認証
スマートカード
Mac向けCitrix Workspaceアプリは次の構成においてスマートカード認証をサポートします:
-
Workspace for WebまたはStoreFront 3.12以降でのスマートカード認証。
-
Citrix Virtual Apps and Desktops 7 2203以降。
-
XenAppおよびXenDesktop 7.15以降。
-
Microsoft OutlookやMicrosoft Officeなどのスマートカード対応アプリケーションでは、仮想デスクトップやアプリケーションセッションでドキュメントにデジタル署名を追加したりファイルを暗号化したりできます。
-
Mac向けCitrix Workspaceアプリは単一のスマートカードまたは複数のスマートカードでの複数の証明書の使用をサポートします。ユーザーがスマートカードをリーダーに挿入すると、ユーザーデバイス上で実行する、Mac向けCitrix Workspaceアプリを含むすべてのアプリケーションで複数の証明書を使用できるようになります。
-
ダブルホップセッションでは、Mac向けCitrix Workspaceアプリとユーザーの仮想デスクトップとの間に追加の接続が確立されます。
Citrix Gatewayへのスマートカード認証について
スマートカードを使用して接続を認証する場合、使用可能な証明書が複数あります。Mac向けCitrix Workspaceアプリでは、証明書を選択するように求められます。証明書を選択すると、Mac向けCitrix Workspaceアプリでスマートカードのパスワードを入力するようにプロンプトが表示されます。認証後、セッションが開始します。
スマートカードに適切な証明書が1つしかない場合、Mac向けCitrix Workspaceアプリはその証明書を使用し、選択を求めるプロンプトは表示されません。ただし、接続を認証してセッションを開始するために、スマートカードに割り当てられたパスワードを入力する必要はあります。
スマートカード認証用のPKCS#11モジュールの指定
注:
PKCS#11モジュールのインストールは必須ではありません。このセクションの記述は、ICAセッションにのみ適用されます。スマートカードが必要なCitrix WorkspaceからCitrix Gatewayへの、またはStoreFrontへのアクセスでは適用されません。
スマートカード認証用のPKCS#11モジュールを指定するには:
- Mac向けCitrix Workspaceアプリで [環境設定] を選択します。
- [セキュリティとプライバシー] をクリックします。
- [セキュリティとプライバシー] セクションで、[スマートカード] をクリックします。
- PKCS#11フィールドで適切なモジュールを選択します。一覧に必要なモジュールがない場合は、[その他] をクリックしてPKCS#11モジュールの場所を参照します。
- 適切なモジュールを選択したら、[追加] をクリックします。
サポートされるリーダー、ミドルウェア、およびスマートカードプロファイル
Mac向けCitrix Workspaceアプリは多くのmacOS互換スマートカードリーダーおよび暗号化ミドルウェアをサポートします。Citrixでは以下を使用して操作を検証済みです。
サポートされるスマートカードリーダー:
- 一般的なUSB接続スマートカードリーダー
サポートされるミドルウェア:
- Clarify
- ActivIdentityクライアントのバージョン
- Charismathicsクライアントのバージョン
サポートされるスマートカード:
- PIVカード
- Common Access Card(CAC)
- Gemalto .NETカード
ユーザーデバイスを構成するため、ベンダーのmacOS互換スマートカードリーダーおよび暗号化ミドルウェアにより提供された指示に従います。
制限
- 証明書は、ユーザーデバイス上ではなくスマートカード上に格納されている必要があります。
- Mac向けCitrix Workspaceアプリでは、ユーザーの選択した証明書が保存されません。
- Mac向けCitrix Workspaceアプリでは、ユーザーのスマートカードPINが格納または保存されません。PINの取得はオペレーティングシステムにより処理され、独自のキャッシングメカニズムがある場合があります。
- Citrix Workspaceアプリでは、スマートカードが挿入されたときに自動的には切断セッションに再接続されません。
- スマートカード認証でVPNトンネルを使用するには、ユーザーがCitrix Gateway Plug-inをインストールしてWebページ経由でログオンする必要があります。この場合、各手順でスマートカードとPINを認証に使用します。スマートカードユーザーは、Citrix Gateway Plug-inを使用したStoreFrontへのパススルー認証を使用できません。
Azure Active Directoryでの条件付きアクセス
この認証方法は現在、Mac向けCitrix Workspaceアプリではサポートされていません。
ユーザーエージェント
Citrix Workspaceアプリは、他のIDプロバイダー(IdP)への認証のリダイレクトなど、ネットワーク要求で認証ポリシーの構成に使用できるユーザーエージェントを送信します。
注:
ポリシーを構成する場合、バージョン番号を指定しないでください。
| :シナリオ: | :説明: | :ユーザーエージェント: |
|---|---|---|
|
通常のHTTP要求
|
通常、Citrix Workspaceアプリによって行われたネットワーク要求には、一般的なユーザーエージェントが含まれています。
たとえば、次のネットワーク要求には、一般的なユーザーエージェントが含まれます: |
