認証

クライアント証明書認証

重要：

• StoreFrontを使用する場合、Citrix Workspaceアプリでは以下がサポートされます。
  • Citrix Access Gateway Enterprise Editionバージョン9.3
  • NetScaler Gatewayバージョン10.xからバージョン11.0まで
  • Citrix Gatewayバージョン11.1以降
• iOS向けCitrix Workspaceアプリでは、クライアント証明書による認証をサポートしています。
• クライアント証明書による認証は、Access Gateway Enterprise Edition 9.xおよび10.x以降でのみサポートされます。
• 2要素認証の種類は、CertとLDAPである必要があります。
• Citrix Workspaceアプリでは、クライアント証明書による認証をオプション（選択自由）として設定することもできます。
• この認証では、P12形式の証明書のみがサポートされます。

Citrix Gateway仮想サーバーにサインインするユーザーを、クライアント証明書の属性に基づいて認証することもできます。クライアント証明書による認証は、LDAPを使用した2要素認証でも使用できます。

管理者は、次のようにクライアント側の証明書の属性に基づいてエンドユーザーを認証できます：

• 仮想サーバーでクライアント認証が有効になっている。
• 仮想サーバーがクライアント証明書を要求している。
• Citrix Gateway上でルート証明書をその仮想サーバーにバインドする。

ユーザーはCitrix Gateway仮想サーバーにサインインし、認証された後、ユーザー名およびドメインの情報を証明書のSubjectAltName:OtherName:MicrosoftUniversalPrincipalNameフィールドから抽出できます。username@domainの形式です。

ユーザーがユーザー名とドメインを抽出し、そのほかの必須情報（パスワードなど）を提供すると、認証が完了します。有効な証明書や資格情報が提供されなかったり、ユーザー名とドメインの抽出に失敗したりすると、認証に失敗します。

クライアント証明書に基づいて認証するには、既定の認証の種類としてクライアント証明書を指定します。また、「証明書アクション」を作成して、クライアントのSSL証明書に基づいた認証時の動作を定義することもできます。

XenAppファームを構成するには

Citrix Virtual AppsコンソールまたはWeb Interfaceコンソールでモバイルデバイス用のXenAppファームを作成します。コンソールは、インストールしたCitrix Virtual Appsのバージョンによって異なります。

Citrix Workspaceアプリは、XenAppファームを使用して、ユーザーがアクセス権を持つアプリケーションに関する情報を取得します。同じ情報が、デバイスで実行されているアプリと共有されます。この方法は、従来のSSLベースのCitrix Virtual Apps接続のために、Web Interfaceを使用して、Citrix Gatewayを構成する方法に似ています。

Citrix Workspaceアプリのために、モバイルデバイス用のXenAppファームを構成して、以下のようにCitrix Gatewayからの接続をサポートします：

1. XenAppファームで ［Manage secure client access］>［Edit secure client access］ の順に選択します。
2. ［Access Method］を ［Gateway Direct］ に変更します。
3. Citrix Gatewayアプライアンスの完全修飾ドメイン名（FQDN）を入力します。
4. Secure Ticket Authority（STA）の情報を入力します。

Citrix Gatewayアプライアンスを構成するには

クライアント証明書による認証を使用するには、Citrix GatewayでCertとLDAP認証ポリシーによる2要素認証を構成する必要があります。Citrix Gatewayアプライアンスを構成するには

1. Citrix Gatewayでセッションポリシーを作成し、Citrix WorkspaceアプリからのCitrix Virtual Apps接続を受け付けるように設定します。新しく作成したXenAppファームの場所を指定します。

   • Citrix Workspaceアプリからの接続であることを特定するセッションポリシーを作成します。セッションポリシーを作成したら、次の式を設定し、式の演算子として［Match All Expressions］を選択します：

