認証
環境のセキュリティを最大限に高めるには、Citrix Workspaceアプリと公開リソースの間の接続を保護する必要があります。Citrix Workspaceアプリで、ドメインパススルー、スマートカード、Kerberosパススルーなど、さまざまな種類の認証を構成できます。
ドメインパススルー認証
シングルサインオンを使用すると、ドメインに対して認証することで、Citrix Virtual Apps and DesktopsおよびCitrix DaaS(Citrix Virtual Apps and Desktopsサービスの新名称)を再認証する必要なく使用できます。
Citrix Workspaceアプリにログオンすると、スタートメニューの設定を含め、アプリやデスクトップとともに資格情報がStoreFrontにパススルーされます。シングルサインオンの構成後、資格情報を複数回入力することなく、Citrix Workspaceアプリにログオンして仮想アプリと仮想デスクトップのセッションを開始できます。
すべてのWebブラウザーで、グループポリシーオブジェクト(GPO)管理用テンプレートを使用してシングルサインオンを構成する必要があります。グループポリシーオブジェクト(GPO)管理用テンプレートを使用したシングルサインオンの構成について詳しくは、「Citrix Gatewayでのシングルサインオンの構成」を参照してください。
新規インストールまたはアップグレードの両方で次のいずれかのオプションを使用して、シングルサインオンを構成できます:
- コマンドラインインターフェイス
- GUI
新規インストール中のシングルサインオンの構成
新規インストールでシングルサインオンを構成するには、次の手順を実行します:
- StoreFrontで構成します。
- Delivery ControllerでXML信頼サービスを構成します。
- Internet Explorerの設定を変更します。
- Citrix Workspaceアプリのインストールでシングルサインオンを構成します。
StoreFrontでのシングルサインオンの構成
シングルサインオンを使用すると、ドメインに対して認証でき、各アプリまたはデスクトップを再認証する必要なく同じドメインのCitrix Virtual Apps and DesktopsおよびCitrix DaaSを使用できます。
Storebrowseユーティリティでストアを追加すると、スタートメニューの設定を含め、列挙されたアプリやデスクトップとともに資格情報がCitrix Gatewayサーバーにパススルーされます。シングルサインオンの構成後、資格情報を何度も入力しなくても、ストアを追加したり、アプリやデスクトップを列挙したり、必要なリソースを起動することができます。
Citrix Virtual Apps and Desktops展開によって、StoreFrontで管理コンソールを使用してシングルサインオン認証を構成できます。
次の表で異なる使用例とそれぞれの構成を参照します:
使用例 | 構成の詳細 | 追加情報 |
---|---|---|
StoreFrontでの構成 | Citrix Studioを起動して、[ストア] > [認証方法の管理 - ストア] に移動して [ドメインパススルー] を有効にします。 | Citrix Workspaceアプリでシングルサインオンが構成されていない場合、認証方法は自動的に [ドメインパススルー] から [ユーザー名とパスワード] に切り替えられます(利用可能な場合)。 |
Web向けWorkspaceが必要な場合 | [ストア] > [Workspace for Webサイト] > [認証方法の管理 - ストア] で [ドメインパススルー] を有効にします。 | Citrix Workspaceアプリでシングルサインオンが構成されていない場合、認証方法は自動的に [ドメインパススルー] から [ユーザー名とパスワード] に切り替えられます(利用可能な場合)。 |
Citrix Gatewayでのシングルサインオンの構成
グループポリシーオブジェクト管理用テンプレートを使用してCitrix Gatewayでシングルサインオンを有効にします。
-
gpedit.msc
を実行して、Citrix WorkspaceアプリのGPO管理用テンプレートを開きます。 - [コンピューターの構成] ノードで、[管理用テンプレート] > [Citrixコンポーネント] > [Citrix Workspace] > [ユーザー認証] に移動し、[Citrix Gatewayのシングルサインオン] ポリシーを選択します。
- [有効] をクリックします。
- [適用]、[OK] の順にクリックします。
- Citrix Workspaceアプリのセッションを再起動して、この変更を適用します。
Delivery ControllerでXML信頼サービスを構成
Citrix Virtual Apps and DesktopsおよびCitrix DaaSのDelivery Controllerで管理者として次のPowerShellコマンドを実行します:
asnp Citrix* ; Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True
Internet Explorer設定の変更
- Internet Explorerを使用して信頼済みサイトの一覧にStoreFrontサーバーを追加します。追加するには:
- [コントロール]パネルで [インターネットオプション] を起動します。
-
