インストールと構成

インストールとセットアップの順序

1. Federated Authentication Service (FAS) のインストール (FAS)
2. StoreFront ストアでの FAS プラグインの有効化
3. Delivery Controller の構成
4. グループポリシーの構成
5. FAS 管理コンソールを使用して、次の操作を行います。
   1. 証明書テンプレートの展開
   2. 証明機関のセットアップ
   3. FAS による証明機関の使用の承認
   4. 規則の構成
   5. FAS と Citrix Cloud の接続 (オプション)

• Federated Authentication Service のインストール

• セキュリティのため、Citrix では Federated Authentication Service (FAS) を専用サーバーにインストールすることをお勧めします。このサーバーは、ドメインコントローラーまたは証明機関と同様の方法で保護する必要があります。FAS は次のいずれかの方法でインストールできます。

• Citrix Virtual Apps and Desktops™ インストーラー (ISO を挿入したときの自動実行スプラッシュ画面の [Federated Authentication Service] ボタンから)、または

• スタンドアロンの FAS インストーラーファイル (Citrix Downloads で MSI ファイルとして入手可能)。

• これらにより、次のコンポーネントがインストールされます。

• Federated Authentication Service
• 高度な FAS 構成用の PowerShell スナップインコマンドレット
• FAS 管理コンソール
• FAS グループポリシーテンプレート (CitrixFederatedAuthenticationService.admx/adml)
• 証明書テンプレートファイル
• パフォーマンスカウンター および イベントログ

FAS のアップグレード

インプレースアップグレードを使用して、FAS を新しいバージョンにアップグレードできます。アップグレードする前に、次の点を考慮してください。

• インプレースアップグレードを実行すると、すべての FAS サーバー設定が保持されます。
• FAS をアップグレードする前に、FAS 管理コンソールを必ず閉じてください。
• 常に少なくとも 1 つの FAS サーバーが利用可能であることを確認してください。Federation Authentication Service が有効な StoreFront™ サーバーからサーバーに到達できない場合、ユーザーはログオンしたりアプリケーションを起動したりできません。

アップグレードを開始するには、Citrix Virtual Apps and Desktops インストーラーまたはスタンドアロンの FAS インストーラーファイルから FAS をインストールします。

StoreFront ストアでの FAS プラグインの有効化

注：

Citrix Cloud でのみ FAS を使用している場合、この手順は不要です。

StoreFront ストアで FAS 統合を有効にするには、管理者アカウントとして次の PowerShell コマンドレットを実行します。ストアの名前が異なる場合は、$StoreVirtualPath を変更します。

    Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    $StoreVirtualPath = "/Citrix/Store"
    $store = Get-STFStoreService -VirtualPath $StoreVirtualPath
    $auth = Get-STFAuthenticationService -StoreService $store
    Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
    Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy-->

FAS の使用を停止するには、次の PowerShell スクリプトを使用します。

    Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    $StoreVirtualPath = "/Citrix/Store"
    $store = Get-STFStoreService -VirtualPath $StoreVirtualPath
    $auth = Get-STFAuthenticationService -StoreService $store
    Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
    Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy-->

Delivery Controller™ の構成

注：

Citrix Cloud でのみ FAS を使用している場合、この手順は不要です。

FAS を使用するには、Citrix Virtual Apps または Citrix Virtual Desktops™ Delivery Controller を構成して、それに接続する StoreFront サーバーを信頼するようにします。Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true PowerShell コマンドレットを実行します。このコマンドは、サイト上の Delivery Controller の数に関係なく、サイトごとに 1 回実行します。

グループポリシーの構成

FAS をインストールした後、インストールで提供されるグループポリシーテンプレートを使用して、グループポリシーでサーバーの完全修飾ドメイン名 (FQDN) を指定します。

重要：

チケットを要求する StoreFront サーバーとチケットを引き換える Virtual Delivery Agent (VDA) が、グループポリシーオブジェクトによって適用される自動サーバー番号付けを含め、FQDN の同一の構成になっていることを確認してください。

簡素化のため、以下の例では、すべてのマシンに適用されるドメインレベルで単一のポリシーを構成します。ただし、これは必須ではありません。FAS は、StoreFront サーバー、VDA、および FAS 管理コンソールを実行しているマシンが同じ FQDN のリストを参照している限り機能します。手順 6 を参照してください。

• 手順 1. FAS をインストールしたサーバーで、C:\Program Files\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx および CitrixBase.admx ファイルと、en-US フォルダーを見つけます。