CitrixReceiver/23.05.0.36 MacOSX/13.4.0 com.citrix.receiver.nomas X1Class CWACapable
|
|
クラウドストア
|
ユーザーがクラウドストアをCitrix Workspaceアプリに追加すると、Citrix Workspaceアプリによって行われたネットワーク要求には特定のユーザーエージェントが含まれます。
たとえば、パス「/core/connect/authorize」を含むネットワーク要求には、特定のユーザーエージェントが含まれます。 |
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Citrix Workspace/23.05.0.36 MacOSX/13.4.0 com.citrix.receiver.nomas X1Class CWACapable
|
|
Gateway Advanced Authを備えたオンプレミスストア
|
ユーザーが、GatewayでAdvanced Authが構成されたオンプレミスストアをCitrix Workspaceアプリに追加すると、Citrix Workspaceアプリによって行われたネットワーク要求には特定のユーザーエージェントが含まれます。
たとえば、以下を含むネットワーク要求: |
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko), CWAWEBVIEW/23.05.0.36
|
| カスタムWebストア | ユーザーがカスタムWebストアをCitrix Workspaceアプリに追加すると、Citrix Workspaceアプリによって行われたネットワーク要求には特定のユーザーエージェントが含まれます。 | Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Safari CWA/23.05.0.18 MacOSX/13.4.0 |
パスワードレス認証に使用できるFIDO2
Mac向けCitrix Workspaceアプリでは、クラウドストアへの接続時またはHDXセッション使用時に、FIDO2セキュリティキーを使用したパスワードレス認証を利用できます。FIDO2セキュリティキーは、企業の従業員がユーザー名やパスワードを入力せずにFIDO2をサポートするアプリやデスクトップに認証するためのシームレスな方法を提供します。この機能は現在、PINコードとtouchIDを使用するローミング認証(USBのみ)をサポートしています。この機能は、macOS 12以降のバージョンでサポートされています。
FIDO2について詳しくは、「FIDO2認証」を参照してください。
前提条件とこの機能の使用については、「FIDO2を使用したローカル認証と仮想認証」を参照してください。
クラウドおよびオンプレミスストアへの接続時におけるFIDO2を使用した認証
Citrix Workspaceアプリは、クラウドおよびオンプレミスストアへの接続時のFIDO2認証(Web認証)にユーザーのデフォルトのブラウザーを使用します。管理者は、Citrix Workspaceアプリに認証するブラウザーの種類を構成できます。ブラウザー設定について詳しくは、Global App Configuration Serviceのドキュメントを参照してください。
次の設定により、Citrix Workspaceアプリへのエンドユーザーの認証に使用するブラウザーの種類を選択できます:
| 設定 | 説明 |
|---|---|
| システム | 認証にユーザーのデフォルトのブラウザー(SafariやChromeなど)を使用できるようにします。認証はCitrix Workspaceアプリの外部で行われます。パスワードレス認証をサポートするには、この設定を使用します。この設定は、ユーザーのブラウザーから既存のユーザーセッションを使用しようとします。 |
| SystemWithPrivateSession | この設定は [システム]設定と似ています。Citrix Workspaceアプリは、認証にブラウザーのプライベートセッションを使用します。ブラウザーは認証Cookieやデータを保存しません。このオプションでは、シングルサインオンはサポートされていません。 |
| 埋め込み | Citrix Workspaceアプリ内で認証できるようにします。強化されたシングルサインオン機能が有効になっている場合、Citrix Workspaceアプリはシングルサインオン(SaaSアプリなど)のセッションデータまたはCookieを保存します。この認証方法は、FIDO2などのパスワードレス認証をサポートしていません。 |
| EmbeddedWithPrivateSession | この設定は、[埋め込み] 設定と似ています。Citrix WorkspaceアプリにはセッションデータまたはCookieが存在しないため、シングルサインオンはサポートされていません。 |
構成した設定をプッシュするには、モバイルデバイス管理(MDM:Mobile Device Management)、Global App Config Service(GACS)またはコマンドラインインターフェイスメソッドを使用して、次のコマンドを実行します:
-
Enable FIDO2 using MDM: MDMを使用して認証を有効にするには、管理者は次の設定を使用する必要があります:
<key>WebBrowserForAuthentication</key><string>System</string>
MDMの使用方法について詳しくは、「モバイルデバイス管理」を参照してください。
- Enable FIDO2 using GACS: GACSを使用して認証を有効にするには、管理者は次の設定を使用する必要があります:
{
"serviceURL": {
"url": "https://serviceURL:443"
},