[セキュリティ]>[ローカルイントラネット] を選択し、[サイト] をクリックします。
[ローカルイントラネット] ウィンドウが開きます。
- [詳細設定] を選択します。
- 適切なHTTPまたはHTTPSプロトコルを使用して、StoreFrontのFQDNのURLを追加します。
- [適用]、[OK] の順にクリックします。
-
Internet Explorerで [ユーザー認証] の設定を変更します。変更するには:
- [コントロール]パネルで [インターネットオプション] を起動します。
- [セキュリティ]タブ>[信頼済みサイト] を選択します。
- [レベルのカスタマイズ] をクリックします。[セキュリティ設定 - 信頼されたゾーン] ウィンドウが開きます。
-
[ユーザー認証] ウィンドウで、[現在のユーザー名とパスワードで自動的にログオンする] を選択します。
- [適用]、[OK] の順にクリックします。
コマンドラインインターフェイスを使用したシングルサインオンの構成
/includeSSON
スイッチを使用してCitrix Workspaceアプリをインストールし、再起動して変更を有効にします。
注:
Windows向けCitrix Workspaceアプリをシングルサインオンコンポーネントなしでインストールすると、
/includeSSON
スイッチを使用して最新バージョンにアップグレードすることはできません。
GUIを使用したシングルサインオンの構成
- Citrix Workspaceアプリインストールファイル(
CitrixWorkspaceApp.exe
)を検索します。 -
CitrixWorkspaceApp.exe
をダブルクリックしてインストーラーを起動します。 - [シングルサインオンを有効化] ウィザードで、[シングルサインオンを有効化] オプションを選択します。
- [次へ] をクリックし、ウィザードの指示に従ってインストールを完了します。
Citrix Workspaceアプリを使用してユーザー資格情報を入力することなく既存のストア(または構成した新しいストア)にログオンできるようになりました。
Web向けWorkspaceでのシングルサインオンの構成
グループポリシーオブジェクト管理用テンプレートを使用して、Web向けWorkspaceのシングルサインオンを構成できます。
- gpedit.mscを実行して、Web向けWorkspaceのGPO管理用テンプレートを開きます。
- [コンピューターの構成] ノードで、[管理用テンプレート]>[Citrixコンポーネント]>[Citrix Workspace]>[ユーザー認証] の順に移動します。
- [ローカルユーザー名とパスワード] ポリシーを選択して [有効] に設定します。
- [パススルー認証を有効にします] をクリックします。このオプションを使用すると、Web向けWorkspaceはリモートサーバーでの認証にログイン資格情報を使用できます。
- [すべてのICA接続にパススルー認証を許可します] をクリックします。このオプションは、すべての認証制限を省略し、すべての接続で資格情報のパススルーを許可します。
- [適用]、[OK] の順にクリックします。
- Web向けWorkspaceのセッションを再起動して、この変更を適用します。
シングルサインオンが有効になっていることを確認するには、タスクマネージャーを起動し、ssonsvr.exe
プロセスが実行中であることを確認します。
Active Directoryを使用したシングルサインオンの構成
次の手順を完了し、Active Directoryグループポリシーを使用してCitrix Workspaceアプリでパススルー認証を構成します。このシナリオでは、Microsoft System Center Configuration Managerなどのエンタープライズソフトウェア展開ツールを使用することなくシングルサインオン認証を構成できます。
-
Citrix Workspaceアプリインストールファイル(CitrixWorkspaceApp.exe)をダウンロードして適切なネットワーク共有に配置します。Citrix Workspaceアプリをインストールする対象マシンからアクセス可能であることが必要です。
-
Windows向けCitrix Workspaceアプリのダウンロードページから
CheckAndDeployWorkspacePerMachineStartupScript.bat
テンプレートを入手します。 -
CitrixWorkspaceApp.exe
の場所およびバージョンが反映されるようコンテンツを編集します。 -
Active Directoryのグループポリシー管理コンソールで
CheckAndDeployWorkspacePerMachineStartupScript.bat
をスタートアップスクリプトとして入力します。スタートアップスクリプトの展開について詳しくは、「Active Directory」のセクションを参照してください。 -
[コンピューターの構成] ノードで [管理用テンプレート]>[テンプレートの追加と削除] に移動して
receiver.adml
ファイルを追加します。 -
receiver.adml
テンプレートの追加後、[コンピューターの構成]>[管理用テンプレート]>[Citrixコンポーネント]>[Citrix Workspace]>[ユーザー認証] に移動します。テンプレートファイルの追加について詳しくは、「グループポリシーオブジェクト管理用テンプレート」を参照してください。 -
[ローカルユーザー名とパスワード] ポリシーを選択して [有効] に設定します。