     REQ.HTTP.HEADER User-Agent CONTAINS CitrixWorkspace

   • セッションポリシーのプロファイル設定で、［Security］ タブの ［Default Authorization］ を ［Allow］ に設定します。

     ［Published Applications］ タブで、これがグローバル設定でない（［Override Global］チェックボックスをオンにする）場合は ［ICA Proxy］ が ［ON］ であることを確認します。

     Web Interfaceのアドレスフィールドに、デバイスユーザーが使用するXenAppファームのconfig.xmlを含むURLを入力します。次に例を示します：

     • /XenAppServerName/Citrix/PNAgent/config.xml または
     • /XenAppServerName/CustomPath/config.xml。

   • このセッションポリシーを、仮想サーバーにバインドします。

   • CertとLDAP用の認証ポリシーを作成します。

   • これらの認証ポリシーを、仮想サーバーにバインドします。

   • TLSハンドシェイクでクライアント証明書を要求するように仮想サーバーを構成します。このためには、［Certificate］ で ［SSL Parameters］ を開き、［Client Authentication］ の ［Client Certificate］ で ［Mandatory］ を設定します。

   重要：

   Citrix Gatewayで使用されるサーバー証明書が証明書チェーンの一部である場合。たとえば、中間証明書の場合は、Citrix Gatewayに証明書をインストールします。証明書のインストールについては、Citrix Gatewayのドキュメントを参照してください。

モバイルデバイスを構成するには

Citrix Gatewayでクライアント証明書による認証を有効にすると、クライアント証明書の属性に基づいてユーザーが認証されます。認証後、証明書からユーザー名とドメインを抽出できます。ユーザーごとに特定のポリシーを適用できます。

1. Citrix Workspaceアプリで、［アカウント］ の［サーバー］ボックスに、一致するCitrix GatewayサーバーのFQDNを入力します。たとえば、「GatewayClientCertificateServer.organization.com」などです。Citrix Workspaceアプリにより、クライアント証明書が必要であることが自動的に検出されます。
2. ユーザーは、新しい証明書をインストールするか、インストール済みのものを一覧から選択できます。iOSのクライアント証明書認証では、Citrix Workspaceアプリのみから証明書をダウンロードしてインストールします。
3. 有効な証明書を選択すると、サインイン画面のユーザー名とドメインのフィールドに、証明書のユーザー名が事前に入力されます。エンドユーザーは、パスワードなどの他の詳細を入力できます。
4. クライアント証明書による認証をオプションとして設定した場合、ユーザーは証明書ページの［戻る］をクリックすることで証明書の選択をスキップすることができます。この場合、Citrix Workspaceアプリはそのまま接続を続行し、ユーザーにログオン画面を表示します。
5. ユーザーが初回サインインを完了すると、証明書を提示しなくてもアプリケーションを起動できるようになります。ユーザーのアカウントで使用された証明書はCitrix Workspaceアプリに格納され、次回以降のログオン時に自動的に使用されるようになります。

認証プロセスの書き換えポリシーの構成

管理者は、認証プロセスに使用するブラウザーを埋め込みブラウザーからシステムブラウザーに切り替えることができます。これは、高度な認証ポリシーがオンプレミスのCitrix GatewayおよびStoreFront展開で構成されている場合にのみ可能です。高度な認証ポリシーを構成するには、次のようにNetScalerコマンドラインを使用してNetScaler書き換えポリシーを構成します：

1. enable ns feature REWRITE
2. add rewrite action insert_auth_browser_type_hdr_act insert_http_header X-Auth-WebBrowser "\"System\""
3. add rewrite policy insert_auth_browser_type_hdr_pol "HTTP.REQ.URL.EQ(\"/cgi/authenticate\")" insert_auth_browser_type_hdr_act
4. bind vpn vserver <VPN-vserver-Name> -policy insert_auth_browser_type_hdr_pol -priority 10 -gotoPriorityExpression END -type AAA_RESPONSE

システムブラウザーに移行すると、次のような追加機能が提供されます：

• 証明書ベースの認証のエクスペリエンスが向上。
• 認証プロセス中にデバイスのキーストアから既存のユーザー証明書を使用する機能。
• SITHS eIDなどのいくつかのサードパーティ認証システムをサポート。

