続します。

Citrix Cloudに接続するための構成手順が完了すると、Citrix CloudでFASサーバーが登録され、Citrix Cloudアカウントの[リソースの場所]ページに表示されます。

FASサーバーが追加された[リソースの場所]ページ

Webブラウザーに[リソースの場所]ページが既にロードされている場合は、ページを更新して登録済みのFASサーバーを表示します。

FASサーバーを複数のリソースの場所に追加する

この機能はプレビューとして提供されています。プレビュー機能は、テスト環境または限定された実稼働環境でのみ使用することをお勧めします。

  1. Citrix Cloudメニューの [リソースの場所] を選択してから、[FASサーバー] タブを選択します。
  2. 管理するFASサーバーを見つけ、エントリの右側にある省略記号(…)をクリックしてから、[サーバーの管理] を選択します。 [サーバーの管理]メニューオプションが強調表示された[FASサーバー]タブ
  3. [リソースの場所に追加] を選択してから、必要なリソースの場所を選択します。 [リソースの場所に追加]オプションが強調表示された[サーバーの管理]ダイアログボックス
  4. 選択した各リソースの場所で、FASサーバーのフェイルオーバー優先度として [プライマリ] または [セカンダリ] を選択します。
  5. [Save Changes] を選択します。

追加したFASサーバーを表示するには、Citrix Cloudメニューの [リソースの場所] を選択してから、[FASサーバー] タブを選択します。接続されているすべてのリソースの場所の全FASサーバー一覧が表示されます。特定のリソースの場所のFASサーバーを表示するには、ドロップダウンリストからリソースの場所を選択します。

FASサーバーのフェイルオーバー優先度を変更する

利用者が仮想アプリまたは仮想デスクトップを起動すると、Citrix Cloudは以下のシーケンスに従って、起動中の仮想アプリまたは仮想デスクトップと同じリソースの場所にあるFASサーバーを選択します:

  • 指定されたリソースの場所でプライマリとして指定されているFASサーバーが最初に考慮されます。
  • 使用可能なプライマリサーバーがない場合は、セカンダリとして指定されているFASサーバーが考慮されます。
  • 使用可能なセカンダリサーバーがない場合、起動は続行されますが、シングルサインオンは発生しません。
  1. [リソースの場所] ページから、管理するリソースの場所の [FASサーバー] タイルを選択します。
  2. [FASサーバー] タブを選択します。
  3. 管理するFASサーバーを見つけ、エントリの右側にある省略記号(…)をクリックしてから、[サーバーの管理] を選択します。
  4. 変更する優先度付きのリソースの場所を見つけて、ドロップダウンリストから新しい優先度を選択します。 優先度のドロップダウンが強調表示されたFASサーバーの管理
  5. [Save Changes] を選択します。

ワークスペースのフェデレーション認証を有効にする

  1. Citrix Cloudメニューから [ワークスペース構成] を選択し、[認証] を選択します。
  2. [FAS を有効にする] をクリックします。この変更が利用者のセッションに適用されるまで、最大5分かかる場合があります。

[FASを有効にする]ボタンが強調表示された[ワークスペース構成]ページ

その後、Citrix Workspaceからのすべての仮想アプリおよびデスクトップの起動に対してフェデレーション認証がアクティブになります。

FASが有効な[ワークスペース構成]ページ

利用者が自分のワークスペースにログインして、FASサーバーと同じリソースの場所で仮想アプリまたはデスクトップを起動すると、アプリまたはデスクトップは資格情報のプロンプトを表示せずに起動します。

注:

リソースの場所内のすべてのFASサーバーがダウンしているか、またはメンテナンスモードの場合、アプリケーションの起動は成功しますが、シングルサインオンはアクティブになりません。利用者は、各アプリケーションまたはデスクトップにアクセスするためにActive Directory資格情報の入力を求められます。

FASサーバーの削除

単一のリソースの場所からFASサーバーを削除するには:

  1. [リソースの場所] ページから、管理するリソースの場所の [FASサーバー] タイルを選択します。
  2. [FASサーバー] タブを選択します。
  3. 管理するFASサーバーを見つけ、エントリの右側にある省略記号(…)をクリックしてから、[サーバーの管理] を選択します。
  4. 削除するリソースの場所を見つけて、[X] アイコンをクリックします。 削除アイコンが強調表示されたFASサーバーの管理

接続されたすべてのリソースの場所からFASサーバーを削除するには:

  1. Citrix Cloudメニューから [リソースの場所] を選択します。
  2. 管理するリソースの場所を指定して [FASサーバー] タイルを選択します。
  3. 削除するFASサーバーを見つけ、エントリの右側にある省略記号(…)をクリックしてから、[FASサーバーの削除] を選択します。 FASサーバーを削除のメニューコマンド
  4. FAS管理コンソール(オンプレミスのFASサーバー上)の [Connect to Citrix Cloud][Disconnect] を選択します。また、FASをアンインストールすることもできます。 無効化コマンドを表示したFAS管理コンソール

トラブルシューティング

FASサーバーが利用できない場合、FASサーバーページに警告メッセージが表示されます。

FASサーバーコンソールページ

問題を診断するには、オンプレミスのFASサーバーでFAS管理コンソールを開き、状態を確認します。たとえば、FASサーバーがFASサーバーのGPOに存在しないとします。

FASサーバー管理コンソールでFASサーバーが利用できない

FAS管理コンソールがサーバーが正常に動作していることを示していても、VDAログオンの問題が解決しない場合は、「FASトラブルシューティングガイド」を確認してください。

Citrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化