フェデレーション认证サービス
Citrixフェデレーション認証サービスは,Active Directory証明書サービスと統合するように設計されている,権限が付与されたコンポーネントです。Citrix联合身份验证服务ではユーザー向けの証明書が動的に発行され,ユーザーはスマートカードを持っている場合と同じようにActive Directory環境にログオンできます。これにより、店面でSAML(安全性断言标记语言)アサーションなどの広範な認証オプションを使用できます。SAMLは,インターネット上で従来のWindowsユーザーアカウントに代わるものとして一般的に使用されています。
以下の図に,微软証明機関と統合したフェデレーション認証サービスによる,店面とXenAppおよびXenDesktop虚拟投递代理(VDA)へのサポートサービスの提供について示します。
ユーザーがcitrix环境环境环境へアクセスアクセスアクセスアクセスアクセス要求要求ととととするするするフェデレーション认证(FAS)ににします。FASは,単一,Xenappまたはxendesktopセッションがそのまたは证明书で认证できるようにチケットを付与ますます.vdaでユーザーを认证する必要ある场场场がはfasにアクセスてチケットチケットを使ますしユーザー明书のキーにアクセスはfasだけです.vdaは,说明书をを使て実の署名目。期刊名称
要件
フェデレーション認証サービスはWindowsサーバー(Windows Server 2008 R2以降)でサポートされます。
- Fasは,ほかのcitrixコンポーネントを含まないサーバーインストールすることお勧めします。
- Windowsサーバーはセキュリティ保護されている必要があります。Windowsサーバーには登録機関の証明書および秘密キーへのアクセス権限があり,ドメインユーザーに対して自動的に証明書を発行できます。また,これらのユーザー証明書および秘密キーへのアクセス権限もあります。
- FASPowerShell SDK.を使用するには,Windows PowerShell 64ビットがFASサーバーにインストールされている必要があります。
- ユーザー証明書を発行するには,微软エンタープライズ証明機関が必要です。
XenAppまたはXenDesktopのサイトでの要件は次のとおりです:
- 7.15交付控制器のバージョンは以上である必要があります。
- VDAのバージョンは7.15以上である必要がありますマシンカタログ通话どおりに作物するに,フェデレーション认证サービスグループポリシーが适切にvdaに适さていること确认してくださいはくださいください。详しくは,「「ポリシーの构成」セクションを参照してください。
- 店面サーバーのバージョンは3.12 (XenAppおよびXenDesktop 7.15 ISOで提供されるバージョン)以上である必要があります。
このサービスの展開を計画する場合は,“セキュリティに関する注意事項”セクションを参照してください。
参照先ドキュメント:
- Active Directory証明書サービス
- 証明書ログオン用のWindowsの構成
https://support.citrix.com/article/CTX206156
インストールとセットアップの順序
- フェデレーション認証サービスのインストール
- 店面サーバーでのフェデレーション認証サービスプラグインの有効化
- グループポリシーの构成
- フェデレーション認証サービスの管理コンソールを使用した作業:(a)提供されたテンプレートの展開, (b)証明機関のセットアップ, (c)フェデレーション認証サービスへの証明機関の使用権限の付与
- ユーザールールの構成
フェデレーション認証サービスのインストール
セキュリティ上の理由により,FASは,ドメインコントローラーや証明機関と同様にセキュリティ保護されている専用サーバーにインストールすることをお勧めします。FASは、ISOの挿入時に自動実行されるスプラッシュスクリーンの[フェデレーション認証サービス]ボタンからインストールできます。
以下のコンポーネントがインストールされます。
- フェデレーション认证サービス
- 联合身份验证服务をリモートで構成するPowerShellスナップインコマンドレット
- 联合身份验证服务の管理コンソール
- フェデレーション認証サービスのグループポリシーテンプレート(CitrixFederatedAuthenticationService.admx / adml)
- 証明機関の簡易構成用の証明書テンプレートファイル
- パフォーマンスカウンターおよびイベントログ
店面ストアでのフェデレーション认证サービスの有色化
店面ストアでフェデレーション认证サービスのをを有象にに,管理者者アカウントで以以のの复复ののががあるある场ますますますのストアがある场场ますますますのストアが前场场异なる异なるはの前前前がが异なるははははははははははが异なる可能ががます。
