認証

Citrix Workspaceアプリ2012以降、Citrix Workspaceアプリ内に認証ダイアログを表示でき、サインイン画面にストアの詳細を表示できます。これにより、優れたユーザーエクスペリエンスが実現します。

認証トークンは暗号化され保存されるため、システムやセッションの再起動時に資格情報を再入力する必要はありません。

注:

この強化された認証機能は、クラウド展開でのみ利用できます。

前提条件:

libsecretライブラリをインストールします。

この機能はデフォルトでは無効になっています。

この拡張機能を有効にするには:

  1. 構成ファイルを見つけます:$ICAROOT/config/AuthManConfig.xml
  2. AuthManLiteEnabledの値をtrueに設定します。

Storebrowseの認証の強化

注:

バージョン2205以降、この機能はCitrix Workspaceアプリで一般提供されます。

バージョン2203以降では、より快適なユーザーエクスペリエンスを提供するために、Citrix Workspaceアプリ内に認証ダイアログを配置し、ログオン画面にストアの詳細を表示するようになりました。認証トークンは暗号化され保存されるため、システムやセッションの再起動時に資格情報を再入力する必要はありません。

認証拡張機能は次の操作でStorebrowseをサポートします:

  • Storebrowse -E:使用可能なリソースを一覧表示します。
  • Storebrowse -L:公開リソースへの接続が起動します。
  • Storebrowse -S:サブスクリプションするリソースを一覧表示します。
  • Storebrowse -T:指定されたストアのすべてのセッションを終了します。
  • Storebrowse -Wr:指定されたストアの、切断されてもアクティブなセッションを再接続します。[r]オプションは、切断されたすべてのセッションを再接続します。
  • storebrowse -WR:指定されたストアの、切断されてもアクティブなセッションを再接続します。[R]オプションは、すべてのアクティブなセッションと切断されたセッションを再接続します。
  • Storebrowse -s:指定したストアのリソースをサブスクライブします。
  • Storebrowse -u:指定したストアのリソースのサブスクリプションを解除します。
  • Storebrowse -q:直接URLを使用してアプリケーションを起動します。このコマンドは、StoreFrontストアでのみ機能します。

注:

  • 前に使用したとおり(AuthMangerDaemonを使用して)引き続き残りのStorebrowseコマンドを使用できます。
  • この認証拡張機能は、クラウド展開でのみ適用されます。
  • この機能強化により、永続ログイン機能がサポートされます。

Storebrowseの認証拡張機能の構成

デフォルトでは、この認証拡張機能は無効になっています。

gnome-keyringが使用できない場合、トークンはセルフサービスプロセスメモリに保存されます。

トークンをメモリに強制的に保存するには、次の手順を使用してgnome-keyringを無効にします:

  1. /opt/Citrix/ICAClient/config/AuthmanConfig.xmlにアクセスします。
  2. 次のエントリを追加します:

    <GnomeKeyringDisabled>true</GnomeKeyringDisabled>
    <!--NeedCopy-->
    

スマートカード

Linux向けCitrix Workspaceアプリでスマートカードのサポートを構成するには、StoreFrontコンソール経由でStoreFrontサーバーを構成する必要があります。

Citrix Workspaceアプリは、PCSC-LiteおよびPKCS#11ドライバーと互換性があるスマートカードリーダーをサポートします。Citrix Workspaceアプリはデフォルトで、標準の場所のいずれかでopensc-pkcs11.soを見つけることができるようになりました。

Citrix Workspaceアプリは、標準以外の場所または別のPKCS\#11ドライバーでopensc-pkcs11.soを見つけることができます。以下の手順で、それぞれの場所を保存できます:

  1. 構成ファイルを見つけます:$ICAROOT/config/AuthManConfig.xml
  2. 行「<key>PKCS11module</key>」に移動し、この行のすぐ後でドライバーの場所を<value>エレメントに追加します。

    注:

