認証
Citrix Workspaceアプリ2012以降、Citrix Workspaceアプリ内に認証ダイアログを表示でき、サインイン画面にストアの詳細を表示できます。この機能強化により、優れたユーザーエクスペリエンスが実現します。
認証トークンは暗号化され保存されるため、システムやセッションの再起動時に資格情報を再入力する必要はありません。
注:
この強化された認証機能は、クラウド展開でのみ利用できます。
前提条件:
libsecret
ライブラリをインストールします。
この機能はデフォルトで有効になっています。
Storebrowse
の認証の強化
バージョン2205以降では、より快適なユーザーエクスペリエンスを提供するために、Citrix Workspaceアプリ内に認証ダイアログを配置し、ログオン画面にストアの詳細を表示するようになりました。認証トークンは暗号化され保存されるため、システムやセッションの再起動時に資格情報を再入力する必要はありません。
認証拡張機能は次の操作でstorebrowse
をサポートします:
-
Storebrowse -E
:使用可能なリソースを一覧表示します。 -
Storebrowse -L
:公開リソースへの接続が起動します。 -
Storebrowse -S
:サブスクリプションするリソースを一覧表示します。 -
Storebrowse -T
:指定されたストアのすべてのセッションを終了します。 -
Storebrowse -Wr
:指定されたストアの、切断されてもアクティブなセッションを再接続します。[r]オプションは、切断されたすべてのセッションを再接続します。 -
storebrowse -WR
:指定されたストアの、切断されてもアクティブなセッションを再接続します。[R]オプションは、すべてのアクティブなセッションと切断されたセッションを再接続します。 -
Storebrowse -s
:指定したストアのリソースをサブスクライブします。 -
Storebrowse -u
:指定したストアのリソースのサブスクリプションを解除します。 -
Storebrowse -q
:直接URLを使用してアプリケーションを起動します。このコマンドは、StoreFrontストアでのみ機能します。
注:
- 前に使用したとおり(AuthMangerDaemonを使用して)引き続き残りの
storebrowse
コマンドを使用できます。- この認証拡張機能は、クラウド展開でのみ適用されます。
- この機能強化により、永続ログイン機能がサポートされます。
Azure Active Directoryで200を超えるグループをサポート
2305リリースより、200を超えるグループに属しているAzure Active Directoryユーザーは、そのユーザーに割り当てられているアプリとデスクトップを表示できるようになります。以前は、同じユーザーがこれらのアプリとデスクトップを表示することはできませんでした。
この機能を有効にするには、次の手順を実行します:
-
$ICAROOT/config/AuthManConfig.xmlにアクセスして、次のエントリを追加します:
<compressedGroupsEnabled>true</compressedGroupsEnabled> <!--NeedCopy-->
注:
この機能を有効にするには、ユーザーはCitrix Workspaceアプリからサインアウトし、再度サインインする必要があります。
Storebrowse
の認証拡張機能の構成
デフォルトでは、この認証拡張機能は無効になっています。
gnome-keyringが使用できない場合、トークンはセルフサービスプロセスメモリに保存されます。
トークンをメモリに強制的に保存するには、次の手順を使用してgnome-keyringを無効にします:
-
/opt/Citrix/ICAClient/config/AuthmanConfig.xml
にアクセスします。 -
次のエントリを追加します:
<GnomeKeyringDisabled>true</GnomeKeyringDisabled> <!--NeedCopy-->
スマートカード
Linux向けCitrix Workspaceアプリでスマートカードのサポートを構成するには、StoreFrontコンソール経由でStoreFrontサーバーを構成する必要があります。
Citrix Workspaceアプリは、PCSC-LiteおよびPKCS#11ドライバーと互換性があるスマートカードリーダーをサポートします。Citrix Workspaceアプリはデフォルトで、標準の場所のいずれかでopensc-pkcs11.so
を見つけることができるようになりました。
Citrix Workspaceアプリは、標準以外の場所または別のPKCS\#11
ドライバーでopensc-pkcs11.so
を見つけることができます。以下の手順で、それぞれの場所を保存できます:
- 構成ファイルを見つけます:
$ICAROOT/config/AuthManConfig.xml
。 -
行「<key>PKCS11module</key>」に移動し、この行のすぐ後でドライバーの場所を<value>エレメントに追加します。
注:
ドライバーの場所のファイル名を入力すると、Citrix Workspaceアプリは
$ICAROOT/PKCS\ #11
ディレクトリ内のそのファイルに移動します。「/」から始まる絶対パスを使用することもできます。
スマートカードを取り出した場合のCitrix Workspaceアプリの動作を構成するには、次の手順に従ってSmartCardRemovalAction
を更新します:
- 構成ファイルを見つけます:
$ICAROOT/config/AuthManConfig.xml
- 行「<key>SmartCardRemovalAction</key>」に移動し、この行のすぐ後で
noaction
またはforcelogoff
を<value>エレメントに追加します。
デフォルトの動作はnoaction
です。スマートカード上で削除を実行するときに、保存されている資格情報や生成されるトークンはクリアされません。
