認証

クライアント証明書認証

重要：

• StoreFrontを使用する場合、Citrix Workspaceアプリでは以下がサポートされます。
  • Citrix Access Gateway Enterprise Editionバージョン9.3
  • NetScaler Gatewayバージョン10.xからバージョン11.0まで
  • Citrix Gatewayバージョン11.1以降
• iOS向けCitrix Workspaceアプリでは、クライアント証明書による認証をサポートしています。
• クライアント証明書による認証は、Access Gateway Enterprise Edition 9.xおよび10.x以降でのみサポートされます。
• 2要素認証の種類は、CertとLDAPである必要があります。
• Citrix Workspaceアプリでは、クライアント証明書による認証をオプション（選択自由）として設定することもできます。
• この認証では、P12形式の証明書のみがサポートされます。

Citrix Gateway仮想サーバーにサインインするユーザーを、クライアント証明書の属性に基づいて認証することもできます。クライアント証明書による認証は、LDAPを使用した2要素認証でも使用できます。

管理者は、次のようにクライアント側の証明書の属性に基づいてエンドユーザーを認証できます：

• 仮想サーバーでクライアント認証が有効になっている。
• 仮想サーバーがクライアント証明書を要求している。
• Citrix Gateway上でルート証明書をその仮想サーバーにバインドする。

ユーザーはCitrix Gateway仮想サーバーにサインインし、認証された後、ユーザー名およびドメインの情報を証明書のSubjectAltName:OtherName:MicrosoftUniversalPrincipalNameフィールドから抽出できます。形式は、「username@domain」です。

ユーザーは、ユーザー名とドメインを問題なく抽出し、そのほかの必須情報（パスワードなど）を提供すると、認証が成功します。有効な証明書や資格情報が提供されなかったり、ユーザー名とドメインの抽出に失敗したりすると、認証に失敗します。

クライアント証明書に基づいて認証するには、既定の認証の種類としてクライアント証明書を指定します。また、「証明書アクション」を作成して、クライアントのSSL証明書に基づいた認証時の動作を定義することもできます。

XenAppファームを構成するには

Citrix Virtual AppsコンソールまたはWeb Interfaceコンソールでモバイルデバイス用のXenAppファームを作成します。コンソールは、インストールしたCitrix Virtual Appsのバージョンによって異なります。

Citrix Workspaceアプリは、XenAppファームを使用して、ユーザーがアクセス権を持つアプリケーションに関する情報を取得します。同じ情報が、デバイスで実行されているアプリと共有されます。この方法は、従来のSSLベースのCitrix Virtual Apps接続のために、Web Interfaceを使用して、Citrix Gatewayを構成する方法に似ています。

Citrix Workspaceアプリのために、モバイルデバイス用のXenAppファームを構成して、以下のようにCitrix Gatewayからの接続をサポートします：

1. XenAppファームで ［Manage secure client access］>［Edit secure client access］ の順に選択します。
2. ［Access Method］を ［Gateway Direct］ に変更します。
3. Citrix Gatewayアプライアンスの完全修飾ドメイン名（FQDN）を入力します。
4. Secure Ticket Authority（STA）の情報を入力します。

Citrix Gatewayアプライアンスを構成するには

クライアント証明書による認証を使用するには、Citrix GatewayでCertとLDAP認証ポリシーによる2要素認証を構成する必要があります。Citrix Gatewayアプライアンスを構成するには

1. Citrix Gatewayでセッションポリシーを作成し、Citrix WorkspaceアプリからのCitrix Virtual Apps接続を受け付けるように設定します。新しく作成したXenAppファームの場所を指定します。

   • Citrix Workspaceアプリからの接続であることを特定するセッションポリシーを作成します。セッションポリシーを作成したら、次の式を設定し、式の演算子として［Match All Expressions］を選択します：

     REQ.HTTP.HEADER User-Agent CONTAINS CitrixWorkspace

   • セッションポリシーのプロファイル設定で、［Security］ タブの ［Default Authorization］ を ［Allow］ に設定します。

     ［Published Applications］ タブで、これがグローバル設定でない（［Override Global］チェックボックスをオンにする）場合は ［ICA Proxy］ が ［ON］ であることを確認します。

