セキュアなワークスペース
管理者は、利用者が次のうちのいずれかの認証方法を使用して、ワークスペースへの認証を実行するよう選択できます:
- Active Directory(AD)
- Active Directory+トークン
- Azure Active Directory(AAD)
- Citrix Gateway
- Okta
- SAML 2.0
これらの認証オプションは、すべてのCitrix Cloudサービスで利用できます。詳しくは、「技術概要:Workspace ID」を参照してください。
Citrix Workspaceでは、Citrixフェデレーション認証サービス(FAS)を使用したCitrix DaaSへのシングルサインオン(SSO)の提供もサポートされています。FASを使用したSSOにより、利用者は、フェデレーション認証方式でワークスペースに既にサインインしていれば、DaaSに認証する必要がなくなります。詳しくは、「Citrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化」を参照してください。
認証方法の選択または変更
IDプロバイダーを構成した後、[ワークスペース構成]>[認証]>[ワークスペースの認証] で、利用者のワークスペースへの認証方法を選択または変更します。
重要:
認証モードの切り替えには最大5分かかり、その間利用者はアクセスできません。変更は、使用頻度の低い期間に限定することをCitrixではお勧めします。ブラウザーまたはCitrix Workspaceアプリを使用してCitrix Workspaceにログオンしている利用者がいる場合は、ブラウザーを終了するか、アプリを終了するよう利用者に指示します。約5分間の待機後、利用者は新しい認証方法でまたサインインできます。
Active Directory(AD)
デフォルトでは、Citrix CloudはActive Directory(AD)を使用して、ワークスペースへの利用者認証を管理します。
ADを使用するには、オンプレミスのADドメインに少なくとも2つのCitrix Cloud Connectorがインストールされている必要があります。Cloud Connectorのインストールについて詳しくは、「Cloud Connectorのインストール」を参照してください。
Active Directory(AD)+トークン
セキュリティを強化するために、Citrix Workspaceは、ADサインインに対する認証の2番目の要素として時間ベースのトークンをサポートしています。
Workspaceは、利用者のログインごとに、登録済みデバイスの認証アプリからトークンを入力するように求めます。利用者は、サインインする前に、Citrix SSOなどの時間ベースのワンタイムパスワード(TOTP:Time-Based One-Time Password)標準に準拠した認証アプリに、デバイスを登録する必要があります。現時点では、一度に1つのデバイスしか登録できません。
詳しくは、「Tech Insight:認証 - TOTP」および「Tech Insight:認証 - プッシュ」を参照してください。
AD+トークンの要件
Active Directory+トークン認証には次の要件があります:
- Active DirectoryとCitrix Cloud間の接続と、オンプレミス環境での少なくとも2つのCloud Connectorsのインストール。要件と手順については、「Active DirectoryをCitrix Cloudに接続する」を参照してください。
- [IDおよびアクセス管理] ページにおける [Active Directory + トークン] 認証の有効化。詳しくは、「Active Directory+トークン認証を有効にするには」を参照してください。
- 利用者によるメールへのアクセスとデバイスの登録。
- 認証アプリをダウンロードするデバイス。
初めての登録
利用者は、「2要素認証に対するデバイスの登録」で説明した登録プロセスにより、デバイスを登録します。
Workspaceへの最初のサインインの際に、利用者はプロンプトに従ってCitrix SSOアプリをダウンロードします。Citrix SSOアプリは、30秒ごとに登録済みデバイスに一意のワンタイムパスワードを生成します。
重要:
デバイスの登録処理中に、利用者は一時的な確認コードが記載されたメールを受信します。この一時コードは、利用者のデバイスを登録するためにのみ使用されます。この一時コードを、2要素認証でCitrix Workspaceにサインインするためのトークンとして使用することはサポートされていません。2要素認証のトークンとしてサポートされているのは、登録済みデバイス上の認証アプリから生成された確認コードのみです。
デバイスの再登録
利用者が自分の登録済みデバイスを所有していない、またはそのデバイスを再登録する必要がなくなった場合(たとえば、デバイスからコンテンツを削除したあと)は、Workspaceでは以下のオプションが提供されます:
-
利用者は、「2要素認証に対するデバイスの登録」で説明したのと同じ登録プロセスにより、デバイスを再登録できます。利用者は一度に1つのデバイスしか登録できないため、新しいデバイスを登録するか、既存のデバイスを再登録することで、以前のデバイス登録を削除します。
-
管理者は、Active Directoryの名前で利用者を検索して自分のデバイスをリセットできます。それを行うには、[IDおよびアクセス管理]>[復旧]に移動します。Workspaceへの次のサインオンの際、利用者は初めての登録の手順に従います。
![[回復]タブ](/en-us/citrix-workspace/media/id-access-mgmt-recovery-tab.png)
Azure Active Directory