• 

手順 2. これらのファイルをドメインコントローラーにコピーし、C:\Windows\PolicyDefinitions および en-US サブフォルダーに配置します。

手順 3. Microsoft Management Console (コマンドラインから mmc.exe) を実行します。メニューバーから、[ファイル] > [スナップインの追加と削除] を選択します。[グループポリシー管理エディター] を追加します。

グループポリシーオブジェクトの入力を求められたら、[参照] を選択し、[Default Domain Policy] を選択します。または、選択したツールを使用して、環境に適したポリシーオブジェクトを作成して選択することもできます。このポリシーは、影響を受ける Citrix ソフトウェア (VDA、StoreFront サーバー、管理ツール) を実行しているすべてのマシンに適用する必要があります。

手順 4. コンピューターの構成/ポリシー/管理用テンプレート/Citrix コンポーネント/認証 で、Federated Authentication Service ポリシーに移動します。

• 注記:

• フェデレーション認証サービスポリシー設定は、CitrixBase.admx/CitrixBase.admlテンプレートファイルをPolicyDefinitionsフォルダーに追加した場合にのみ、ドメインGPOで利用できます。ステップ3の後、フェデレーション認証サービスポリシー設定は、管理用テンプレート > Citrixコンポーネント > 認証フォルダーに表示されます。

ステップ 5. フェデレーション認証サービスポリシーを開き、[有効] を選択します。これにより、[表示] ボタンを選択できるようになり、FASサーバーのFQDNを構成できます。

• ステップ 6. FASサーバーのFQDNを入力します。

• 重要:

  複数のFQDNを入力する場合、リストの順序はVDA、StoreFrontサーバー（存在する場合）、およびFASサーバーから見て一貫している必要があります。グループポリシー設定を参照してください。

ステップ 7. [OK] をクリックしてグループポリシーウィザードを終了し、グループポリシーの変更を適用します。変更を有効にするには、マシンを再起動するか（またはコマンドラインから gpupdate /force を実行する）必要がある場合があります。

セッション内動作

このポリシーは、ユーザーのVDAセッションでエージェントプロセスをアクティブ化し、セッション内証明書、同意、およびロック時の切断をサポートします。セッション内証明書は、このポリシーが有効になっている場合、かつ証明書の作成に使用されたFASルールでセッション内使用が許可されている場合にのみ利用できます。ルールの構成を参照してください。

[有効] はこのポリシーを有効にし、FASエージェントプロセスがユーザーのVDAセッションで実行されることを許可します。

[無効] はこのポリシーを無効にし、FASエージェントプロセスが実行されるのを停止します。

プロンプトの範囲

このポリシーが有効になっている場合、[プロンプトの範囲] は、アプリケーションがセッション内証明書を使用することを許可するための同意をユーザーにどのように求めるかを制御します。3つのオプションがあります。

• 同意不要—このオプションはセキュリティプロンプトを無効にし、秘密キーはサイレントに使用されます
• プロセスごとの同意—実行中の各プログラムが個別に同意を求めます
• セッションごとの同意—ユーザーが [OK] をクリックすると、このオプションはセッション内のすべてのプログラムに適用されます

同意のタイムアウト

このポリシーが有効になっている場合、[同意のタイムアウト] は、同意が持続する時間（秒単位）を制御します。たとえば、300秒の場合、ユーザーは5分ごとにプロンプトが表示されます。値がゼロの場合、秘密キー操作ごとにユーザーにプロンプトが表示されます。

ロック時の切断

このポリシーが有効になっている場合、ユーザーが画面をロックすると、ユーザーのセッションは自動的に切断されます。この動作は、「スマートカード取り外し時の切断」ポリシーに似ています。ユーザーがActive Directoryログオン資格情報を持っていない場合に、この機能を使用します。

注記:

• ロック時の切断ポリシーは、VDA上のすべてのセッションに適用されます。

• フェデレーション認証サービス管理コンソールの使用

注記:

FAS管理コンソールはほとんどの展開に適していますが、PowerShellインターフェイスはより高度なオプションを提供します。FAS PowerShellコマンドレットの詳細については、PowerShellコマンドレットを参照してください。

FAS管理コンソールはFASの一部としてインストールされます。アイコン（Citrix Federated Authentication Service）はスタートメニューに配置されます。

