スマートカード認証の構成

暗号化スマートカードを使用してユーザーを認証するように,Citrix网关を構成できます。

Citrix网关で動作するようにスマートカードを構成するには,次の操作を行う必要があります。

• 証明書認証ポリシーを作成します。詳しくは。”クライアント証明書認証の構成“を参照してください。
• 認証ポリシーを仮想サーバーにバインドします。

• クライアント証明書を発行する認証局(CA)のルート証明書をCitrix网关に追加します。詳しくは。”Citrix网关にルート証明書をインストールするには“を参照してください。

  重要:スマートカード認証用にルート証明書を仮想サーバーに追加する場合は,次の図に示すように,(CA証明書の選択]ドロップダウンボックスから証明書を選択する必要があります。図1:スマートカード認証用のルート証明書の追加

  

クライアント証明書を作成したら,フラッシュと呼ばれる証明書をスマートカードに書き込むことができます。この手順を完了すると,スマートカードをテストできます。

スマートカードパススルー認証用にWeb界面を構成する場合,次のいずれかの条件が存在する場合,Web界面へのシングル・サインオンは失敗します。

• (公開アプリケーション]タブでドメインをmydomainではなくmydomain.comとして設定した場合。
• (公開アプリケーション]タブでドメイン名を設定せず,wi-sso-split-upnコマンドを実行する場合は,値を1に設定します。この例では,ユーザープリンシパル名には,ドメイン名“mydomain.com”が含まれています。

スマートカード認証を使用して,ユーザーのログオンプロセスを合理化すると同時に,インフラストラクチャへのユーザーアクセスのセキュリティを強化できます。社内ネットワークへのアクセスは,公開キーのインフラストラクチャを使用した証明書ベースの2要素認証によって保護されます。秘密キーは,ハードウェアで保護されるため,スマートカードの外に漏れることはありません。ユーザーは,スマートカードと销を使用してさまざまなコーポレートデバイスからデスクトップとアプリケーションにアクセスできるようになります。

スマートカードは,Citrix虚拟应用程序和桌面で提供されるデスクトップとアプリケーションのユーザー認証を店面経由で行うために使用できます。店面にログオンしているスマートカードユーザーは,Citrix端点管理が提供するアプリケーションにもアクセスできます。ただし,クライアント証明書認証を使用する端点管理Webアプリケーションにアクセスするには,再度認証する必要があります。

詳しくは,店面のドキュメントの”スマートカード認証の構成“を参照してください。

セキュアICA接続によるスマートカード認証の構成

Citrix网关でシングルサインオンが構成されたスマートカードを使用してログオンし,安全なICA接続を確立するユーザーは,ログオン時と公開リソースの起動時に,個人識別番号(PIN)の入力を求めるプロンプトが表示されることがあります。この状況は、WebブラウザーとCitrix工作区アプリがクライアント証明書を使用するように構成されている同じ仮想サーバーを使用している場合に発生します。Citrix工作区アプリは、WebブラウザーとプロセスまたはSSL(セキュア・ソケット・レイヤー)接続を共有しません。したがって,ICA接続でCitrix网关とのSSLハンドシェイクが完了すると,クライアント証明書が2回必要です。

ユーザーに2番目の销プロンプトが表示されないようにするには,次の2つの設定を変更する必要があります。

• VPN仮想サーバ上のクライアント認証を無効にする必要があります。
• SSL再ネゴシエーションを有効にする必要があります。

仮想サーバを構成したら,5.3 Web界面でのCitrix网关設定の構成の説明に従って1つ以上のSTAサーバを仮想サーバにバインドします。

スマートカード認証をテストすることもできます。

クライアント認証を無効にする手順は,次のとおりです。

1. 構成ユーティリティの[構成]タブのナビゲーションペインで,[Citrix网关]を展開し,(仮想サーバー]をクリックします。
2. メインの詳細ペインで関連する仮想サーバーを選択し,[編集]をクリックします。
3. [詳細オプション]ウィンドウで,[SSLパラメータ]をクリックします。
4. [クライアント認証]チェックボックスをオフにします。
5. (完了]をクリックします。

SSL再ネゴシエーションを有効にするには,次の手順を実行します。

1. 設定ユーティリティを使用して,[設定]タブから[トラフィック管理]に移動し,(SSL)をクリックします。
2. メインパネルで,SSLの詳細設定の変更]をクリックします。
3. (SSL再ネゴシエーションの拒否]メニューから[いいえ]を選択します。

スマートカード認証をテストするには,次の手順に従います。

1. スマートカードをユーザーデバイスに接続します。
2. Webブラウザーを開き,Citrix网关にログオンします。