     Web Interfaceのアドレスフィールドに、デバイスユーザーが使用するXenAppファームのconfig.xmlを含むURLを入力します。次に例を示します。

     • /XenAppServerName/Citrix/PNAgent/config.xml または
     • /XenAppServerName/CustomPath/config.xml。

   • このセッションポリシーを、仮想サーバーにバインドします。

   • CertとLDAP用の認証ポリシーを作成します。

   • これらの認証ポリシーを、仮想サーバーにバインドします。

   • TLSハンドシェイクでクライアント証明書を要求するように仮想サーバーを構成します。このためには、［Certificate］ で ［SSL Parameters］ を開き、［Client Authentication］ の ［Client Certificate］ で ［Mandatory］ を設定します。

   重要：

   Citrix Gatewayで使用するサーバー証明書が証明書チェーンの一部である場合（中間証明書など）は、その証明書をCitrix Gatewayにインストールしてください。証明書のインストールについては、Citrix Gatewayのドキュメントを参照してください。

モバイルデバイスを構成するには

Citrix Gatewayでクライアント証明書による認証を有効にすると、クライアント証明書の属性に基づいてユーザーが認証されます。認証後、証明書からユーザー名とドメインを抽出できます。ユーザーごとに特定のポリシーを適用できます。

1. Citrix Workspaceアプリで、［アカウント］ の［サーバー］ボックスに、一致するCitrix GatewayサーバーのFQDNを入力します。たとえば、「GatewayClientCertificateServer.organization.com」などです。Citrix Workspaceアプリにより、クライアント証明書が必要であることが自動的に検出されます。
2. ユーザーは、新しい証明書をインストールするか、インストール済みのものを一覧から選択できます。iOSのクライアント証明書認証では、Citrix Workspaceアプリのみから証明書をダウンロードしてインストールします。
3. 有効な証明書を選択すると、サインイン画面のユーザー名とドメインのフィールドに、証明書のユーザー名が事前に入力されます。エンドユーザーは、パスワードなどの他の詳細を入力できます。
4. クライアント証明書による認証をオプションとして設定した場合、ユーザーは証明書ページの［戻る］をクリックすることで証明書の選択をスキップすることができます。この場合、Citrix Workspaceアプリはそのまま接続を続行し、ユーザーにログオン画面を表示します。
5. ユーザーが初回サインインを完了すると、証明書を提示しなくてもアプリケーションを起動できるようになります。ユーザーのアカウントで使用された証明書はCitrix Workspaceアプリに格納され、次回以降のログオン時に自動的に使用されるようになります。

認証プロセスの書き換えポリシーの構成

iOSまたはiPadデバイスでは、オンプレミスのCitrix GatewayおよびStoreFront展開で高度な認証ポリシーが構成されている場合、管理者は認証プロセスに使用されるブラウザーを埋め込みブラウザーからシステムブラウザーに切り替えることができます。このためには、次のようにNetscalerコマンドラインを使用してNetScaler書き換えポリシーを構成します：

1. enable ns feature REWRITE
2. add rewrite action insert_auth_browser_type_hdr_act insert_http_header X-Auth-WebBrowser "\"System\""
3. add rewrite policy insert_auth_browser_type_hdr_pol "HTTP.REQ.URL.EQ(\"/cgi/authenticate\")" insert_auth_browser_type_hdr_act
4. bind vpn vserver <VPN-vserver-Name> -policy insert_auth_browser_type_hdr_pol -priority 10 -gotoPriorityExpression END -type AAA_RESPONSE

システムブラウザーに移行すると、次のような追加機能が提供されます：

• 証明書ベースの認証により操作性が向上。
• 認証プロセス中にデバイスのキーストアから既存のユーザー証明書を使用する機能。
• SITHS eIDなどのいくつかのサードパーティ認証システムをサポート。

管理者が上記の書き換えポリシーを構成していない場合、埋め込みブラウザーが認証のデフォルトブラウザーとして使用されます。

この表は、NetScaler GatewayおよびGlobal App Config Serviceでの構成に基づき、認証に使用されるブラウザーを示しています：

NetScaler Gateway	Global App Configuration Service	認証に使用されるブラウザー
システム	システム	システム
システム	埋め込み	システム
埋め込み	システム	システム
埋め込み	埋め込み	埋め込み
構成なし	システム	システム
構成なし	埋め込み	埋め込み

