認証

クライアント証明書認証

重要：

• StoreFrontを使用する場合、Citrix Workspaceアプリでは以下がサポートされます。
  • Citrix Access Gateway Enterprise Editionバージョン9.3
  • NetScaler Gatewayバージョン10.xからバージョン11.0まで
  • Citrix Gatewayバージョン11.1以降
• iOS向けCitrix Workspaceアプリでは、クライアント証明書による認証をサポートしています。
• クライアント証明書による認証は、Access Gateway Enterprise Edition 9.xおよび10.x以降でのみサポートされます。
• 2要素認証の種類は、CertとLDAPである必要があります。
• Citrix Workspaceアプリでは、クライアント証明書による認証をオプション（選択自由）として設定することもできます。
• この認証では、P12形式の証明書のみがサポートされます。

Citrix Gateway仮想サーバーにサインインするユーザーを、クライアント証明書の属性に基づいて認証することもできます。クライアント証明書による認証は、LDAPを使用した2要素認証でも使用できます。

管理者は、次のようにクライアント側の証明書の属性に基づいてエンドユーザーを認証できます：

• 仮想サーバーでクライアント認証が有効になっている。
• 仮想サーバーがクライアント証明書を要求している。
• Citrix Gateway上でルート証明書をその仮想サーバーにバインドする。

ユーザーはCitrix Gateway仮想サーバーにサインインし、認証された後、ユーザー名およびドメインの情報を証明書のSubjectAltName:OtherName:MicrosoftUniversalPrincipalNameフィールドから抽出できます。形式は、「username@domain」です。

ユーザーは、ユーザー名とドメインを問題なく抽出し、そのほかの必須情報（パスワードなど）を提供すると、認証が成功します。有効な証明書や資格情報が提供されなかったり、ユーザー名とドメインの抽出に失敗したりすると、認証に失敗します。

クライアント証明書に基づいて認証するには、既定の認証の種類としてクライアント証明書を指定します。また、「証明書アクション」を作成して、クライアントのSSL証明書に基づいた認証時の動作を定義することもできます。

XenAppファームを構成するには

Citrix Virtual AppsコンソールまたはWeb Interfaceコンソールでモバイルデバイス用のXenAppファームを作成します。コンソールは、インストールしたCitrix Virtual Appsのバージョンによって異なります。

Citrix Workspaceアプリは、XenAppファームを使用して、ユーザーがアクセス権を持つアプリケーションに関する情報を取得します。同じ情報が、デバイスで実行されているアプリと共有されます。この方法は、従来のSSLベースのCitrix Virtual Apps接続のために、Web Interfaceを使用して、Citrix Gatewayを構成する方法に似ています。

Citrix Workspaceアプリのために、モバイルデバイス用のXenAppファームを構成して、以下のようにCitrix Gatewayからの接続をサポートします：

1. XenAppファームで ［Manage secure client access］>［Edit secure client access］ の順に選択します。
2. ［Access Method］を ［Gateway Direct］ に変更します。
3. Citrix Gatewayアプライアンスの完全修飾ドメイン名（FQDN）を入力します。
4. Secure Ticket Authority（STA）の情報を入力します。

Citrix Gatewayアプライアンスを構成するには

クライアント証明書による認証を使用するには、Citrix GatewayでCertとLDAP認証ポリシーによる2要素認証を構成する必要があります。Citrix Gatewayアプライアンスを構成するには

1. Citrix Gatewayでセッションポリシーを作成し、Citrix WorkspaceアプリからのCitrix Virtual Apps接続を受け付けるように設定します。新しく作成したXenAppファームの場所を指定します。

   • Citrix Workspaceアプリからの接続であることを特定するセッションポリシーを作成します。セッションポリシーを作成したら、次の式を設定し、式の演算子として［Match All Expressions］を選択します：

