テクニカルブリーフ:Citrix Workspaceアプリでのシームレスな認証オプション
概要
Citrix Workspaceアプリ(CWA)は、仮想アプリケーション、デスクトップ、SaaS、およびWebアプリケーションへの即時アクセスを可能にするパーソナライズされたインターフェイスをユーザーに提供します。ユーザーは、埋め込みブラウジングやシングルサインオンなどの機能を含め、生産性を維持するために必要なすべてのアプリにシームレスかつ安全にアクセスできます。
CWA には、オンプレミス環境とクラウド環境にわたって、組織で有効になっている ID プロバイダーに合わせて管理者が有効にできる認証オプションがいくつか用意されています。
強制ログインプロンプト
強制ログインプロンプトは、ユーザーが以前にログインしていてセッションが有効な場合でも、アプリケーションにアクセスするたびにログイン資格情報の入力を求めるように管理者がCWAを設定できるようにする機能です。IDP は、シングルサインオン (SSO) を有効にしてシームレスなユーザーエクスペリエンスを提供するために、永続的な Cookie を介してユーザー認証情報を保存します。ただし、ユーザーが機密データやアプリケーションにアクセスしている場合や、セキュリティ上の懸念がある場合など、管理者がCitrixリソースにアクセスするたびにユーザーにログイン資格情報の入力を強制したい場合があります。
強制ログインプロンプト設定はデフォルトで有効になっています 。この設定により、管理者はCitrix Workspaceログインを強制してIdPタイムアウトを無効にすることができます。設定が無効になっている場合、IdP タイムアウトが優先されます。この機能を有効にすると、ユーザーの生産性に影響が及び、ログイン関連の問題の頻度が高くなる可能性があることに注意してください。したがって、この設定は慎重に使用し、セキュリティまたはコンプライアンスの目的で必要なシナリオでのみ使用してください。
次の場合は、 強制ログインプロンプトの設定を無効にする必要があります 。
- 管理者は、Web 経由で CWA にアクセスするユーザー (HTML5 クライアントを含む) に、より長くログインできるようにしたいと考えています。たとえば、管理者が Azure Active Directory (AAD) のデフォルトタイムアウトを 14 日間に設定している場合、ブラウザでの再ログインは行われません。
- CWA は AAD に参加しているクライアントデバイスに自動的にログインします。そうしないと、SSO が有効になっていても、CWA は強制的にログインを要求します。
| 種類 | CWA OS | IDプロバイダー | サポート |
|---|---|---|---|
| 強制ログインプロンプト | すべての CWA バージョン | すべて | はい (デフォルトで有効) |
Citrix Workspaceアプリへの永続ログイン
永続ログインは CWA の機能の 1 つで、ユーザーは仮想デスクトップまたはアプリケーションセッションとの接続を切断した後もログインしたままになります。つまり、ユーザーはCitrixにアクセスするたびに資格情報を入力する必要がなくなり、より効率的で便利な操作が可能になります。
永続ログインでは、有効期間の長い認証トークンが作成されます。このトークンは 2 日から 365 日の間で設定でき、ユーザーのデバイスに保存できます。このトークンは暗号化されており、一定期間が経過するか、ユーザーがCitrixからログアウトしたときに有効期限が切れるように構成できます。ユーザーが CWA に戻ると、アプリはトークンをチェックし、見つかった場合はユーザーを自動的にログインさせます。
パーシステントログインは、Active Directory、LDAP、SAML など、さまざまな認証方法に対応しています。この機能により、ユーザーが認証情報を繰り返し入力する必要がなくなるため、ユーザーの生産性が向上します。また、トークンの有効期限が切れたときやユーザーがログアウトしたときに認証を要求することで、環境のセキュリティも維持されます。新しく構成したストアでは、デフォルトで有効になっており、値は 30 日間です。
注
この記事の執筆時点では、認証タイムアウトオプションを CWA クライアントアプリで使用できます。ブラウザアクセスはサポートされていません。 ご使用の環境で頻繁な認証が利用される場合は、非アクティブタイマーの使用をお勧めします。
クラウドストアでの動作
| 種類 | CWA OS | IDプロバイダー | サポート |
|---|---|---|---|
| Workspace アプリ用の長期有効トークン (リリース前+クラウドストア) | Windows、Mac、Linux、Android、iOS | すべて | はい |
| ChromeOS、ブラウザ + ネイティブ CWA、ブラウザ + HTML5 | すべて | いいえ |
注
永続ログイン機能は現在 、オンプレミスストアではサポートされていません。
VDI セッションへの永続ログイン
VDI セッションへの永続ログインオプションを使用すると、ユーザーは VDI 環境にアクセスするたびに資格情報を入力する代わりに、有効期間の長いパスワードを使用して VDI セッションにシングルサインオン (SSO) できます。これにより、ユーザーが資格情報を何度も入力する必要がなくなり、認証プロセスが簡素化されます。これは、2 日から 365 日の間の CWA への永続ログインと同じ値に設定されます。
