認証
スマートカード
-
ChromeOS向けCitrix Workspaceアプリは、StoreFrontと連携するUSBスマートカードリーダーをサポートしています。スマートカードは以下の目的で使用できます。
- Citrix Workspaceアプリへのスマートカードサインイン認証
- ローカルスマートカードデバイスにアクセスするためのスマートカード対応公開アプリ
-
ドキュメントやメールの署名用スマートカード。例えば、ICA®セッションで起動されるMicrosoft WordやOutlookなど
-
サポートされているスマートカード(USBスマートカードリーダーを使用)には、以下が含まれます。
- 個人識別検証 (PIV)
- 共通アクセスカード (CAC)
前提条件
- StoreFrontバージョン3.6以降
- XenDesktop 7.6以降
- XenApp 6.5以降
- Citrix Virtual Apps and Desktops 1808以降
- Citrix Workspaceアプリ1808以降
重要:
StoreFront 3.5以前へのスマートカード認証には、スマートカード認証を有効にするためのカスタムスクリプトが必要です。サポートについては、Citrixサポートにお問い合わせください
- サポートされているバージョンの最新情報については、Citrix WorkspaceアプリおよびCitrix Virtual Apps and Desktopsのライフサイクルマイルストーンを参照してください
デバイス構成の前提条件
-
Google Smart Card Connectorは、デバイス上のUSBスマートカードリーダーと連携するアプリです。このコネクタアプリは、Citrix Workspaceアプリを含む他のアプリにPersonal Computer Smart Card (PCSC) Lite APIを公開します。
-
証明書プロバイダーは、スマートカードコネクタと連携するベンダーによって作成されたミドルウェアアプリです。ミドルウェアアプリはスマートカードリーダーにアクセスし、証明書を読み取り、スマートカード証明書をChromeOSに提供します。
- ミドルウェアアプリは、PINプロンプトを使用した署名機能も実装します。
-
例:CACKey。
-
詳細については、「ChromeOSでのスマートカードの展開」を参照してください。
-
StoreFrontでスマートカード認証を構成すると、Citrix WorkspaceアプリはChromeOSに対し、スマートカード上のクライアント証明書を提供するよう要求します。ChromeOSは、プロバイダーから受け取った証明書を提示します。PINプロンプトは認証を示します。
-
Citrix Workspaceアプリには、スマートカード認証が許可されているオペレーティングシステムの承認済みリストがあります。StoreFront 3.6以降もChromeOSを承認しています。StoreFrontの以前のバージョンでは、カスタムスクリプトを使用してChromeOSでのスマートカード認証を許可できます。カスタムスクリプトについては、Citrixサポートにお問い合わせください。
-
Citrix Workspaceアプリは、StoreFrontとのスマートカード認証ワークフローを制御しません。ただし、StoreFrontがCookieをクリアするためにブラウザを閉じるよう要求する場合があります。
-
すべてのCookieをクリアしてStore URLを再度読み込むには、ChromeOS向けCitrix Workspaceアプリの再読み込みボタンをクリックします。
さらにCookieをクリアするには、ChromeOSデバイスからサインアウトすることもできます。
- アプリまたはデスクトップセッションを起動しようとすると、Citrix Workspaceアプリはスマートカードリダイレクトを使用しません。代わりに、PC/SC Lite APIのためにスマートカードコネクタアプリと連携します。
Windowsサインインに必要なPINプロンプトはセッション内に表示されます。ここでは、証明書プロバイダーは役割を果たしません。Citrix Workspaceアプリは、ダブルホップやメール署名などのセッション内アクティビティを管理します。
-
スマートカードの制限事項
- ChromeOSデバイスからスマートカードを取り外すと、スマートカード証明書がキャッシュされます。この動作はGoogle Chromeに存在する既知の問題です。キャッシュをクリアするには、ChromeOSデバイスを再起動してください。
- ChromeOS向けCitrix Workspaceアプリが再パッケージ化される場合、管理者はGoogleによるappIDの承認を得る必要があります。これにより、スマートカードコネクタアプリケーションが通過することが確認されます。
- 一度にサポートされるスマートカードリーダーは1つのみです。
- 仮想スマートカードおよび高速スマートカードはサポートされていません。
- スマートカードはCitrix Workspace (クラウド) ではサポートされていません。
ChromeOSデバイスでのスマートカードサポートの構成