-
[パススルー認証を有効にします] チェックボックスをオンにして [適用] を選択します。
-
変更を保存するには、マシンを再起動します。
StoreFrontでのシングルサインオンの構成
StoreFrontの構成
- StoreFrontサーバーでCitrix Studioを起動して、[ストア] > [認証方法の管理 - ストア] の順に選択します。
- [ドメインパススルー] を選択します。
認証トークン
認証トークンは暗号化されローカルディスクに保存されるため、システムやセッションの再起動時に資格情報を再入力する必要はありません。Citrix Workspaceアプリは、ローカルディスクへの認証トークンの保存を無効にするオプションを提供します。
セキュリティを強化するために、認証トークンストレージを構成するためのグループポリシーオブジェクト(GPO)ポリシーが提供されるようになりました。
注:
この構成は、クラウド展開でのみ適用されます。
グループポリシーオブジェクト(GPO)ポリシーを使用して認証トークンの保存を無効にするには:
-
gpedit.msc
を実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。 - [コンピューターの構成] ノードで、[管理用テンプレート]>[Citrixコンポーネント]>[SelfService] に移動します。
-
認証トークンを保存しますポリシーで、次のいずれかを選択します:
- 有効:認証トークンがディスクに保存されていることを示します。デフォルトでは、有効に設定されています。
- 無効:認証トークンがディスクに保存されていないことを示します。システムまたはセッションを再起動するときに、資格情報を再入力します。
- [適用]、[OK] の順にクリックします。
バージョン2106以降、Citrix Workspaceアプリは、ローカルディスクへの認証トークンの保存を無効にするもう1つのオプションを提供します。既存のGPO構成に加えて、Global App Configuration Serviceを使用してローカルディスクへの認証トークンの保存を無効にすることもできます。
Global App Configuration Serviceで、Store Authentication Tokens
属性をFalse
に設定します。
詳しくは、Global App Configuration Serviceのドキュメントを参照してください。
構成チェッカー
構成チェッカーで、シングルサインオンが正しく構成されているかどうか確認するためのテストを実行できます。テストはシングルサインオン構成の各チェックポイントに対して実行され、構成結果を表示します。
- 通知領域でCitrix Workspaceアプリアイコンを右クリックし、[高度な設定] をクリックします。 [高度な設定] ダイアログボックスが開きます。
-
[構成チェッカー] をクリックします。 [Citrix構成チェッカー] ウィンドウが開きます。
- [選択] ペインで [SSONChecker] チェックボックスをオンにします。
- [実行] をクリックします。テストの状態を示す進捗状況バーが表示されます。
[構成チェッカー] ウィンドウには次の列があります:
-
状態: 特定のチェックポイントでのテスト結果が表示されます。
- 緑色のチェックマークは、チェックポイントが適切に構成されていることを示します。
- 青色のIは、チェックポイントに関する情報を示します。
- 赤色のXは、チェックポイントが適切に構成されていないことを示します。
- プロバイダー: テストが実行されているモジュールの名前が表示されます。この場合は、シングルサインオンになります。
- スイート: テストのカテゴリを示します。例:「インストール」。
- テスト: 実行中のテストの名前を示します。
- 詳細: 合格と不合格の両方について、テストに関する詳細情報を提供します。
各チェックポイントおよび対応する結果の詳細を確認することができます。
次のテストが実行されます:
- シングルサインオンとともにインストール済み。
- ログオン資格情報のキャプチャ。
- ネットワークプロバイダーの登録:ネットワークプロバイダーの登録のテスト結果で緑色のチェックマークが表示されるのは、ネットワークプロバイダーの一覧で「Citrix Single Sign-on」が先頭に設定されている場合のみです。「Citrix Single Sign-On」が一覧の先頭以外の場所に表示されている場合、ネットワークプロバイダーの登録のテスト結果では青色のIと詳細情報が表示されます。
- シングルサインオンプロセスが実行されている。
- グループポリシー:デフォルトでは、このポリシーはクライアントで構成されます。
- Internet Explorerのセキュリティゾーンの設定:[インターネットオプション]のセキュリティゾーンの一覧にStore/XenAppサービスのURLを追加していることを確認してください。 セキュリティゾーンをグループポリシー経由で構成しており、そのポリシーを変更した場合、変更を有効にしてテストの正確な状態が表示されるようにするために、[高度な設定] ウィンドウを開き直す必要があります。
- StoreFrontの認証方法。
注:
- Web向けWorkspaceにユーザーがアクセスしている場合、テスト結果は適用されません。
- Citrix Workspaceアプリで複数のストアを構成している場合、認証方法テストはすべての構成済みストアに対して実行されます。
- テスト結果はレポートとして保存できます。デフォルトのレポート形式は.txtです。
