展開アーキテクチャ
はじめに
フェデレーション認証サービス(FAS)はActive Directory証明機関と統合して,Citrix環境内でのシームレスなユーザー認証を実現するCitrixコンポーネントです。このドキュメントでは,環境に適した,さまざまな認証アーキテクチャについて説明します。
FASが有効化されると,信頼された店面サーバーにユーザー認証の判断が委任されます。店面は最新のWebテクノロジを中心に構築されたビルトイン認証オプションの包括的なセットを搭載しており,店面SDKやサードパーティのIISプラグインを使用して容易に拡張できます。基本的な設計目標は,Webサイトへのユーザー認証が可能なすべての認証テクノロジを,Citrix虚拟应用またはCitrix虚拟桌面の展開へのログインに活用することです。
このドキュメントでは,複雑さを増す上位レベルの展開アーキテクチャに関する例が記載されています。
FAS関連記事にリンクしています。すべてのアーキテクチャにおけるFASのセットアップについては”インストールと構成“を参照してください。
アーキテクチャの概要
FASには,店面の認証したActive Directoryユーザーの代わりに,スマートカードクラスの証明書を自動的に発行する権限が付与されます。これは,管理者が物理スマートカードをプロビジョニングできるツールと同様のAPIを使用します。ユーザーがCitrix虚拟应用またはCitrix虚拟桌面の虚拟投递代理(VDA)に仲介されると,マシンに証明書がアタッチされ,Windowsドメインはログオンを標準のスマートカード認証と見なします。
ユーザーがCitrix環境へのアクセスを要求すると,信頼済みの店面サーバーがFASにアクセスします。FASは,単一のCitrix虚拟应用またはCitrix虚拟桌面セッションがそのセッションの証明書で認証できるようにするチケットを付与します。VDAでユーザーを認証する必要がある場合,VDAはFASにアクセスしてチケットを使用します。ユーザー証明書の秘密キーにアクセスできるのはFASだけです。VDAは,証明書を使用して実行する必要のあるすべての署名処理および暗号化解除処理を,FASに送信しなければなりません。
以下の図に,微软証明機関と統合したFASによる,店面とCitrix虚拟应用程序和桌面虚拟投递代理(VDA)へのサポートサービスの提供について示します。
内部展開
FASでは,さまざまな認証オプション(Kerberosシングルサインオンを含む)を使用した店面への安全なユーザー認証,および十分に認証されたCitrix HDXセッションへの接続が可能です。
これにより,Windows認証にユーザーの資格情報やスマートカードの销の入力が求められることはありません。また,シングルサインオンサービスのような“保存されたパスワードの管理”機能を使用する必要もありません。これを使用してCitrix虚拟应用の旧バージョンで利用可能なKerberos制約付き委任のログオン機能を置き換えることができます。
エンドポイントデバイスへのログオンにスマートカードを使用したかどうかにかかわらず,セッション内ではすべてのユーザーが,公開キー基盤(PKI)の証明書にアクセスできます。このため,スマートフォンやタブレットのように,スマートカードリーダーを搭載していないデバイスからも,2要素認証モデルへの円滑な移行が可能です。
この展開では,FASを実行する新しいサーバーが追加されますが,このサーバーにはユーザーの代わりにスマートカードクラスの証明書を発行する権限が付与されます。これらの証明書は,スマートカードによるログオンの代わりとして,Citrix HDX環境でのユーザーセッションへのログオンに使用されます。
Citrix虚拟应用またはCitrix虚拟桌面環境は,CTX206156で説明するように,スマートカードによるログオンと同様の方法で構成する必要があります。
既存の展開では,通常,ドメインに参加する微软証明機関を利用可能にし,ドメインコントローラーにドメインコントローラー証明書を割り当てるだけで済みます。(CTX206156の“发行域控制器证书”セクションを参照してください)。
関連情報:
- キーは,ハードウェアセキュリティモジュール(HSM)やビルトインのトラステッドプラットフォームモジュール(TPM)に保存できます。詳しくは。”秘密キー保護“を参照してください。
- FASをインストールおよび構成する方法については,”インストールと構成“を参照してください。
Citrix网关の展開
Citrix网关の展開は内部展開と似ていますが,店面と組み合わせたCitrix网关が追加されており,認証のプライマリポイントがCitrix网关そのものに移動されています。Citrix网关には,企業Webサイトへのリモートアクセスの保護に使用できる,認証および承認の高度なオプションが含まれています。
