スマトカド
スマートカードおよび同等のテクノロジは,このアーティクルに記載されているガイドライン内でサポートされています。Citrix Virtual AppsまたはCitrix Virtual Desktopsでスマートカードを使用するには:
- 所属する組織における,スマトカドの使用に関するセキュリティポリシを理解します。たとえば,スマトカドがどのように発行され、ユーザーがそれをどのように保護するかについてこれらのポリシーで規定してあることがあります。Citrix Virtual AppsまたはCitrix Virtual Desktopsの環境では、これらのポリシーの一部の変更が必要になる場合があります。
- どのユーザーデバイスの種類,オペレーティングシステム,および公開アプリケーションがスマートカードとともに使用されるかを決定します。
- スマートカードテクノロジ全般および選択したスマートカードベンダーのハードウェアとソフトウェアについて理解します。
- 分散環境でのデジタル証明書の展開管理方法にいて理解します。
注:
高速スマトカドではスマトカドの登録はサポトされていません。スマトカドの登録は、高速スマートカードが無効になっている場合に機能する可能性がありますが、スマートカードとミドルウェアの種類によって異なります。Citrix Virtual Apps and Desktopsとの統合、および仮想セッションでのスマートカード登録のサポートについては、スマートカードおよびミドルウェアのベンダーにお問い合わせください。
スマトカドの種類
エンタープライズ向けとコンシューマー向けのスマートカードは,寸法も電気コネクタも同じで,同じスマートカードリーダーを使用できます。
エンタプラ。これらのスマートカードはWindowsログオンをサポートし,ドキュメントやメールのデジタル署名と暗号化のためのアプリケーションと連携して使用できます。Citrix虚拟应用程序和桌面は,こうした用途に対応しています。
コンシューマー向けのスマートカードにはデジタル証明書は含まれていませんが,共有シークレットが含まれています。これらのスマートカードは,支払い(チップと署名,チップと销クレジットカードなど)をサポートできます。これらのスマートカードは,Windowsログインや一般的なWindowsアプリケーションをサポートしていません。これらのスマートカードと合わせて使用するには,特別なWindowsアプリケーションと,適切なソフトウェアインフラストラクチャ(支払いカードネットワークへの接続など)が必要です。Citrix Virtual AppsまたはCitrix Virtual Desktopsでのこのような特別なアプリケーションのサポートについて詳しくは、Citrix担当者にお問い合わせください。
エンタープライズ向けスマートカードには,互換性のある同等のものが存在し,類似した方法で使用できます。
- スマトカドと同等のusbトクンはusbポトに直接接続します。これらのUSBトークンは通常USBフラッシュドライブのサイズですが,携帯電話で使用されるSIMカードと同じくらい小さいものもあります。それらは,スマトカドとusbスマの組み合わせとして表示されます。
- Windowsトラステッドプラットフォームモジュール(TPM:可信平台模块)を使用する仮想スマートカードは,スマートカードとして表示されます。これらの仮想スマートカードは,Citrix工作区アプリ(4.3 Citrix接收机以降)を使用して,Windows 8およびWindows 10でサポートされます。
- Citrix虚拟应用程序和桌面(旧称XenAppおよびXenDesktop)のXenAppおよびXenDesktop 7.6 FP3よりも前のバージョンは,仮想スマートカードをサポートしていません。
- 仮想スマトカドにいて詳しくは,”虚拟智能卡概述を参照してください。
注:“仮想スマートカード”という用語は,ユーザーコンピューターに保存されたデジタル証明書についても使用されます。これらのデジタル証明書は,厳密にはスマトカドと同等ではありません。
Citrix虚拟应用程序和桌面のスマートカードのサポートは,微软のPC / SC(个人电脑/智能卡)標準仕様に基づいています。スマトカドおよびスマトカドデバ邮箱スは、使用するWindowsオペレーティングシステムでサポートされており、Microsoft WHQL(Windows Hardware Quality Lab)により承認されている必要があります。PC/SCに準拠しているハードウェアについては、Microsoft社のドキュメントを参照してください。その他のタイプのユーザーデバイスは、PS/SC標準に準拠していることがあります。詳しくは、Citrix准备プログラムを参照してください。