[高度な設定]ウィンドウの[構成チェッカー]オプションを非表示にする
-
gpedit.msc
を実行して、Citrix WorkspaceアプリのGPO管理用テンプレートを開きます。 - グループポリシーエディターで、[Citrixコンポーネント]>[Citrix Workspace]>[Self Service]>[DisableConfigChecker] の順に開きます。
- [有効] を選択すると、[高度な設定] ウィンドウで [構成チェッカー] オプションが表示されなくなります。
- [適用]、[OK] の順にクリックします。
-
gpupdate /force
コマンドを実行します。
制限事項:
構成チェッカーの対象チェックポイントに、Citrix Virtual Apps and Desktopsサーバー上の[Citrix XML Serviceへの要求を信頼する]の構成は含まれません。
ビーコンテスト
Citrix Workspaceアプリを使用して、構成チェッカーユーティリティの一部であるビーコンチェッカーでビーコンテストを実行できます。ビーコンテストは、ビーコン(ping.citrix.com)が到達可能かどうかを確認するのに役立ちます。この診断テストは、リソースの列挙が遅くなる理由として考えられる原因から、ビーコンが使用できないという可能性を排除するのに役立ちます。テストを実行するには、システムトレイのCitrix Workspaceアプリを右クリックし、[高度な設定]>[構成チェッカー] を選択します。テスト一覧から [ビーコンチェッカー] オプションを選択して [実行] をクリックします。
テスト結果は、次のいずれかになります:
- Reachable - Citrix Workspaceアプリが正常にビーコンに通信できます。
- Not reachable - Citrix Workspaceアプリはビーコンに通信できません。
- Partially reachable - Citrix Workspaceアプリは、断続的にビーコンに通信できます。
注:
- テスト結果は、Web向けWorkspaceでは適用されません。
- テスト結果はレポートとして保存できます。デフォルトのレポート形式は.txtです。
Kerberosを使用したドメインパススルー認証
このトピックの内容は、Windows向けCitrix WorkspaceアプリとStoreFront、Citrix Virtual Apps and Desktops、Citrix DaaSとの間の接続にのみ適用されます。
Citrix Workspaceアプリでは、スマートカードを使用する展開環境でのKerberosによるドメインパススルー認証がサポートされます。Kerberosとは、統合Windows認証(IWA)に含まれる認証方法の1つです。
これを有効にすると、認証時にCitrix Workspaceアプリのパスワードが使用されません。その結果、トロイの木馬型の攻撃でユーザーデバイス上のパスワードが漏えいすることを避けることができます。ユーザーは、たとえば指紋リーダーといった生体認証システムなど、任意の認証方法を使用してログオンし、公開リソースにアクセスできます。
スマートカード認証が構成されたCitrix Workspaceアプリ、StoreFront、Citrix Virtual Apps and Desktops、Citrix DaaSでスマートカードを使用してログオンすると、Citrix Workspaceアプリは以下を実行します:
- シングルサインオン中にスマートカードPINを取得します。
-
IWA(Kerberos)を使用してStoreFrontへのユーザー認証を行います。これによってStoreFrontは、使用可能なCitrix Virtual Apps and DesktopsおよびCitrix DaaSの情報をWorkspaceアプリに提供します。
注
追加のPINプロンプトが表示されるのを回避するためにKerberosを有効にします。Citrix WorkspaceアプリでKerberos認証を使用しない場合、StoreFrontへの認証にはスマートカード資格情報が使用されます。
- HDXエンジン(従来「ICAクライアント」と呼ばれていたもの)がスマートカードのPINをVDAに渡します。これにより、ユーザーがCitrix Workspaceアプリセッションにログオンできます。Citrix Virtual Apps and DesktopsおよびCitrix DaaSが、要求されたリソースを配信します。
Citrix WorkspaceアプリでKerberos認証を使用する場合は、以下のように構成しているかどうかを確認します。
- Kerberosを使用するには、サーバーとCitrix Workspaceアプリを、同じまたは信頼されているWindows Serverドメイン内に設置する必要があります。[Active Directoryユーザーとコンピューター]管理ツールを使って構成するオプションでサーバーの委任に関する信頼関係を構成します。
- ドメイン、Citrix Virtual Apps and DesktopsおよびCitrix DaaSでKerberosが有効になっている必要があります。セキュリティを強化して、必ずKerberosが使用されるようにするには、ドメインでKerberos以外のIWAオプションを無効にします。
- リモートデスクトップサービス接続で、基本認証や保存されたログオン情報の使用、または常にユーザーにパスワードを入力させたりする場合、Kerberosによるログオンは使用できません。