オンプレミスストアで証明書ベースの認証をサポート

エンドユーザーは、証明書ベースの認証を処理できるようになりました。証明書はデバイスのキーチェーンに保存されます。サインイン中に、Citrix Workspaceアプリはデバイス上の証明書の一覧を検出し、認証用の証明書を選択できます。

重要：

証明書を選択した後、その選択は次回のCitrix Workspaceアプリの起動まで保持されます。別の証明書を選択するには、iOSデバイスの設定から「Safariをリセット」するか、Citrix Workspaceアプリを再インストールします。

注：

この機能は、オンプレミス展開でサポートされます。

構成するには、以下を実行します：

1. Global App Configuration Store Settings APIに移動し、クラウドストアのURLを入力します。 例：https://discovery.cem.cloud.us/ads/root/url/<hash coded store URL>/product/workspace/os/ios。
2. API Exploration>SettingsController>postDiscoveryApiUsingPOSTに移動して、［POST］ をクリックします。
3. ［INVOKE API］ をクリックします。

4. ペイロードの詳細を入力してアップロードします。次のいずれかの値を選択します：

   • “Embedded”：WKWebViewを使用できます。このオプションは、デフォルトで設定されます。
   • “system”：Safari View Controllerを使用できます。

   例：

   "category": "Authentication",
   "userOverride": false,
   "settings": [
   { "name": "Web Browser to use for Authentication", "value": "\*Embedded\*/\*System\*" },
   <!--NeedCopy-->
   

   iOSまたはiPadデバイスでは、オンプレミスのCitrix GatewayおよびStoreFront展開で高度な認証ポリシーが構成されている場合、管理者は認証プロセスに使用されるブラウザーを埋め込みブラウザーからシステムブラウザーに切り替えることができます。詳しくは、「認証プロセスの書き換えポリシーの構成」を参照してください。

5. ［EXECUTE］ をクリックして、サービスをプッシュします。

スマートカード

Citrix Workspaceアプリは、SITHSスマートカードのセッション中の接続のみをサポートしています。

FIPS Citrix Gatewayデバイスを使用している場合は、SSLの再ネゴシエーションを拒否するようにシステムを構成します。詳しくは、Knowledge Centerの記事CTX123680を参照してください。

サポートされる製品および構成は以下のとおりです：

• サポートされるスマートカードリーダー：
  • Precise Biometrics Tactivo for iPad Miniファームウェアバージョン3.8.0
  • Precise Biometrics Tactivo for iPad（第4世代）、Tactivo for iPad（第3世代）およびiPad 2ファームウェアバージョン3.8.0
  • BaiMobile® 301MP、および301MP-L Smart Card Reader
  • Thursby PKard USBリーダー
  • Feitian iR301 USBリーダー
• サポートされるVDAスマートカードミドルウェア
  • ActiveIdentity
• サポートされるスマートカード：
  • PIVカード
  • Common Access Card（CAC）
• サポートされる構成：
  • StoreFront 2.xおよびXenDesktop 7.x以降、またはXenApp 6.5以降と統合されたCitrix Gatewayでのスマートカード認証

Citrix Workspaceアプリでのアプリへのアクセスを構成するには

1. 新しいアカウントを作成するときにCitrix Workspaceアプリに自動的にアクセスするよう構成する場合、［アドレス］フィールドにストアのURLを入力します。例：

   • storefront.organization.com
   • netscalervserver.organization.com

2. スマートカードを使って認証している場合は、［スマートカードの使用］ オプションを選択します。

注：

ストアへのログオンは約1時間有効です。これを超過した場合、再ログオンするまでアプリケーション一覧を更新したりほかのアプリケーションを起動したりできなくなります。

RSA SecurID認証

Citrix Workspaceアプリは、Citrix Secure Web Gatewayの構成でRSA SecurID認証をサポートします。構成は、Web Interfaceを介して行われ、すべてのCitrix Gateway構成に適用されます。

iOS向けCitrix Workspaceアプリのソフトウェアトークン用のURLスキーム：Citrix Workspaceアプリで使用されるRSA SecurIDソフトウェアトークンにより、URLスキーム「com.citrix.securid」のみが登録されます。

iOSデバイスにCitrix WorkspaceアプリとRSA SecurIDアプリの両方をインストールしたエンドユーザーは、URLスキーム「com.citrix.securid」を選択してCitrix WorkspaceアプリにRSA SecurID Software Authenticator（ソフトウェアトークン）をインポートする必要があります。

