認証

Citrix Workspaceアプリ2012以降、Citrix Workspaceアプリ内で認証ダイアログを表示し、サインイン画面に詳細を保存できるようになりました。この機能強化により、ユーザーエクスペリエンスが向上します。

認証トークンは暗号化されて保存されるため、システムまたはセッションの再起動時に資格情報を再入力する必要がありません。

注：

この認証機能強化は、クラウド展開でのみ利用可能です。

前提条件：

• libsecretライブラリをインストールします。

• この機能はデフォルトで有効になっています。

• Storebrowseの認証機能強化

• バージョン2205以降、認証ダイアログはCitrix Workspaceアプリ内に表示され、ストアの詳細がログオン画面に表示されるため、ユーザーエクスペリエンスが向上します。認証トークンは暗号化されて保存されるため、システムまたはセッションの再起動時に資格情報を再入力する必要がありません。

• この認証機能強化は、以下の操作でstorebrowseをサポートします。

• Storebrowse -E：利用可能なリソースを一覧表示します。
• Storebrowse -L：公開されたリソースへの接続を起動します。
• Storebrowse -S：サブスクライブされたリソースを一覧表示します。
• Storebrowse -T：指定されたストアのすべてのセッションを終了します。
• Storebrowse -Wr：指定されたストアの切断されているがアクティブなセッションを再接続します。[r]オプションは、切断されたすべてのセッションを再接続します。
• storebrowse -WR：指定されたストアの切断されているがアクティブなセッションを再接続します。[R]オプションは、すべてのアクティブおよび切断されたセッションを再接続します。
• Storebrowse -s：指定されたストアから指定されたリソースをサブスクライブします。
• Storebrowse -u：指定されたストアから指定されたリソースのサブスクライブを解除します。
• Storebrowse -q：直接URLを使用してアプリケーションを起動します。このコマンドはStoreFrontストアでのみ機能します。

注：

• 残りのstorebrowseコマンドは、以前と同様に（AuthMangerDaemonを使用して）引き続き使用できます。
• この認証機能強化は、クラウド展開にのみ適用されます。
• この機能強化により、永続的なログオン機能がサポートされます。

Azure ADにおける200を超えるグループのサポート

2305リリース以降、200を超えるグループに属するAzure ADユーザーは、自身に割り当てられたアプリとデスクトップを表示できるようになりました。以前は、同じユーザーはこれらのアプリとデスクトップを表示できませんでした。

この機能を有効にするには、次の手順を実行します。

1. $ICAROOT/config/AuthManConfig.xmlに移動し、次のエントリを追加します。

   <compressedGroupsEnabled>true</compressedGroupsEnabled>
   <!--NeedCopy-->
   

注：

この機能を有効にするには、ユーザーはCitrix Workspaceアプリからサインアウトし、再度サインインする必要があります。

Storebrowseの認証機能強化の構成

デフォルトでは、認証機能強化は無効になっています。

gnome-keyringが利用できない場合、トークンはselfserviceプロセスメモリに保存されます。

• トークンのメモリへの保存を強制するには、次の手順を使用してgnome-keyringを無効にします。

1. /opt/Citrix/ICAClient/config/AuthmanConfig.xmlに移動します。

2. 次のエントリを追加します。

   <GnomeKeyringDisabled>true</GnomeKeyringDisabled>
   <!--NeedCopy-->
   

スマートカード

Linux向けCitrix Workspaceアプリでスマートカードサポートを構成するには、StoreFrontコンソールを通じてStoreFrontサーバーを構成する必要があります。

• Citrix Workspaceアプリは、PCSC-LiteおよびPKCS#11ドライバーと適切に互換性のあるスマートカードリーダーをサポートしています。デフォルトでは、Citrix Workspaceアプリは標準の場所のいずれかでopensc-pkcs11.soを検索するようになりました。カスタマイズされたPKCS#11ドライバーを追加するには、「カスタマイズされたPKCS#11ドライバーの追加」を参照してください。

Citrix Workspaceアプリは、非標準の場所または別のPKCS\#11ドライバーでopensc-pkcs11.soを見つけることができます。次の手順を使用して、それぞれの場所を保存できます。

• 1. 構成ファイル $ICAROOT/config/AuthManConfig.xml を見つけます。
• 1. 行 <key>PKCS11module</key> を見つけ、その直後の <value> 要素にドライバーの場所を追加します。

