安全なワークスペース

管理者は、利用者(エンドユーザー)が次のうちいずれかの認証方法を使用してワークスペースの認証を実行するよう選択できます:

  • Active Directory
  • Active Directory+トークン
  • Azure Active Directory
  • Citrix Gateway
  • Okta(Technical Preview)

この認証オプションは、アクセス制御を含むすべてのCitrix Cloudサービスで使用できます。

アクセス制御は、エンドユーザーがSaaS、Web、および仮想アプリにシングルサインオン(SSO)でアクセスできるようにする機能です。

認証方法の変更

[ワークスペース構成]>[認証]>[ワークスペースの認証] で、利用者のワークスペースへの認証方法を変更します。

ワークスペースの認証の設定

重要:

認証モードの切り替えには最大5分かかり、その間利用者はアクセスできません。認証方法の変更は、使用頻度の低い期間に限定することをお勧めします。ブラウザーまたはCitrix Workspaceアプリを使用してCitrix Workspaceにログオンしている利用者がいる場合は、ブラウザーを終了するか、アプリを終了するよう利用者に指示してください。約5分間の待機後、利用者は新しい認証方法で再度ログオンできます。

Active Directory

デフォルトでは、Citrix CloudはActive Directoryを使用して、ワークスペースへの利用者の認証を管理します。Active Directoryを使用するには、オンプレミスActive DirectoryドメインにCitrix Cloud Connectorが2つ以上インストールされている必要があります。Cloud Connectorのインストールについて詳しくは、「Cloud Connectorのインストール」を参照してください。

Active Directory+トークン

セキュリティを強化するために、Citrix WorkspaceはActive Directoryを使用したサインインに加え、認証の第2要素としてトークンをサポートしています。

Active Directory+トークン認証を使用すると、すべてのサブスクライバーはサインインするたびに、登録済みデバイスからのトークンを入力するようWorkspaceから求められます。利用者は、「2要素認証に対するデバイスの登録」の手順に従ってデバイスを登録できます。現時点では、一度に1つのデバイスしか登録できません。

Active Directory+トークン認証には次の要件があります:

  • Active DirectoryとCitrix Cloud間の接続と、オンプレミス環境での少なくとも2つのCloud Connectorsのインストール。要件と手順について詳しくは、「Active DirectoryをCitrix Cloudに接続する」を参照してください。
  • Citrix Cloudコンソールの [IDおよびアクセス管理] ページにおける [Active Directory + トークン] 認証の有効化。詳しくは、「Active Directory+トークン認証を有効にするには」を参照してください。
  • サブスクライバーは、メールにアクセスしてデバイスを登録する必要があります。
  • Workspaceへの最初のサインインの際に、利用者はプロンプトに従ってCitrix SSOアプリをダウンロードします。Citrix SSOアプリは、30秒ごとに登録済みデバイスに一意のワンタイムパスワードを生成します。

デバイスを再登録するには

サブスクライバーが自分の登録済みデバイスを所有していない、またはそのデバイスを再登録する必要がなくなった場合(たとえば、デバイスからすべてのコンテンツを削除したあと)は、Workspaceでは以下のオプションが提供されます:

  • サブスクライバーは、「2要素認証に対するデバイスの登録」で説明したのと同じ登録プロセスにより、デバイスを再登録できます。サブスクライバーは一度に1つのデバイスしか登録できないため、新しいデバイスを登録するか、既存のデバイスを再登録することで、以前のデバイス登録を削除します。 デバイス削除メッセージ

  • 管理者は、Active Directoryの名前でサブスクライバーを検索して自分のデバイスをリセットできます。それを行うには、[IDおよびアクセス管理]>[回復]に移動します。 回復タブ Workspaceへの次のサインオンの際、サブスクライバーは「2要素認証に対するデバイスの登録」で説明した最初の登録手順に従います。

Azure Active Directory

Azure Active Directory(AD)を使用してワークスペースへの利用者の認証を管理するには、以下の要件があります:

  • Azure ADは、グローバル管理者権限を持つユーザーが使用。
  • Citrix Cloud ConnectorがオンプレミスActive Directoryドメインにインストールされていること。マシンがAzure ADと同期しているドメインに参加している必要もあります。
  • バージョン7.15.2000 LTSR CUのVDAまたは7.18最新リリース以降のVDA。
  • Azure ADとCitrix Cloud間の接続。詳しくは、「Azure Active DirectoryをCitrix Cloudに接続する」を参照してください。Active DirectoryをAzure ADに同期させるときは、UPNおよびSIDエントリを同期の対象に含める必要があります。これらのエントリが同期されていないと、Citrix Workspaceの特定のワークフローが失敗します。