注意すべき主な要因:
- SSOによるVDIへのログインは、IdPがAD、AD+TOTP、またはNetScaler Gatewayの場合にのみ可能です。
- それ以外の場合(AAD、Okta、Google、SAMLなど)、 Citrix のフェデレーション認証サービス(FAS) が必要です。
| 種類 | CWA OS | IDプロバイダー | VDAが参加しました | サポート |
|---|---|---|---|---|
| SSO から VDI へのセッション用の有効期間の長いパスワード | Windows、Mac、Android、iOS、Linux | AD、AD+OTP、ゲートウェイ、残りはFASが必要 | AD/ハイブリッド AD | はい |
Citrix Workspaceアプリ用非アクティブタイマー
Citrix Workspaceアプリの非アクティブタイマー-認証タイムアウトオプションを使用すると、管理者はエンドユーザーがアプリケーションを操作しない場合に認証チェックを強制できます。このオプションは、正当なユーザーが自分のデバイスまたは共有デバイスを使用してリソースに安全にアクセスできるようにするために使用されます。非アクティブタイムアウトは 24 時間未満に設定できます。
注意すべき主な動作:
- 非アクティブ状態は、永続ログインのエクスペリエンスより優先されます。
- デスクトップでは、ユーザーは非アクティブタイムアウト後にログアウトされます。
- モバイルでは、ユーザーは非アクティブ状態がタイムアウトした後も生体認証を使用できますが、ログアウトはできません。
| 種類 | CWA OS がサポートされています | オンプレミス/クラウド | サポート |
|---|---|---|---|
| Inactivity Timer | Windows、Mac、Linux、Android、iOS、ChromeOS、ブラウザー+ネイティブCWA、ブラウザー+ HTML5 | クラウド | はい |
| Windows、Mac、Linux、Android、iOS、ChromeOS、ブラウザー+ネイティブCWA、ブラウザー+ HTML5 | オンプレミス | はい |
Citrix Workspace でのドメインパススルーサポート
Citrix Workspaceのドメインパススルーサポートにより、ユーザーはCitrix環境で明示的に認証する必要なく、仮想デスクトップやアプリケーションにアクセスできます。代わりに、ユーザーは Windows ドメインの認証情報を使用して自動的にアプリケーションやデスクトップを認証してアクセスできます。
ドメインパススルーサポートを有効にすると、ドメイン資格情報を使用してWindowsデスクトップまたはラップトップにログインしたユーザーは、資格情報を再入力することなく、Citrix Workspaceアカウントおよび関連する仮想デスクトップまたはアプリケーションにアクセスできます。これにより、ユーザーは複数のログイン情報を覚えておく必要がなくなり、認証プロセスが簡単になります。
注意すべき前提条件と条件:
- Citrix Workspaceは、統合Windows認証をサポートするIdPで構成する必要があります。たとえば、NetScaler Gateway、AAD(AADシームレスSSOを使用)、Okta、SAMLなど
- このオプションは Windows クライアントで最適に機能します。
- Windows では、クライアントを AD に参加させることも、ハイブリッド AAD に参加させることもできます。
- Linux シンクライアントは Kerberos プロファイルを使用して設定することもできます。
- iOS/Mac には Kerberos プロファイルの概念もあります。また、Intune を使用して AAD に登録することもできます。これにより、AAD への SSO が可能になります。
- Windows 以外のクライアント上の VDI への SSO 用。FAS が必要です。
- ユーザーがユーザー名とパスワードを使用して Windows OS にログインすると、VDI への SSO による Windows 用 CWA へのエンドツーエンドログインが機能します。
| 接続先のエンドポイント | IDプロバイダー | VDAが参加しました | SSO からワークスペースへ | VDAへのSSO |
|---|---|---|---|---|
| AD | オンプレミスゲートウェイ | AD | はい | SonSvr/FAS |
| AD | アダプティブ認証 | AD | はい | SonSvr/FAS |
| AD | 別の IdP (AAD/Okta) とフェデレーションされたゲートウェイ | AD | はい | SonSvr/FAS |
| AD | Okta | AD | はい | SonSvr/FAS |
| AD/ハイブリッド参加済み | AAD (AAD コネクト機能搭載のAD) | AD | はい | SonSvr/FAS |
| AD | すべての SAML ベースの IdP | AD | はい | SonSvr/FAS |
| AD | AD | AD | いいえ | - |