• 注：

  ドライバーの場所としてファイル名を入力した場合、Citrix Workspaceアプリは $ICAROOT/PKCS\ #11 ディレクトリ内のそのファイルに移動します。また、「/」で始まる絶対パスを使用することもできます。

スマートカードを削除した後、次の手順を使用してSmartCardRemovalActionを更新することで、Citrix Workspaceアプリの動作を構成します。

1. 構成ファイル $ICAROOT/config/AuthManConfig.xml を見つけます。
2. 行 <key>SmartCardRemovalAction</key> を見つけ、その直後の <value> 要素に noaction または forcelogoff を追加します。

デフォルトの動作はnoactionです。スマートカードの削除時に、保存された資格情報と生成されたトークンをクリアするアクションは実行されません。

forcelogoffアクションは、スマートカードの削除時にStoreFront内のすべての資格情報とトークンをクリアします。

制限事項：

• スマートカードを使用したサーバーVDAセッションの開始試行は、複数のユーザーが使用するスマートカードでは失敗する可能性があります。[HDX-44255]

• カスタマイズされたPKCS#11ドライバーの追加

スマートカードにカスタムPKCS#11ドライバーが必要な場合は、次の手順でドライバーパスを追加します。

1. 構成ファイル $ICAROOT/config/AuthManConfig.xml に移動します。

2. 行 <key>PKCS11module</key> を見つけ、その直後の <value> 要素にドライバーの場所を追加します。例：

   /usr/lib/pkcs11/libIDPrimePKCS11.so。

3. 構成ファイル $ICAROOT/config/scardConfig.json を見つけます。

4. DefaultPKCS11Lib を見つけ、デフォルト値を /usr を含まないカスタマイズされたドライバーパスに変更します。例：

   /lib/pkcs11/libIDPrimePKCS11.so

スマートカードサポートの有効化

Citrix Workspaceアプリは、サーバーとCitrix Workspaceアプリの両方でスマートカードが有効になっている場合、さまざまなスマートカードリーダーをサポートします。

スマートカードは、次の目的で使用できます。

• スマートカードログオン認証 - Citrix Virtual Apps and Desktops™またはCitrix DaaS（旧称Citrix Virtual Apps and Desktopsサービス）サーバーに対して認証を行います。
• スマートカードアプリケーションサポート - スマートカード対応の公開アプリケーションがローカルのスマートカードデバイスにアクセスできるようにします。

スマートカードデータはセキュリティ上機密性が高く、TLSなどの安全な認証済みチャネルを介して送信する必要があります。

スマートカードサポートには、次の前提条件があります。

• スマートカードリーダーと公開アプリケーションは、PC/SC業界標準に準拠している必要があります。
• スマートカードに適したドライバーをインストールします。
• PC/SC Liteパッケージをインストールします。
• PC/SCを使用してスマートカードにアクセスするためのミドルウェアを提供するpcscdデーモンをインストールして実行します。

• 64ビットシステムでは、「libpcsclite1」パッケージの64ビット版と32ビット版の両方が存在している必要があります。

• サーバーでのスマートカードサポートの構成に関する詳細については、Citrix Virtual Apps and Desktopsのドキュメントにある「スマートカード」を参照してください。

スマートカードサポートの強化

バージョン2112以降、Citrix Workspaceアプリはスマートカードリーダーのプラグアンドプレイ機能をサポートしています。

スマートカードを挿入すると、スマートカードリーダーはサーバーとクライアントでスマートカードを検出します。

複数のカードを同時にプラグアンドプレイでき、これらのカードはすべて検出されます。

前提条件:

Linuxクライアントにlibpcscdライブラリをインストールします。

注：

このライブラリは、ほとんどのLinuxディストリビューションの最近のバージョンではデフォルトでインストールされている場合があります。ただし、Ubuntu 1604など、一部のLinuxディストリビューションの以前のバージョンでは、libpcscdライブラリをインストールする必要がある場合があります。

この強化を無効にするには：

1. <ICAROOT>/config/module.iniフォルダーに移動します。
2. SmartCardセクションに移動します。
3. DriverName=VDSCARD.DLLを設定します。