管理コンソールを初めて使用する際には、次のプロセスを通じてガイドされます。

• 証明書テンプレートの展開
• 証明機関のセットアップ
• FASが証明機関を使用するための承認

一部の手順は、OS構成ツールを使用して手動で完了することもできます。

FAS管理コンソールは、デフォルトでローカルFASサービスに接続します。必要に応じて、コンソールの右上にある [別のサーバーに接続] を使用してリモートサービスに接続できます。

証明書テンプレートの展開

他のソフトウェアとの相互運用性の問題を回避するため、FASは独自の用途のために3つのCitrix証明書テンプレートを提供します。

• Citrix_RegistrationAuthority_ManualAuthorization
• Citrix_RegistrationAuthority
• Citrix_SmartcardLogon

これらのテンプレートはActive Directoryに登録する必要があります。[展開] ボタンをクリックし、[OK] をクリックします。

テンプレートの構成は、FASとともにインストールされる拡張子.certificatetemplateのXMLファイルにあります。

C:\Program Files\Citrix\Federated Authentication Service\CertificateTemplates

これらのテンプレートファイルをインストールする権限がない場合は、Active Directory管理者に渡してください。

テンプレートを手動でインストールするには、テンプレートを含むフォルダーから次のPowerShellコマンドを実行します。

    $template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
    $CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
    $CertEnrol.InitializeImport($template)
    $comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
    $writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
    $writabletemplate.Initialize($comtemplate)
    $writabletemplate.Commit(1, $NULL)
<!--NeedCopy-->

Active Directory 証明書サービスの設定

Citrix証明書テンプレートをインストールしたら、1つ以上のMicrosoft Enterprise証明機関サーバーで公開する必要があります。Active Directory証明書サービスを展開する方法については、Microsoftのドキュメントを参照してください。

証明機関を管理する権限を持つユーザーは、少なくとも1つのサーバーでテンプレートを公開する必要があります。それらを公開するには、Set Up Certificate Authorityを使用します。

（証明書テンプレートは、Microsoft Certification Authorityコンソールを使用して公開することもできます。）

Federated Authentication Service の承認

この手順により、FASの承認が開始されます。管理コンソールは、Citrix_RegistrationAuthority_ManualAuthorizationテンプレートを使用して証明書要求を生成し、そのテンプレートを公開している証明機関のいずれかに送信します。

要求が送信されると、Microsoft Certification AuthorityコンソールのPending Requestsリストに、FASマシンアカウントからの保留中の要求として表示されます。証明機関管理者は、FASの構成を続行する前に、要求を発行または拒否する必要があります。

FAS管理コンソールは、管理者がIssueまたはDenyを選択するまで、ビジー状態の「スピナー」を表示します。

Microsoft Certification Authorityコンソールで、All Tasksを右クリックし、証明書要求に対してIssueまたはDenyを選択します。Issueを選択すると、FAS管理コンソールに承認証明書が表示されます。Denyを選択すると、コンソールにエラーメッセージが表示されます。

FAS管理コンソールは、このプロセスが完了すると自動的に検出します。これには数分かかる場合があります。

ルールの構成

FASは、StoreFrontの指示に従って、VDAログオンおよびセッション内使用の証明書の発行を承認するためにルールを使用します。

各ルールは以下を指定します。

• 証明書を要求することが信頼されているStoreFrontサーバー
• 証明書が要求されるユーザーのセット
• 証明書の使用が許可されているVDAマシンのセット

Citrixでは、FASに接続する際にStoreFrontが同じ名前のルールを要求するため、「default」という名前のルールを作成することをお勧めします。

異なる証明書テンプレートと証明機関を参照するカスタムルールをさらに作成し、異なるプロパティと権限を持つように構成できます。これらのルールは、異なるStoreFrontサーバーまたはWorkspaceで使用するように構成できます。グループポリシー構成オプションを使用して、カスタムルールを名前で要求するようにStoreFrontサーバーを構成します。

Create（または「Rules」タブのCreate rule）をクリックして、ルールを作成するための情報を収集するルール作成ウィザードを開始します。「Rules」タブには、各ルールの概要が表示されます。

ウィザードは次の情報を収集します。

Template: ユーザー証明書の発行に使用される証明書テンプレート。これは、Citrix_SmartcardLogonテンプレート、またはその変更されたコピーである必要があります（証明書テンプレートを参照）。

Certificate Authority: ユーザー証明書を発行し、テンプレートを公開する証明機関。FASは、フェールオーバーと負荷分散のために複数の証明機関の追加をサポートしています。選択した証明機関のステータスが「Template available」と表示されていることを確認してください。証明機関の管理を参照してください。