     REQ.HTTP.HEADER User-Agent CONTAINS CitrixWorkspace

   • セッションポリシーのプロファイル設定で、［Security］ タブの ［Default Authorization］ を ［Allow］ に設定します。

     ［Published Applications］ タブで、これがグローバル設定でない（［Override Global］チェックボックスをオンにする）場合は ［ICA Proxy］ が ［ON］ であることを確認します。

     Web Interfaceのアドレスフィールドに、デバイスユーザーが使用するXenAppファームのconfig.xmlを含むURLを入力します。次に例を示します。

     • /XenAppServerName/Citrix/PNAgent/config.xml または
     • /XenAppServerName/CustomPath/config.xml。

   • このセッションポリシーを、仮想サーバーにバインドします。

   • CertとLDAP用の認証ポリシーを作成します。

   • これらの認証ポリシーを、仮想サーバーにバインドします。

   • TLSハンドシェイクでクライアント証明書を要求するように仮想サーバーを構成します。このためには、［Certificate］ で ［SSL Parameters］ を開き、［Client Authentication］ の ［Client Certificate］ で ［Mandatory］ を設定します。

   重要：

   Citrix Gatewayで使用するサーバー証明書が証明書チェーンの一部である場合（中間証明書など）は、その証明書をCitrix Gatewayにインストールしてください。証明書のインストールについては、Citrix Gatewayのドキュメントを参照してください。

モバイルデバイスを構成するには

Citrix Gatewayでクライアント証明書による認証を有効にすると、クライアント証明書の属性に基づいてユーザーが認証されます。認証後、証明書からユーザー名とドメインを抽出できます。ユーザーごとに特定のポリシーを適用できます。

1. Citrix Workspaceアプリで、［アカウント］ の［サーバー］ボックスに、一致するCitrix GatewayサーバーのFQDNを入力します。たとえば、「GatewayClientCertificateServer.organization.com」などです。Citrix Workspaceアプリにより、クライアント証明書が必要であることが自動的に検出されます。
2. ユーザーは、新しい証明書をインストールするか、インストール済みのものを一覧から選択できます。iOSのクライアント証明書認証では、Citrix Workspaceアプリのみから証明書をダウンロードしてインストールします。
3. 有効な証明書を選択すると、サインイン画面のユーザー名とドメインのフィールドに、証明書のユーザー名が事前に入力されます。エンドユーザーは、パスワードなどの他の詳細を入力できます。
4. クライアント証明書による認証をオプションとして設定した場合、ユーザーは証明書ページの［戻る］をクリックすることで証明書の選択をスキップすることができます。この場合、Citrix Workspaceアプリはそのまま接続を続行し、ユーザーにログオン画面を表示します。
5. ユーザーが初回サインインを完了すると、証明書を提示しなくてもアプリケーションを起動できるようになります。ユーザーのアカウントで使用された証明書はCitrix Workspaceアプリに格納され、次回以降のログオン時に自動的に使用されるようになります。

スマートカード

Citrix Workspaceアプリは、SITHSスマートカードのセッション中の接続のみをサポートしています。

FIPS Citrix Gatewayデバイスを使用している場合は、SSLの再ネゴシエーションを拒否するようにシステムを構成します。詳しくは、Knowledge Centerの記事CTX123680を参照してください。

サポートされる製品および構成は以下のとおりです：

• サポートされるスマートカードリーダー：
  • Precise Biometrics Tactivo for iPad Miniファームウェアバージョン3.8.0
  • Precise Biometrics Tactivo for iPad（第4世代）、Tactivo for iPad（第3世代）およびiPad 2ファームウェアバージョン3.8.0
  • BaiMobile® 301MP、および301MP-L Smart Card Reader
  • Thursby PKard USBリーダー
  • Feitian iR301 USBリーダー
• サポートされるVDAスマートカードミドルウェア
  • ActiveIdentity
• サポートされるスマートカード：
  • PIVカード
  • Common Access Card（CAC）
• サポートされる構成：
  • StoreFront 2.xおよびXenDesktop 7.x以降、またはXenApp 6.5以降と統合されたCitrix Gatewayでのスマートカード認証