forcelogoff
を追加すると、スマートカードの削除時にすべての資格情報およびStoreFront内のトークンがクリアされます。
制限事項:
- スマートカード認証を使用してサーバーVDAセッションを開始しようとすると、複数のユーザーが使用するスマートカードが失敗する場合があります。[HDX-44255]
スマートカードサポートの有効化
サーバーとCitrix Workspaceアプリの両方でスマートカードが有効になっている場合、Citrix Workspaceアプリはさまざまなスマートカードリーダーをサポートします。
スマートカードは、以下の目的で利用できます:
- スマートカードログオン認証 - Citrix Virtual Apps and DesktopsまたはCitrix DaaS(Citrix Virtual Apps and Desktopsサービスの新名称)サーバーに対してユーザーを認証します。
- スマートカードアプリケーションのサポート - スマートカード対応の公開アプリケーションを使用して、ローカルスマートカードデバイスにアクセスできるようにします。
スマートカードのデータは機密性の高い情報であるため、TLSなどの信頼された証明機関から認証されたセキュリティアーキテクチャを経由して転送する必要があります。
次に、スマートカードサポートを使用するための条件を示します。
- スマートカードリーダーと公開アプリケーションが、業界標準のPC/SC規格に準拠している必要があります。
- 使用するスマートカードに適切なドライバーをインストールします。
- PC/SC Liteパッケージをインストールします。
- ミドルウェアがPC/SCを使ってスマートカードにアクセスするための
pcscd
デーモンをインストールして実行します。 - 64ビットシステムには、64ビットと32ビットの両バージョンの”libpscslite1”パッケージがある必要があります。
サーバー上でのスマートカードサポートの構成について詳しくは、Citrix Virtual Apps and Desktopsドキュメントの「スマートカード」を参照してください。
スマートカードサポートの機能強化
バージョン2112以降、Citrix Workspaceアプリはスマートカードリーダーのプラグアンドプレイ機能をサポートします。
スマートカードを挿入すると、スマートカードリーダーがサーバーとクライアントでスマートカードを検出します。
異なるカードを同時にプラグアンドプレイでき、これらすべてのカードが検出されます。
前提条件:
Linuxクライアントにlibpcscd
ライブラリをインストールします。
注:
このライブラリは、ほとんどのLinuxディストリビューションの最近のバージョンにデフォルトでインストールされている可能性があります。ただし、Ubuntu 1604などの一部のLinuxディストリビューションの以前のバージョンでは、
libpcscd
ライブラリのインストールが必要な場合があります。
この拡張機能を無効にするには:
-
<ICAROOT>/config/module.ini
フォルダーに移動します。 -
SmartCard
セクションに移動します。 -
DriverName=VDSCARD.DLL
を設定します。
新しいPIVカードのサポート
バージョン2303以降、Citrix Workspaceアプリは次の新しいPersonal Identification Verification(PIV)カードをサポートします:
- IDEMIAの次世代スマートカード
- DELL TicTokスマートカード
スマートカードドライバーのパフォーマンスの最適化
Citrix Workspaceアプリ2303バージョンには、VDSCARDV2.DLL
スマートカードドライバーのパフォーマンス関連の修正と最適化が含まれています。これらの機能強化は、バージョン1 VDSCARD.DLL
よりも優れたパフォーマンスを発揮するのに役立ちます。
多要素(nFactor)認証のサポート
多要素認証は、アクセス権を付与するために追加のIDをユーザーに要求することで、アプリケーションのセキュリティを強化します。
多要素認証により、管理者が認証手順および関連する資格情報コレクションフォームを構成できます。
ネイティブのCitrix Workspaceアプリは、既にStoreFrontに実装されているフォームによるサインインのサポートを構築することで、このプロトコルをサポートします。Citrix GatewayおよびTraffic Manager仮想サーバーのWebサインインページでも、このプロトコルを使用します。
詳しくは、Citrix ADCドキュメントの「SAML認証」および「nFactor認証」を参照してください。
HDXセッションでFIDO2を使用した認証のサポート
2303バージョン以降、パスワードなしのFIDO2セキュリティキーを使用してHDXセッション内で認証できます。FIDO2セキュリティキーは、企業の従業員がユーザー名やパスワードを入力せずにFIDO2をサポートするアプリやデスクトップに認証するためのシームレスな方法を提供します。FIDO2について詳しくは、「FIDO2認証」を参照してください。
注:
USBリダイレクト経由でFIDO2デバイスを使用している場合は、FIDO2デバイスのUSBリダイレクト規則を削除します。この規則には、
$ICAROOT/
フォルダー内のusb.conf
ファイルからアクセスできます。この更新により、FIDO2仮想チャネルに切り替えることができます。
デフォルトでは、FIDO2認証は無効になっています。FIDO2認証を有効にするには、次の手順を実行します:
-
<ICAROOT>/config/module.ini
ファイルに移動します。 -
ICA 3.0
セクションに移動します。 -
FIDO2= On
を設定します。
この機能は現在、PINコードとタッチ機能を使用するローミング認証(USBのみ)をサポートしています。FIDO2セキュリティキーベースの認証を構成できます。前提条件とこの機能の使用については、「FIDO2を使用したローカル認証と仮想認証」を参照してください。