警告:

  • Azure ADを使用している場合、CTX225819に記載されているようにレジストリに変更は加えないでください。このように変更すると、Azure ADユーザーがセッションを起動できない可能性があります。
  • Azure ADを使用するフェデレーション認証では、グループを別のグループのメンバーとして追加する(入れ子構造)ことはできません。入れ子構造になったグループをカタログに割り当てると、そのグループのメンバーはカタログからアプリケーションにアクセスできなくなります。

Azure AD認証を有効にした後:

  • Citrix Cloudライブラリを使用してユーザーとユーザーグループを管理: Citrix Cloudライブラリのみを使用して、ユーザーとユーザーグループを管理します。(デリバリーグループの作成または編集時にユーザーとユーザーグループを指定しないでください。)
  • セキュリティの強化: ユーザーは、アプリやデスクトップの起動時に再度ログインするよう求められます。パスワード情報は、ユーザーのデバイスからセッションをホストしているVDAに直接送信されるため、これはセキュリティを強化するための意図的な仕組みです。
  • サインイン操作: Azure ADでのサインイン操作はユーザーごとに異なります。Azure AD認証を選択すると、SSOではなく、フェデレーションIDによるサインイン環境となります。ユーザーは、Azureサインインページからワークスペースにサインインしますが、Citrix Virtual Apps and Desktopsサービスからアプリまたはデスクトップを起動するときにもう一度認証する必要があります。シングルサインオンを有効にし、2つ目のログオンプロンプトが表示されないようにするには、Citrix CloudでCitrixフェデレーション認証サービスを有効にする必要があります。詳しくは、「Citrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化」を参照してください。

    Azure ADのサインイン操作をカスタマイズすることができます。詳しくは、Microsoft社のドキュメントを参照してください。[ワークスペース構成]で行われたサインインのカスタマイズ(ロゴ)は、Azure ADのサインイン操作に影響しません。

次の図は、Azure AD認証のシーケンスを示しています。

Azure AD認証シーケンスの図

Citrix Gateway

Citrix Workspaceでは、オンプレミスのCitrix GatewayをIDプロバイダーとして使用してワークスペースへの利用者の認証を管理できます。

Citrix Gateway認証には次の要件があります:

  • Active DirectoryとCitrix Cloud間の接続。要件と手順について詳しくは、「Active DirectoryをCitrix Cloudに接続する」を参照してください。
  • 利用者がワークスペースにサインインするには、Active Directoryユーザーである必要があります。
  • フェデレーションを実行している場合、ADユーザーをフェデレーションプロバイダーと同期する必要があります。Citrix Cloudでは、ユーザーが正常にサインインできるよう、ADユーザー属性が必要とされます。
  • オンプレミスCitrix Gateway:
    • Citrix Gateway 12.1 54.13 Advanced Edition以降
    • Citrix Gateway 13.0 41.20 Advanced Edition以降
  • Citrix Gateway認証が [IDおよびアクセス管理] ページで有効になっています。この操作は、Citrix CloudとオンプレミスGatewayとの接続を作成するために必要なクライアントID、シークレット、リダイレクトURLを生成します。
  • GatewayでクライアントID、シークレット、リダイレクトURLを使用してOAuth IDプロバイダー認証ポリシーが構成されます。

詳しくは、「オンプレミスCitrix GatewayをIDプロバイダーとしてCitrix Cloudに接続する」を参照してください。

利用者によるCitrix Gatewayの操作

Citrix Gatewayでの認証が有効になっている場合、利用者は次のワークフローを経験します:

  1. 利用者はブラウザーでワークスペースURLに移動するか、Workspaceアプリを起動します。
  2. Citrix Gatewayのログオンページにリダイレクトされ、Gatewayで構成された方法(RADIUS MFA、スマートカード、フェデレーション、条件付きアクセスポリシーなど)で認証されます。CTX258331に記載されている手順に従い、Workspaceのサインインページと見た目が同じになるようGatewayのログオンページをカスタマイズできます。
  3. 認証に成功すると、利用者のワークスペースが表示されます。

Okta(Technical Preview)

