認証

スマートカード

ChromeOS向けCitrix Workspaceアプリは、StoreFrontでUSBスマートカードリーダーをサポートしています。スマートカードは、以下の目的で利用できます：

• Citrix Workspaceアプリへのスマートカードによるサインイン認証。
• スマートカード対応の公開アプリを使った、ローカルのスマートカードリーダーへのアクセス。
• 文書や電子メールに署名するためのスマートカード。たとえば、ICAセッションで起動されるMicrosoft WordとOutlook。

サポートされているスマートカード（USBスマートカードリーダー付き）には、次のものがあります：

• Personal Identity Verification（PIV）
• Common Access Card（CAC）

前提条件

• StoreFrontバージョン3.6以降
• XenDesktop 7.6以降
• XenApp 6.5以降
• Citrix Virtual Apps and Desktops 1808以降
• Citrix Workspaceアプリ1808以降

重要：

• StoreFront 3.5以前でのスマートカード認証でスマートカード認証を有効にするには、カスタムスクリプトが必要です。Citrixサポートに連絡してください。

• サポートされているバージョンの最新情報にアクセスするには、Citrix WorkspaceアプリおよびCitrix Virtual Apps and Desktopsのライフサイクルマイルストーンを参照してください。

デバイス構成の前提条件

• Google Smart Card Connectorは、デバイスのUSBスマートカードリーダーと通信するアプリです。コネクタアプリは、Personal Computer Smart Card（PCSC）Lite APIをCitrix Workspaceアプリを含む他のアプリに公開します。

• 証明書プロバイダーは、ベンダーによって作成されたSmart Card Connectorと通信するミドルウェアアプリです。ミドルウェアアプリは、スマートカードリーダーにアクセスし、証明書を読み取り、ChromeOSにスマートカード証明書を提供します。

  ミドルウェアアプリは、PINの入力を使用した署名機能も実装しています。 たとえば、CACKeyです。

  詳しくは、「ChromeOSでスマートカードを利用する」を参照してください。

• StoreFrontでスマートカード認証を構成すると、Citrix WorkspaceアプリはChromeOSにスマートカードでのクライアント証明書を提供するように要求します。ChromeOSは、プロバイダーから受け取った証明書を提示します。PINの入力画面は認証を示します。

  Citrix Workspaceアプリには、スマートカード認証で許可されているオペレーティングシステムの承認済み一覧があります。StoreFront 3.6以降では、ChromeOSも承認されています。StoreFrontの以前のバージョンでは、カスタムスクリプトを使用したChromeOSでのスマートカード認証を許可できます。カスタムスクリプトについては、Citrixサポートにお問い合わせください。

• StoreFrontを使用したスマートカード認証ワークフローは、Citrix Workspaceアプリでは制御していません。ただし、場合によっては、StoreFrontがブラウザーを閉じてCookieを消去するように要求することがあります。

  すべてのCookieを消去し、ストアURLを再度読み込むには、ChromeOS向けCitrix Workspaceアプリで再読み込みボタンをクリックします。

  また、ChromeOSデバイスからサインアウトすることで、Cookieをさらに消去することができます。

• アプリセッションまたはデスクトップセッションを起動しようとする場合、Citrix Workspaceアプリはスマートカードリダイレクトを使用しません。代わりに、PC/SC Lite APIのスマートカードコネクタアプリと通信します。

  Windowsサインインに必要なPIN入力画面はセッション内に表示されます。ここでは、証明書プロバイダーに出番はありません。Citrix Workspaceアプリは、ダブルホップやメールへの署名などのセッション中のアクティビティを管理します。

スマートカードの制限事項

• スマートカードをChromeOSデバイスから削除すると、スマートカード証明書はキャッシュされます。この動作はGoogle Chromeでの既知の問題です。ChromeOSデバイスを再起動してキャッシュをクリアします。
• ChromeOS向けCitrix Workspaceアプリが再パッケージ化された場合、管理者はGoogleからappIDの承認を受けてください。そうすることで、スマートカードコネクタアプリケーションがパススルーできることを確認します。
• 同時にサポートできるスマートカードリーダーは1つのみです。
• 仮想スマートカードと高速スマートカードはサポートされていません。
• スマートカードはCitrix Workspace（クラウド）ではサポートされていません。