管理者が上記の書き換えポリシーを構成していない場合、埋め込みブラウザーが認証のデフォルトブラウザーとして使用されます。

この表は、NetScaler GatewayおよびGlobal App Config Serviceでの構成に基づき、認証に使用されるブラウザーを示しています：

オンプレミスストアで証明書ベースの認証をサポート

エンドユーザーは、証明書ベースの認証を処理できるようになりました。証明書はデバイスのキーチェーンに保存されます。サインイン中に、Citrix Workspaceアプリはデバイス上の証明書の一覧を検出し、認証用の証明書を選択できます。

重要：

証明書を選択した後、その選択は次回のCitrix Workspaceアプリの起動まで保持されます。別の証明書を選択するには、iOSデバイスの設定から「Safariをリセット」するか、Citrix Workspaceアプリを再インストールします。

注：

この機能は、オンプレミス展開でサポートされます。

構成するには、以下を実行します：

1. Global App Configuration Store Settings APIに移動し、クラウドストアのURLを入力します。 例：https://discovery.cem.cloud.us/ads/root/url/<hash coded store URL>/product/workspace/os/ios。
2. API Exploration>SettingsController>postDiscoveryApiUsingPOSTに移動して、［POST］ をクリックします。
3. ［INVOKE API］ をクリックします。

4. ペイロードの詳細を入力してアップロードします。次のいずれかの値を選択します：

   • “Embedded”：WKWebViewを使用できます。このオプションは、デフォルトで設定されます。
   • “system”：Safari View Controllerを使用できます。

   例：

   "category": "Authentication",
   "userOverride": false,
   "settings": [
   { "name": "Web Browser to use for Authentication", "value": "*Embedded*/*System*" },
   <!--NeedCopy-->
   

   iOSまたはiPadデバイスでは、管理者は認証プロセスに使用するブラウザーを切り替えることができます。オンプレミスのCitrix GatewayおよびStoreFront展開で高度な認証ポリシーが構成されている場合、埋め込みブラウザーからシステムブラウザーに切り替えることができます。詳しくは、「認証プロセスの書き換えポリシーの構成」を参照してください。

5. ［EXECUTE］ をクリックして、サービスをプッシュします。

スマートカード

Citrix Workspaceアプリは、SITHSスマートカードのセッション中の接続のみをサポートしています。

FIPS Citrix Gatewayデバイスを使用している場合は、SSLの再ネゴシエーションを拒否するようにシステムを構成します。詳しくは、Knowledge Centerの記事CTX123680を参照してください。

サポートされる製品および構成は以下のとおりです：

• サポートされるスマートカードリーダー：
  • Precise Biometrics Tactivo for iPad Miniファームウェアバージョン3.8.0
  • Precise Biometrics Tactivo for iPad（第4世代）、Tactivo for iPad（第3世代）およびiPad 2ファームウェアバージョン3.8.0
  • BaiMobile® 301MP、および301MP-L Smart Card Reader
  • Thursby PKard USBリーダー
  • Feitian iR301 USBリーダー
  • Type-C CCID準拠リーダー
  • twocanoesスマートカードユーティリティリーダー
• サポートされるVDAスマートカードミドルウェア
  • ActiveIdentity
• サポートされるスマートカード：
  • PIVカード
  • Common Access Card（CAC）
• サポートされる構成：
  • StoreFront 2.xおよびXenDesktop 7.x以降、またはXenApp 6.5以降と統合されたCitrix Gatewayでのスマートカード認証

Citrix Workspaceアプリでのアプリへのアクセスを構成するには

1. 新しいアカウントを作成するときにCitrix Workspaceアプリに自動的にアクセスするよう構成する場合、［アドレス］フィールドにストアのURLを入力します。例：

