スマートカード認証の構成

Windows向けCitrix Workspaceアプリでは、以下のスマートカード認証がサポートされます:

  • パススルー認証(シングルサインオン) - ユーザーがCitrix Workspaceアプリにログオンするときに使用するスマートカードの資格情報を取得します。取得した資格情報は以下のように使用されます:

    • ドメインに属しているデバイスのユーザーがスマートカードの資格情報でCitrix Workspaceアプリにログオンした場合、仮想デスクトップやアプリケーションの起動時に資格情報を再入力する必要はありません。
    • ドメインに属していないデバイスで実行しているCitrix Workspaceアプリがスマートカードの資格情報を使用している場合、仮想デスクトップやアプリケーションの起動時に資格情報を再入力する必要があります。

パススルー認証を使用するには、StoreFrontおよびCitrix Workspaceアプリ両方での構成が必要です。

  • 2モード認証 - 認証方法として、スマートカードと、ユーザー名およびパスワードの入力を選択できます。この機能は、スマートカードを使用できない場合(ログオン証明書が期限切れになった場合など)に有効です。これを実行できるようにするには、スマートカードを許可するためFalseに設定したDisableCtrlAltDelメソッドを使って、サイトごとに専用ストアをセットアップする必要があります。2モード認証にはStoreFront構成が必要です。Citrix Gatewayが解決策にある場合、構成する必要もあります。

    また2モード認証により、StoreFront管理者はユーザーがStoreFrontコンソールでユーザー名とパスワード、およびスマートカード認証の両方を選択して同じストアで使用できるようにします。StoreFrontのドキュメントを参照してください。

  • 複数の証明書 - 単一または複数のスマートカードを使用する場合、複数の証明書を使用できます。ユーザーがスマートカードをリーダーに挿入すると、ユーザーデバイス上で実行する、Citrix Workspaceアプリを含むすべてのアプリケーションで複数の証明書を適用できるようになります。

  • クライアント証明書による認証 - この機能を使用するには、Citrix GatewayおよびStoreFrontでの構成が必要です。

    • Citrix Gatewayを使ってStoreFrontにアクセスする場合、ユーザーがスマートカードを取り外した後で再認証が必要になることがあります。
    • Citrix GatewayのSSL構成で常にクライアント証明書による認証が使用されるようにすると、より安全になります。ただし、この構成では2モード認証を使用できません。
  • ダブルホップセッション - ダブルホップセッションでは、Citrix Workspaceアプリとユーザーの仮想デスクトップとの間に接続が確立されます。ダブルホップセッションをサポートする展開方法については、Citrix Virtual Apps and Desktopsのドキュメントを参照してください。

  • スマートカード対応のアプリケーション - Microsoft OutlookやMicrosoft Officeなどのスマートカード対応アプリケーションでは、Citrix Virtual Apps and Desktopsセッションでドキュメントにデジタル署名を追加したりファイルを暗号化したりできます。

制限事項

  • 証明書は、ユーザーデバイス上ではなくスマートカード上に格納されている必要があります。
  • Citrix Workspaceアプリはユーザー証明書の選択を保存しませんが、構成時にPINを格納します。PINはユーザーセッションの間にのみ非ページ化メモリにキャッシュされ、ディスク内には格納されません。
  • Citrix Workspaceアプリでは、スマートカードが挿入されたときに自動的には切断セッションに再接続されません。
  • スマートカード認証が構成されている場合、Citrix Workspaceアプリでは仮想プライベートネットワーク(VPN:Virtual Private Network)のシングルサインオンやセッションの事前起動がサポートされません。スマートカード認証でVPNを使用するには、ユーザーがCitrix Gateway Plug-inをインストールしてWebページ経由でログオンする必要があります。この場合、各手順でスマートカードとPINによる認証が必要になります。スマートカードユーザーは、Citrix Gateway Plug-inを使用したStoreFrontへのパススルー認証を使用できません。
  • Citrix Workspaceアプリ更新ツールとcitrix.comやMerchandising Server間の通信では、Citrix Gateway上のスマートカード認証を使用できません。

警告

一部の構成では、レジストリの編集が必要です。レジストリエディターの使用を誤ると、問題が発生する可能性があり、Windowsのインストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、Citrixでは一切責任を負いません。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。

スマートカード認証のシングルサインオンを有効にするには

Citrix Workspaceアプリのインストール中に、以下のコマンドラインオプションを指定します:

  • ENABLE\_SSON=Yes

    シングルサインオンは、「パススルー認証」と呼ばれることもあります。このオプションを指定すると、Citrix WorkspaceアプリでPINを繰り返し入力する必要がなくなります。

  • シングルサインオンコンポーネントをインストールしていないデバイス上で、SSONCheckEnabledをfalseに設定します。これにより、Citrix WorkspaceアプリのAuthentication Managerでシングルサインオンコンポーネントがチェックされなくなり、Citrix WorkspaceアプリでStoreFrontへの認証が可能になります。