“‘Get-Module”Citrix.StoreFront。*" -ListAvailable | Import-Module $StoreVirtualPath = "/Citrix/Store" $store = Get-STFStoreService -VirtualPath $StoreVirtualPath $auth = Get-STFAuthenticationService -StoreService $store Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory" Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider" ```FASの使用を停止するには,以下のPowerShellスクリプトを使用します:
“‘Get-Module”Citrix.StoreFront。*" -ListAvailable | Import-Module $StoreVirtualPath = "/Citrix/Store" $store = Get-STFStoreService -VirtualPath $StoreVirtualPath $auth = Get-STFAuthenticationService -StoreService $store Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory" Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "" ```交付控制器の構成
フェデレーション認証サービスを使用するには,それに接続可能な店面サーバーを信頼するようにXenAppまたはXenDesktop交付控制器を構成します。PowerShellコマンドレットSet-BrokerSite -TrustRequestsSentToTheXmlServicePort真正的美元を実行します。
グループポリシーの构成
フェデレーション認証サービスのインストール後は,インストールで提供されたグループポリシーテンプレートを使用して,グループポリシー内のFASサーバーの完全なDNSアドレスを指定する必要があります。
重要:チケットを要求する店面サーバーおよびチケットを使使使用するvdaに,グループグループポリシーによって适されるの自动箱号设定含む,同じdnsアドレスアドレスを行。
説明をシンプルにするために,以下の例ではすべてのマシンに適用されるドメインレベルで単一のポリシーを構成していますが,これは必須ではありません。的共识,店面サーバーおよびFAS管理コンソールを実行しているマシンで同じDNSアドレスの一覧が参照されている限り,FASは機能します。グループポリシーオブジェクトによって各エントリにインデックス番号が追加されることに注意してください。このインデックス番号は,複数のオブジェクトを使用する場合も一致する必要があります。
手顺1:FASをインストールしたサーバーで,C: \ Program Files \ Citrix \联合身份验证服务\ PolicyDefinitions \ CitrixFederatedAuthenticationService.admxファイルおよびen - usフォルダーを見つけます。
手順2:これらをドメインコントローラーにコピーして,C: \ Windows \ PolicyDefinitionsおよびen - usサブフォルダーに配置します。
手順3:コマンドラインから微软管理コンソールを実行します(mmc.exe)。メニューバーから,[ファイル]>[スナップインの追加と削除)の順に選択します。グループポリシー管理エディターを追加します。
グループポリシーオブジェクトを入力するための画面が開いたら,[参照]を選択してから[既定のドメインポリシー]を選択します。または,任意のツールを使用して,環境に応じたポリシーオブジェクトを作成して選択することもできます。このポリシーは,影響を受けるCitrixソフトウェア(VDA,店面サーバー,管理ツール)を実行しているすべてのマシンに適用する必要があります。
手順4:计算机配置/策略/管理模板/ Citrix组件/身份验证にあるフェデレーション认证サービスポリシーに移します。
手順5:フェデレーション認証サービスポリシーを開き,[有効]を選択します。これにより,FASサーバーのDNSアドレスを構成する[表示]ボタンを選択できるようになります。
手順6:フェデレーション認証サービスをホストしているサーバーのDNSアドレスを入力します。
注意:複数のアドレスを入力する場合は,店面サーバーとVDA間で一覧の順番が統一されている必要があります。これには,空白や使用されないエントリも含まれます。