   • StoreFront.organization.com
   • netscalervserver.organization.com

2. スマートカードを使って認証している場合は、［スマートカードの使用］ オプションを選択します。

注：

ストアへのログオンは約1時間有効です。これを超過した場合、再ログオンするまでアプリケーション一覧を更新したりほかのアプリケーションを起動したりできなくなります。

twocanoesスマートカードユーティリティリーダーのサポート

24.3.5バージョン以降、iOS向けCitrix Workspaceアプリはtwocanoesスマートカード ユーティリティリーダーをサポートします。サポートされているスマートカードリーダーについて詳しくは、「スマートカード」を参照してください。

注：

twocanoesスマートカードユーティリティUSB-Cリーダーは、Citrix Workspaceアプリのログインと仮想セッションのログインの両方でサポートされています。ただし、twocanoesスマートカードユーティリティBluetooth USB-Cリーダーは、Citrix Workspaceアプリのログインでのみサポートされ、仮想セッションのログインではサポートされていません。

twocanoesスマートカードユーティリティBluetoothリーダーを構成するには、次の手順を実行します：

1. App StoreからSmart Card Utilityアプリをダウンロードしてインストールします。詳しくは、twocanoesのナレッジベースで「Smart Card Utility Bluetooth Reader Quick Start」を参照してください。
2. デバイスのBluetoothがオンになっていて、スマートカードがリーダーに挿入されていることを確認してください。

3. Smart Card Utilityアプリを開きます。

   

4. Bluetoothリーダーを使用している場合は、［Add Bluetooth or Other Reader…］ をタップし、接続するリーダーを選択します。

   注：

   リーダーでPINのペアリングが有効になっている場合は、プロンプトが表示されたらPINを入力する必要があります。PINはリーダーの背面にあります。

   

5. 必要な証明書の ［Insert］ をタップして、キーチェーンのインターフェイスにコピーします。

   注：

   Smart Card Utilityアプリは、トークンの形式でキーチェーンのインターフェイスに証明書を書き込むために、Appleが提供するcryptokit拡張機能を実装しています。詳しくは、Apple Developerドキュメントの「スマートカード認証の構成」を参照してください。

   

6. リーダーがデバイスに接続されたままであることを確認してください。

7. Citrix Workspaceアプリを開き、スマートカード認証が構成されているストアのURLを入力します。

   

8. ［Certificates］画面で必要な証明書を選択し、IT管理者から提供されたスマートカードのPINを入力してサインインします。

   

9. 複数のストアにアクセスできる場合は、必要なストアを選択し、［Continue］ をタップします。

   

10. 認証が成功した後、Citrix Workspaceアプリにサインインします。

YubiKeyによるスマートカード認証のサポート

YubiKeyを使用してスマートカード認証を実行できるようになりました。この機能は、Citrix Workspaceアプリと、VDAセッションの仮想セッションおよび公開アプリに、単一デバイスの認証エクスペリエンスを提供します。スマートカードリーダーやその他の外部認証システムを接続する必要がなくなります。YubiKeyはOTP、FIDOなどの多様なプロトコルをサポートしており、エンドユーザーのエクスペリエンスを簡素化します。

Citrix Workspaceアプリにサインインするために、エンドユーザーはiPhoneまたはiPadにYubiKeyを挿入し、スマートカードの切り替えをオンにして、ストアURLを指定する必要があります。

注：

この機能は、StoreFront展開上のCitrix Workspaceアプリへの直接接続のみをサポートし、Citrix Gateway経由ではサポートしません。Citrix Gateway経由のスマートカード認証に対するYubiKeyのサポートは、将来のリリースで利用可能になる予定です。 iOS向けCitrix WorkspaceアプリはYubiKey 5シリーズのみをサポートします。YubiKeyについて詳しくは、「YubiKey 5シリーズ」を参照してください。

スマートカード認証での複数の証明書のサポート

以前は、iOS向けCitrix Workspaceアプリでは、接続されたスマートカードの最初のスロットで利用可能な証明書が表示されていました。

バージョン24.1.0以降、iOS向けCitrix Workspaceアプリには、スマートカードで利用可能なすべての証明書が表示されます。この機能を使用すると、スマートカード認証による認証中に必要な証明書を選択できます。