警告
レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、オペレーティングシステムの再インストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、Citrixでは一切責任を負いません。レジストリエディターは、お客様の責任と判断の範囲でご使用ください。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。
スマートカードを使用する環境でKerberosによるドメインパススルー認証
続行する前に、Citrix Virtual Apps and Desktopsドキュメントの「展開の保護」セクションを参照してください。
Windows向けCitrix Workspaceアプリのインストール時に、以下のコマンドラインオプションを指定します。
-
/includeSSON
これにより、ドメインに参加しているコンピューターにシングルサインオンコンポーネントがインストールされ、ワークスペースのIWA(Kerberos)によるStoreFrontへの認証が有効になります。シングルサインオンコンポーネントは、スマートカードのPINを格納します。次に、HDXエンジンがこのPINを使用して、Citrix Virtual Apps and DesktopsおよびCitrix DaaSがスマートカードハードウェアと資格情報にアクセスできるようにします。Citrix Virtual Apps and DesktopsおよびCitrix DaaSは、自動的にスマートカードから証明書を選択して、HDXエンジンからPINを取得します。
関連オプション「
ENABLE_SSON
」は、デフォルトで有効になっています。
セキュリティポリシーにより、デバイスでシングルサインオンを有効にできない場合は、グループポリシーオブジェクト管理用テンプレートを使用してCitrix Workspaceアプリを構成します。
- gpedit.mscを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。
- [管理用テンプレート]>[Citrixコンポーネント]>[Citrix Workspace]>[ユーザー認証]>[ローカルユーザー名とパスワード] を選択します。
- [パススルー認証を有効にします] チェックボックスをオンにします。
-
Citrix Workspaceアプリのセッションを再起動して、この変更を適用します。
StoreFrontを構成するには:
StoreFrontサーバーの認証サービスを構成するときに、[ドメインパススルー] オプションをオンにします。これにより、統合Windows認証が有効になります。[スマートカード]オプションは、スマートカードを使用してStoreFrontに接続する非ドメイン参加のクライアントをサポートする場合のみオンにします。
StoreFrontでスマートカードを使用する場合は、StoreFrontドキュメントの「認証サービスの構成」を参照してください。
Azure Active Directoryでの条件付きアクセスのサポート
条件付きアクセスは、Azure Active Directoryが組織のポリシーを適用するために使用するツールです。ワークスペース管理者は、Citrix Workspaceアプリへの認証を行うユーザーに対して、Azure Active Directoryの条件付きアクセスポリシーを構成および適用できます。Citrix Workspaceアプリを実行するWindowsマシンには、Microsoft Edge WebView2ランタイムバージョン92以降がインストールされている必要があります。
Azure Active Directoryを使用して条件付きアクセスポリシーを構成する方法の詳細と手順については、「Azure ADの条件付きアクセスのドキュメント」(Docs.microsoft.com/en-us/azure/active-directory/conditional-access/)を参照してください。
注:
この機能は、Workspace(Cloud)のみでサポートされます。
Citrix Workspaceへの認証を行う他の方法
Citrix Workspaceアプリを使用して、次の認証メカニズムを構成できます。次の認証メカニズムが想定どおりに機能するには、Citrix Workspaceアプリを実行するWindowsマシンに、Microsoft Edge WebView2ランタイムバージョン92以降がインストールされている必要があります。
- Windows Helloベースの認証 – Windows Helloベースの認証の設定手順については、「ビジネス Windows Hello設定の構成 - 証明書の信頼」(Docs.microsoft.com/ja-jp/windows/security/identity-protection/hello-for-business/hello-cert-trust-policy-settings)を参照してください。
注:
ドメインパススルーを使用したWindows Helloベースの認証はサポートされていません。