手順7:[好的]をクリックしてグループポリシーウィザードを終了し,グループポリシーの変更を適用します。変更を反映させるには,マシンを再起動(またはコマンドラインからgpupdate / force.を実行)する必要がある場合があります。
セッション内証明書サポートおよびロック時の切断を有効にする
セッション内说明书サポート
グループポリシーテンプレートには,セッション内証明書についてのシステムの構成のサポートが含まれます。これにより,ログオン後に,アプリケーションが使用できるようにユーザーの個人証明書ストアに証明書が配置されます。たとえば,VDAセッション内でWebサーバーへのTLS認証が必要な場合,証明書は互联网Explolerによって使用されます。デフォルトで,VDAはログオン後の証明書へのアクセスを許可しません。
ロック时の切断
このポリシーを有効にすると,ユーザーが画面をロックしたときにセッションが自動的に切断されます。この機能では”スマートカードの取り出し時の切断”ポリシーと同様の動作になるため,ユーザーがActive Directoryログオン資格情報を持っていない場合に便利です。
注:
ロック時の切断ポリシーは,VDA上のすべてのセッションに適用されます。
フェデレーション認証サービス管理コンソールの使用
フェデレーション認証サービス管理コンソールは,フェデレーション認証サービスの一部としてインストールされます。[スタート]メニューにアイコン(Citrix联合身份验证服务)が配置されます。
この管理コンソールは,グループポリシー構成を使用して,環境内のFASサーバーを自動的に検出します。この検出に失敗した場合は,”グループポリシーの构成“セクションを参照してください。
ユーザーアカウントが,フェデレーション認証サービスを実行しているマシンの管理者グループのメンバーでない場合は,資格情報を入力するための画面が開きます。
管理コンソールの初回使用時は,証明書テンプレートの展開,証明機関のセットアップ,およびフェデレーション認証サービスへの証明機関の使用権限の付与を行う3段階の手順が表示されます。一部の手順は、OS構成ツールを使用して手動で完了することもできます。
说明书テンプレートの开
他のソフトウェアとの相互運用性の問題を避けるため,フェデレーション認証サービスでは,独自の目的で使用する3つのCitrix証明書テンプレートが用意されています。
- Citrix_RegistrationAuthority_ManualAuthorization
- Citrix_RegistrationAuthority
- citrix_smartcardlogon.
これらのテンプレートは,Active Directoryで登録する必要があります。コンソールでこれらのテンプレートが見つからない場合は,说明书テンプレートの开ツールでインストールできます。このツールは、企业フォレストの管理権限があるアカウントとして実行する必要があります。
テンプレートの構成は,以下のフォルダーにフェデレーション認証サービスと一緒にインストールされた,拡張子“.certificatetemplate”のXMLファイル内にあります。
C:\Program Files\Citrix\Federated认证服务\CertificateTemplates
これらのテンプレートファイルをインストールインストールするするがないないないない,テンプレートファイルを有源目录管理者に渡してください。
以下のPowerShellコマンドを使用すると,テンプレートを手動でインストールできます。
$template = [System.IO.File]::ReadAllBytes("$Pwd\ citrix_smartcardlogin .certificatetemplate") $CertEnrol = New-Object -ComObject X509Enrollment. "CX509EnrollmentPolicyWebService $CertEnrol.InitializeImport($template) $comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0) $writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable $writabletemplate.Initialize($comtemplate) $writabletemplate.Commit(1, $NULL) ```Active Directory証明書サービスのセットアップ
Citrix証明書テンプレートのインストール後は,これらのテンプレートを1つまたは複数の微软証明機関サーバーで公開する必要があります。Active Directory証明書サービスの展開方法について詳しくは,微软社のドキュメントを参照してください。