| AD | AD + OTP | AD | いいえ | - |
| AD | AAD | AAD | いいえ | - |
| AAD | オンプレミスADなしのAAD | AD | はい | FAS |
| AAD | AAD | AAD | はい | ユーザーは認証情報を入力する必要があります |
| ドメイン非参加 | パスワードレス認証をサポートする IdP | AD | いいえ | FAS |
メモ
Kerberos が機能するには、クライアントが AD にアクセスできる必要があります。
SSONSvr は、クライアント上のユーザー名とパスワードでのみ機能します。ユーザーがWindows Helloを使用してログインし、パスワードなしのログインを期待している場合は、FASが必要です。
LLT が有効になっている場合、またはエンドユーザー承認ポリシーが設定されている場合、クラウドでは認証がすぐに実行されない場合があります。
Windows以外のプラットフォームにも適用されるため、FASを構成することをお勧めします。
StoreFront のドメインパススルーサポート
Citrix StoreFront のドメインパススルーサポートにより、ユーザーはCitrix環境で明示的に認証しなくても仮想デスクトップやアプリケーションにアクセスできます。代わりに、ユーザーは Windows ドメインの認証情報を使用して自動的にアプリケーションやデスクトップを認証してアクセスできます。
ドメインパススルーサポートを有効にすると、ドメイン資格情報を使用してWindowsデスクトップまたはラップトップにログインしたユーザーは、資格情報を再入力しなくてもCitrixアプリケーションおよびデスクトップにアクセスできます。これにより、よりシームレスなユーザーエクスペリエンスが提供され、そうでなければパスワードのリセットやユーザー認証の問題を管理しなければならないITサポートチームの負担を軽減できます。
注意すべき前提条件と条件:
- Windowsで設定されています。
- 資格情報の挿入:医療ソフトウェアパートナーは、ユーザー名とパスワードを CWA に提供して、ユーザーをサイレント認証します。
- これは Linux にも適用され、同様の認証情報挿入 SDK を使用します。 VDIへのSSOは、オンプレミスストアのポイント7と同じように機能します。
| 接続先のエンドポイント | StoreFront/Gateway | VDAが参加しました | SSO からStoreFront へ | VDAへのSSO | | ——————— | ——————- | —- | ——– |———————| | AD | StoreFront | AD | はい | SonsVR | | AD/ハイブリッド参加済み/Windows Hello for Business | StoreFront | AD | はい | SsonSVR/FAS * | | AD | ゲートウェイ-詳細認証 | AD | はい | SonsVR | | AD | ゲートウェイ-基本認証 | はい | SSONSvr |
注
SSO を有効にするにはレジストリが必要です
スマートカード/派生認証情報のサポート
スマートカード認証と派生資格認証はどちらも、このオプションがサポートする CWA への認証と VDI セッションへのログインの方法です。
スマートカード認証では、公開鍵証明書や秘密鍵など、ユーザーのデジタルID情報を含む物理的なスマートカードを使用します。ユーザーがスマートカードをカードリーダーに挿入すると、カードリーダーがデジタル ID 情報を読み取り、認証のために CWA に送信します。この方法では、スマートカードを簡単に複製したり盗まれたりすることがないため、従来のユーザー名とパスワードによる認証よりも高いセキュリティが保証されます。
一方、派生資格認証では、モバイルデバイスを使用してユーザーを認証します。ユーザーがモバイルデバイスで CWA にログインすると、デバイスはそのデジタル ID 情報に基づいて派生認証情報を生成します。その後、取得した認証情報は、ユーザーの物理的なスマートカードではなく CWA に送信されて認証されます。この方法では、別のスマートカードを持ち歩かなくてもモバイルデバイスで認証できるため、ユーザーの利便性が高まります。
パスワードレス認証 (ワークスペース)
| 種類 | CWA OS | IDプロバイダー | 発売前サポート | 起動後のSSOからVDA(ピンキャッシュ) | セッション内でのスマートカードの使用 |
|---|---|---|---|---|---|
| スマートカード | Windows | オンプレミスゲートウェイ/AD/AAD | はい | いいえ | はい |
| ネイティブ CWA を使用するブラウザ | オンプレミスゲートウェイ/AD/AAD | はい | いいえ | はい | |
| HTML5 対応ブラウザー | オンプレミスゲートウェイ/AD/AAD | いいえ | いいえ | いいえ | |
| Mac | オンプレミスゲートウェイ/AD/AAD | いいえ | いいえ | はい | |
| Linux | オンプレミスゲートウェイ/AD/AAD | いいえ | いいえ | はい | |
| ChromeOS | オンプレミスゲートウェイ/AD/AAD | はい | いいえ | はい | |
