認証

クライアント証明書認証

重要:

  • StoreFrontを使用すると、iOS向けCitrix WorkspaceアプリはCitrix Access Gateway Enterprise Edition 9.3以降およびNetScaler Gateway 11以前をサポートします。
  • クライアント証明書による認証は、iOS向けCitrix Workspaceアプリでサポートされます。
  • クライアント証明書による認証は、Access Gateway Enterprise Edition 9.xおよび10.x以降でのみサポートされます。
  • 2要素認証の種類は、CertとLDAPである必要があります。
  • iOS向けCitrix Workspaceアプリでは、クライアント証明書による認証をオプション(選択自由)として設定することもできます。
  • この認証では、P12形式の証明書のみがサポートされます。

Citrix Gateway仮想サーバーにログオンするユーザーを、クライアント証明書の属性に基づいて認証することもできます。クライアント証明書による認証は、LDAPを使用した2要素認証でも使用できます。

クライアント側の証明書の属性でユーザーを認証するには、仮想サーバー上のクライアント認証が有効になっており、クライアント証明書を要求するように構成されている必要があります。さらに、Citrix Gateway上でルート証明書をその仮想サーバーにバインドする必要があります。

Citrix Gateway仮想サーバーにログオンしたユーザーの認証後、そのユーザー名およびドメインの情報が証明書の特定フィールドから抽出されます。この情報は、証明書のSubjectAltName:OtherName:MicrosoftUniversalPrincipalNameフィールドにあります。その形式は、「username@domain」です。ユーザー名とドメインが問題なく抽出されたら、ユーザーはそのほかの必須情報(パスワードなど)を提供して、その後ユーザーが認証されます。有効な証明書や資格情報が提供されなかったり、ユーザー名とドメインの抽出に失敗したりすると、認証に失敗します。

クライアント証明書に基づいて認証するには、既定の認証の種類としてクライアント証明書を指定します。また、「証明書アクション」を作成して、クライアントのSSL証明書に基づいた認証時の動作を定義することもできます。

XenApp Servicesサイトを構成するには

XenApp Servicesサイトを作成していない場合は、インストールしたCitrix Virtual Appsのバージョンにより、Citrix Virtual Appsの管理コンソールまたはWeb Interface管理コンソールを使ってモバイルデバイス用のXenApp Servicesサイトを作成します。

iOS向けCitrix Workspaceアプリでは、そのユーザーがアクセスできるアプリケーションの情報をXenApp Servicesサイトから取得して、モバイルデバイス上で実行中のアプリに表示します。これは、Web Interfaceを使用して、従来のSSLベースのCitrix Virtual Apps接続のためにCitrix Gatewayを設定する方法に似ています。

iOS向けCitrix Workspaceアプリのために、モバイルデバイス用のXenApp ServicesサイトをCitrix Gateway経由の接続をサポートするように構成します。

  1. XenApp Servicesサイトで [Manage secure client access]>[Edit secure client access] の順に選択します。
  2. [Access Method]を[Gateway Direct]に変更します。
  3. Citrix Gatewayアプライアンスの完全修飾ドメイン名(FQDN)を入力します。
  4. Secure Ticket Authority(STA)の情報を入力します。

Citrix Gatewayアプライアンスを構成するには

クライアント証明書による認証を使用するには、Citrix GatewayでCertとLDAPによる2要素認証を構成する必要があります。

  1. Citrix Gatewayでセッションポリシーを作成し、iOS向けCitrix WorkspaceアプリからのCitrix Virtual Apps接続を受け付けるように設定し、新しく作成したXenApp Servicesサイトの場所を指定します。
    • iOS向けCitrix Workspaceアプリからの接続を識別するセッションポリシーを作成します。セッションポリシーを作成したら、次の式を設定し、式の演算子として[Match All Expressions]を選択します:

      REQ.HTTP.HEADER User-Agent CONTAINS CitrixWorkspace

    • セッションポリシーのプロファイル設定で、[Security]タブの[Default Authorization]を[Allow]に設定します。

      [Published Applications]タブで、これがグローバル設定でない([Override Global]チェックボックスをオンにする)場合は[ICA Proxy]が[ON]であることを確認します。

      Web Interfaceのアドレスとして、モバイルデバイスユーザー用に作成したXenApp ServicesサイトのURLを、「config.xml」を含めて入力します(//XenAppServerName/Citrix/PNAgent/config.xmlまたは/XenAppServerName/CustomPath/config.xmlなど)。

