FIDO2 と ウェブオースン認証
FIDO2 と WebAuthn を使用したローカル認証と仮想認証
ユーザーは、FIDO2 セキュリティキーと、TPM 2.0 および Windows Hello を備えた統合生体認証デバイスを使用して、仮想セッション内で FIDO2 または WebAuthn を利用するアプリケーションに対して認証できます。
FIDO2 の詳細については、FIDO2: WebAuthn & CTAPを参照してください。
この機能の使用方法については、FIDO2 リダイレクトを参照してください。
注
この機能は、WebAuthn または FIDO2 を使用した仮想セッションへのログオンをサポートしていません。この機能は、仮想セッション内のアプリケーションでこれらの認証方法を使用することのみを許可します。
サポートマトリックス
| セッションホストオペレーティングシステム | Web アプリケーション認証 | UWP アプリケーション認証 |
|---|---|---|
| ウィンドウズ サーバー 2016 | USB リダイレクト経由でサポートされています | サポートされていません |
| ウィンドウズ サーバー 2019 | サポート対象 | サポート対象外 |
| ウィンドウズ サーバー 2022 | サポート対象 | サポート対象 |
| ウィンドウズ 10 | サポート対象 | サポート対象 |
| ウィンドウズ 11 | サポート対象 | サポート対象 |
詳細については、以下の要件をご確認ください。
Webアプリケーション認証
必要条件
WebアプリケーションでFIDO2およびWebAuthn認証を使用するための要件は次のとおりです。
Citrix® コントロールプレーン
- シトリックス バーチャル アプリケーションズ アンド デスクトップ™ 2009 以降
セッションホスト
- オペレーティングシステム
- ウィンドウズ 10 1809 以降
- ウィンドウズ サーバー 2019 以降
- VDA
- Windows: バージョン 2009 以降
クライアントデバイス
- オペレーティングシステム
- ウィンドウズ 10 1809 以降
- Linux: Linux 版 Workspace アプリのシステム要件を参照してください
- ワークスペース アプリ
- Windows: バージョン 2009.1 以降
- リナックス: 2303 以降
Webブラウザーの要件
- 32ビットおよび64ビットブラウザー
サポートされる認証方法
- FIDO2セキュリティキー
- ウィンドウズ ハロー
- TPM 2.0
- 統合生体認証
- 顔認証機能
- 指紋スキャナー
- ウェブオーセン
UWPアプリケーション認証
シトリックス Virtual Apps and Desktops 2112のリリースに伴い、シトリックスはUWPアプリケーションでのWebAuthnおよびFIDO2認証をサポートします。
Microsoft Teams、Microsoft Outlook for Office 365、OneDriveなどのアプリケーションは、Azure Active Directoryへのリンクとして認証にUWPアプリケーションを使用します。Citrixは、これらのアプリケーションを認証するためにFIDO2を使用することをサポートするようになりました。
必要条件
UWPアプリケーションでFIDO2およびWebAuthn認証を使用するための要件は次のとおりです。
Citrixコントロールプレーン
- シトリックス バーチャル アプリケーションズ アンド デスクトップス 2112 以降
セッションホスト
- オペレーティングシステム
- ウィンドウズ 10 1809 以降
- ウィンドウズ 11
- ウィンドウズ サーバー 2022 以降
- VDA
- Windows: バージョン2112以降
クライアントデバイス
- オペレーティングシステム
- Windows 10 バージョン1809以降
- ウィンドウズ 11
- Linux: Linux版ワークスペースアプリのシステム要件を参照してください。
- ワークスペースアプリ
- Windows: バージョン 2009.1 以降
- リナックス: 2303 以降
UWP アプリケーション要件
- 32ビットおよび64ビットアプリケーション
サポートされている認証方法
- FIDO2 セキュリティキー
- ウィンドウズ ハロー
- TPM 2.0
- 統合生体認証
- 顔認識機能
- 指紋スキャナー
- ウェブオーセン
注:
上記の認証方法のサポートは、基盤となるオペレーティングシステムの機能に依存します。
FIDO2リダイレクトが、クライアント、VDA、またはオペレーティングシステムでサポートされていないために利用できないシナリオでは、USBベースのFIDO2キーはUSBリダイレクトを使用してリダイレクトできます。 FIDO2リダイレクトが利用可能なシナリオでも、USBリダイレクトを使用してUSBベースのFIDO2キーをリダイレクトすることが可能です。この場合、FIDO2リダイレクトを無効にし、適切なUSBリダイレクトルールを構成する必要があります。 USBリダイレクトルールを使用してFIDO2キーを構成する方法の詳細については、USBリダイレクトデバイスルールのドキュメントを参照してください。
msedgewebview2.exeベースのアプリケーションの高度な構成
注:
レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になる可能性のある重大な問題を引き起こす可能性があります。Citrixは、レジストリエディターの誤った使用によって生じた問題が解決されることを保証できません。 レジストリエディターはご自身の責任においてご使用ください。編集する前に必ずレジストリをバックアップしてください。
msedgewebview2.exeベースのWebアプリケーションを使用している企業の場合、HDXセッション内でFIDO2リダイレクトが機能するように、VDAに以下のレジストリ値を追加する必要があります。
msedgewebview2.exe の完全なパスを、AllowProcesses という名前のレジストリ値に追記します。
- Key: HKLM\SOFTWARE\Citrix\WebAuthnAllowedProcesses
- レジストリ値の項目名: AllowProcesses
- Value type: REG_MULTISZ
- 値のデータ:
<add full path of the msedgewebview2.exe here >
64ビットアプリケーションの場合、以下の値を設定する必要があります。
-
Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook\msedgewebview2.exe
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
- Value name: FilePathName
- 値の型は「REG_SZ」です
-
Value data: C:\Program Files\Citrix\HDX\bin\CtxWebAuthnHook.dll
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
- 値の名前: Flag
- 値のデータ型: DWORD
- 値のデータ: 00000002
32ビットアプリケーションの場合、以下の値を設定する必要があります:
-
Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook\msedgewebview2.exe
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
- Value name: FilePathName
- 値のデータ型: REG_SZ
-
Value data: C:\Program Files\Citrix\HDX\bin\CtxWebAuthnHook.dll
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
- 値の名前: Flag
- 値のタイプ: DWORD
- 値のデータ: 00000002
msedgewebview2.exeベースのアプリケーションでFIDO2リダイレクトを有効にするには、レジストリ値を設定した後、VDAを再起動してください。