どのサーバーでもテンプレートが公開されていない場合は,証明書機関のセットアップツールによって公開できます。このツールは,証明機関の管理権限のあるユーザーとして実行する必要があります。
(证明书テンプレートは,微软说明机械关系コンソールコンソール使用して公开打开するもできます。)
フェデレーション認証サービスへの権限付与
コンソールでの最終セットアップ手順では,フェデレーション認証サービスへの権限付与が開始されます。管理コンソールは,Citrix_RegistrationAuthority_ManualAuthorizationテンプレートを使用して証明書の要求生成し,この要求をテンプレートを公開する証明機関のいずれかに送信します。
要求は,送信後,微软証明機関コンソールの(保留中の要求)リストに表示されます。フェデレーション認証サービスの構成を続行するには,証明機関の管理者が要求の[発行]または[拒否]を選択する必要があります。承認要求は,FASマシンアカウントからの(保留中の要求)として表示されます。
[すべてのタスク]を右クリックしてから,証明書要求に対して[発行]または[拒否]を選択します。フェデレーション認証サービス管理コンソールにより,このプロセスの完了が自動的に検出されます。この処理には数分かかることがあります。
ユーザールールの構成
ユーザールールにより,店面の指示に従って,VDAログオンおよびセッション中の使用に関する証明書発行の権限が付与されます。各ルールでは,証明書の要求を信頼する店面サーバー,証明書を要求できる一連のユーザー,および証明書の使用を許可する一連のVDAマシンを指定します。
フェデレーション認証サービスのセットアップを完了するには,管理者がFAS管理コンソールの[ユーザールール]タブに切り替え,Citrix_SmartcardLogonテンプレートの公開先となる証明機関を選択し,店面サーバーの一覧を編集して,デフォルトのルールを定義する必要があります。デフォルトでは,VDAの一覧には各ドメインコンピューターが含まれ,ユーザーの一覧には各ドメインユーザーが含まれます。デフォルトが適切でない場合は,これらを変更できます。
フィールド:
[証明機関および証明書テンプレート]:ユーザー証明書の発行に使用される証明書テンプレートおよび証明機関。これは,Citrix_SmartcardLogonテンプレートまたはこれのコピーを変更したものであり,いずれかの証明機関にはこのテンプレートが公開されている必要があります。
Fasでは,フェールオーバーおよび负荷分类のため,powershellをを使をてての明机械の追することができますます。同様に,コマンドコマンドと成ファイルをし,より详细な证明明书生成オプションオプション构成できます。详しく详しく,「PowerShell“セクションおよび”ハードウェアセキュリティモジュール“セクションを参照してください。
[セッション内说明书]:[ログオン後に使用可能)チェックボックスで,証明書をセッション内証明書としても使用可能かどうかを制御します。このチェックボックスがオフの場合,証明書はログオンまたは再接続にのみ使用され,ユーザーは認証後,証明書にアクセスできなくなります。
(このルールを使用できる店面サーバーの一覧]:ユーザーのログオンまたは再接続用に証明書を要求する権限が付与された,信頼済み店面サーバーの一覧。この設定はセキュリティ上非常に重要であり,慎重に管理する必要があります。
(このルールによってログインできるVDAデスクトップおよびサーバーの一覧]:フェデレーション認証サービスシステムを使用してユーザーをログオンさせることができるVDAマシンの一覧。
(このルールを使用して店面がログインさせることのできるユーザーの一覧]:フェデレーション認証サービスを通じて証明書の発行を受けられるユーザーの一覧。
高度な使用方法
追加のルールを作成して,各種プロパティや権限が含まれるように構成されたさまざまな証明書テンプレートおよび証明機関を参照することができます。これらのルールは,名前別に新しいルールを要求するように構成する必要がある,各店面サーバーでの使用に合わせて構成できます。デフォルトでは,店面はフェデレーション認証サービスにアクセスするときにデフォルトを要求します。これは,グループポリシー構成オプションを使って変更できます。
新しい証明書テンプレートを作成するには,微软証明機関コンソールでCitrix_SmartcardLogonテンプレートを複製して名前を(Citrix_SmartcardLogon2などに)変更し,必要に応じて変更を加えます。[追加]ををして新闻证明书テンプレートテンプレート参照し,新闻ユーザールールを作用成し。
アップグレードに関する考慮事項
- インプレースアップグレードを行った場合,フェデレーション認証サービスサーバーの設定はすべて保持されます。