RSA SecurIDソフトウェアトークンをインポートするには

Citrix WorkspaceアプリでRSAソフトウェアトークンを管理者として使用するには、エンドユーザーが以下に従っていることを確認してください：

• PIN長のポリシー
• PINの種類（数字のみおよび英数字）
• PIN再使用の制限

エンドユーザーがRSAサーバーに対して正常に認証された後、エンドユーザーはPINを1回だけ設定する必要があります。PINの検証後、StoreFrontサーバーでも認証されます。すべての検証後、Workspaceアプリは、利用可能な公開アプリケーションと公開デスクトップを表示します。

RSAソフトウェアトークンを使用するには

1. 組織から提供されたRSAソフトウェアトークンをインポートします。

2. SecurIDファイルが添付されたメールで、インポート先として ［Workspaceで開く］ を選択します。ソフトウェアトークンがインポートされたら、Citrix Workspaceアプリが自動的に開きます。

3. インポートを完了させるために組織によりパスワードが提供されている場合は、そのパスワードを入力して ［OK］ をクリックします。［OK］ をクリックした後、トークンが正常にインポートされたことを示すメッセージが表示されます。

4. インポートメッセージを閉じ、Citrix Workspaceアプリで ［アカウントの追加］ をタップします。

5. 組織から提供されたストアのURLを入力し、［次へ］ をクリックします。

6. ［ログオン］画面で、資格情報を入力します：ユーザー名、パスワード、ドメイン。組織によって別のデフォルトPINが指定されていない場合は、［PIN］に「0000」と入力しますPIN 0000はRSAのデフォルトですが、セキュリティポリシーに準拠させるため組織によって変更されていることがあります。

7. 左上の ［ログオン］ をクリックします。PINの作成を促すメッセージが表示されます。

8. 4～8文字のPINを入力し ［OK］ をクリックします。新しいPINを確認するメッセージが表示されます。
9. PINをもう一度入力し、［OK］ をクリックします。アプリやデスクトップにアクセスできるようになりました。

Next Tokencode

Citrix GatewayにRSA SecurID認証を設定すると、Citrix WorkspaceアプリでNext Tokencode機能がサポートされます。不正なパスワードを3回入力すると、Citrix Gateway Plug-inにエラーメッセージが表示されます。サインインするには、次のトークンを待ちます。ユーザーが不正なパスワードで何度もログオンしようとした場合に、そのユーザーのアカウントが無効になるようにRSAサーバーを設定できます。

派生資格情報

Citrix Workspaceアプリでは、Purebredによる派生資格情報がサポートされています。派生資格情報を使用できるストアに接続するときに、ユーザーは仮想スマートカードを使用してCitrix Workspaceアプリにログオンできます。この機能は、オンプレミス展開のみでサポートされます。

注：

この機能を使用するには、Citrix Virtual Apps and Desktops 7 1808以降が必要です。

Citrix Workspaceアプリで派生資格情報を有効にするには：

1. ［設定］>［詳細］>［派生資格情報］ に移動します。
2. ［派生資格情報を使用］ をタップします。

派生資格情報とともに使用する仮想スマートカードを作成するには：

1. ［設定］>［詳細］>［派生資格情報］ で、［新しい仮想スマートカードを追加］ をタップします。
2. 表示された仮想スマートカードの名前を編集します。
3. 数字のみ8桁のPINを入力し、確定します。
4. ［次へ］ をタップします。
5. ［認証証明書］で、［証明書のインポート］ をタップします。
6. ドキュメントピッカーが表示されます。［参照］ をタップします。
7. ［場所］で、［Purebred Key Chain］ を選択します。
8. 一覧から、適切な認証証明書を選択します。
9. ［キーのインポート］ をタップします。
10. 手順5～9を繰り返して、デジタル署名証明書と暗号化証明書をインポートします（必要な場合）。
11. ［保存］ をタップします。