新しいPIVカードのサポート

バージョン2303以降、Citrix Workspaceアプリは次の新しい個人識別検証（PIV）カードをサポートしています。

• IDEMIA次世代スマートカード
• DELL TicTokスマートカード

スマートカードドライバーのパフォーマンス最適化

Citrix Workspaceアプリ2303バージョンには、VDSCARDV2.DLLスマートカードドライバーのパフォーマンス関連の修正と最適化が含まれています。これらの機能強化により、バージョン1のVDSCARD.DLLを上回るパフォーマンスが実現されます。

高速スマートカード

高速スマートカードは、既存のHDX PC/SCベースのスマートカードリダイレクトに対する改善です。レイテンシーの高いWAN環境でスマートカードを使用する場合のパフォーマンスが向上します。

高速スマートカードは、Windows VDAでのみサポートされています。

Citrix Workspaceアプリで高速スマートカードサインインを有効にするには：

バージョン2408以降、高速スマートカードサインインはVDAでデフォルトで有効になり、Citrix Workspaceアプリではデフォルトで無効になります。高速スマートカード機能を有効にするには、次の手順を実行します。

1. /opt/Citrix/ICAClient/config/module.ini構成ファイルの[SmartCard]セクションに移動します。

2. 次のエントリを追加します。

   SmartCardCryptographicRedirection=On
   <!--NeedCopy-->
   

Citrix Workspaceアプリで高速スマートカードサインインを無効にするには：

Citrix Workspaceアプリで高速スマートカードサインインを無効にするには、/opt/Citrix/ICAClient/config/module.ini構成ファイルの[SmartCard]セクションからSmartCardCryptographicRedirectionパラメーターを削除します。

次世代暗号化スマートカードのサポート

バージョン2408以降、Citrix Workspaceアプリは、楕円曲線暗号（ECC）アルゴリズムを使用する新しい個人識別検証（PIV）スマートカードをサポートしています。このタイプのスマートカードは、次世代暗号化に基づいて機能します。

多要素（nFactor）認証のサポート

多要素認証は、ユーザーがアクセス権を取得するために追加の身元証明を提供することを要求することで、アプリケーションのセキュリティを強化します。

多要素認証により、認証ステップと関連する資格情報収集フォームを管理者が構成できるようになります。

ネイティブのCitrix Workspaceアプリは、StoreFrontですでに実装されているフォームサインインサポートに基づいて、このプロトコルをサポートしています。Citrix GatewayおよびTraffic Manager仮想サーバーのWebサインインページもこのプロトコルを利用します。

注：

• 多要素（nFactor）認証は、フォームベース認証のみをサポートします。

詳細については、Citrix ADCのドキュメントにある「SAML認証」および「多要素（nFactor）認証」を参照してください。

• 多要素（nFactor）認証におけるエンドポイント分析のサポート

• このリリース以降、Citrix Workspaceアプリは多要素認証のエンドポイント分析（EPA）をサポートし、コンプライアンスとセキュリティを強化します。たとえば、EPAとLDAPが多要素認証の一部として構成されている場合、Citrix WorkspaceアプリはLDAP認証とともに認証用のEPAアプリを検出して実行します。

• 以前は、Citrix WorkspaceアプリはEPAアプリの呼び出しをサポートしていなかったため、「アクセス拒否」エラーが発生していました。このリリースではEPAの呼び出しがサポートされ、認証プロセスがスムーズに進行できるようになりました。

この新機能は、包括的なエンドポイントセキュリティチェック、組織ポリシーおよび規制要件への準拠を保証します。これにより、不正アクセスのリスクが軽減され、全体的なネットワーク整合性が向上します。

前提条件:

エンドポイント分析アプリがシステムにインストールされていることを確認してください。

サポートされているオペレーティングシステム：

• IGEL OS：EPAはすでに利用可能です。
• Ubuntu 18、20、および22：EPAはプリインストールされていません。認証に進む前にEPAをダウンロードしてインストールする必要があります。Ubuntu用のEPAは、Citrixのダウンロードページからダウンロードしてください。

この機能はデフォルトで有効になっており、多要素認証と連携して使用されます。詳細については、「多要素（nFactor）認証」ドキュメントを参照してください。

HDXセッションでのFIDO2を使用した認証のサポート

バージョン2303以降、パスワードレスFIDO2セキュリティキーを使用してHDXセッション内で認証できます。FIDO2セキュリティキーは、企業従業員がユーザー名やパスワードを入力することなく、FIDO2をサポートするアプリやデスクトップにシームレスに認証するための方法を提供します。FIDO2の詳細については、「FIDO2 Authentication」を参照してください。