この展開を利用すれば,Citrix网关への初回認証時およびユーザーセッションへのログイン時に,何度も销の入力が求められることはありません。また,广告パスワードやスマートカードを必要とせずに,高度なCitrix网关認証テクノロジを利用することができます。
Citrix虚拟应用またはCitrix虚拟桌面環境は,CTX206156で説明するように,スマートカードによるログオンと同様の方法で構成する必要があります。
既存の展開では,通常,ドメインに参加する微软証明機関を利用可能にし,ドメインコントローラーにドメインコントローラー証明書を割り当てるだけで済みます。(CTX206156の“发行域控制器证书”セクションを参照してください)。
Citrix网关をプライマリ認証システムとして構成する場合は,Citrix网关と店面間のすべての接続をTLSで保護するようにします。特に,この展開ではCitrix网关サーバーの認証にコールバックURLが使用されるため,コールバックURLがCitrix网关サーバーを指すよう正しく構成する必要があります。
関連情報:
- Citrix网关を構成するには,”如何配置NetScaler网关10.5使用StoreFront 3.6和Citrix虚拟桌面7.6“を参照してください。
- 「インストールと構成“では,FASのインストールと構成の方法について説明します。
ADFS SAMLの展開
Citrix网关の主要な認証テクノロジにより,SAML IDプロバイダー(IdP)として機能できる,微软ADFSとの統合が実現します。SAMLアサーションは暗号を使用して署名されたXMLブロックであり,コンピューターシステムへのユーザーのログオンを承認する,信頼されたIdPによって発行されます。つまり,FASサーバーによって,微软ADFSサーバー(またはほかのSAML対応IdP)へのユーザー認証の委任が許可されます。
ADFSは,一般的にインターネットを利用して企業リソースにリモートでユーザーを安全に認証するために使用され,たとえば,Office 365の統合に多く利用されます。
関連情報:
- 詳しい情報については,”ADFSの展開“を参照してください。
- FASをインストールおよび構成する方法については,”インストールと構成“を参照してください。
- 構成に関する考慮事項については,”Citrix网关の展開“セクションを参照してください。
B2Bアカウントのマッピング
2つの会社が互いのコンピューターシステムを利用する場合,一般的なオプションはActive Directoryフェデレーションサービス(ADFS)サーバーを信頼関係でセットアップすることです。これにより,一方の会社のユーザーが,他方の会社のActive Directory(广告)環境にシームレスに認証されるようになります。ログオン時に,各ユーザーは自社のログオン資格情報を使用します。ADFSはこれを相手の会社の广告環境の”シャドウアカウント”に自動的にマップします。
関連情報:
- FASをインストールおよび構成する方法については,”インストールと構成“を参照してください。
Windows Azure 10广告への参加
Windows 10では”,Azure广告への参加“というコンセプトが導入されました。これは,従来のWindowsドメインへの参加とコンセプトが似ていますが,“インターネット上“のシナリオに焦点を当てている点が特徴です。これは,ラップトップおよびタブレットとうまく機能します。従来のWindowsドメイン参加と同様に,Azure广告には企業のWebサイトやリソースで,シングルサインオンモデルを実現する機能があります。これらはすべて”インターネットに対応”しているため,社内局域网だけでなく,インターネットに接続したすべての場所から機能します。
この展開は,事実上“オフィスにいるエンドユーザー”という概念のない一例です。ラップトップコンピューターは最新のAzure广告機能を使用して完全にインターネット経由で登録および認証されています。
この展開では、IPアドレスが使用可能なすべての場所,つまりオンプレミス,ホストされたプロバイダー,Azure,あるいはそのほかのクラウドプロバイダーで,インフラストラクチャが実行できる点に注意してください。Azure广告连接の同期機能により,自動的にAzure广告に接続します。例として示した図では,簡単にするためにAzure仮想マシンを使用しています。
関連情報:
- FASをインストールおよび構成する方法については,”インストールと構成“を参照してください。
- 詳しい情報については,”Azure广告の統合“を参照してください。