    HKEY_CURRENT_USER\Software\Citrix\AuthManager\protocols\integratedwindows\

    HKEY_LOCAL_MACHINE\Software\Citrix\AuthManager\protocols\integratedwindows\

Kerberosの代わりにStorefrontに対してスマートカード認証を有効にするには、次のコマンドラインオプションでCitrix Workspaceアプリをインストールします。

  • /includeSSON :シングルサインオン(パススルー)認証をインストールします。資格情報のキャッシュおよびパススルードメインベース認証の使用を有効にします。

  • Windows向けCitrix Workspaceアプリのスマートカード認証とは別の方法(ユーザー名とパスワードなど)でユーザーがエンドポイントにログオンしている場合、コマンドラインは次のようになります:

/includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No

これによりログオン時に資格情報がキャプチャされるのを防ぎ、Citrix Workspaceアプリへのログオン時にPINを格納することができます。

  1. gpedit.mscを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。
  2. [管理用テンプレート]>[Citrixコンポーネント]>[Citrix Workspace]>[ユーザー認証]>[ローカルユーザー名とパスワード] に移動します。
  3. [パススルー認証を有効にします] チェックボックスをオンにします。構成およびセキュリティ設定によっては、パススルー認証を実行するために [すべてのICA接続にパススルー認証を許可します] チェックボックスをオンにします。

StoreFrontを構成するには:

  • 認証サービスを構成する場合、[スマートカード]チェックボックスをオンにします。

StoreFrontでスマートカードを使用する場合は、StoreFrontドキュメントの「認証サービスの構成」を参照してください。

ユーザーデバイスでスマートカードを使用できるようにするには

  1. デバイスのキーストアに、証明機関のルート証明書をインポートします。
  2. ベンダーが提供する暗号化ミドルウェアをインストールします。
  3. Citrix Workspaceアプリをインストールして構成します。

証明書の選択方法を変更するには

複数の証明書が有効な場合、Citrix Workspaceアプリではデフォルトでそれらの証明書の一覧が表示され、ユーザーは使用する証明書を選択できます。管理者は、デフォルトの証明書(スマートカードプロバイダー指定の証明書)、または有効期限が最も残っている証明書が使用されるように構成できます。有効なログオン証明書がない場合はユーザーにメッセージが表示され、使用可能なほかのログオン方法が提示されます。

有効な証明書とは、以下のものを指します。

  • ローカルコンピューターの現在時刻に基づき、証明書が有効期限内である。
  • サブジェクトの公開キーでRSAアルゴリズムが使用されており、キーの長さが1024ビット、2048ビット、または4096ビットである。
  • Key UsageフィールドにDigital Signatureが含まれている。
  • Subject Alternative Nameフィールドにユーザープリンシパル名(UPN)が含まれている。
  • Enhanced Key UsageフィールドにSmart Card LogonおよびClient Authentication、またはAll Key Usagesが含まれている。
  • 証明書の発行者チェーンに含まれる証明機関の1つが、TLSハンドシェイク時にサーバーから送信される、許可される識別名(DN)の1つに合致している。

証明書の選択方法を変更するには、以下のいずれかの構成を行います。

  • Citrix Workspaceアプリのコマンドラインで、オプションAM\_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry }を指定します。

    デフォルト値は、Promptです。SmartCardDefaultまたはLatestExpiryを指定して複数の証明書が該当する場合は、ユーザーが証明書を選択するための一覧が表示されます。

  • 次のようにレジストリキーに値を追加します:HKEY_CURRENT_USERまたはHKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Citrix\AuthManager: CertificateSelectionMode={ Prompt SmartCardDefault LatestExpiry }

最適な証明書をユーザーが選択できるように、HKEY_CURRENT_USERでの設定は、HKEY_LOCAL_MACHINEの設定よりも優先されます。

CSPのPIN入力メッセージを使用するには

Windows向けCitrix Workspaceアプリのデフォルトでは、スマートカードのCryptographic Service Provider(CSP)ではなくPIN入力用のメッセージが表示されます。PINの入力が必要な場合、Citrix Workspaceアプリがメッセージを表示して、ユーザーにより入力されたPINをスマートカードのCSPに渡します。プロセスごとやセッションごとのPINのキャッシュが禁止されているなど、環境やスマートカードでより厳格なセキュリティが求められる場合は、CSPコンポーネントを使用してPIN入力用のメッセージを表示してPINを処理できます。

PIN入力の処理方法を変更するには、以下のいずれかの構成を行います。

  • Citrix Workspaceアプリのコマンドラインで、オプションAM\_SMARTCARDPINENTRY=CSPを指定します。
  • 次のようにレジストリキーに値を追加します:HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Citrix\AuthManager: SmartCardPINEntry=CSP