    ドライバーの場所のファイル名を入力すると、Citrix Workspaceアプリは$ICAROOT/PKCS\ #11ディレクトリ内のそのファイルに移動します。「/」から始まる絶対パスを使用することもできます。

スマートカードを取り出した場合のCitrix Workspaceアプリの動作を構成するには、次の手順に従ってSmartCardRemovalActionを更新します:

  1. 構成ファイルを見つけます:$ICAROOT/config/AuthManConfig.xml
  2. 行「<key>SmartCardRemovalAction</key>」に移動し、この行のすぐ後でnoactionまたはforcelogoffを<value>エレメントに追加します。

デフォルトの動作はnoactionです。スマートカード上で削除を実行する時に、保存されている資格情報や生成されるトークンはクリアされません。

forcelogoffを追加すると、スマートカードの削除時にすべての資格情報およびStoreFront内のトークンがクリアされます。

スマートカードサポートの有効化

サーバーとCitrix Workspaceアプリの両方でスマートカードが有効になっている場合、Citrix Workspaceアプリはさまざまなスマートカードリーダーをサポートします。

スマートカードは、以下の目的で利用できます:

  • スマートカードログオン認証 - Citrix Virtual Apps and DesktopsまたはCitrix DaaS(Citrix Virtual Apps and Desktopsサービスの新名称)サーバーに対してユーザーを認証します。
  • スマートカードアプリケーションのサポート - スマートカード対応の公開アプリケーションを使用して、ローカルスマートカードデバイスにアクセスできるようにします。

スマートカードのデータは機密性の高い情報であるため、TLSなどの信頼された証明機関から認証されたセキュリティアーキテクチャを経由して転送する必要があります。

次に、スマートカードサポートを使用するための条件を示します。

  • スマートカードリーダーと公開アプリケーションが、業界標準のPC/SC規格に準拠している必要があります。
  • 使用するスマートカードに適切なドライバーをインストールします。
  • PC/SC Liteパッケージをインストールします。
  • ミドルウェアがPC/SCを使ってスマートカードにアクセスするためのpcscdデーモンをインストールして実行します。
  • 64ビットシステムには、64ビットと32ビットの両バージョンの”libpscslite1”パッケージがある必要があります。

サーバー上でのスマートカードサポートの構成について詳しくは、Citrix Virtual Apps and Desktopsドキュメントの「スマートカード」を参照してください。

スマートカードサポートの機能強化

注:

この機能は、Citrix Workspaceアプリで一般的に利用できます。

バージョン2112以降、Citrix Workspaceアプリはスマートカードリーダーのプラグアンドプレイ機能をサポートします。

スマートカードを挿入すると、スマートカードリーダーがサーバーとクライアントでスマートカードを検出します。

異なるカードを同時にプラグアンドプレイでき、これらすべてのカードが検出されます。

前提条件:

Linuxクライアントにlibpcscdライブラリをインストールします。

注:

このライブラリは、ほとんどのLinuxディストリビューションの最近のバージョンにデフォルトでインストールされている可能性があります。ただし、Ubuntu 1604などの一部のLinuxディストリビューションの以前のバージョンでは、libpcscdライブラリのインストールが必要な場合があります。

この拡張機能を無効にするには:

  1. <ICAROOT>/config/module.iniフォルダーに移動します。
  2. SmartCardセクションに移動します。
  3. DriverName= VDSCARD.DLLを設定します。

多要素(nFactor)認証のサポート

多要素認証は、アクセス権を付与するために追加のIDをユーザーに要求することで、アプリケーションのセキュリティを強化します。

多要素認証により、管理者が認証手順および関連する資格情報コレクションフォームを構成できます。

ネイティブのCitrix Workspaceアプリは、既にStoreFrontに実装されているフォームによるサインインのサポートを構築することで、このプロトコルをサポートします。Citrix GatewayおよびTraffic Manager仮想サーバーのWebサインインページでも、このプロトコルを使用します。

詳しくは、Citrix ADCドキュメントの「SAML認証」および「nFactor認証」を参照してください。

認証