RSA SecurID認証

Citrix Workspaceアプリは、Citrix Secure Web Gatewayの構成でRSA SecurID認証をサポートします。構成は、Web Interfaceを介して行われ、すべてのCitrix Gateway構成に適用されます。

iOS向けCitrix Workspaceアプリのソフトウェアトークン用のURLスキーム：Citrix Workspaceアプリで使用されるRSA SecurIDソフトウェアトークンにより、URLスキーム「com.citrix.securid」のみが登録されます。

iOSデバイスにCitrix WorkspaceアプリとRSA SecurIDアプリの両方をインストールしたエンドユーザーは、URLスキーム「com.citrix.securid」を選択してCitrix WorkspaceアプリにRSA SecurID Software Authenticator（ソフトウェアトークン）をインポートする必要があります。

RSA SecurIDソフトウェアトークンをインポートするには

Citrix WorkspaceアプリでRSAソフトウェアトークンを管理者として使用するには、エンドユーザーが以下に従っていることを確認してください：

• PIN長のポリシー
• PINの種類（数字のみおよび英数字）
• PIN再使用の制限

エンドユーザーがRSAサーバーに対して正常に認証された後、エンドユーザーはPINを1回だけ設定する必要があります。PINの検証後、StoreFrontサーバーでも認証されます。すべての検証後、Workspaceアプリは、利用可能な公開アプリケーションと公開デスクトップを表示します。

RSAソフトウェアトークンを使用するには

1. 組織から提供されたRSAソフトウェアトークンをインポートします。

2. SecurIDファイルが添付されたメールで、インポート先として ［Workspaceで開く］ を選択します。ソフトウェアトークンがインポートされたら、Citrix Workspaceアプリが自動的に開きます。

3. インポートを完了させるために組織によりパスワードが提供されている場合は、そのパスワードを入力して ［OK］ をクリックします。［OK］ をクリックした後、トークンが正常にインポートされたことを示すメッセージが表示されます。

4. インポートメッセージを閉じ、Citrix Workspaceアプリで ［アカウントの追加］ をタップします。

5. 組織から提供されたストアのURLを入力し、［次へ］ をクリックします。

6. ［ログオン］画面で、資格情報を入力します：ユーザー名、パスワード、ドメイン。組織によって別のデフォルトPINが指定されていない場合は、［PIN］に「0000」と入力しますPIN 0000はRSAのデフォルトですが、セキュリティポリシーに準拠させるため組織によって変更されていることがあります。

7. 左上の ［ログオン］ をクリックします。PINの作成を促すメッセージが表示されます。

8. 4～8文字のPINを入力し ［OK］ をクリックします。新しいPINを確認するメッセージが表示されます。
9. PINをもう一度入力し、［OK］ をクリックします。アプリやデスクトップにアクセスできるようになりました。

Next Tokencode

Citrix GatewayにRSA SecurID認証を設定すると、Citrix WorkspaceアプリでNext Tokencode機能がサポートされます。不正なパスワードを3回入力すると、Citrix Gateway Plug-inにエラーメッセージが表示されます。サインインするには、次のトークンを待ちます。ユーザーが不正なパスワードで何度もログオンしようとした場合に、そのユーザーのアカウントが無効になるようにRSAサーバーを設定できます。

派生資格情報

Citrix Workspaceアプリでは、Purebredによる派生資格情報がサポートされています。派生資格情報を使用できるストアに接続するときに、ユーザーは仮想スマートカードを使用してCitrix Workspaceアプリにログオンできます。この機能は、オンプレミス展開のみでサポートされます。