ChromeOSデバイス上でスマートカードのサポートを構成するには

1. スマートカードコネクタアプリケーションをインストールします。ChromeOSデバイスでPersonal Computer Smart Card（PCSC）をサポートするには、スマートカードアプリケーションが必要です。このアプリケーションは、USBインターフェイスを使用して、スマートカードを読み取ります。このアプリケーションは、ChromeのWebサイトからインストールできます。

2. ミドルウェアアプリケーションをインストールします。ミドルウェアアプリケーションは、スマートカードや他のクライアント証明書と通信するインターフェイスとして必要です。たとえば、CharismathicsまたはCACKeyなどです：

   • Charismathicsスマートカード拡張機能またはCACKeyをインストールするには、ChromeのWebサイトを参照してください。

   • ミドルウェアアプリケーションおよびスマートカード認証について詳しくは、Googleサポートサイトを参照してください。

3. 以下を使用したスマートカード認証の構成：

   • Citrix Gateway
   • StoreFront管理コンソール

   詳しくは、Citrix Gatewayドキュメントの「スマートカード認証の構成」および「認証サービスの構成」を参照してください。

SAML認証

シングルサインオンを構成するには：

1. SAML認証のIDプロバイダー（IdP）が既に設定されていない場合、サードパーティのIdPをセットアップします。たとえば、ADFS 2.0などです。

   詳しくは、Knowledge CenterのCTX133919を参照してください。

2. SAML IDプロバイダーを使用してGoogle Appsでシングルサインオンをセットアップします。これによって、Google Enterpriseアカウントの代わりにGoogle Appsを使用して、サードパーティのIDを適用できるようになります。

   詳しくは、GoogleサポートのサードパーティのIDプロバイダーを使用した管理対象Googleアカウントへのシングルサインオンの設定を参照してください。

3. SAML IDプロバイダー経由でサインインするようにChromeデバイスを構成します。これによって、ユーザーはサードパーティのIDプロバイダーを使用してChromeデバイスにサインインできます。

   詳しくは、GoogleサポートのChrome搭載デバイスにSAMLシングルサインオンを設定するを参照してください。

4. SAML IDプロバイダー経由でサインインするようにCitrix Gatewayを構成します。これによって、ユーザーはサードパーティのIDプロバイダーを使用してCitrix Gatewayにサインインできます。

   詳しくは、「SAML認証の構成」を参照してください。

5. Citrix Virtual Apps and Desktopsでフェデレーション認証を構成して、動的に生成された証明書でCitrix Virtual Apps and Desktopsにサインインします。ユーザー名とパスワードの組み合わせでサインインせずに、SAMLサインインプロセス後に実行できます。

   詳しくは、「フェデレーション認証サービス」を参照してください。

   仮想アプリと仮想デスクトップへのSSOを可能にするために、フェデレーション認証サービス（FAS）を展開する必要があります。

   注：

   FASがない場合は、Active Directoryのユーザー名とパスワードの入力を求められます。詳しくは、「Citrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化」を参照してください。

6. Chromeデバイス上で、ChromeアプリのSAML SSO拡張機能をインストールして構成します。詳しくは、GoogleのWebサイトを参照してください。この拡張機能は、SAML Cookieをブラウザーから取得して、Citrix Workspaceに提供します。Citrix WorkspaceがSAML Cookieを取得できるようにするには、次のポリシーを構成する必要があります。

   ChromeOS向けCitrix Workspaceアプリを再パッケージする場合、appIdを正しく変更する必要があります。また、ドメインを組織のSAML IdPドメインに変更する必要もあります。

   {
       "whitelist" : {
           "Value" : [
               {
               "appId" : "haiffjcadagjlijoggckpgfnoeiflnem",
               "domain" : "saml.yourcompany.com"
               }
           ]
        }
   }
   <!--NeedCopy-->
   

7. SAMLサインイン用に構成されたCitrix Gatewayを使用するように、Citrix Workspaceを構成します。これによって、SAMLサインイン用に構成されたCitrix Gatewayを使用できるようになります。ChromeOSの構成について詳しくは、Knowledge CenterのCTX141844を参照してください。