| iOS | オンプレミスゲートウェイ/AD/AAD | いいえ | いいえ | はい | |
| Android | オンプレミスゲートウェイ/AD/AAD | いいえ | いいえ | はい | |
| 派生資格情報 | iOS | オンプレミスゲートウェイ/AD/AAD | いいえ | いいえ | はい ** |
| Android | オンプレミスゲートウェイ/AD/AAD | いいえ | いいえ | いいえ |
メモ
フェデレーションによるスマートカード認証をサポートするすべての IdP は SSO をサポートできます。
iOS のサポートは PureBred でのみ提供されています。
パスワードレス認証 (StoreFront)
| 認証経由 | OS | ローンチサポート | StoreFront ログインサポート | ゲートウェイ-基本認証 | ゲートウェイ-詳細認証 | セッション中のスマートカード |
|---|---|---|---|---|---|---|
| スマートカード | Windows | 起動前 | はい | はい | はい | はい |
| ブラウザ + ネイティブ CWA | 起動前 | はい | はい | はい | はい | |
| ブラウザ-HTML5 | 起動前 | いいえ | はい | いいえ | いいえ | |
| Mac | 起動前 | はい | はい | はい | はい | |
| Linux | 起動前 | はい | はい | いいえ | はい | |
| ChromeOS | 起動前 | はい | はい | いいえ | はい | |
| iOS | 起動前 | はい | はい | いいえ | はい | |
| Android | 起動前 | はい | はい | いいえ | はい | |
| Windows | 起動後-SSOからVDA(ピンキャッシュ) | はい | はい | いいえ | はい | |
| ブラウザ + ネイティブ CWA | 起動後-SSOからVDA(ピンキャッシュ) | いいえ | いいえ | いいえ | はい | |
| ブラウザ-HTML5 | 起動後-SSOからVDA(ピンキャッシュ) | いいえ | いいえ | いいえ | いいえ | |
| Mac | 起動後-SSOからVDA(ピンキャッシュ) | はい | はい | いいえ | はい | |
| Linux | 起動後-SSOからVDA(ピンキャッシュ) | はい | はい | いいえ | はい | |
| ChromeOS | 起動後-SSOからVDA(ピンキャッシュ) | いいえ | いいえ | いいえ | はい | |
| iOS | 起動後-SSOからVDA(ピンキャッシュ) | いいえ | いいえ | いいえ | はい | |
| Android | 起動後-SSOからVDA(ピンキャッシュ) | いいえ | いいえ | いいえ | いいえ | |
| 派生資格情報 | iOS | 起動前 | はい | はい | いいえ | はい |
| Android | 起動前 | いいえ | いいえ | いいえ | いいえ | |
| iOS | 起動後-SSOからVDA(ピンキャッシュ) | いいえ | いいえ | いいえ | はい | |
| Android | 起動後-SSOからVDA(ピンキャッシュ) | いいえ | いいえ | いいえ | いいえ |
Workspace/StorefrontでのFIDO2サポート-パスワードレス認証
FIDO2は、ユーザーが公開鍵暗号を使用してオンラインサービスを安全かつ便利に認証できるようにする認証規格です。FIDO2はパスワードレス認証を可能にし、ユーザーがパスワードを作成して覚えておく必要がなくなり、フィッシングやその他のサイバー攻撃のリスクが軽減されます。
CWA FIDO2サポートにより、ユーザーは安全で便利なパスワードなしの認証体験を楽しむことができます。パスワードを覚えなくてもCitrix Workspaceアカウントにログインできるため、どこからでも、どのデバイスからでも安全に作業できます。FIDO2のサポートは、パスワード関連のサイバー攻撃のリスクを軽減することにより、セキュリティ体制を強化するのにも役立ちます。
| 種類 | CWA OS | サポートされている IDP | 起動前サポート | FIDOセキュリティキーによるVDAログイン | セッション内でのFIDOセキュリティキーの使用 |
|---|---|---|---|---|---|
| FIDO | Windows | はい | いいえ | はい | |
| ネイティブ CWA を使用するブラウザ | はい | いいえ | はい | ||
| HTML5 対応ブラウザー | はい | いいえ | いいえ | ||
| Mac | FIDO をサポートしているすべての IdP | いいえ | いいえ | はい | |
| Linux | FIDO をサポートしているすべての IdP | いいえ | いいえ | はい | |
| ChromeOS | FIDO をサポートしているすべての IdP | はい | いいえ | いいえ | |
| iOS | FIDO をサポートしているすべての IdP | いいえ | いいえ | いいえ | |
| Android | FIDO をサポートしているすべての IdP | いいえ | いいえ | いいえ |