注：

この機能を使用するには、Citrix Virtual Apps and Desktops 7 1808以降が必要です。

Citrix Workspaceアプリで派生資格情報を有効にするには：

1. ［設定］>［詳細］>［派生資格情報］ に移動します。
2. ［派生資格情報を使用］ をタップします。

派生資格情報とともに使用する仮想スマートカードを作成するには：

1. ［設定］>［詳細］>［派生資格情報］ で、［新しい仮想スマートカードを追加］ をタップします。
2. 表示された仮想スマートカードの名前を編集します。
3. 数字のみ8桁のPINを入力し、確定します。
4. ［次へ］ をタップします。
5. ［認証証明書］で、［証明書のインポート］ をタップします。
6. ドキュメントピッカーが表示されます。［参照］ をタップします。
7. ［場所］で、［Purebred Key Chain］ を選択します。
8. 一覧から、適切な認証証明書を選択します。
9. ［キーのインポート］ をタップします。
10. 手順5～9を繰り返して、デジタル署名証明書と暗号化証明書をインポートします（必要な場合）。
11. ［保存］ をタップします。

証明書は、仮想スマートカードに最大3つまでインポートできます。仮想スマートカードが正しく動作するには、認証証明書が必要です。暗号化証明書とデジタル署名証明書は、VDAセッション内で使用するために追加することができます。

注：

HDXセッションに接続する場合は、作成された仮想スマートカードがセッションにリダイレクトされます。

既知の制限事項

• ユーザーは、有効なカードを一度に1つだけ保持することができます。
• 仮想スマートカードは、いったん作成すると編集することができません。削除してからカードを作成します。
• 無効なPINは、10回まで入力できます。10回試行しても無効な場合、仮想スマートカードは削除されます。
• 派生資格情報を選択すると、仮想スマートカードが物理スマートカードを上書きします。

WKWebViewのユーザーエージェント文字列

WKWebViewを介して開始された一部のネットワーク要求で使用されるuser-agent文字列に、デフォルトでCitrix Workspaceアプリの識別子が含まれるようになりました。

したがって、次のように変更されました。変更前： Mozilla/5.0 (iPhone; CPU iPhone OS 15_2 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 AuthManager/3.2.4.0

変更後（以下のいずれか）：

Mozilla/5.0 (iPhone; CPU iPhone OS 15_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 CWA/23.3.0 iOS/15.0 X1Class CWACapable 302RedirectionCapable CFNetwork Darwin CWA-iPhone （iPhoneの例）

または

Mozilla/5.0 (iPhone; CPU iPhone OS 15_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 CWA/23.3.0 iOS/15.0 X1Class CWACapable 302RedirectionCapable CFNetwork Darwin CWA-iPad （iPadの例）

nFactor認証

多要素（nFactor）認証のサポート

多要素認証は、アクセス権を付与するために複数のIDをユーザーに要求することで、アプリケーションのセキュリティを強化します。多要素認証により、管理者が認証手順および関連する資格情報コレクションフォームを構成できます。

ネイティブのCitrix Workspaceアプリは、既にStoreFrontに実装されているフォームによるログオンのサポートを構築することで、このプロトコルをサポートできます。Citrix GatewayおよびTraffic Manager仮想サーバーのWebログオンページでも、このプロトコルを使用します。

詳しくは、「SAML認証」および「nFactor認証」を参照してください。

制限事項：

• nFactorサポートを有効にすると、Touch IDやFace IDなどの生体認証を使用できなくなります。

nFactor高度認証ポリシーのサポート

Citrix GatewayでnFactor高度認証ポリシーを使用して構成する場合、Citrix Workspaceアプリで証明書ベースの認証がサポートされるようになりました。nFactor認証により、柔軟でアジャイルな多要素スキーマを構成できます。

user-agent文字列：

iPhoneまたはiPadでCitrix Workspaceアプリに対して高度な（nFactor）認証を実行すると、認証プロセスは埋め込まれたWebViewにリダイレクトされます。表示されるユーザーエージェント文字列は、OSバージョン、CWAビルドバージョン、デバイスモデル、およびAuthManagerバージョンに基づいて若干異なる場合があります。たとえば、iPhoneとiPadのユーザーエージェント文字列は、以下のように異なります。

iPhoneの場合：

Mozilla/5.0 (iPhone; CPU iPhone OS 16_2 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 CWA/23.5.0 iOS/16.2 X1Class CWACapable 302RedirectionCapable CFNetwork Darwin CWA-iPhone AuthManager/3.3.0.0

iPadの場合：

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 CWA/23.5.0 iOS/15.0 X1Class CWACapable 302RedirectionCapable CFNetwork Darwin CWA-iPad AuthManager/3.3.0.0