FIDO2をサポートするアプリまたはWebサイトにアクセスすると、プロンプトが表示され、セキュリティキーへのアクセスが要求されます。以前にセキュリティキーをPINで登録したことがある場合は、サインイン時にPINを入力する必要があります。PINは最小4文字、最大64文字を使用できます。
以前にPINなしでセキュリティキーを登録したことがある場合は、セキュリティキーをタッチするだけでサインインできます。
制限事項:
FIDO2認証を使用して、2台目のデバイスを同じアカウントに登録できない場合があります。
HDXセッションでの複数のパスキーのサポート
以前は、セキュリティキーまたはFIDO2デバイスに複数のパスキーが関連付けられている場合、適切なパスキーを選択するオプションがありませんでした。デフォルトでは、最初のパスキーが認証に使用されました。
2405バージョン以降では、Citrix WorkspaceアプリのUIから適切なパスキーを選択できます。この機能はデフォルトで有効になっています。 パスキーが複数ある場合は、最初のパスキーがデフォルトとして選択されます。ただし、次のように適切なパスキーを選択できます:
オンプレミスストアへの接続でFIDO2を使用した認証のサポート [Technical Preview]
Linux向けCitrix Workspaceアプリバージョン2309以降、ユーザーはオンプレミスストアにサインインするときに、パスワードなしのFIDO2セキュリティキーを使用して認証できるようになります。このセキュリティキーは、セキュリティPIN、生体認証、カード読み取り、スマートカード、公開キー証明書など、さまざまな形式のセキュリティ入力をサポートします。FIDO2について詳しくは、「FIDO2認証」を参照してください。
Citrix Workspaceアプリは、FIDO2認証にデフォルトのブラウザーとしてCitrix Enterprise Browserを使用します。管理者は、Citrix Workspaceアプリに対する認証を行うブラウザーの種類を構成できます。
この機能を有効にするには、$ICAROOT/config/AuthManConfig.xml
に移動して次のエントリを追加します:
<key>FIDO2Enabled</key>
<value>true</value>
<!--NeedCopy-->
デフォルトのブラウザーを変更するには、$ICAROOT/config/AuthManConfig.xml
に移動してブラウザーの設定を必要に応じて変更します。使用できる値はCEB
、chromium
、firefox
、およびchromium-browser
です。
<FIDO2AuthBrowser>CEB</FIDO2AuthBrowser>
<!--NeedCopy-->
クラウドストアへの接続でFIDO2を使用した認証のサポート
Linux向けCitrix Workspaceアプリバージョン2405以降、ユーザーはクラウドストアにサインインするときに、パスワードなしのFIDO2セキュリティキーを使用して認証できるようになります。このセキュリティキーは、セキュリティPIN、生体認証、カード読み取り、スマートカード、公開キー証明書など、さまざまな形式のセキュリティ入力をサポートします。詳しくは、「FIDO2認証」を参照してください。
Citrix Workspaceアプリは、FIDO2認証にデフォルトのブラウザーとしてCitrix Enterprise Browserを使用します。管理者は、Citrix Workspaceアプリに対する認証を行うブラウザーの種類を構成できます。
この機能を有効にするには、$ICAROOT/config/AuthManConfig.xml
に移動して次のエントリを追加します:
<key>FIDO2Enabled</key>
<value>true</value>
<!--NeedCopy-->
デフォルトのブラウザーを変更するには、$ICAROOT/config/AuthManConfig.xml
に移動してブラウザーの設定を必要に応じて変更します。使用できる値は、CEB、chromium、firefox、chromium-browserです。
<FIDO2AuthBrowser>CEB</FIDO2AuthBrowser>
<!--NeedCopy-->
GACSを使用してFIDO2認証を構成する
GACSを使用してストアURLのFIDO2認証を有効にするには、次の手順を実行します:
-
Citrix Cloudにサインインします。
-
左上隅のハンバーガーアイコンをクリックし、[ワークスペース構成] をクリックして、[アプリ構成] をクリックします。
-
[ワークスペース]、[構成] の順にクリックします。
-
[セキュリティと認証] をクリックし、[認証] をクリックします。
-
[FIDO2認証] をクリックし、[Linux] チェックボックスをオンにして、[有効] トグルを切り替えます。
-
[下書きの公開] をクリックします。
カスタムの認証
次の表では、Citrix Workspaceアプリで利用可能なカスタムの認証について説明します:
コマンド | SDK | 認証の種類 | 使用するライブラリ | バイナリ | 認証の種類の検出 |
---|---|---|---|---|---|
Fast Connect | Credential Insertion SDK | ユーザー名/パスワード/スマートカード/ドメインパススルー | libCredInject.so | cis |
パラメーター - サードパーティ認証システムの統合で使用されます |
Custom Dialog | プラットフォーム最適化SDK | ユーザー名/パスワード/スマートカード | UIDialogLib.so and UIDialogLibWebKit3.so | いいえ | 自動検出 - シンクライアントパートナーによって使用されます |
Storebrowse |
Citrix Workspaceアプリ | ユーザー名/パスワード | いいえ | Storebrowse |
パラメーター |