注：

USBリダイレクトを介してFIDO2デバイスを使用している場合は、FIDO2デバイスのUSBリダイレクトルールを削除してください。このルールは、$ICAROOT/フォルダー内のusb.confファイルからアクセスできます。この更新により、FIDO2仮想チャネルに切り替えることができます。

デフォルトでは、FIDO2認証は無効になっています。FIDO2認証を有効にするには、次の手順を実行します。

1. <ICAROOT>/config/module.iniファイルに移動します。
2. ICA 3.0セクションに移動します。
3. FIDO2= Onを設定します。

この機能は現在、PINコードとタッチ機能を備えたローミング認証器（USBのみ）をサポートしています。FIDO2セキュリティキーベースの認証を構成できます。前提条件とこの機能の使用方法については、「Local authorization and virtual authentication using FIDO2」を参照してください。

FIDO2をサポートするアプリまたはウェブサイトにアクセスすると、セキュリティキーへのアクセスを要求するプロンプトが表示されます。以前にPINでセキュリティキーを登録している場合は、サインイン時にPINを入力する必要があります。PINは4文字以上64文字以下です。

以前にPINなしでセキュリティキーを登録している場合は、セキュリティキーに触れるだけでサインインできます。

制限事項:

FIDO2認証を使用して、同じアカウントに2台目のデバイスを登録できない場合があります。

HDXセッションでの複数パスキーのサポート

以前は、セキュリティキーまたはFIDO2デバイスに関連付けられた複数のパスキーがある場合、適切なパスキーを選択するオプションがありませんでした。デフォルトでは、最初のパスキーが認証に使用されていました。

バージョン2405以降、Citrix WorkspaceアプリのUIから適切なパスキーを選択できるようになりました。この機能はデフォルトで有効になっています。 複数のパスキーがある場合、最初のパスキーがデフォルトとして選択されます。ただし、次のように適切なパスキーを選択できます。

オンプレミスストアへの接続時のFIDO2認証のサポート

• Citrix Workspaceアプリ for Linuxバージョン2309以降、ユーザーはオンプレミスストアにサインインする際に、パスワードレスFIDO2セキュリティキーを使用して認証できます。セキュリティキーは、セキュリティPIN、生体認証、カードスワイプ、スマートカード、公開鍵証明書など、さまざまな種類のセキュリティ入力をサポートしています。FIDO2の詳細については、「FIDO2認証」を参照してください。

管理者は、Citrix Workspaceアプリへの認証に使用するブラウザの種類を設定できます。この機能を有効にするには、$ICAROOT/config/AuthManConfig.xmlに移動し、次のエントリを追加します。

    <key>FIDO2Enabled</key>
    <value>true</value>
<!--NeedCopy-->

デフォルトのブラウザを変更するには、$ICAROOT/config/AuthManConfig.xmlに移動し、必要に応じてブラウザ設定を変更します。指定可能な値は、chromium、firefox、chromium-browser、およびMicrosoft Edgeです。

    <FIDO2AuthBrowser>firefox</FIDO2AuthBrowser>
<!--NeedCopy-->

クラウドストアへの接続時のFIDO2認証のサポート

Citrix Workspaceアプリ for Linuxバージョン2405以降、ユーザーはクラウドストアにサインインする際に、パスワードレスFIDO2セキュリティキーを使用して認証できます。セキュリティキーは、セキュリティPIN、生体認証、カードスワイプ、スマートカード、公開鍵証明書など、さまざまな種類のセキュリティ入力をサポートしています。詳細については、「FIDO2認証」を参照してください。

管理者は、Citrix Workspaceアプリへの認証に使用するブラウザの種類を設定できます。

この機能を有効にするには、$ICAROOT/config/AuthManConfig.xmlに移動し、次のエントリを追加します。

    <key>FIDO2Enabled</key>
    <value>true</value>
<!--NeedCopy-->

デフォルトのブラウザを変更するには、$ICAROOT/config/AuthManConfig.xmlに移動し、必要に応じてブラウザ設定を変更します。指定可能な値は、chromium、firefox、およびchromium-browserです。