この機能はプレビュー段階です。Podioリンクを使用するか、Citrixテクニカルサポートに連絡して、リクエストすることで有効にできます。ただし最終的には、プレビュー段階が終了した後にすべてのお客様にロールアウトされます。

注：

• バージョンまたはデバイスモデルの情報は、環境によって異なる場合があります。
• 認証中にiOS向けCitrix Workspaceアプリ固有のユーザーエージェントベースのポリシーを適用するには、次のキーワードを利用します：
  • iOS
  • CWA
  • CWA対応

FIDO2ベースの認証のサポート

iOS向けCitrix Workspaceアプリは、FIDO2ベースの認証方法を使用して、Citrix Virtual Apps and Desktopsセッション内でパスワードなしの認証をサポートするようになりました。この機能により、ユーザーはFIDO2対応のYubicoセキュリティキーを使用して、Google ChromeやMicrosoft EdgeなどのブラウザーでWebAuthn対応のWebサイトにサインインできます。WebAuthn対応のWebサイトを開くだけで、パスワードなしの認証がトリガーされます。 Lightningポートベースのデバイスのみがサポートされています（USB-CまたはUSB 4ポートを備えたデバイスはサポートされていません）。パスワードなしの認証を使用したCitrix Workspaceアプリまたはデスクトップセッションへのサインインはサポートされていません。

前提条件について詳しくは、Citrix Virtual Apps and Desktopsドキュメントの 「FIDO2を使用したローカル認証と仮想認証」を参照してください。

オンプレミス展開での認証トークンの保存の構成をサポート

iOS向けCitrix Workspaceアプリは、ローカルディスクでオンプレミスストアの認証トークンの保存を構成するオプションを提供するようになりました。この機能を使用すると、認証トークンの保存を無効にして、セキュリティを強化することができます。無効にした後、システムまたはセッションが再起動されると、セッションにアクセスするには再度認証が必要になります。

管理構成ファイルを使用してオンプレミス展開で認証トークンの保存を無効にするには、次の手順を実行します：

1. テキストエディターを使ってweb.configファイルを開きます。このファイルは通常、C:\inetpub\wwwroot\Citrix\Roaming directoryにあります。
2. このファイルで、ユーザーアカウント要素の場所を見つけます（「Store」は使用環境のアカウント名です）。 例：<account id=... name="Store">
3. </account>タグの前にあるユーザーアカウントのプロパティに移動し、次の内容を追加します：

    <properties>   
        <property name="TokenPersistence" value="false" />  
    </properties>
<!--NeedCopy-->

次に示すのは、web.configファイルの例です：

    <account id="#########################################" name="Store Service"
        description="" published="true" updaterType="None" remoteAccessType="StoresOnly">
        <annotatedServices>
            <clear />
            <annotatedServiceRecord serviceRef="1__Citrix_Store">
                <metadata>
                    <plugins>
                        <clear />
                    </plugins>
                    <trustSettings>
                        <clear />
                    </trustSettings>
                    <properties>
                        <clear />
                        <property name="TokenPersistence" value="false" />
                     </properties>
                </metadata>
            </annotatedServiceRecord>
        </annotatedServices>
        <metadata>
        <plugins>
          <clear />
        </plugins>
        <trustSettings>
          <clear />
        </trustSettings>
        <properties>
        </properties>
     </metadata>
    </account>
<!--NeedCopy-->