フェデレーション認証サービスのアーキテクチャの概要
はじめに
フェデレーション認証サービス(FAS)はActive Directory証明機関(CA)と統合して,Citrix環境内でのシームレスなユーザー認証を実現するCitrixコンポーネントです。このドキュメントでは,環境に適した,さまざまな認証アーキテクチャについて説明します。
FASが有効化されると,信頼された店面サーバーにユーザー認証の判断が委任されます。店面は最新のWebテクノロジを中心に構築されたビルトイン認証オプションの包括的なセットを搭載しており,店面SDKやサードパーティのIISプラグインを使用して容易に拡張できます。基本的な設計目標は,Webサイトへのユーザー認証が可能なすべての認証テクノロジを,Citrix XenAppまたはXenDesktopの展開へのログインに活用することです。
このドキュメントでは,複雑さを増す上位レベルの展開アーキテクチャについて,例をいくつか説明します。
FAS関連記事にリンクしています。すべてのアーキテクチャにおけるFASのセットアップについては”联合身份验证服务“を参照してください。
機能
FASには,店面の認証したActive Directoryユーザーの代わりに,スマートカードクラスの証明書を自動的に発行する権限が付与されます。これは,管理者が物理スマートカードをプロビジョニングできるツールと同様のAPIを使用します。
ユーザーがCitrix XenAppまたはXenDesktopの虚拟投递代理(VDA)に仲介されると,マシンに証明書がアタッチされ,Windowsドメインはログオンを標準のスマートカード認証と見なします。
内部展開
FASでは,さまざまな認証オプション(Kerberosシングルサインオンを含む)を使用した店面への安全なユーザー認証,および十分に認証されたCitrix HDXセッションへの接続が可能です。
これにより,Windows認証にユーザーの資格情報やスマートカードの销の入力が求められることはありません。また,シングルサインオンサービスのような“保存されたパスワードの管理”機能を使用する必要もありません。これを使用して,XenAppの旧バージョンで利用可能なKerberos制約付き委任のログオン機能を置き換えることができます。
エンドポイントデバイスへのログオンにスマートカードを使用したかどうかにかかわらず,セッション内ではすべてのユーザーが,公開キー基盤(PKI)の証明書にアクセスできます。このため,スマートフォンやタブレットのように,スマートカードリーダーを搭載していないデバイスからも,2要素認証モデルへの円滑な移行が可能です。
この展開では,FASを実行する新しいサーバーが追加されますが,このサーバーにはユーザーの代わりにスマートカードクラスの証明書を発行する権限が付与されます。これらの証明書は,スマートカードによるログオンの代わりとして,Citrix HDX環境でのユーザーセッションへのログオンに使用されます。
XenAppまたはXenDesktop環境は,CTX206156で説明するように,スマートカードによるログオンと同様の方法で構成する必要があります。
既存の展開では,通常,ドメインに参加する微软証明機関(CA)を利用可能にし,ドメインコントローラーにドメインコントローラー証明書を割り当てるだけで済みます。(CTX206156の“发行域控制器证书”セクションを参照してください)。
関連情報:
- キーは,ハードウェアセキュリティモジュール(HSM)やビルトインのトラステッドプラットフォームモジュール(TPM)に保存できます。詳しくは。”フェデレーション認証サービスの秘密キー保護“を参照してください。
- 「联合身份验证服务“では,FASのインストールと構成の方法について説明します。
NetScaler网关の展開
NetScalerの展開は内部展開と似ていますが,店面と組み合わせたCitrix NetScaler网关が追加されており,認証のプライマリポイントがNetScalerそのものに移動されています。Citrix NetScalerには,企業Webサイトへのリモートアクセスの保護に使用できる,認証および承認の高度なオプションが含まれています。
この展開を利用すれば,NetScalerへの初回認証時およびユーザーセッションへのログイン時に,何度も销の入力が求められることはありません。また,广告パスワードやスマートカードを必要とせずに,高度なNetScaler認証テクノロジを利用することができます。