- フェデレーション認証サービスのアップグレードは,XenAppおよびXenDesktopの全製品インストーラーで行ってください。
- フェデレーション認証サービスを7.15 LTSRから7.15 LTSR忍耐力(またはそれ以降のサポート対象铜)にアップグレードする前に,交付控制器とVDA(およびその他のコアコンポーネント)を所定のバージョンにアップグレードしてください。
- フェデレーション認証サービスのアップグレード前に,フェデレーション認証サービスコンソールを必ず閉じてください。
- 1台以上のフェデレーション認証サービスサーバーを常に利用可能な状態に維持してください。フェデレーション认证サービスに対応したStoreFrontサーバーから到達可能なサーバーがない場合、ユーザーはログオンやアプリケーションの起動を行えなくなります。
セキュリティに関する注意事項
フェデレーション認証サービスには,フェデレーション認証サービスがドメインユーザーの代わりに自律的に証明書を発行できるようにする,登録機関の証明書があります。このため,セキュリティポリシーを作成および実装してFASサーバーを保護し,権限を制限することは重要です。
委任された登録エージェント
FASは登録エージェントとして機能することによってユーザー証明書を発行します。微软証明機関では,FASサーバーが使用可能なテンプレートの管理,およびFASサーバーが証明書を発行可能な対象ユーザーの制限を行うことができます。
フェデレーション認証サービスが必要なユーザーにのみ証明書を発行できるように,これらのオプションを構成することを強くお勧めします。たとえば,管理グループまたは保護されたユーザーのグループに属するユーザーにフェデレーション認証サービスが証明書を発行できないようにすることをお勧めします。
アクセス制御リストの構成
「ユーザー規則の構成“セクションで説明しているように,証明書が発行された場合のフェデレーション認証サービスに対するユーザーIDの承認を信頼する店面サーバーの一覧を構成する必要があります。同様に,証明書の発行対象となるユーザー,およびユーザーが認証可能なVDAマシンを制限することができます。この操作は,標準で構成を行うActive Directoryまたは証明機関のセキュリティ機能に追加で行います。
ファイアウォールの设定
FASサーバーへのすべての通信では,相互認証されたWindows Communication Foundation (WCF) Kerberosネットワーク接続がポート80で使用されます。
イベントログの監視
フェデレーション認証サービスおよびVDAは,Windowsイベントログに情報を書き込みます。これは,情報の監視および監査に使用できます。「イベントログ「セクションセクション,生成さ可能のあるイベントログの一流を示します。
ハードウェアセキュリティモジュール
フェデレーション認証サービスによって発行されたユーザー証明書の秘密キーを含むすべての秘密キーは,网络服务アカウントによってエクスポート不可の秘密キーとして保存されます。フェデレーション認証サービスは,セキュリティポリシーで暗号化ハードウェアセキュリティモジュールが必要とされる場合,このモジュールの使用をサポートします。
FederatedAuthenticationService.exe.configファイルでは,低レベルの暗号化構成が使用可能です。これらの設定は,秘密キーが最初に作成されたときに適用されます。そのため,登録機関の秘密キー(4096ビット,TPM保護など)およびランタイムのユーザー証明書には異なる設定が使用されることがあります。
| パラメーター | 説明 |
|---|---|
| ProviderLegacyCsp | 真正に設定した場合,FASでは微软CryptoAPI(教父)が使用されます。假に設定した場合,FASでは微软下一代加密技术(CNG) APIが使用されます。 |
| ProviderName | 使用するCAPIまたはCNGプロバイダーの名前。 |
| ProviderType | 微软KeyContainerPermissionAccessEntry。ProviderType财产PROV_RSA_AES 24を参照します。CAPIでHSMを使用する場合、およびHSMベンダーで別のタイプを指定されている場合以外は、常に24である必要があります。 |
| KeyProtection | 秘密キーの”エクスポート可能“フラグを制御します。さらに,ハードウェアでサポートされている場合は,トラステッドプラットフォームモジュール(TPM)のキーストレージの使用も許可されます。 |
| KeyLength | RSA秘密キーのキー長。サポートされる値は1024年,2048年,および4096です(デフォルトは2048です)。 |
PowerShell SDK.