Azure Active Directory(AD)を使用してワークスペースへの利用者の認証を管理するには、以下の要件があります:
- Azure ADは、グローバル管理者権限を持つユーザーが使用。Citrix Cloudが使用するAzure ADアプリケーションと権限について詳しくは、「Citrix Cloud用のAzure Active Directoryの権限」を参照してください。
- Citrix Cloud ConnectorがオンプレミスのADドメインにインストールされていること。マシンがAzure ADと同期しているドメインに参加している必要もあります。
- バージョン7.15.2000 LTSR CUのVDAまたは7.18最新リリース以降のVDA。
- Azure ADとCitrix Cloud間の接続。詳しくは、「Azure Active DirectoryをCitrix Cloudに接続する」を参照してください。
Active DirectoryをAzure ADに同期させるときは、UPNおよびSIDエントリを同期の対象に含める必要があります。これらのエントリが同期されていないと、Citrix Workspaceの特定のワークフローが失敗します。
警告:
- Azure ADを使用している場合、CTX225819に記載されているようにレジストリに変更を加えないでください。このように変更すると、Azure ADユーザーがセッションを起動できない可能性があります。
DSAuthAzureAdNestedGroups機能を有効にすると、別のグループのメンバーとしてグループを追加できます(入れ子構造)。DSAuthAzureAdNestedGroupsを有効にするには、Citrixサポートにリクエストを送信してください。
Azure AD認証を有効にした後:
- セキュリティの強化: セキュリティのために、ユーザーは、アプリやデスクトップの起動時に再度サインインするよう求められます。パスワード情報は、ユーザーのデバイスからセッションをホストしているVDAに直接送信されます。
- サインインエクスペリエンス: Azure AD認証は、シングルサインオン(SSO)ではなく、フェデレーションサインインを提供します。利用者はAzureサインインページからサインインし、Citrix DaaSを開くときに再度認証する必要がある場合があります。
SSOを使用するには、Citrix CloudでCitrixフェデレーション認証サービスを有効にします。詳しくは、「Citrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化」を参照してください。
Azure ADのサインイン操作をカスタマイズすることができます。詳しくは、Microsoft社のドキュメントを参照してください。[ワークスペース構成]で行われたサインインのカスタマイズ(ロゴ)は、Azure ADのサインイン操作に影響しません。
次の図は、Azure AD認証のシーケンスを示しています。
Citrix Gateway
Citrix Workspaceでは、オンプレミスのCitrix GatewayをIDプロバイダーとして使用してワークスペースへの利用者の認証を管理できます。詳しくは、「Tech Insight:認証 - Citrix Gateway」を参照してください。
Citrix Gatewayの要件
Citrix Gateway認証には次の要件があります:
- Active DirectoryとCitrix Cloud間の接続。要件と手順については、「Active DirectoryをCitrix Cloudに接続する」を参照してください。
- 利用者がワークスペースにサインインするには、Active Directoryユーザーである必要があります。
- フェデレーションを実行している場合、ADユーザーをフェデレーションプロバイダーと同期する必要があります。Citrix Cloudでは、ユーザーが正常にサインインできるよう、ADユーザー属性が必要とされます。
- オンプレミスのCitrix Gateway:
- Citrix Gateway 12.1 54.13 Advanced Edition以降
- Citrix Gateway 13.0 41.20 Advanced Edition以降
- Citrix Gateway認証が [IDおよびアクセス管理] ページで有効になっています。これにより、Citrix CloudとオンプレミスのGatewayとの接続を作成するために必要なクライアントID、シークレット、リダイレクトURLを生成します。
- Gatewayで、生成されたクライアントID、シークレット、リダイレクトURLを使用してOAuth IDプロバイダー認証ポリシーが構成されます。
詳しくは、「オンプレミスのCitrix GatewayをIDプロバイダーとしてCitrix Cloudに接続する」を参照してください。
利用者によるCitrix Gatewayの操作
Citrix Gatewayでの認証が有効になっている場合、利用者は次のワークフローを経験します:
- ブラウザーでワークスペースURLに移動するか、Workspaceアプリを起動します。
- 利用者は、Citrix Gatewayのログオンページにリダイレクトされ、Gatewayで構成された方法で認証されます。この方法には、MFA、フェデレーション、条件付きアクセスポリシーなどがあります。CTX258331に記載されている手順に従い、Workspaceのサインインページと見た目が同じになるようGatewayのログオンページをカスタマイズできます。
- 認証に成功すると、利用者のワークスペースが表示されます。
Citrix Workspaceでは、GoogleをIDプロバイダーとして使用してワークスペースへの利用者の認証を管理できます。
Googleの要件