In-Session Use: Allow in-session useオプションは、VDAへのログオン後に証明書を使用できるかどうかを制御します。

• Allow in-session useが選択されていない場合（デフォルト、推奨）—証明書はログオンまたは再接続にのみ使用され、ユーザーは認証後に証明書にアクセスできません

• Allow in-session useが選択されている場合—ユーザーは認証後に証明書にアクセスできます。ほとんどの顧客はこのオプションを選択すべきではありません。イントラネットWebサイトやファイル共有など、VDAセッション内からアクセスされるリソースは、Kerberosシングルサインオンを使用してアクセスできるため、セッション内証明書は必要ありません

  Allow in-session useを選択した場合、セッション内動作グループポリシーも有効にしてVDAに適用する必要があります。証明書は、アプリケーションで使用するために、ログオン後にユーザーの個人証明書ストアに配置されます。たとえば、VDAセッション内のWebサーバーへのTLS認証が必要な場合、Internet Explorerは証明書を使用できます。

アクセス制御: ユーザーのログオンまたは再接続のために証明書を要求することを許可された、信頼済みStoreFrontサーバーマシンのリスト。これらのすべての権限について、個々のADオブジェクトまたはグループを追加できます。

重要:

アクセス制御の設定はセキュリティ上重要であり、慎重に管理する必要があります。

注:

FASサーバーをCitrix Cloudでのみ使用している場合、アクセス制御を構成する必要はありません。ルールがCitrix Cloudによって使用される場合、StoreFrontのアクセス権限は無視されます。同じルールをCitrix CloudとオンプレミスのStoreFront展開の両方で使用できます。ルールがオンプレミスのStoreFrontによって使用される場合、StoreFrontのアクセス権限は引き続き適用されます。

デフォルトの権限（「IDアサート」が許可されている）はすべてを拒否します。したがって、StoreFrontサーバーを明示的に許可する必要があります。

制限: FASを使用してユーザーをログオンできるVDAマシンのリスト、およびFASを介して証明書を発行できるユーザーのリスト。

• VDA権限の管理: FASを使用してユーザーをログオンできるVDAを指定できます。VDAのリストはデフォルトでDomain Computersです。

• ユーザー権限の管理: FASを使用してVDAにサインインできるユーザーを指定できます。ユーザーのリストはデフォルトでDomain Usersです。

注:

FASサーバーのドメインがVDAおよびユーザーのドメインと異なる場合、デフォルトの制限を変更する必要があります。

クラウドルール: Citrix WorkspaceからIDアサーションが受信されたときにルールが適用されるかどうかを示します。Citrix Cloudに接続するときに、Citrix Cloudで使用するルールを選択します。Citrix Cloudに接続した後、Citrix Cloudへの接続セクションのリンクからルールを変更することもできます。

Citrix Cloudへの接続

FASサーバーをCitrix WorkspaceでCitrix Cloudに接続できます。詳細については、このCitrix Workspaceの記事を参照してください。

1. 「初期セットアップ」タブのCitrix Cloudへの接続で、接続をクリックします。

   

2. 接続するクラウドを選択し、次へをクリックします。

   

   注

   プレビューではCitrix Cloudのみが利用可能です。

3. ウィンドウに一意の登録コードが表示されます。このコードはCitrix Cloudで承認する必要があります。詳細については、「オンプレミス製品をCitrix Cloudに登録」を参照してください。

   

4. 登録コードが検証されたら、ドロップダウンリストから必要なリソースの場所を選択します。

   

5. 該当する場合は顧客アカウントを選択し、FASサーバーを接続するリソースの場所を選択します。続行をクリックし、確認ウィンドウを閉じます。

6. ルールの選択セクションで、既存のルールを使用するか、ルールを作成します。次へをクリックします。

   

7. 概要セクションで、完了をクリックしてCitrix Cloudへの接続を完了します。

   

Citrix CloudはFASサーバーを登録し、Citrix Cloudアカウントの「リソースの場所」ページに表示します。

注

オンプレミスのFASサーバーは、Citrix CloudとCitrix Virtual Apps and Desktopsへのアクセスを同時に許可するために、ユーザー証明書を発行できます。

Citrix Cloudからの切断

このCitrix Workspaceの記事で説明されているように、Citrix Cloudのリソースの場所からFASサーバーを削除した後、Citrix Cloudへの接続で無効にするを選択します。