シンプルな展開にはフェデレーション認証サービス管理コンソールが適していますが,PowerShellインターフェイスにはより詳細なオプションもあります。コンソールでは使用できないオプションを使用する場合は,CitrixではPowerShellのみを使用して構成を行うことをお勧めします。
次のコマンドによってPowerShellコマンドレットが追加されます。
Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1
得到帮助<cmdlet名字>をを使と,コマンドレットのヘルプが表示さますます次の表にいくつかのコマンド覧覧を示し示しますコマンドは标准标准のののの标准标准标准のののhh标准标准ののhhのの标准标准标准のますhののの词词をます(新,GET,SET,REMOVEなど)。
| コマンド | 概要 |
|---|---|
| * -FasServer | 現在の環境のFASサーバーを一覧表示および再構成します。 |
| * -FasAuthorizationCertificate | 登录机关说明书を管理します。 |
| * -FasCertificateDefinition | FASが証明書の生成に使用するパラメーターを制御します。 |
| * -fasrule. | フェデレーション認証サービスで構成済みのユーザールールを管理します。 |
| * -FasUserCertificate | フェデレーション認証サービスによってキャッシュされた証明書を一覧表示および管理します。 |
PowerShellコマンドレットは,FASサーバーのアドレスを指定することによってリモートで使用できます。
FAS PowerShellコマンドレットのすべてのヘルプファイルを含むzipファイルをダウンロードすることもできます。PowerShell SDK.の記事を参照してください。
パフォーマンスカウンター
フェデレーション認証サービスには,負荷の追跡用の一連のパフォーマンスカウンターが含まれます。
次の表は,使用可能なカウンターの一覧です。ほとんどのカウンターは,5分間の移動平均値です,
| 名字 | 説明 |
|---|---|
| アクティブなセッション | フェデレーション認証サービスによって追跡される接続の数。 |
| 企业社会责任同時実行数 | 同時に処理される証明書要求の数。 |
| 秘密キーの処理数 | 1分あたりに実行される秘密キー処理の数。 |
| 要求時間 | 証明書の生成および署名にかかる時間の長さ。 |
| 证书数 | フェデレーション認証サービスでキャッシュされた証明書の数。 |
| 1分あたりのCSR | 1分あたりに処理されるCSRの数。 |
| 低/中/高 | “1分あたりのCSR“の観点からフェデレーション認証サービスが許容できる負荷の推定値。“高負荷”しきい値を超過すると,セッションの起動に失敗することがあります。 |
イベントログ
次の表は,フェデレーション認証サービスで生成されるイベントログエントリの一覧です。
管理イベント
[イベントソース:Citrix.Authentication.FederatedAuthenticationService]
これらのイベントは,フェデレーション認証サービスサーバーでの構成変更に応じて記録されます。
| ログコード |
|---|
| [S001]アクセス拒否:ユーザー({0})は管理者グループのメンバーではありません |
| [S002]アクセス拒否:ユーザー[{0}]はは[{1}]の管理者ではありません |
| [S003]管理者({0})は保守モードを[{1}]に設定しています |
| [S004]管理者({0})はCA[{1}]テンプレート[{2}および{3}]で登録しています |
| [S005]管理者({0})はCA[{1}]の権限を取り消しています |
| [S006]管理者({0})は新しい証明書定義[{1}]を作成しています |
| [S007]管理者({0})は証明書定義[{1}]を更新しています |
| [S008]管理者({0})は証明書定義[{1}]を削除しています |
| [S009]管理者({0})は新しいロール[{1}]を作成しています |
| [S010]管理[{0}]はは[{1}]を更新しています |
| [S011]管理者({0})はロール[{1}]を削除しています |
| [S012]管理者({0})は証明書を作成しています(UPN:{0}席德:{1}ロール:{2}][証明書定義:{3}] |
| [S013]管理者({0})は証明書を削除しています(UPN:{0}ロール:{1}証明書定義:{2}] |
| ログコード |
|---|
| [S401]構成アップグレードを実行中です-[開始バージョン{0}][終了バージョン{1}) |
| [S402]エラー:Citrixフェデレーション認証サービスは网络服务として実行する必要があります[現在は{0}として実行中) |
IDアサーションの作成[フェデレーション認証サービス]
これらのイベントは,信頼済みのサーバーがユーザーログオンをアサートすると,ランタイム時にフェデレーション認証サービスサーバーに記録されます。
| ログコード |
|---|
| (S101)サーバー({0})にはロール[{1}]のIDをアサートする権限がありません |
