クライアント証明書認証の構成

Citrix Gateway仮想サーバーにログオンするユーザーを、クライアント証明書の属性に基づいて認証することもできます。クライアント証明書認証は、2要素認証を提供するために、LDAPやRADIUSなどのほかの種類の認証と一緒に使用することもできます。

クライアント側の証明書の属性でユーザーを認証するには、仮想サーバー上のクライアント認証が有効になっており、クライアント証明書を要求するように構成されている必要があります。さらに、Citrix Gateway上でルート証明書をその仮想サーバーにバインドする必要があります。

ユーザーがCitrix Gateway 仮想サーバーにログオンすると、認証後、証明書の指定されたフィールドからユーザー名情報が抽出されます。通常、このフィールドはSubject:CNです。ユーザー名の抽出に成功すると、ユーザーの認証が完了します。SSL(Secure Sockets Layer)ハンドシェイク時に有効な証明書が提供されなかったりユーザー名の抽出に失敗したりすると、認証に失敗します。

クライアント証明書に基づいて認証するには、既定の認証の種類としてクライアント証明書を指定します。また、「証明書アクション」を作成して、クライアントのSSL証明書に基づいた認証時の動作を定義することもできます。

クライアント証明書をデフォルトの認証タイプとして構成するには

  1. 構成ユーティリティの[構成]タブのナビゲーションペインで Citrix Gateway を展開し、[グローバル設定]をクリックします。
  2. 詳細ウィンドウで、[設定] の [認証設定の変更] をクリックします。
  3. [最大ユーザー数] に、クライアント証明書を使用して認証できるユーザーの数を入力します。
  4. 「デフォルトの認証タイプ」で、「Cert」を選択します。
  5. 「ユーザー名フィールド」で、ユーザー名を保持する証明書フィールドの種類を選択します。
  6. [グループ名フィールド] で、グループ名を保持する証明書フィールドのタイプを選択します。
  7. [既定の承認グループ] に、既定のグループの名前を入力し、[OK] をクリックします。

クライアント証明書からのユーザー名の抽出

Citrix Gatewayでクライアント証明書による認証を有効にすると、クライアント証明書の属性に基づいてユーザーが認証されます。認証が正常に完了すると、証明書からユーザー名またはユーザーのユーザーおよびグループ名が抽出され、そのユーザーに指定されたポリシーが適用されます。