"settings": {
"name": "Web browser for Authenticating into Citrix Workspace",
"description": "Allows admin to select the type of browser used for authenticating an end user into Citrix Workspace app",
"useForAppConfig": true,
"appSettings": {
"macos": [
{
"assignedTo": [
"AllUsersNoAuthentication"
],
"category": "authentication",
"settings": [
{
"name": "web browser for authentication",
"value": "SystemWithPrivateSession"
}
],
"userOverride": false
}
]
}
}
}
<!--NeedCopy-->
-
Enable FIDO2 using the command-line interface:コマンドラインインターフェイスを使用して認証を有効にするには、管理者は次のコマンドを実行する必要があります:
defaults write com.citrix.receiver.nomas WebBrowserForAuthentication System
HDXセッションにおけるFIDO2を使用した認証
HDXセッション内で認証を行うことができるように、FIDO2セキュリティキーを構成できます。この機能は現在、PINコードとtouchIDを使用するローミング認証(USBのみ)をサポートしています。
FIDO2をサポートするアプリまたはWebサイトにアクセスすると、プロンプトが表示され、セキュリティキーへのアクセスが要求されます。以前にセキュリティキーをPIN(最小4文字、最大64文字)で登録したことがある場合は、サインイン時にPINを入力する必要があります。
以前にPINなしでセキュリティキーを登録したことがある場合は、セキュリティキーをタッチするだけでサインインできます。
この機能は、リリース2307以降のCitrix Workspaceアプリではデフォルトで有効になっています。FIDO2認証を無効にするには、モバイルデバイス管理(MDM:Mobile Device Management)またはコマンドラインインターフェイスメソッドを使用して、次のコマンドを実行します。
-
Disable FIDO2 based authentication using MDM:MDMでこの機能を無効にするには、管理者は次の設定を使用する必要があります。
<key>Fido2Enabled</key><false/>
MDMの使用方法について詳しくは、「モバイルデバイス管理」を参照してください。
-
Disable FIDO2 based authentication using the command-line interface:この機能を無効にするには、次のコマンドラインインターフェイスメソッドを実行します:
defaults write com.citrix.receiver.nomas Fido2Enabled -bool NO
FIDO2パスワードレス認証でデバイスのTouch IDをサポート
以前は、Citrix Workspaceアプリは、PINコードとタッチ機能を使用した ローミング認証(USBのみ)経由のFIDO2パスワードレス認証をサポートしていました。
バージョン2405以降、Citrix WorkspaceアプリはFIDO2パスワードレス認証用にデバイスのTouch IDをサポートするようになり、ユーザーのサインインエクスペリエンスが向上しました。この機能により、ユーザーはデバイスのTouch IDを使用してCitrix Workspaceアプリで構成されたストアに安全にサインインできるため、パスコードやパスワードが不要になります。この機能により、macOSユーザー向けのCitrix Workspaceアプリの使いやすさとセキュリティが向上します。この機能はデフォルトで有効になっています。
証明書ベースの認証のサポート
バージョン2305以降、Workspace管理者は、Citrix Workspaceアプリへの認証を行うユーザーに対してAzure Active Directoryの条件付きアクセスポリシーを構成および適用できます。
条件付きアクセスを使用して認証を有効にするには、次の方法を使用できます:
- モバイルデバイス管理(MDM)
- Global Admin Configuration Service(GACS)
Citrix Workspaceアプリによって読み取られるフラグ値は、次の順序で優先されます:
- モバイルデバイス管理(MDM)
- Global Admin Configuration Service(GACS)
MDMで条件付きアクセスを使用した認証の有効化
MDMでAzure ADを使用した条件付きアクセスで認証を有効にするには、管理者は次の設定を実行する必要があります:
<key>enableAAD</key>
<true/>
この設定は、ブール値をサポートしています。デフォルトでは、値はfalseに設定されています。キー値が使用できない場合は、デフォルト値が適用されます。
MDMの使用方法について詳しくは、「モバイルデバイス管理」を参照してください。
GACSで条件付きアクセスを使用した認証の有効化
GACSでAzure ADを使用した条件付きアクセスで認証を有効にするには、管理者は次の設定を実行する必要があります:
enable conditional AAD
詳しくは、GACSドキュメントの「プラットフォームごとにサポートされる設定とその値」でmacOSを参照してください。