XenAppまたはXenDesktop環境は,CTX206156で説明するように,スマートカードによるログオンと同様の方法で構成する必要があります。
既存の展開では,通常,ドメインに参加する微软証明機関(CA)を利用可能にし,ドメインコントローラーにドメインコントローラー証明書を割り当てるだけで済みます。(CTX206156の“发行域控制器证书”セクションを参照してください)。
NetScalerをプライマリ認証システムとして構成する場合は,NetScalerと店面間のすべての接続をTLSで保護するようにします。特に,この展開ではNetScalerサーバーの認証にコールバックURLが使用されるため,コールバックURLがNetScalerサーバーを指すよう正しく構成する必要があります。
関連情報:
- NetScaler网关を構成するには,”如何配置NetScaler网关10.5与StoreFront 3.6和XenDesktop 7.6一起使用“を参照してください。
- 「フェデレーション認証サービス“では,FASのインストールと構成の方法について説明します。
ADFS SAMLの展開
NetScalerの主要な認証テクノロジにより,SAML IDプロバイダー(IdP)として機能できる,微软ADFSとの統合が実現します。SAMLアサーションは暗号を使用して署名されたXMLブロックであり,コンピューターシステムへのユーザーのログオンを承認する,信頼されたIdPによって発行されます。つまり,FASサーバーによって,微软ADFSサーバー(またはほかのSAML対応IdP)へのユーザー認証の委任が許可されます。
ADFSは,一般的にインターネットを利用して企業リソースにリモートでユーザーを安全に認証するために使用され,たとえば,Office 365の統合に多く利用されます。
関連情報:
- 詳しくは。”フェデレーション認証サービスのADFSの展開“を参照してください。
- FASのインストールと構成の方法については,”フェデレーション認証サービス“で説明しています。
- 構成に関する考慮事項については,この記事の”NetScaler网关の展開“セクションを参照してください。
B2Bアカウントのマッピング
2つの会社が互いのコンピューターシステムを利用する場合,一般的なオプションはActive Directoryフェデレーションサービス(ADFS)サーバーを信頼関係でセットアップすることです。これにより,一方の会社のユーザーが,他方の会社のActive Directory(广告)環境にシームレスに認証されるようになります。ログオン時に,各ユーザーは自社のログオン資格情報を使用します。ADFSはこれを相手の会社の广告環境の”シャドウアカウント”に自動的にマップします。
関連情報:
- FASのインストールと構成の方法については,”フェデレーション認証サービス“で説明しています。
Windows Azure 10广告への参加
Windows 10によって”,Azure广告への参加“というコンセプトが導入されました。これは,従来のWindowsドメインへの参加とコンセプトが似ていますが,“インターネット上“のシナリオに焦点を当てている点が特徴です。これは,ラップトップおよびタブレットとうまく機能します。従来のWindowsドメイン参加と同様に,Azure广告には企業のWebサイトやリソースで,シングルサインオンモデルを実現する機能があります。これらはすべて”インターネットに対応”しているため,社内局域网だけでなく,インターネットに接続したすべての場所から機能します。
この展開は,事実上“オフィスにいるエンドユーザー”の概念のない一例です。ラップトップコンピューターは最新のAzure广告機能を使用して完全にインターネット経由で登録および認証されています。
この展開では、IPアドレスが使用可能なすべての場所,つまりオンプレミス,ホストされたプロバイダー,Azure,あるいはそのほかのクラウドプロバイダーで,インフラストラクチャが実行できる点に注意してください。Azure广告连接の同期機能により,自動的にAzure广告に接続します。例として示した図では,簡単にするためにAzure仮想マシンを使用しています。
関連情報:
- FASのインストールと構成の方法については,”フェデレーション認証サービス“で説明しています。
- 詳しくは。”联合身份验证服务のAzure广告の統合“を参照してください。