Citrix Workspaceでは、OktaをIDプロバイダーとして使用してワークスペースへの利用者の認証を管理できます。

注:

Okta認証は、現在Technical Preview段階です。Technical Preview機能は、テスト環境でのみ使用することをお勧めします。

Okta認証には次の要件があります:

  • オンプレミスActive DirectoryとOkta組織の間の接続。
  • Citrix Cloudで使用するために構成されたOkta OIDC Webアプリケーション。Citrix CloudをOkta組織に接続するには、このアプリケーションに関連付けられているクライアントIDとクライアントシークレットを指定する必要があります。
  • [IDおよびアクセス管理] ページで有効にした [Okta] 認証を使用した、オンプレミスActive DirectoryとCitrix Cloud間の接続。

詳しくは、「OktaをIDプロバイダーとしてCitrix Cloudに接続する」を参照してください。

Okta認証を有効にした後、利用者のサインイン操作は変化します。Okta認証を選択すると、シングルサインオンではなく、フェデレーションIDによるサインイン環境となります。利用者は、Oktaサインインページからワークスペースにサインインしますが、Citrix Virtual Apps and Desktopsサービスからアプリまたはデスクトップを起動するときにもう一度認証する必要があります。シングルサインオンを有効にし、2つ目のログオンプロンプトが表示されないようにするには、Citrix CloudでCitrixフェデレーション認証サービスを使用する必要があります。詳しくは、「Citrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化」を参照してください。

利用者によるOktaの操作

Oktaでの認証が有効になっている場合、利用者は次のワークフローに従います:

  1. 利用者はブラウザーでワークスペースURLに移動するか、Workspaceアプリを起動します。
  2. Oktaのサインインページにリダイレクトされ、Oktaで構成された方法(多要素認証、条件付きアクセスポリシーなど)で認証されます。
  3. 認証に成功すると、利用者のワークスペースが表示されます。

注:

Okta認証を有効にすると、シングルサインオンではなく、フェデレーションIDによるサインイン環境となります。利用者は、Oktaサインインページからワークスペースにサインインしますが、Citrix Virtual Apps and Desktopsサービスからアプリまたはデスクトップを起動するときにもう一度認証する必要があります。シングルサインオンを有効にし、2つ目のログオンプロンプトが表示されないようにするには、Citrix CloudでCitrixフェデレーション認証サービスを使用する必要があります。詳しくは、「Citrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化」を参照してください。

Citrixフェデレーション認証サービス(Technical Preview)

Citrix Workspaceでは、Citrixフェデレーション認証サービス(FAS)を使用した仮想アプリとデスクトップへのシングルサインオンの提供がサポートされています。Azure ADを介してワークスペースにサインインする利用者は、アプリとデスクトップにアクセスするために資格情報を一度だけ入力します。

注:

Citrix Cloudでのフェデレーション認証サービスの使用は、現在Technical Preview中です。Technical Preview機能は、テスト環境でのみ使用することをお勧めします。

WorkspaceでFASを使用するには、次の要件があります:

  • FAS製品ドキュメントの「要件」セクションに従って構成されたFASサーバー。
  • FASサーバーとCitrix Cloud間の接続。この接続は、FASインストーラーの [Citrix Cloudへの接続] オプションを使用して作成されます。既存のFASサーバーがバージョン10よりも古い場合、Citrixから最新のFASソフトウェアをダウンロードし、この接続を作成する前にサーバーをインプレースでアップグレードできます。接続の作成時に、FASサーバーを配置するリソースの場所を選択します。シングルサインオンは、FASサーバーが存在するリソースの場所でのみ利用者に対してアクティブになります。
  • [ワークスペース構成]でFASが有効になっているオンプレミスActive DirectoryドメインとCitrix Cloudの間の接続。

Citrix CloudでのFASの使用について詳しくは、「Citrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化」を参照してください。

利用者のサインアウト操作

重要:

ブラウザーでCitrix Workspaceが非アクティブなためにタイムアウトした場合でも、利用者はAzure ADにサインインしたままになります。これは、Citrix Workspaceのタイムアウトによって他のAzure ADアプリケーションを強制的に終了させないようにするためです。

Citrix Workspaceを閉じるには、[設定]>[ログオフ] オプションを使用します。これで、ワークスペースとAzure ADからのサインアウト処理は完了します。[ログオフ] オプションを使用せずにブラウザーを閉じると、Azure ADにサインインしたままになる可能性があります。