| (世界时)サーバー({0})はUPN[{1}]のアサートに失敗しました(例外:{2}{3}) |
| (算是)サーバー({0})はUPN [{1}], SID{2}を要求しましたが,検索でSID{3}が返されました |
| (S104)サーバー({0})はUPN[{1}]のアサートに失敗しました(UPNはロール({2})によって許可されていません) |
| [][希腊悲剧诗人]サーバー({0})はIDのアサーションを発行しました(UPN:{0},ロール:{1},セキュリティコンテキスト:({2}) |
| [S120][隐喻:{0},ロール:{1},セキュリティコンテキスト:[{2}]]に対して証明書を発行しています |
| [S121][隐喻:{0},ロール:{1}]に対してアカウント{2}の代わりに証明書を発行しています |
| [S122]警告:サーバー過負荷です(UPN:{0},ロール:{1}][1分あたりの要求{2}]。 |
証明書利用者としての機能[フェデレーション認証サービス]
これらのイベントは,VDAにユーザーがログオンすると,ランタイム時にフェデレーション認証サービスサーバーに記録されます。
| ログコード |
|---|
| [S201]証明書利用者({0})にはパスワードへのアクセス権がありません。 |
| [S202]証明書利用者({0})には証明書へのアクセス権がありません。 |
| [S203]証明書利用者({0})にはログオンCSPへのアクセス権がありません |
| [S204]証明書利用者({0})がログオンCSPにアクセスしています[操作:{1}) |
| [S205]呼び出しアカウント({0})はロール[{1}]の証明書利用者ではありません |
| [S206]呼び出しアカウント({0})は証明書利用者ではありません |
| [S207]証明書利用者({0})はロール:[{2}]のIDをアサートしています(UPN: {1}) |
| [S208]秘密キーの処理が失敗しました[操作:{0}][隐喻:{1},ロール:{2},証明書定義{3}][エラー{4}{5}] |
セッション内証明書サーバー[フェデレーション認証サービス]
これらのイベントは,ユーザーはセッション内証明書を使用すると,フェデレーション認証サービスサーバーで記録されます。
| ログコード |
|---|
| [S301]アクセス拒否:ユーザー({0})には仮想スマートカードへのアクセス権がありません |
| [S302]ユーザー[{0}]は不明な仮想カードをしました[拇印:{1}] |
| [S303]ユーザー({0})が仮想スマートカードと一致しません(UPN: {1}) |
| [S304]コンピューター[{3}]でプログラム[{2}]を実行の[{1}]ははキー处处カードのため仮想{4},ロール:{5}] |
| [S305]秘密キーの致原理が失败失败た[作文:{0}] [UPn:{1},{2},{2},{2},コンテナ名{3}] [{4} {5}]。 |
ログオン(VDA)
[イベントソース:Citrix.Authentication.IdentityAssertion]
これらのイベントは,ログオン時にVDAで記録されます。
| ログコード |
|---|
| (S101) IDアサーションログオンに失敗しました。認識できないフェデレーション認証サービス[ID: {0}] |
| [S102] IDアサーションアサーションログオンに失败ししましましましましのののがが见つかりんでし[户外:{1} {2}] |
| (算是)IDアサーションログオンに失敗しました。ユーザー{0}のSIDは{1}ですが,想定されたSIDは{2}です |
| (S104) IDアサーションログオンに失敗しました。フェデレーション認証サービスへの接続に失敗しました:{0}[エラー:{1}{2}] |
| [S105] idアサーションアサーション[ユーザー名:{0}] [ドメイン:{1}]にログインしています |
| [S106] IDアサーションログオン。[証明書:{0}]にログインしています |
| (来说)IDアサーションログオンに失敗しました。[例外:{1}{2}] |
| [S108] IDアサーションサブシステム。ACCESS_DENIED[呼び出し元:{0}) |
セッション内証明書(VDA)
これらのイベントは,ユーザーがセッション内証明書を使用しようとすると,VDAに記録されます。
| ログコード |
|---|
| [S201]仮想スマートカードが認証されました[ユーザー:{0}][PID:{1},名前:{2}][証明書{3}] |
| [S202]仮想スマートカードサブシステム。セッション{0}で使用可能なスマートカードはありません |
| [S203]仮想スマートカードサブシステム。アクセスが拒否されました[呼び出し元:{0},セッション:{1},予測:{2}] |
| [S204]仮想スマートカードサブシステム。スマートカードのサポートが無効化されました。 |
証明書要求および生成コード[フェデレーション認証サービス]
[イベントソース:Citrix。TrustFabric]
これらの低レベルイベントは,フェデレーション認証サービスサーバーがログレベルの暗号化操作を実行すると記録されます。
| ログコード |
|---|