    • このセッションポリシーを、仮想サーバーにバインドします。

    • CertとLDAP用の認証ポリシーを作成します。

    • これらの認証ポリシーを、仮想サーバーにバインドします。

    • TLSハンドシェイク時にクライアント証明書を要求するように仮想サーバーを構成します。これを行うには、[Certificate]タブの[SSL Parameters]を開き、[Client Authentication]の[Client Certificate]で[Mandatory]を設定します。

    重要:

    Citrix Gatewayで使用するサーバー証明書が(中間証明書を伴う)証明書チェーンの一部である場合は、中間証明書も正しくCitrix Gatewayにインストールしてください。証明書のインストールについては、Citrix Gatewayのドキュメントを参照してください。

モバイルデバイスを構成するには

Citrix Gatewayでクライアント証明書による認証を有効にすると、クライアント証明書の属性に基づいてユーザーが認証されます。認証が問題なく完了すると、ユーザー名とドメインが証明書から抽出され、そのユーザーに対して指定されたポリシーが適用されます。

  1. iOS向けCitrix Workspaceアプリで、[アカウント]の[サーバー]ボックスに、Citrix GatewayサーバーのFQDNを「GatewayClientCertificateServer.organization.com」のように入力します。iOS向けCitrix Workspaceアプリにより、クライアント証明書が必要であることが自動的に検出されます。
  2. ユーザーは、新しい証明書をインストールするか、インストール済みのものを一覧から選択できます。iOSのクライアント証明書認証では、証明書のダウンロードおよびインストールをiOS向けCitrix Workspaceアプリのみを使用して行う必要があります。
  3. 有効な証明書を選択した後、ログオン画面にその証明書の情報に基づいてユーザー名とドメインが自動的に入力され、ユーザーはパスワードを含むそのほかの情報を自分で入力します。
  4. クライアント証明書による認証をオプションとして設定した場合、ユーザーは証明書ページの[戻る]をクリックすることで証明書の選択をスキップすることができます。この場合、iOS向けCitrix Workspaceアプリはそのまま接続を続行し、ユーザーにログオン画面を表示します。
  5. ユーザーが初回ログオンを完了すると、証明書を提示しなくてもアプリケーションを起動できるようになります。ユーザーのアカウントで使用された証明書はiOS向けCitrix Workspaceアプリに格納され、次回以降のログオン時に自動的に使用されるようになります。

スマートカード

iOS向けCitrix Workspaceアプリは、SITHSスマートカードのセッション中の接続のみをサポートしています。

FIPS Citrix Gatewayデバイスを使用している場合は、SSLの再ネゴシエーションを拒否するようにシステムを構成します。詳しくは、「How to configure the -denySSLReneg parameter」を参照してください。

サポートされる製品および構成は以下のとおりです:

  • サポートされるスマートカードリーダー:
    • Precise Biometrics Tactivo for iPad Miniファームウェアバージョン3.8.0
    • Precise Biometrics Tactivo for iPad(第4世代)、Tactivo for iPad(第3世代)およびiPad 2ファームウェアバージョン3.8.0
    • BaiMobile®301MPおよび301MP-Lスマートカードリーダー (VDAスマートカードミドルウェア対応)
    • ActivIdentity
  • サポートされるスマートカード:
    • PIVカード
    • Common Access Card(CAC)
  • サポートされる構成:
    • StoreFront 2.xおよびXenDesktop 7.x以降、またはXenApp 6.5以降と統合されたCitrix Gatewayでのスマートカード認証

RSA SecurID認証

iOS向けCitrix Workspaceアプリに対するRSA SecurID認証は、Secure Web Gateway構成(Web Interfaceを使用する環境のみ)と、すべてのCitrix Gateway構成でサポートされています。

ソフトウェアトークン用のURLスキーム:iOS向けCitrix Workspaceアプリで使用されるRSA SecurIDソフトウェアトークンにより、URLスキーム「com.citrix.securid」のみが登録されます。

iOSデバイスにiOS向けCitrix WorkspaceアプリとRSA SecurIDアプリの両方をインストールしたユーザーは、URLスキーム「com.citrix.securid」を選択してiOS向けCitrix WorkspaceアプリにRSA SecurID Software Authenticator(ソフトウェアトークン)をインポートする必要があります。

RSA SecurIDソフトトークンをインポートするには

RSAソフトトークンをiOS向けCitrix Workspaceアプリで使用するため、ユーザーはこの手順に従う必要があります。

PIN長のポリシー、PINの種類(数字のみ、英数字)、およびPIN再使用の制限は、RSA認証サーバーで指定されます。

RSAサーバーへの認証に成功した後は、これを一度指定するだけで済みます。ユーザーがPINを確認した後にStoreFrontサーバーでも認証が実行されて、使用可能な公開アプリケーションやデスクトップが表示されます。

