FIDO2 および ウェブオーセンティケーション認証
FIDO2およびWebAuthnを使用したローカル認証と仮想認証
ユーザーは、FIDO2セキュリティキーと、TPM 2.0およびWindows Helloを搭載した統合生体認証デバイスを使用して、仮想セッションでFIDO2またはWebAuthnを利用するアプリケーションに対して認証できます。
FIDO2の詳細については、「FIDO2: WebAuthn & CTAP」を参照してください。
この機能の使用方法については、「FIDO2リダイレクト」を参照してください。
注
この機能は、WebAuthnまたはFIDO2を使用した仮想セッションへのログオンをサポートしていません。この機能は、仮想セッション内のアプリケーションでこれらの認証方法を使用することのみを許可します。
この機能は、ダブルホップシナリオではサポートされていません。
サポートマトリックス
| セッションホストオペレーティングシステム | Webアプリケーション認証 | UWPアプリケーション認証 |
|---|---|---|
| ウィンドウズ サーバー 2016 | USBリダイレクト経由でサポート | サポートされていません |
| ウィンドウズ サーバー 2019 | サポートされています | サポートされていません |
| ウィンドウズ サーバー 2022 | サポートされています | サポートされています |
| ウィンドウズ 10 | サポートされています | サポートされています |
| ウィンドウズ 11 | サポートされています | サポートされています |
詳細については、以下の要件をご確認ください。
Webアプリケーション認証
必要条件
WebアプリケーションでFIDO2およびWebAuthn認証を使用するための要件は次のとおりです。
Citrix®コントロールプレーン
- シトリックス バーチャル アプリケーションズ アンド デスクトップス™ 2009以降
セッションホスト
- オペレーティングシステム
- Windows 10 1809 以降のオペレーティングシステム
- Windows Server 2019 以降のオペレーティングシステム
- VDA
- Windows: バージョン2009以降
クライアントデバイス
- オペレーティングシステム
- Windows 10 バージョン 1809 以降
- Linux の場合、Workspace app for Linux のシステム要件を参照してください。
- ワークスペースアプリ
- Windows: バージョン2009.1以降
- リナックス: 2303 以降
Webブラウザの要件
- 32ビットおよび64ビットブラウザ
サポートされる認証方法
- FIDO2 セキュリティキー
- Windows Hello
- TPM 2.0
- 統合された生体認証
- 顔認証機能
- 指紋スキャナー
- ウェブオーセン
UWPアプリケーション認証
Citrix Virtual Apps and Desktops 2112のリリースにより、CitrixはUWPアプリケーションでウェブオーセンおよびFIDO2認証をサポートしています。
Microsoft Teams、Microsoft Outlook for Office 365、OneDriveなどのアプリケーションは、Azure Active Directoryへのリンクとして認証にUWPアプリケーションを使用します。Citrixは現在、これらのアプリケーションを認証するためにFIDO2を使用することをサポートしています。
必要条件
UWPアプリケーションでFIDO2およびWebAuthn認証を使用するための要件は次のとおりです。
Citrixコントロールプレーン
- シトリックス バーチャル アプリ アンド デスクトップ 2112 以降
セッションホスト
- オペレーティングシステム
- Windows 10 バージョン1809以降
- Windows Server 2022 or later
- VDA
- Windows: バージョン2112以降
クライアントデバイス
- オペレーティングシステム
- Windows 10 バージョン 1809 以降のオペレーティングシステム
- Linux: Workspace app for Linux のシステム要件については、そちらをご参照ください。
- ワークスペースアプリ
- Windows: バージョン2009.1以降
- リナックス: 2303 以降
UWPアプリケーションの要件
- 32ビットおよび64ビットアプリケーション
サポートされている認証方法
- FIDO2セキュリティキー
- ウィンドウズ ハロー
- TPM 2.0
- 統合生体認証
- 顔認識機能
- 指紋スキャナー
- ウェブオーセン
注:
クライアント、VDA、またはオペレーティングシステムで機能がサポートされていないためFIDO2リダイレクトが利用できないシナリオでは、USBベースのFIDO2キーをUSBリダイレクトを使用してリダイレクトできます。 FIDO2リダイレクトが利用可能なシナリオでも、USBリダイレクトを使用してUSBベースのFIDO2キーをリダイレクトすることが可能です。この場合、FIDO2リダイレクトを無効にし、適切なUSBリダイレクトルールを構成する必要があります。 USBリダイレクトルールを使用してFIDO2キーを構成する方法の詳細については、USBリダイレクトデバイスルールのドキュメントを参照してください。
msedgewebview2.exeベースのアプリケーションの高度な構成
注:
レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になるような深刻な問題が発生する可能性があります。Citrixは、レジストリエディターの誤った使用によって生じる問題が解決されることを保証できません。 レジストリエディターの使用は自己責任で行ってください。編集する前に必ずレジストリをバックアップしてください。
msedgewebview2.exeベースのWebアプリケーションを使用している企業の場合、HDXセッション内でFIDO2リダイレクトが機能するように、VDAに追加のレジストリ値を追加する必要があります。
msedgewebview2.exe の完全なパスを、AllowedProcesses というレジストリ値に追加します。
- Key: HKLM\SOFTWARE\Citrix\WebAuthnAllowedProcesses
- レジストリ値の名前は AllowedProcesses です。
- レジストリ値の型は REG_MULTISZ です。
- 値のデータ:
<add full path of the msedgewebview2.exe here >
64ビットアプリケーションの場合、以下の値を設定する必要があります。
-
Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook\msedgewebview2.exe
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
- Value name: FilePathName
- 値の型は「REG_SZ」です。
-
Value data: C:\Program Files\Citrix\HDX\bin\CtxWebAuthnHook.dll
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
- 値の名前: Flag
- 値の型は DWORD です
- 値のデータ: 00000002
32ビットアプリケーションの場合、以下の値を設定する必要があります。
-
Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook\msedgewebview2.exe
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
- Value name: FilePathName
- 値の型は「REG_SZ」です。
-
Value data: C:\Program Files\Citrix\HDX\bin\CtxWebAuthnHook.dll
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
- 値の名前: Flag
- 値の型はDWORDです
- 値のデータ: 00000002
msedgewebview2.exeベースのアプリケーションでFIDO2リダイレクトを有効にするには、レジストリ値を設定した後、VDAを再起動します。