    <FIDO2AuthBrowser>firefox</FIDO2AuthBrowser>
<!--NeedCopy-->

GACSを使用したFIDO2認証の構成

GACSを使用してストアURLのFIDO2認証を有効にするには、次の手順を実行します。

1. Citrix Cloud™にサインインします。

2. 左上隅にあるハンバーガーアイコンをクリックし、［Workspace Configuration］、［App Configuration］の順にクリックします。

   

3. ［Workspace］をクリックし、［Configure］ボタンをクリックします。

   

• 1. ［Security and Authentication］をクリックし、［Authentication］をクリックします。

  

1. ［FIDO2 Authentication］をクリックし、［Linux］チェックボックスをオンにして、［Enabled］トグルを切り替えます。

   

2. ［Publish Draft］をクリックします。

カスタマイズされた認証

次の表は、Citrix Workspaceアプリで利用可能なカスタマイズされた認証のリファレンスです。

• FIDO2認証のNFCサポート

バージョン2411以降、FIDO2対応NFCカードを使用して、エンドツーエンドのシングルサインオン（SSO）ソリューションであるタップアンドゴーエクスペリエンスを利用できます。これにより、NFCカードを使用してCitrix®ストアに認証し、事前構成された仮想デスクトップまたは仮想アプリをSSOを使用して自動的に開くことができます。

この機能の構成の詳細については、次のセクションを参照してください。

前提条件

ハードウェア要件:

• NFC対応FIDO2キー（例：Yubikey5）
• Linuxクライアントと互換性のあるNFC対応FIDO2リーダー（例：ACR1252U-M）

ソフトウェア要件:

この機能には、次のソフトウェアパッケージが必要です。

• swig
• CentOSまたはRHEL用のlibpcsclite-develおよびpcsc-lite
• Ubuntu用のlibpcsclite-devおよびpcscd
• python3およびpython3-pip
• Pythonパッケージ：pyscard、uhid、およびfido2
• Chromiumブラウザ（Citrix Enterprise Browserが推奨されない場合）。Chromiumブラウザの推奨インストーラーはDebianパッケージであり、Chromiumのダウンロードページからダウンロードできます。Chromiumをsnapとしてインストールすることは推奨されません。

注：

• 管理者は、<ICAROOT>/util/Fido2HIDBridgeにあるsetupFIDO2Service.shスクリプトをsudoユーザーとして実行することで、上記のパッケージをインストールできます。このsetupFIDO2Service.shスクリプトは、UbuntuおよびRHEL OSの例です。管理者は、OS構成に合わせてこのスクリプトを必要に応じて変更できます。
• この機能は、Ubuntu x86-64、RHEL x86-64、およびARM64アーキテクチャではサポートされていません。

この機能を有効にする方法

1. fido2-hid-bridge.serviceが実行されていることを確認します。これは通常、Citrix Workspaceアプリとともにインストールされます。実行されていない場合は、手動で開始できます。

   

2. $ICAROOT/config/AuthManConfig.xml に移動し、次のエントリを追加します。

   <key>FIDO2Enabled</key>

   <value>true</value>

   ロングライブトークンも無効にします。

   <longLivedTokenSupport>false</longLivedTokenSupport>

3. 必要に応じて、$ICAROOT/config/AuthManConfig.xml に移動してブラウザ設定を更新し、デフォルトのブラウザを変更します。指定可能な値は CEB と chromium です。デフォルト値は CEB です。

   <FIDO2AuthBrowser>CEB</FIDO2AuthBrowser>

4. App Authenticator を全画面で表示するには、次のエントリを追加します。

   <Fido2FullScreenMode>true</Fido2FullScreenMode>

   デフォルトでは、App Authenticator はウィンドウモードで表示されます。

この機能の使用方法

1. $ICAROOT/config/AuthManConfig.xml に StoreURL と ResourceName を追加します。

   <StoreURL>test.cloud.com</StoreURL>

   <ResourceName>Notepad</ResourceName>

2. $ICAROOT/util に移動し、nfcui を実行します。

   

3. ストアが追加されたら、認証のために [続行] をタップまたはクリックします。

   