Citrix Workspaceアプリでのアプリへのアクセスを構成するには

1. 新しいアカウントを作成するときにCitrix Workspaceアプリに自動的にアクセスするよう構成する場合、［アドレス］フィールドにストアのURLを入力します。例：

   • storefront.organization.com
   • netscalervserver.organization.com

2. スマートカードを使って認証している場合は、［スマートカードの使用］ オプションを選択します。

注：

ストアへのログオンは約1時間有効です。これを超過した場合、再ログオンするまでアプリケーション一覧を更新したりほかのアプリケーションを起動したりできなくなります。

RSA SecurID認証

Citrix Workspaceアプリは、Citrix Secure Web Gatewayの構成でRSA SecurID認証をサポートします。構成は、Web Interfaceを介して行われ、すべてのCitrix Gateway構成に適用されます。

iOS向けCitrix Workspaceアプリのソフトウェアトークン用のURLスキーム：Citrix Workspaceアプリで使用されるRSA SecurIDソフトウェアトークンにより、URLスキーム「com.citrix.securid」のみが登録されます。

iOSデバイスにCitrix WorkspaceアプリとRSA SecurIDアプリの両方をインストールしたエンドユーザーは、URLスキーム「com.citrix.securid」を選択してCitrix WorkspaceアプリにRSA SecurID Software Authenticator（ソフトウェアトークン）をインポートする必要があります。

RSA SecurIDソフトウェアトークンをインポートするには

Citrix WorkspaceアプリでRSAソフトウェアトークンを管理者として使用するには、エンドユーザーが以下に従っていることを確認してください：

• PIN長のポリシー
• PINの種類（数字のみおよび英数字）
• PIN再使用の制限

エンドユーザーがRSAサーバーに対して正常に認証された後、エンドユーザーはPINを1回だけ設定する必要があります。PINの検証後、StoreFrontサーバーでも認証されます。すべての検証後、Workspaceアプリは、利用可能な公開アプリケーションと公開デスクトップを表示します。

RSAソフトウェアトークンを使用するには

1. 組織から提供されたRSAソフトウェアトークンをインポートします。

2. SecurIDファイルが添付されたメールで、インポート先として ［Workspaceで開く］ を選択します。ソフトウェアトークンがインポートされたら、Citrix Workspaceアプリが自動的に開きます。

3. インポートを完了させるために組織によりパスワードが提供されている場合は、そのパスワードを入力して ［OK］ をクリックします。［OK］ をクリックした後、トークンが正常にインポートされたことを示すメッセージが表示されます。

4. インポートメッセージを閉じ、Citrix Workspaceアプリで ［アカウントの追加］ をタップします。

5. 組織から提供されたストアのURLを入力し、［次へ］ をクリックします。

6. ［ログオン］画面で、資格情報を入力します：ユーザー名、パスワード、ドメイン。組織によって別のデフォルトPINが指定されていない場合は、［PIN］に「0000」と入力しますPIN 0000はRSAのデフォルトですが、セキュリティポリシーに準拠させるため組織によって変更されていることがあります。

7. 左上の ［ログオン］ をクリックします。PINの作成を促すメッセージが表示されます。

8. 4～8文字のPINを入力し ［OK］ をクリックします。新しいPINを確認するメッセージが表示されます。
9. PINをもう一度入力し、［OK］ をクリックします。アプリやデスクトップにアクセスできるようになりました。

Next Tokencode

Citrix GatewayにRSA SecurID認証を設定すると、Citrix WorkspaceアプリでNext Tokencode機能がサポートされます。不正なパスワードを3回入力すると、Citrix Gateway Plug-inにエラーメッセージが表示されます。サインインするには、次のトークンを待ちます。ユーザーが不正なパスワードで何度もログオンしようとした場合に、そのユーザーのアカウントが無効になるようにRSAサーバーを設定できます。