RSAソフトトークンを使用するには

  1. 組織から提供されたRSAソフトトークンをインポートします。

  2. SecurIDファイルが添付されたメールで、インポート先として [Workspaceで開く] を選択します。ソフトトークンがインポートされたら、iOS向けCitrix Workspaceアプリが自動的に開きます。

  3. インポートを完了させるために組織によりパスワードが提供されている場合は、そのパスワードを入力して [OK] をクリックします。[OK] をクリックした後、トークンが正常にインポートされたことを示すメッセージが表示されます。

  4. インポートメッセージを閉じ、iOS向けCitrix Workspaceアプリで [アカウントの追加] をクリックします。

  5. 組織から提供されたストアのURLを入力し、[次へ] をクリックします。

  6. [ログオン]画面で、資格情報を入力します:ユーザー名、パスワード、ドメイン。組織によって別のデフォルトPINが指定されていない場合は、[PIN]に「0000」と入力します(PIN 0000はRSAのデフォルトですが、セキュリティポリシーに準拠させるため組織によって変更されていることがあります)。

  7. 左上の [ログオン] をクリックします。[ログオン] をクリックした後に、新しいPINの作成を求められます。

  8. 新しいPINを4~8文字で入力し [OK] をクリックします。

  9. 新しいPINの確認入力を求められます。PINをもう一度入力して [OK] をクリックします。[OK]をクリックした後、アプリやデスクトップにアクセスできるようになります。

Next Tokencode

Citrix GatewayのRSA SecurID認証を設定すると、iOS向けCitrix WorkspaceアプリでNext Tokencodeがサポートされます。このモードを有効にすると、ユーザーが不正なパスワードを3回(デフォルト設定)入力したときに、Citrix Gateway Plug-inによりメッセージが表示され、次のトークンが表示されるまで待機すればログオンできるようになります。ユーザーが不正なパスワードで何度もログオンしようとした場合に、そのユーザーのアカウントが無効になるようにRSAサーバーを設定できます。

派生資格情報

iOS向けCitrix Workspaceアプリでは、Purebredによる派生資格情報がサポートされています。派生資格情報を使用できるストアに接続するときに、ユーザーは仮想スマートカードを使用してiOS向けCitrix Workspaceアプリにログオンできます。この機能は、オンプレミス展開のみでサポートされます。

注:

この機能を使用するには、Citrix Virtual Apps and Desktops 7 1808以降が必要です。

iOS向けCitrix Workspaceアプリで派生資格情報を有効にするには:

  1. [設定]>[詳細]>[派生資格情報] に移動します。
  2. [派生資格情報を使用] をタップします。

派生資格情報で使用する仮想スマートカードを作成するには:

  1. [設定]>[詳細]>[派生資格情報] で、[新しい仮想スマートカードを追加] をタップします。
  2. 表示された仮想スマートカードの名前を編集します。
  3. 数字のみ8桁のPINを入力し、確定します。
  4. [次へ] をタップします。
  5. [認証証明書]で、[証明書のインポート] をタップします。
  6. ドキュメントピッカーが表示されます。[参照] をタップします。
  7. [場所]で、[Purebred Key Chain] を選択します。
  8. 一覧から、インポートする認証証明書を選択します。
  9. [キーのインポート] をタップします。
  10. 手順5~9を繰り返して、デジタル署名証明書と暗号化証明書をインポートします(必要な場合)。
  11. [保存] をタップします。

証明書は、仮想スマートカードに最大3つまでインポートできます。仮想スマートカードが正しく動作するには、認証証明書が必要です。暗号化証明書とデジタル署名証明書は、VDAセッション内で使用するために追加することができます。

注:

HDXセッションに接続する場合は、作成された仮想スマートカードがセッションにリダイレクトされます。

既知の制限事項

  • ユーザーは、有効なカードを一度に1つだけ保持することができます。
  • 仮想スマートカードは、いったん作成すると編集することができません。仮想スマートカードに変更を加えるには、ユーザーはカードを削除し、新しいカードを作成する必要があります。
  • 無効なPINは、10回まで入力できます。10回目の試行後、仮想スマートカードは削除されます。
  • 派生資格情報を選択すると、セッションでスマートカードが必要な場合に、以前に作成した仮想スマートカードが物理スマートカードよりも優先されます。