- オンプレミスのActive DirectoryとGoogle Cloud間の接続。
- Google Cloud Platformコンソールにアクセスできる開発者アカウント。このアカウントは、サービスアカウントとキーを作成し、Admin SDK APIを有効にするために必要です。
- Google Workspace管理コンソールにアクセスできる管理者アカウント。このアカウントは、ドメイン全体の委任と読み取り専用のAPIユーザーアカウントを構成するために必要です。
- [IDおよびアクセス管理] ページで有効にした [Google] 認証を使用した、オンプレミスのActive DirectoryとCitrix Cloud間の接続。この接続を作成するには、リソースの場所に少なくとも2つのCloud Connectorが必要です。
詳しくは、「GoogleをIDプロバイダーとしてCitrix Cloudに接続する」を参照してください。
利用者によるGoogleの操作
Googleでの認証が有効になっている場合、利用者は次のワークフローに従います:
- 利用者はブラウザーでワークスペースURLに移動するか、Workspaceアプリを起動します。
- Googleのサインインページにリダイレクトされ、Google Cloudで構成された方法(多要素認証、条件付きアクセスポリシーなど)で認証されます。
- 認証に成功すると、利用者のワークスペースが表示されます。
Okta
Citrix Workspaceでは、OktaをIDプロバイダーとして使用してワークスペースへの利用者の認証を管理できます。詳しくは、「Tech Insight:認証 - Okta」を参照してください。
Oktaの要件
Okta認証には次の要件があります:
- オンプレミスのActive DirectoryとOkta組織の間の接続。
- Citrix Cloudで使用するために構成されたOkta OIDC Webアプリケーション。Citrix CloudをOkta組織に接続するには、このアプリケーションに関連付けられているクライアントIDとクライアントシークレットを指定する必要があります。
- [IDおよびアクセス管理] ページで有効にした [Okta] 認証を使用した、オンプレミスのActive DirectoryとCitrix Cloud間の接続。
詳しくは、「OktaをIDプロバイダーとしてCitrix Cloudに接続する」を参照してください。
利用者によるOktaの操作
Oktaでの認証が有効になっている場合、利用者は次のワークフローに従います:
- 利用者はブラウザーでワークスペースURLに移動するか、Workspaceアプリを起動します。
- Oktaのサインインページにリダイレクトされ、Oktaで構成された方法(多要素認証、条件付きアクセスポリシーなど)で認証されます。
- 認証に成功すると、利用者のワークスペースが表示されます。
Okta認証は、シングルサインオン(SSO)ではなく、フェデレーションIDによるサインインを提供します。利用者はOktaサインインページからワークスペースにサインインし、Citrix DaaSを開くときに再度認証する必要がある場合があります。SSOを使用するには、Citrix CloudでCitrixフェデレーション認証サービスを有効にします。詳しくは、「Citrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化」を参照してください。
SAML 2.0
Citrix Workspaceでは、SAML 2.0を使用してワークスペースへの利用者の認証を管理できます。SAML 2.0をサポートしている場合は、選択したSAMLプロバイダーを使用できます。
SAML 2.0の要件
SAML認証には次の要件があります:
- SAML 2.0をサポートするSAMLプロバイダー
- オンプレミスのActive Directoryドメイン
- リソースの場所に展開され、オンプレミスのADドメインに参加している2つのCloud Connector。
- SAMLプロバイダーとのAD統合
ワークスペースでのSAML認証の構成について詳しくは、「SAMLをIDプロバイダーとしてCitrix Cloudに接続する」を参照してください。
利用者によるSAML 2.0の操作
- 利用者は、ブラウザーでWorkspace URLに移動するか、Citrix Workspaceアプリを起動します。
- 組織のSAML IDプロバイダーのサインインページにリダイレクトされます。多要素認証や条件付きアクセスポリシーなど、SAML IDプロバイダー用に構成されたメカニズムを使用して認証します。
- 認証に成功すると、利用者のワークスペースが表示されます。
Citrixフェデレーション認証サービス(FAS)
Citrix Workspaceでは、Citrixフェデレーション認証サービス(FAS)を使用したCitrix DaaSへのシングルサインオン(SSO)がサポートされています。FASがないと、フェデレーションIDプロバイダーを使用している利用者は、DaaSにアクセスするために資格情報を複数回入力するように求められます。
詳しくは、「Citrixフェデレーション認証サービス(FAS)」を参照してください。
利用者のサインアウト操作
[設定]>[ログオフ] をして、WorkspaceおよびAzure ADからのサインアウトプロセスを完了します。[ログオフ] オプションを使用せずにブラウザーを閉じると、Azure ADにサインインしたままになる可能性があります。
重要:
ブラウザーでCitrix Workspaceが非アクティブなためにタイムアウトした場合でも、利用者はAzure ADにサインインしたままになります。これは、Citrix Workspaceのタイムアウトによって他のAzure ADアプリケーションを強制的に終了させないようにするためです。