- FIDO2セキュリティキーベースの認証 – FIDO2セキュリティキーは、企業の従業員がユーザー名やパスワードを入力せずに認証するためのシームレスな方法を提供します。Citrix WorkspaceへのFIDO2セキュリティキーベースの認証を構成できます。ユーザーがFIDO2セキュリティキーを使用してAzure ADアカウントでCitrix Workspaceに対して認証を行うようにする場合は, 「パスワードなしのセキュリティキーサインインを有効にする」(Docs.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-passwordless-security-key)を参照してください。
- IDプロバイダーとしてMicrosoft Azure Active Directory(AAD)を使用し、AAD参加済みのマシンからCitrix Workspaceアプリへのシングルサインオンを構成することもできます。Azure Active Directory Domain Servicesの構成について詳しくは、「Azure Active Directory Domain Servicesとは」(Docs.microsoft.com/en-us/azure/active-directory-domain-services/overview)を参照してください。Azure Active DirectoryをCitrix Cloudに接続する方法については、「Azure Active DirectoryをCitrix Cloudに接続する」を参照してください。
スマートカード
Windows向けCitrix Workspaceアプリでは、以下のスマートカード認証がサポートされます:
-
パススルー認証(シングルサインオン) - ユーザーがCitrix Workspaceアプリにログオンするときに使用するスマートカードの資格情報を取得します。取得した資格情報は以下のように使用されます:
- ドメインに属しているデバイスのユーザーがスマートカードでCitrix Workspaceアプリにログオンした場合、仮想デスクトップやアプリケーションの起動時に資格情報を再入力する必要はありません。
- ドメインに属していないデバイスで実行しているCitrix Workspaceアプリがスマートカードの資格情報を使用している場合、仮想デスクトップやアプリケーションの起動時に資格情報を再入力する必要があります。
パススルー認証を使用するには、StoreFrontおよびCitrix Workspaceアプリ両方での構成が必要です。
-
2モード認証 - 認証方法として、スマートカードと、ユーザー名およびパスワードの入力を選択できます。この機能は、スマートカードを使用できない場合に有効です。たとえば、ログオン証明書が期限切れになった場合などです。これを実行できるようにするには、スマートカードを許可するためFalseに設定したDisableCtrlAltDelメソッドを使って、サイトごとに専用ストアをセットアップする必要があります。2モード認証にはStoreFront構成が必要です。
また2方式認証により、StoreFront管理者はStoreFrontコンソールでユーザー名とパスワード、およびスマートカード認証の両方を選択して同じストアで使用できるようにします。StoreFrontのドキュメントを参照してください。
-
複数の証明書 - 単一または複数のスマートカードを使用する場合、複数の証明書を使用できます。ユーザーがスマートカードをリーダーに挿入すると、ユーザーデバイス上で実行する、Citrix Workspaceアプリを含むすべてのアプリケーションで複数の証明書を適用できるようになります。
-
クライアント証明書による認証 - この機能を使用するには、Citrix GatewayおよびStoreFrontでの構成が必要です。
- Citrix Gatewayを使ってStoreFrontにアクセスする場合、ユーザーがスマートカードを取り外した後で再認証が必要です。
- Citrix GatewayのSSL構成で常にクライアント証明書による認証が使用されるようにすると、より安全になります。ただし、この構成では2方式認証を使用できません。
-
ダブルホップセッション - ダブルホップセッションでは、Citrix Workspaceアプリとユーザーの仮想デスクトップとの間に接続が確立されます。
-
スマートカード対応のアプリケーション - Microsoft OutlookやMicrosoft Officeなどのスマートカード対応アプリケーションでは、仮想アプリと仮想デスクトップのセッションでドキュメントにデジタル署名を追加したりファイルを暗号化したりできます。
制限事項:
- 証明書は、ユーザーデバイス上ではなくスマートカード上に格納されている必要があります。
- Citrix Workspaceアプリはユーザー証明書の選択を保存しませんが、構成時にPINを格納します。PINはユーザーセッションの間にのみ非ページ化メモリにキャッシュされ、ディスク内には格納されません。
- Citrix Workspaceアプリでは、スマートカードが挿入されたときに自動的には切断セッションに再接続されません。
- スマートカード認証が構成されている場合、Citrix Workspaceアプリでは仮想プライベートネットワーク(VPN:Virtual Private Network)のシングルサインオンやセッションの事前起動がサポートされません。スマートカード認証でVPNを使用するには、Citrix Gateway Plug-inをインストールします。スマートカードとPINを使用してWebページからログオンし、各ステップで認証します。スマートカードユーザーは、Citrix Gateway Plug-inを使用したStoreFrontへのパススルー認証を使用できません。