- スマートカードコネクタアプリケーションをインストールします。このスマートカードアプリケーションは、ChromeOSデバイスでのPersonal Computer Smart Card (PCSC) サポートに必要です。このアプリケーションはUSBインターフェースを使用してスマートカードを読み取ります。このアプリケーションはChromeウェブサイトからインストールできます
-
ミドルウェアアプリケーションをインストールします。ミドルウェアアプリケーションは、スマートカードおよび他のクライアント証明書と通信するインターフェースとして必要です。例:CharismathicsまたはCACKey。
- Charismathicsスマートカード拡張機能またはCACKeyをインストールするには、Chromeウェブサイトの指示を参照してください
- ミドルウェアアプリケーションとスマートカード認証の詳細については、Googleサポートサイトを参照してください
-
スマートカード認証を構成します。
- Citrix Gateway
- StoreFront管理コンソール
詳細については、Citrix Gatewayドキュメントの「スマートカード認証の構成」および「認証サービスの構成」を参照してください。
SAML認証
シングルサインオンを構成するには:
-
SAML認証用のサードパーティIDプロバイダー (IdP) がまだ構成されていない場合は、設定します。例:ADFS 2.0。
詳細については、Knowledge Centerの記事「CTX133919」を参照してください。
-
SAML IdPを使用してGoogle Appsとのシングルサインオンを設定します。この構成により、ユーザーはGoogle Enterpriseアカウントの代わりにサードパーティIDを使用してGoogleアプリを利用できるようになります。
詳細については、Googleサポートの「サードパーティIDプロバイダーを使用した管理対象Googleアカウントのシングルサインオン設定」を参照してください。
-
SAML IdPを介してサインインするようにChromeデバイスを構成します。この構成により、ユーザーはサードパーティIDプロバイダーを使用してChromeデバイスにサインインできるようになります。
詳細については、Googleサポートの「ChromeデバイスのSAMLシングルサインオンの構成」を参照してください。
-
SAML IdPを介してサインインするようにCitrix Gatewayを構成します。この構成により、ユーザーはサードパーティIDプロバイダーを使用してCitrix Gatewayにサインインできるようになります。
詳細については、「SAML認証の構成」を参照してください。
-
Citrix Virtual Apps and Desktopsでフェデレーション認証を構成し、動的に生成された証明書を使用してCitrix Virtual Apps and Desktopsセッションにサインインできるようにします。SAMLサインイン後に、ユーザー名とパスワードの組み合わせを入力する代わりにこの操作を実行できます。
詳細については、「フェデレーション認証サービス」を参照してください。
仮想アプリおよびデスクトップのSSOを実現するには、フェデレーション認証サービス (FAS) を展開する必要があります。
注:
FASがない場合、Active Directoryのユーザー名とパスワードの入力を求められます。詳細については、「Citrix Federated Authentication Serviceを使用したワークスペースのシングルサインオンの有効化」を参照してください。
-
ChromeデバイスでChromeアプリ拡張機能用のSAML SSOをインストールして構成します。詳細については、Googleのウェブサイトを参照してください。この拡張機能は、ブラウザーからSAMLクッキーを取得し、Citrix Workspaceに提供します。Citrix WorkspaceがSAMLクッキーを取得できるように、この拡張機能を以下のポリシーで構成する必要があります。
If you’re repackaging Citrix Workspace app for ChromeOS, change the appId correctly. Also, change the domain to your company’s SAML IdP domain.
```
{
"whitelist" : {
"Value" : [
{
"appId" : "haiffjcadagjlijoggckpgfnoeiflnem",
"domain" : "saml.yourcompany.com"
}
]
}
}
<!--NeedCopy--> ```
- SAMLサインイン用に構成されたCitrix Gatewayを使用するようにCitrix Workspaceを構成します。この構成により、ユーザーはSAMLサインイン用に構成されたCitrix Gatewayを使用できるようになります。ChromeOSの構成の詳細については、Knowledge Centerの記事CTX141844を参照してください。