認証
スマートカード
Mac向けCitrix Workspaceアプリは次の構成においてスマートカード認証をサポートします:
-
Workspace for WebまたはStoreFront 3.12以降でのスマートカード認証。
-
Citrix Virtual Apps and Desktops 7 2203以降。
-
XenAppおよびXenDesktop 7.15以降。
-
Microsoft OutlookやMicrosoft Officeなどのスマートカード対応アプリケーションでは、仮想デスクトップやアプリケーションセッションでドキュメントにデジタル署名を追加したりファイルを暗号化したりできます。
-
Mac向けCitrix Workspaceアプリは単一のスマートカードまたは複数のスマートカードでの複数の証明書の使用をサポートします。ユーザーがスマートカードをリーダーに挿入すると、ユーザーデバイス上で実行する、Mac向けCitrix Workspaceアプリを含むすべてのアプリケーションで複数の証明書を使用できるようになります。
-
ダブルホップセッションでは、Mac向けCitrix Workspaceアプリとユーザーの仮想デスクトップとの間に追加の接続が確立されます。
Citrix Gatewayへのスマートカード認証について
スマートカードを使用して接続を認証する場合、使用可能な証明書が複数あります。Mac向けCitrix Workspaceアプリでは、証明書を選択するように求められます。証明書を選択すると、Mac向けCitrix Workspaceアプリでスマートカードのパスワードを入力するようにプロンプトが表示されます。認証後、セッションが開始します。
スマートカードに適切な証明書が1つしかない場合、Mac向けCitrix Workspaceアプリはその証明書を使用し、選択を求めるプロンプトは表示されません。ただし、接続を認証してセッションを開始するために、スマートカードに割り当てられたパスワードを入力する必要はあります。
スマートカード認証用のPKCS#11モジュールの指定
注:
PKCS#11モジュールのインストールは必須ではありません。このセクションの記述は、ICAセッションにのみ適用されます。スマートカードが必要なCitrix WorkspaceからCitrix Gatewayへの、またはStoreFrontへのアクセスでは適用されません。
スマートカード認証用のPKCS#11モジュールを指定するには:
- Mac向けCitrix Workspaceアプリで [環境設定] を選択します。
- [セキュリティとプライバシー] をクリックします。
- [セキュリティとプライバシー] セクションで、[スマートカード] をクリックします。
- PKCS#11フィールドで適切なモジュールを選択します。一覧に必要なモジュールがない場合は、[その他] をクリックしてPKCS#11モジュールの場所を参照します。
- 適切なモジュールを選択したら、[追加] をクリックします。
サポートされるリーダー、ミドルウェア、およびスマートカードプロファイル
Mac向けCitrix Workspaceアプリは多くのmacOS互換スマートカードリーダーおよび暗号化ミドルウェアをサポートします。Citrixでは以下を使用して操作を検証済みです。
サポートされるスマートカードリーダー:
- 一般的なUSB接続スマートカードリーダー
サポートされるミドルウェア:
- Clarify
- ActivIdentityクライアントのバージョン
- Charismathicsクライアントのバージョン
サポートされるスマートカード:
- PIVカード
- Common Access Card(CAC)
- Gemalto .NETカード
ユーザーデバイスを構成するため、ベンダーのmacOS互換スマートカードリーダーおよび暗号化ミドルウェアにより提供された指示に従います。
制限
- 証明書は、ユーザーデバイス上ではなくスマートカード上に格納されている必要があります。
- Mac向けCitrix Workspaceアプリでは、ユーザーの選択した証明書が保存されません。
- Mac向けCitrix Workspaceアプリでは、ユーザーのスマートカードPINが格納または保存されません。PINの取得はオペレーティングシステムにより処理され、独自のキャッシングメカニズムがある場合があります。
- Citrix Workspaceアプリでは、スマートカードが挿入されたときに自動的には切断セッションに再接続されません。
- スマートカード認証でVPNトンネルを使用するには、ユーザーがCitrix Gateway Plug-inをインストールしてWebページ経由でログオンする必要があります。この場合、各手順でスマートカードとPINを認証に使用します。スマートカードユーザーは、Citrix Gateway Plug-inを使用したStoreFrontへのパススルー認証を使用できません。
Azure Active Directoryでの条件付きアクセス
この認証方法は現在、Mac向けCitrix Workspaceアプリではサポートされていません。
ユーザーエージェント
Citrix Workspaceアプリは、他のIDプロバイダー(IdP)への認証のリダイレクトなど、ネットワーク要求で認証ポリシーの構成に使用できるユーザーエージェントを送信します。
注:
ポリシーを構成する場合、バージョン番号を指定しないでください。
| シナリオ | ユーザーエージェント |
|---|---|
| 通常のHTTP要求 – 通常、Citrix Workspaceアプリによって行われるネットワーク要求には、一般的なユーザーエージェントが含まれています。たとえば、GET /Citrix/Roaming/AccountsおよびGET / AGServices/discoverなどのネットワーク要求には、次のユーザーエージェントが含まれます: | CitrixReceiver/23.05.0.36 MacOSX/13.4.0 com.citrix.receiver.nomas X1Class CWACapable |
| クラウドストア – ユーザーがクラウドストアをCitrix Workspaceアプリに追加すると、特定のユーザーエージェントを含むネットワーク要求が作成されます。たとえば、パス/core/connect/authorizeを含むネットワーク要求です。Citrix Workspaceアプリによって送信されるユーザーエージェントは次のとおりです: | Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Citrix Workspace/23.05.0.36 MacOSX/13.4.0 com.citrix.receiver.nomas X1Class CWACapable |
| Gateway高度認証を使用したオンプレミスストア – ユーザーがGatewayで構成された高度認証を使用してオンプレミスストアをCitrix Workspaceアプリに追加すると、特定のユーザーエージェントを含むネットワーク要求が作成されます。たとえば、次の要求を含むネットワーク要求です:GET /nf/auth/doWebview.do and GET /logon/LogonPoint/tmindex.html。Citrix Workspaceアプリによって送信されるユーザーエージェントは次のとおりです: | Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko), CWAWEBVIEW/23.05.0.36 |
| カスタムWebストア – ユーザーがカスタムWebストアをCitrix Workspaceアプリに追加すると、Citrix Workspaceアプリによって送信されるユーザーエージェントは次のとおりです: | Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Safari CWA/23.05.0.18 MacOSX/13.4.0 |