| [S0001] TrustArea:: TrustArea:証明書チェーンがインストールされました |
| [S0002] TrustArea::加入:信頼されていない証明書がコールバックによって認証されました |
| [S0003] TrustArea::加入:信頼済みサーバーに参加しています |
| [S0004] TrustArea::维护:証明書が更新されました |
| [S0005] TrustArea::维护:新しい証明書チェーンが取得されました |
| [S0006] TrustArea::出口:秘密キーをエクスポートしています |
| [S0007] TrustArea::进口:信頼領域をインポートしています |
| [S0008] TrustArea::离开:信頼領域を終了しています |
| [S0009] Trustarea :: SecurityDescriptor:セキュリティ记述子を设定してます |
| [S0010] CertificateVerification:新しい信頼済みの証明書をインストールしています |
| [S0011] CertificateVerification:期限の切れた信頼済みの証明書をアンインストールしています |
| [S0012] TrustFabricHttpClient:{0}へのシングルサインオンを試行しています |
| [S0013] TrustFabricHttpClient:{0}に対して指定ユーザー資格情報が入力されました |
| [S0014] Pkcs10Request::创建:PKCS10要求が作成されました |
| [S0015] Pkcs10Request::更新:PKCS10要求が作成されました |
| [S0016] PrivateKey::创建 |
| [S0017] PrivateKey::删除 |
| [S0018] TrustArea:: TrustArea:承認待ち |
| [S0019] TrustArea::加入:参加遅延 |
| [S0020] TrustArea::加入:参加遅延 |
| [S0021] TrustArea::维护:証明書チェーンがインストールされました |
| ログコード |
|---|
| [S0101] TrustAreaServer:ルート証明書が作成されました |
| [S0102] TrustAreaServer::下属:参加に成功しました |
| [S0103] TrustAreaServer:: PeerJoin:参加に成功しました |
| [S0104] MicrosoftCertificateAuthority:: GetCredentials:{0}の使用権限が付与されました |
| [S0104] MicrosoftCertificateAuthority: SubmitCertificateRequestエラー{0} |
| [S0105] MicrosoftCertificateAuthority: SubmitCertificateRequest証明書{0}が発行されました |
| [S0106] MicrosoftCertificateAuthority:: PublishCRL: CRLが公開されました |
| [S0107] MicrosoftCertificateAuthority: ReissueCertificateエラー{0} |
| [S0108] MicrosoftCertificateAuthority: ReissueCertificate証明書{0}が発行されました |
| [S0109] MicrosoftCertificateAuthority:: CompleteCertificateRequest -承認待機継続中 |
| [S0110] MicrosoftCertificateAuthority:: CompleteCertificateRequest -保留中の証明書が拒否されました |
| [S0111] MicrosoftCertificateAuthority: CompleteCertificateRequest証明書が発行されました |
| [S0112] MicrosoftCertificateAuthority:: SubmitCertificateRequest -承認待機中 |
| [S0120] NativeCertificateAuthority: SubmitCertificateRequest証明書{0}が発行されました |
| [S0121] NativeCertificateAuthority: SubmitCertificateRequestエラー |
| [S0122] NativeCertificateAuthority: RootCARollover新規ルート証明書 |
| [S0123] NativeCertificateAuthority: ReissueCertificate新規証明書 |
| [S0124] NativeCertificateAuthority ::撤销 |
| [S0125] NativeCertificateAuthority:: PublishCRL |
関連情報
- 一般的なFAS環境については,”フェデレーション認証サービスのアーキテクチャの概要「をを参照してください。
- 「フェデレーション認証サービスの構成と管理「ではでは方法」「││││││││││