派生資格情報

Citrix Workspaceアプリでは、Purebredによる派生資格情報がサポートされています。派生資格情報を使用できるストアに接続するときに、ユーザーは仮想スマートカードを使用してCitrix Workspaceアプリにログオンできます。この機能は、オンプレミス展開のみでサポートされます。

注：

この機能を使用するには、Citrix Virtual Apps and Desktops 7 1808以降が必要です。

Citrix Workspaceアプリで派生資格情報を有効にするには：

1. ［設定］>［詳細］>［派生資格情報］ に移動します。
2. ［派生資格情報を使用］ をタップします。

派生資格情報とともに使用する仮想スマートカードを作成するには：

1. ［設定］>［詳細］>［派生資格情報］ で、［新しい仮想スマートカードを追加］ をタップします。
2. 表示された仮想スマートカードの名前を編集します。
3. 数字のみ8桁のPINを入力し、確定します。
4. ［次へ］ をタップします。
5. ［認証証明書］で、［証明書のインポート］ をタップします。
6. ドキュメントピッカーが表示されます。［参照］ をタップします。
7. ［場所］で、［Purebred Key Chain］ を選択します。
8. 一覧から、適切な認証証明書を選択します。
9. ［キーのインポート］ をタップします。
10. 手順5～9を繰り返して、デジタル署名証明書と暗号化証明書をインポートします（必要な場合）。
11. ［保存］ をタップします。

証明書は、仮想スマートカードに最大3つまでインポートできます。仮想スマートカードが正しく動作するには、認証証明書が必要です。暗号化証明書とデジタル署名証明書は、VDAセッション内で使用するために追加することができます。

注：

HDXセッションに接続する場合は、作成された仮想スマートカードがセッションにリダイレクトされます。

既知の制限事項

• ユーザーは、有効なカードを一度に1つだけ保持することができます。
• 仮想スマートカードは、いったん作成すると編集することができません。削除してからカードを作成します。
• 無効なPINは、10回まで入力できます。10回目の試行後、仮想スマートカードは削除されます。
• 派生資格情報を選択すると、仮想スマートカードが物理スマートカードを上書きします。

nFactor認証

多要素（nFactor）認証のサポート

多要素認証は、アクセス権を付与するために複数のIDをユーザーに要求することで、アプリケーションのセキュリティを強化します。多要素認証により、管理者が認証手順および関連する資格情報コレクションフォームを構成できます。

ネイティブのCitrix Workspaceアプリは、既にStoreFrontに実装されているフォームによるログオンのサポートを構築することで、このプロトコルをサポートできます。Citrix GatewayおよびTraffic Manager仮想サーバーのWebログオンページでも、このプロトコルを使用します。

詳しくは、「SAML認証」および「nFactor認証」を参照してください。

制限事項：

• nFactorサポートを有効にすると、Touch IDやFace IDなどの生体認証を使用できなくなります。
• 証明書ベースの認証はサポートされていません。

nFactor高度認証ポリシーのサポート

Citrix GatewayでnFactor高度認証ポリシーを使用して構成する場合、Citrix Workspaceアプリで証明書ベースの認証がサポートされるようになりました。nFactor認証により、柔軟でアジャイルな多要素スキーマを構成できます。

user-agent文字列：

nFactor認証で使用されるuser-agent文字列に、デフォルトでCitrix Workspaceアプリの識別子が含まれるようになりました。

現在のuser-agent文字列の例：Mozilla/5.0 (iPhone; CPU iPhone OS 15_2 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 AuthManager/3.2.4.0

以下に置き換えられます。

新しいuser-agent文字列の例：Mozilla/5.0 (iPhone; CPU iPhone OS 15_2 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 AuthManager/3.2.4.0/CitrixReceiver/22.1.0 iOS/15.2 CitrixReceiver-iPhone X1Class CWACapable 302RedirectionCapable CFNetwork Darwin

この変更は、オンプレミス展開にのみ適用されます。

注：

バージョンまたはデバイスモデルの情報は、環境によって異なる場合があります。