証明書は、仮想スマートカードに最大3つまでインポートできます。仮想スマートカードが正しく動作するには、認証証明書が必要です。暗号化証明書とデジタル署名証明書は、VDAセッション内で使用するために追加することができます。

注：

HDXセッションに接続する場合は、作成された仮想スマートカードがセッションにリダイレクトされます。

既知の制限事項

• ユーザーは、有効なカードを一度に1つだけ保持することができます。
• 仮想スマートカードは、いったん作成すると編集することができません。削除してからカードを作成します。
• 無効なPINは、10回まで入力できます。10回目の試行後、仮想スマートカードは削除されます。
• 派生資格情報を選択すると、仮想スマートカードが物理スマートカードを上書きします。

nFactor認証

多要素（nFactor）認証のサポート

多要素認証は、アクセス権を付与するために複数のIDをユーザーに要求することで、アプリケーションのセキュリティを強化します。多要素認証により、管理者が認証手順および関連する資格情報コレクションフォームを構成できます。

ネイティブのCitrix Workspaceアプリは、既にStoreFrontに実装されているフォームによるログオンのサポートを構築することで、このプロトコルをサポートできます。Citrix GatewayおよびTraffic Manager仮想サーバーのWebログオンページでも、このプロトコルを使用します。

詳しくは、「SAML認証」および「nFactor認証」を参照してください。

制限事項：

• nFactorサポートを有効にすると、Touch IDやFace IDなどの生体認証を使用できなくなります。

nFactor高度認証ポリシーのサポート

Citrix GatewayでnFactor高度認証ポリシーを使用して構成する場合、Citrix Workspaceアプリで証明書ベースの認証がサポートされるようになりました。nFactor認証により、柔軟でアジャイルな多要素スキーマを構成できます。

user-agent文字列：

iPhoneまたはiPadでCitrix Workspaceアプリに対して高度な（nFactor）認証を実行すると、認証プロセスは埋め込まれたWebViewにリダイレクトされます。 表示されるユーザーエージェント文字列は、OSバージョン、CWAビルドバージョン、デバイスモデル、およびAuthManagerバージョンに基づいて若干異なる場合があります。たとえば、iPhoneとiPadのユーザーエージェント文字列は、以下のように異なります。

iPhoneの場合：

Mozilla/5.0 (iPhone; CPU iPhone OS 16_2 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 CWA/23.5.0 iOS/16.2 X1Class CWACapable 302RedirectionCapable CFNetwork Darwin CWA-iPhone AuthManager/3.3.0.0

iPadの場合：

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 CWA/23.5.0 iOS/15.0 X1Class CWACapable 302RedirectionCapable CFNetwork Darwin CWA-iPad AuthManager/3.3.0.0

この機能は、現在プレビュー段階です。Podioリンクを使用するか、Citrixテクニカルサポートに連絡して、リクエストすることで有効にできます。ただし最終的には、プレビュー段階が終了した後にすべてのお客様にロールアウトされます。

注：

• バージョンまたはデバイスモデルの情報は、環境によって異なる場合があります。
• 認証中にiOS向けCitrix Workspaceアプリ固有のユーザーエージェントベースのポリシーを適用するには、次のキーワードを利用します：
  • iOS
  • CWA
  • CWA対応

FIDO2ベースの認証のサポート

注：

• この機能は公開プレビュー段階です。

iOS向けCitrix Workspaceアプリは、FIDO2ベースの認証方法を使用して、Citrix Virtual Apps and Desktopsセッション内でパスワードなしの認証をサポートするようになりました。これにより、ユーザーはFIDO2対応のYubicoセキュリティキーを使用して、Google ChromeやMicrosoft EdgeなどのブラウザーでWebAuthn対応のWebサイトにサインインできます。WebAuthn対応のWebサイトを開くだけで、パスワードなしの認証がトリガーされます。

Lightningポートベースのデバイスのみがサポートされています（USB-CまたはUSB 4ポートを備えたデバイスはサポートされていません）。パスワードなしの認証を使用したCitrix Workspaceアプリまたはデスクトップセッションへのサインインはサポートされていません。

この機能の前提条件について詳しくは、Citrix Virtual Apps and Desktopsドキュメントの 「FIDO2を使用したローカル認証と仮想認証」を参照してください。