4. 認証ページでユーザー資格情報を入力し、サインインオプションとして [顔]、[指紋]、[PIN]、または [セキュリティキー] をクリックします。

5. リーダーで NFC 対応の FIDO2 キーをタップします。

6. セキュリティキーの PIN を入力し、[次へ] をクリックします。

7. 認証が成功したら、[サインインしたままにしますか？] ウィンドウで [はい] をクリックします。

8. 認証が完了すると、構成済みの VDA またはアプリが起動します。

   

アプリケーションが正常に起動しました。

ネイティブアプリによるエンドユーザーの認証とアプリおよびデスクトップへのアクセス義務付け

バージョン 2508 以降、管理者は Linux ユーザーに対し、Citrix Workspace へのアクセスをネイティブアプリ経由のみに義務付けることができます。この機能が有効な場合、ストア URL にアクセスしようとしたり、サードパーティ製ブラウザを使用したりするユーザーは、自動的に Citrix Workspace アプリにリダイレクトされます。これにより、ユーザーはすべてのネイティブアプリ機能の恩恵を受け、シームレスなエクスペリエンスを享受できます。

ユーザーがブラウザを使用して接続し、HDX™ エンジンを起動しようとすると、今後の使用のためにストアをネイティブクライアントに追加するよう求められます。この機能により、管理者はより詳細な制御が可能になり、認証をネイティブアプリ内に保持することでセキュリティが強化されます。また、ICA ファイルをダウンロードする必要がなくなります。

管理者は Citrix Cloud でこの機能を有効にできます。現在、クラウドストアのみがサポートされています。

詳細については、「ネイティブアプリによるエンドユーザーの認証とアプリおよびデスクトップへのアクセス義務付け」を参照してください。

クラウド向け Entra ID SSO サポート

バージョン 2508.10 以降、Linux 向け Citrix Workspace アプリは、Ubuntu 22.04 および Ubuntu 24.04 を実行しているエンドポイントデバイスでの Microsoft Entra ID シングルサインオン (SSO) をサポートします。Microsoft Entra ID 資格情報を使用して Citrix クラウドストアにサインインし、資格情報の繰り返し入力をすることなく、SSO で Citrix Virtual Apps and Desktops にアクセスできます。

Microsoft Entra ID を使用したシングルサインオン

Microsoft Entra ID 資格情報を使用して SSO を利用し、Entra 参加済みまたは Entra ハイブリッド参加済みセッションホスト上の仮想アプリおよびデスクトップにアクセスします。

前提条件

エンドポイントデバイスに次のパッケージをインストールします。

• gnome-keyring (バージョン 3.18.3 以降)

  Ubuntu および Ubuntu ベースのディストリビューションの場合は、次のコマンドを実行します。

  sudo apt-get install gnome-keyring
  <!--NeedCopy-->
  

• libsecret

  Ubuntu および Ubuntu ベースのディストリビューションの場合は、次のコマンドを実行します。

  sudo apt-get install libsecret-1-0
  <!--NeedCopy-->
  

注:

Citrix ロングライブトークン (LLT) が有効になっている場合、シームレスな認証を維持するには Microsoft Entra ID SSO クッキーを永続化させる必要があります。クッキーの永続化を有効にするには、/opt/Citrix/ICAClient にある AuthManConfig.xml で次の設定を構成します。

<key>SharedAuthContextEnabled</key>
<value>true</value>
<!--NeedCopy-->

システムブラウザを使用した Entra ID SSO

システムブラウザで Entra ID SSO を有効にするには、/opt/Citrix/ICAClient にある AuthManConfig.xml で次のキーを設定します。

<key>AADSSOWithFido2AuthenticationEnabled</key>
<value>true</value>

<key>FIDO2Enabled</key>
<value>true</value>

<!-- FIDO2AuthBrowser options: CEB, chromium, firefox, chromium-browser -->
<FIDO2AuthBrowser>chromium</FIDO2AuthBrowser>
<!--NeedCopy-->

注: Entra ID SSOは、Firefox、Microsoft Edge、Chromiumでサポートされています。

Storebrowse を使用した Entra ID SSO

Storebrowse で Entra ID SSO を有効にするには:

1. ユーティリティディレクトリに移動します:

   cd /opt/Citrix/ICAClient/util
   <!--NeedCopy-->
   

2. ストアを追加します:

   ./storebrowse -a <store_URL>
   <!--NeedCopy-->
   

3. ストアを列挙して認証します:

   ./storebrowse -E <full_store_URL>
   <!--NeedCopy-->
   

4. リソースを起動します:

   ./storebrowse -L <resourceID> <full_store_URL>
   <!--NeedCopy-->
   

Web ブラウザからの Entra ID シングルサインオン (SSO)

バージョン 2601 以降、Linux 向け Citrix Workspace アプリは、Citrix Web Extension を介した Web ブラウザからの Entra ID シングルサインオン (SSO) をサポートします。この機能はデフォルトで有効になっています。

前提条件:

以下のライブラリが必要です:

• gnome-keyring バージョン 3.18.3 以降

  Debian を使用している場合は、次のコマンドを実行します:

   sudo apt-get install gnome-keyring
   <!--NeedCopy-->
  

  RPM を使用している場合は、次のコマンドを実行します:

   sudo yum install gnome-keyring
   <!--NeedCopy-->
  

• libsecret

  Debian を使用している場合は、次のコマンドを実行します:

   sudo apt-get install libsecret-1-0
   <!--NeedCopy-->
  

  RPM を使用している場合は、次のコマンドを実行します:

   sudo yum install libsecret-1*
   <!--NeedCopy-->
  

FIDO2 および Entra ID SSO の Microsoft Edge サポート

バージョン 2601 以降、Linux 向け Citrix Workspace アプリは、Microsoft Edge を使用した以下のサポートを追加します:

• FIDO2 認証
• システムブラウザを使用した Entra ID シングルサインオン (SSO)

これらのフローに対して Microsoft Edge を構成するには、/opt/Citrix/ICAClient/config/AuthManConfig.xml にある AuthManConfig.xml を編集します。

FIDO2 認証のブラウザとして Microsoft Edge を使用します:

<!-- FIDO2AuthBrowser - CEB, chromium, firefox, chromium-browser, edge -->
<FIDO2AuthBrowser>edge</FIDO2AuthBrowser>
<!--NeedCopy-->

Entra ID SSO のシステムブラウザとして Microsoft Edge を使用します:

<!-- SystemBrowser - CEB, chromium, firefox, chromium-browser, edge -->
<SystemBrowser>edge</SystemBrowser>
<!--NeedCopy-->

これらの設定により、FIDO2 認証と Entra ID SSO フローの両方が Microsoft Edge を使用して起動されるようになります。

FIDO2 認証タイムアウト構成

バージョン 2601 以降、Linux 向け Citrix Workspace アプリは、ブラウザベースの FIDO2 認証タイムアウトを制御するための構成オプションを提供します。

構成するには、/opt/Citrix/ICAClient/config/AuthManConfig.xml を開き、FIDO2AuthTimeout を使用してタイムアウト (秒単位) を設定します:

<!-- FIDO2AuthTimeout - Authentication timeout in seconds (default: 60, max: 180) -->
<FIDO2AuthTimeout>60</FIDO2AuthTimeout>
<!--NeedCopy-->

注:

タイムアウトは、必要に応じて 60 秒から 180 秒の間の値に設定してください。

Workspace (WSP) 非アクティビティタイムアウト時の ID プロバイダー (IDP) ログアウト

バージョン 2601 以降、Linux 向け Citrix Workspace アプリは、ユーザーログオフ時および Workspace (WSP) 非アクティビティタイムアウト発生時に ID プロバイダー (IDP) からログアウトするサポートを追加します。このオプトイン機能は、有効にしない限り既存のログアウト動作を維持しつつ、認証チェーン全体で完全なセッション終了を保証するのに役立ちます。

この機能を構成するには、/opt/Citrix/ICAClient/config/AuthManConfig.xml にある AuthManConfig.xml を編集します。

デフォルト設定:

<!-- EnableChainedLogoffOnTimeout - true, false -->
<EnableChainedLogoffOnTimeout>false</EnableChainedLogoffOnTimeout>
<!--NeedCopy-->

この機能を有効にするには、

<!-- EnableChainedLogoffOnTimeout - true, false -->
<EnableChainedLogoffOnTimeout>true</EnableChainedLogoffOnTimeout>
<!--NeedCopy-->

注:

この機能はデフォルトで無効になっています。必要に応じて、管理者に連絡してこの機能を有効にしてください。