製品ドキュメント
Federated Authentication Service
Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912
PDFを表示

展開アーキテクチャ

April 28, 2026
寄稿者: 
C C

はじめに

Federated Authentication Service (FAS) は、Citrix®コンポーネントであり、Active Directory証明機関と統合することで、Citrix環境内でユーザーをシームレスに認証できるようにします。このドキュメントでは、展開に適したさまざまな認証アーキテクチャについて説明します。

  • 有効にすると、FASはユーザー認証の決定を信頼されたStoreFrontサーバーに委任します。StoreFrontには、最新のWebテクノロジーに基づいて構築された包括的な組み込み認証オプションがあり、StoreFront SDKまたはサードパーティのIISプラグインを使用して簡単に拡張できます。基本的な設計目標は、Webサイトにユーザーを認証できるあらゆる認証テクノロジーを、Citrix Virtual AppsまたはCitrix Virtual Desktops™展開へのログインに使用できるようにすることです。

  • このドキュメントでは、複雑さが増す順に、トップレベルの展開アーキテクチャの例を説明します。

  • 内部展開
  • Citrix Gateway展開
  • ADFS SAML
  • B2Bアカウントマッピング
  • Windows 10 Azure AD参加

関連するFAS記事へのリンクが提供されています。すべてのアーキテクチャについて、インストールと構成の記事は、FASのセットアップに関する主要なリファレンスです。

アーキテクチャの概要

FASは、StoreFrontによって認証されたActive Directoryユーザーに代わって、スマートカードクラスの証明書を自動的に発行することを許可されています。これは、管理者が物理スマートカードをプロビジョニングできるツールと同様のAPIを使用します。ユーザーがCitrix Virtual Apps™またはCitrix Virtual Desktops Virtual Delivery Agent (VDA) に仲介されると、証明書がマシンにアタッチされ、Windowsドメインはログオンを標準のスマートカード認証として認識します。

信頼されたStoreFront™サーバーは、ユーザーがCitrix環境へのアクセスを要求するとFASに接続します。FASは、単一のCitrix Virtual AppsまたはCitrix Virtual Desktopsセッションがそのセッションの証明書で認証することを許可するチケットを付与します。VDAがユーザーを認証する必要がある場合、FASに接続してチケットを引き換えます。FASのみがユーザー証明書の秘密キーにアクセスできます。VDAは、証明書で実行する必要がある署名および復号化操作をそれぞれFASに送信する必要があります。

次の図は、FASがMicrosoft証明機関と統合し、StoreFrontおよびCitrix Virtual Apps and Desktops™ Virtual Delivery Agents (VDA) にサポートサービスを提供している様子を示しています。

  • localized image

内部展開

FASを使用すると、ユーザーはさまざまな認証オプション(Kerberosシングルサインオンを含む)を使用してStoreFrontに安全に認証し、完全に認証されたCitrix HDX™セッションに接続できます。

これにより、ユーザー資格情報やスマートカードPINを入力するプロンプトなしで、またシングルサインオンサービスなどの「保存されたパスワード管理」機能を使用せずにWindows認証が可能になります。これは、以前のバージョンのCitrix Virtual Appsで利用可能だったKerberos制約付き委任ログオン機能を置き換えるために使用できます。

すべてのユーザーは、スマートカードを使用してエンドポイントデバイスにログオンしているかどうかにかかわらず、セッション内で公開キー基盤 (PKI) 証明書にアクセスできます。これにより、スマートカードリーダーを持たないスマートフォンやタブレットなどのデバイスからでも、2要素認証モデルへのスムーズな移行が可能になります。

  • この展開では、FASを実行する新しいサーバーが追加され、ユーザーに代わってスマートカードクラスの証明書を発行することが許可されます。これらの証明書は、スマートカードログオンが使用されたかのように、Citrix HDX環境のユーザーセッションにログオンするために使用されます。

localized image

Citrix Virtual AppsまたはCitrix Virtual Desktops環境は、スマートカードログオンと同様の方法で構成する必要があります。これはCTX206156に記載されています。

既存の展開では、通常、ドメイン参加済みのMicrosoft証明機関が利用可能であること、およびドメインコントローラーにドメインコントローラー証明書が割り当てられていることを確認するだけで済みます。(CTX206156の「Issuing Domain Controller Certificates」セクションを参照してください。)

  • 関連情報:

  • キーは、ハードウェアセキュリティモジュール (HSM) または組み込みのトラステッドプラットフォームモジュール (TPM) に保存できます。詳細については、秘密キーの保護の記事を参照してください。
  • インストールと構成の記事では、FASのインストールと構成方法について説明しています。

Citrix Gateway展開

Citrix Gateway展開は内部展開と似ていますが、StoreFrontとペアになったCitrix Gatewayが追加され、認証の主要なポイントがCitrix Gateway自体に移動します。Citrix Gatewayには、企業のWebサイトへのリモートアクセスを保護するために使用できる高度な認証および承認オプションが含まれています。

この展開は、最初にCitrix Gatewayに認証し、次にユーザーセッションにログインするときに発生する複数のPINプロンプトを回避するために使用できます。また、追加でADパスワードやスマートカードを必要とせずに、高度なCitrix Gateway認証テクノロジーを使用することもできます。

ローカライズされた画像

  • Citrix Virtual Apps または Citrix Virtual Desktops 環境は、スマートカードログオンと同様の方法で構成する必要があります。これは CTX206156 に記載されています。

既存の展開では、通常、ドメイン参加済みの Microsoft 証明機関が利用可能であること、およびドメインコントローラーにドメインコントローラー証明書が割り当てられていることを確認するだけです。(CTX206156 の「ドメインコントローラー証明書の発行」セクションを参照してください)。

Citrix Gateway をプライマリ認証システムとして構成する場合、Citrix Gateway と StoreFront 間のすべての接続が TLS で保護されていることを確認してください。特に、この展開で Citrix Gateway サーバーを認証するために使用できるため、コールバック URL が Citrix Gateway サーバーを指すように正しく構成されていることを確認してください。

ローカライズされた画像

関連情報:

ADFS SAML 展開

主要な Citrix Gateway 認証テクノロジーにより、SAML ID プロバイダー (IdP) として機能できる Microsoft ADFS との統合が可能になります。SAML アサーションは、信頼された IdP によって発行される暗号署名された XML ブロックであり、ユーザーがコンピューターシステムにログオンすることを承認します。これは、FAS サーバーがユーザーの認証を Microsoft ADFS サーバー (またはその他の SAML 対応 IdP) に委任できることを意味します。

ローカライズされた画像

ADFS は、インターネット経由でリモートから企業リソースにユーザーを安全に認証するためによく使用されます。たとえば、Office 365 統合によく使用されます。

関連情報:

  • ADFS 展開の記事に詳細が記載されています。
  • インストールと構成の記事では、FAS のインストールと構成方法について説明しています。
  • この記事の「Citrix Gateway 展開」セクションには、構成に関する考慮事項が含まれています。

B2B アカウントマッピング

2 つの会社が互いのコンピューターシステムを使用したい場合、一般的な選択肢は、信頼関係を持つ Active Directory フェデレーションサービス (ADFS) サーバーをセットアップすることです。これにより、一方の会社のユーザーは、もう一方の会社の Active Directory (AD) 環境にシームレスに認証できます。ログオン時、各ユーザーは自身の会社のログオン資格情報を使用し、ADFS はこれをピア会社の AD 環境の「シャドウアカウント」に自動的にマッピングします。

ローカライズされた画像

関連情報:

Windows 10 Azure AD Join

Windows 10 では、「Azure AD Join」の概念が導入されました。これは、従来の Windows ドメイン参加と概念的には似ていますが、「インターネット経由」のシナリオを対象としています。これはラップトップやタブレットでうまく機能します。従来の Windows ドメイン参加と同様に、Azure AD には、会社の Web サイトやリソースに対するシングルサインオンモデルを可能にする機能があります。これらはすべて「インターネット対応」であるため、オフィス LAN だけでなく、インターネットに接続されたあらゆる場所から機能します。

ローカライズされた画像

この展開は、「オフィス内のエンドユーザー」という概念が実質的に存在しない例です。ラップトップは、最新の Azure AD 機能を使用して、完全にインターネット経由で登録および認証されます。

この展開のインフラストラクチャは、IP アドレスが利用可能な場所であればどこでも実行できることに注意してください。オンプレミス、ホスト型プロバイダー、Azure、またはその他のクラウドプロバイダーです。Azure AD Connect シンクロナイザーは、Azure AD に自動的に接続します。この例のグラフィックでは、簡素化のために Azure VM を使用しています。

関連情報:

展開アーキテクチャ
April 28, 2026
寄稿者: 
C C
April 28, 2026
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.