- Citrix Workspaceアプリ更新ツールとcitrix.comやMerchandising Server間の通信では、Citrix Gateway上のスマートカード認証を使用できません。
警告
一部の構成では、レジストリの編集が必要です。レジストリエディターの使用を誤ると、問題が発生する可能性があり、オペレーティングシステムの再インストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、Citrixでは一切責任を負いません。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。
スマートカード認証のシングルサインオンを有効にするには:
Windows向けCitrix Workspaceアプリのインストール中に、以下のコマンドラインオプションを指定します:
-
ENABLE_SSON=Yes
シングルサインオンは、「パススルー認証」と呼ばれることもあります。このオプションを指定すると、Citrix WorkspaceアプリでPINを繰り返し入力する必要がなくなります。
-
レジストリエディターで次のパスに移動し、シングルサインオンコンポーネントをインストールしていない場合は
SSONCheckEnabled
文字列をFalse
に設定します。HKEY_CURRENT_USER\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\
HKEY_LOCAL_MACHINE\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\
これにより、Citrix WorkspaceアプリのAuthentication Managerでシングルサインオンコンポーネントがチェックされなくなり、Citrix WorkspaceアプリでStoreFrontへの認証が可能になります。
Kerberosの代わりにStoreFrontに対してスマートカード認証を有効にするには、次のコマンドラインオプションでWindows向けCitrix Workspaceアプリをインストールします:
-
/includeSSON
を指定すると、シングルサインオン認証(パススルー認証)がインストールされます。資格情報のキャッシュおよびパススルードメインベース認証の使用を有効にします。 -
ユーザーが別の認証方法(ユーザー名とパスワードなど)でエンドポイントにログオンする場合、コマンドラインは次のようになります:
/includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No
このタイプの認証では、ログオン時に資格情報がキャプチャされるのを防ぎ、Citrix Workspaceアプリへのログイン時にPINを格納することができます。
- gpedit.mscを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。
- [管理用テンプレート]>[Citrixコンポーネント]>[Citrix Workspace]>[ユーザー認証]>[ローカルユーザー名とパスワード] に移動します。
- [パススルー認証を有効にします] チェックボックスをオンにします。構成およびセキュリティ設定によっては、パススルー認証を実行するために [すべてのICA接続にパススルー認証を許可します] チェックボックスをオンにします。
StoreFrontを構成するには:
- 認証サービスを構成する場合、[スマートカード] チェックボックスをオンにします。
StoreFrontでスマートカードを使用する場合は、StoreFrontドキュメントの「認証サービスの構成」を参照してください。
ユーザーデバイスでスマートカードを使用できるようにするには:
- デバイスのキーストアに、証明機関のルート証明書をインポートします。
- ベンダーが提供する暗号化ミドルウェアをインストールします。
- Citrix Workspaceアプリをインストールして構成します。
証明書の選択方法を変更するには:
複数の証明書が有効な場合、Citrix Workspaceアプリではデフォルトでそれらの証明書の一覧が表示され、ユーザーは使用する証明書を選択できます。管理者は、代わりにデフォルトの証明書(スマートカードプロバイダー指定の証明書)、または有効期限が最も残っている証明書が使用されるようにCitrix Workspaceアプリを構成できます。有効なログオン証明書がない場合はユーザーにメッセージが表示され、使用可能なほかのログオン方法が提示されます。
有効な証明書とは、以下のものを指します:
- ローカルコンピューターの現在時刻に基づき、証明書が有効期限内である。
- サブジェクトの公開キーでRSAアルゴリズムが使用されており、キーの長さが1024ビット、2048ビット、または4096ビットである。
- キー使用法にデジタル署名が含まれている。
- サブジェクトの別名フィールドにユーザープリンシパル名(UPN)が含まれている。
- 拡張キー使用法フィールドにスマートカードログオンおよびクライアント認証、またはすべてのキー使用法が含まれている。
- 証明書の発行者チェーンに含まれる証明機関の1つが、TLSハンドシェイク時にサーバーから送信される、許可される識別名(DN)の1つに合致している。
証明書の選択方法を変更するには、以下のいずれかの構成を行います:
-
Citrix Workspaceアプリのコマンドラインで、オプション
AM_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry }
を指定します。デフォルト値は、Promptです。
SmartCardDefault
またはLatestExpiry
を指定して複数の証明書が該当する場合は、Citrix Workspaceアプリによりユーザーが証明書を選択するための一覧が表示されます。 -
次のキー値をレジストリキー HKEY_CURRENT_USER OR HKEY_LOCAL_MACHINE\Software\[Wow6432Node\Citrix\AuthManager
に追加します:CertificateSelectionMode={ PromptSmartCardDefault LatestExpiry }。
最適な証明書をユーザーが選択できるように、HKEY_CURRENT_USER
での設定は、HKEY_LOCAL_MACHINE
の設定よりも優先されます。
CSPのPIN入力メッセージを使用するには:
Windows向けCitrix Workspaceアプリのデフォルトでは、スマートカードのCryptographic Service Provider(CSP)ではなくPIN入力用のメッセージが表示されます。PINの入力が必要な場合、Citrix Workspaceアプリがメッセージを表示して、ユーザーにより入力されたPINをスマートカードのCSPに渡します。プロセスごとやセッションごとのPINのキャッシュが禁止されているなど、環境やスマートカードでより厳格なセキュリティが求められる場合は、CSPコンポーネントを使用してPIN入力用のメッセージを表示してPINを処理するようにCitrix Workspaceアプリを構成できます。
PIN入力の処理方法を変更するには、以下のいずれかの構成を行います:
- Citrix Workspaceアプリのコマンドラインで、オプション
AM_SMARTCARDPINENTRY=CSP
を指定します。 - 次のキー値をレジストリキー
HKEY_LOCAL_MACHINE\Software\[Wow6432Node\Citrix\AuthManager
に追加します:SmartCardPINEntry=CSP
スマートカードのサポートおよび取り出しの変更
スマートカードを取り出すと、Citrix Virtual Appsセッションからログオフされます。Citrix Workspaceアプリの認証方法をスマートカードに設定している場合、Citrix Virtual Appsセッションからのログオフを有効にするにはWindows向けCitrix Workspaceアプリで対応するポリシーを構成します。ユーザーはCitrix Workspaceアプリセッションにログインしたままになります。
制限事項:
スマートカード認証を使用してCitrix Workspaceアプリサイトにログインした場合、ユーザー名が [ログオン済み] と表示されます。
高速スマートカード
高速スマートカードは、既存のHDX PC/SCベースのスマートカードリダイレクトの改良版です。遅延が大きいWAN環境でスマートカードを使用する場合のパフォーマンスが向上しています。
高速スマートカードは、Windows VDAでのみサポートされています。
Citrix Workspaceアプリで高速スマートカードログオンを有効にするには:
高速スマートカードログオンはVDAでデフォルトで有効になっていますが、Citrix Workspaceアプリではデフォルトで無効になっています。高速スマートカードログオンを有効にするには、関連するStoreFrontサイトのdefault.ica
ファイルに次のパラメーターを追加します:
copy[WFClient]
SmartCardCryptographicRedirection=On
<!--NeedCopy-->
Citrix Workspaceアプリで高速スマートカードログオンを無効にするには:
Citrix Workspaceアプリで高速スマートカードログオンを無効にするには、関連するStoreFrontサイトのdefault.ica
ファイルからSmartCardCryptographicRedirection
パラメーターを削除します。
詳しくは、「スマートカード」を参照してください。
Citrix Workspaceのサイレント認証
Citrix Workspaceアプリでは、グループポリシーオブジェクト(GPO)ポリシーが導入され、Citrix Workspaceのサイレント認証が有効になります。このポリシーにより、Citrix Workspaceアプリがシステムの起動時にCitrix Workspaceに自動的にログインできるようになります。このポリシーは、ドメインに参加しているデバイスのCitrix Workspaceに対してドメインパススルー(シングルサインオン)が構成されている場合にのみ使用してください。
このポリシーが機能するには、次の条件を満たす必要があります:
- シングルサインオンを有効にする必要があります。
- レジストリエディターで
SelfServiceMode
キーをOff
に設定する必要があります。
サイレント認証の有効化:
-
gpedit.msc
を実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。 - [コンピューターの構成] ノードで、[管理用テンプレート] > [Citrix Workspace] > [Self Service] の順に移動します。
- [Citrix Workspaceのサイレント認証] ポリシーをクリックして、[有効] に設定します。
- [適用]、[OK] の順にクリックします。