通常,各ベンダ。ただし,スマートカードがNIST个人身份验证(PIV)標準などの標準に準拠している場合,一定範囲のスマートカードに単一のデバイスドライバーを使用できる場合があります。デバイスドライバーをユーザーデバイスと虚拟投递代理(VDA)の両方にインストールする必要があります。多くの場合,デバイスドライバーはCitrixパートナーから入手可能なスマートカードミドルウェアパッケージの一部として提供されます。スマトカドミドルウェアパッケジにより,高度な機能が提供されます。デバ邮箱スドライバーは、暗号化サービスプロバイダー(CSP:Cryptographic Service Provider)、キーストレージプロバイダー(KSP:Key Storage Provider)、ミニドライバーとして説明されることもあります。
Windowsシステムでは,以下のスマートカードとミドルウェアでのCitrixの動作確認が行われています。ただし,そのほかのスマトカドおよびミドルウェアも使用できます。Citrix互換のスマトカドとミドルウェアに,//m.giftsix.com/readyを参照してください。
| ミドルウェア | スマトカド |
|---|---|
| GemAlto Mini Driver for .NETカド | 金雅拓。net v2 + |
他の種類のデバイスでのスマートカード使用法について詳しくは,そのデバイスに関するCitrix工作区アプリのドキュメントを参照してください。
リモトpcアクセス
オフィスで動作する,物理的な窗口10,Windows 8,またはWindows 7マシンにリモートアクセスする場合にのみ,スマートカードがサポートされます。
以下のスマトカドが,リモトpcアクセス機能でテストされています。
| ミドルウェア | スマトカド |
|---|---|
| 金雅拓.NETミニドラeconfバ | 金雅拓。net v2 + |
高速スマトカド
高速スマトカドは,既存のhdx pc / scベレクトの改良版です。遅延が大きいwan環境でスマトカドを使用する場合のパフォマンスが向上しています。待ち時間が長い場合,パフォーマンスが大幅に向上する可能性があります(たとえば,Windowsの高速スマートカードログオンの場合は15秒であるのに対して,PC / SCベースのスマートカードリダイレクトの場合は1分)。
高速スマートカードは,現在サポートされている窗户用のVDAがインストールされたホストマシン上ではデフォルトで有効になっています。高速スマトカドを、たとえば診断する目的でホスト側で無効にするには、「暗号化リダイレクトを無効にする」レジストリを任意のゼロ以外の値に設定します:
HKLM\SOFTWARE\Citrix\智能卡密码重定向禁用(DWORD) クラopenstackアント側では,高速スマopenstackトカopenstackドを有効にするには,関連するopenstack StoreFrontサopenstackトのdefault.icaファイルにSmartCardCryptographicRedirection ICAパラメーターを含めます:
[WFClient] SmartCardCryptographicRedirection =さらに,クライアント側では次のレジストリ設定を使用して,高速スマートカードを(診断目的などで)強制的に有効または無効にすることができます。
- HKEY_LOCAL_MACHINE\SOFTWARE[\WOW6432Node]\Citrix\ICA客户端\智能卡\ForceEnableCryptographicRedirection(DWORDはゼロ以外)
または
- HKEY_LOCAL_MACHINE\SOFTWARE[\WOW6432Node]\Citrix\ICA客户端\智能卡\ForceDisableCryptographicRedirection(DWORDはゼロ以外)
クラ电子书阅读器アントマシンが64ビットの場合は,32ビットのレジストリハ电子书阅读器ブを指定する必要があります(WOW6432Nodeを使用)。
制限事項:
- 高速スマートカードをサポートしているのはWindows向けCitrix工作区アプリのみです.default。icaファイルで高速スマートカードを設定している場合,窗户向け以外のCitrix工作区アプリは,引き続き既存のPC / SCリダイレクトを使用します。
- 高速スマートカードがサポートされているダブルホップシナリオは,両方のホップで高速スマートカードが有効になっているICA > ICAのみです。高速スマートカードではICA > RDPのダブルホップシナリオはサポートされていないため,これらのシナリオでは動作しません。
- 高速スマートカードでは密码学下一代はサポートされていません。したがって,高速スマトカドでは楕円曲線暗号(ecc)スマトされていません。
- 高速スマトカドでは,読み取り専用キコンテナ操作のみがサポトされています。
- 高速スマトカドでは,スマトカドpin脚の変更はサポトされていません。
VDAバージョン2203およびWindows向けCitrix工作区アプリバージョン2202年以降,高速スマートカードは下一代加密技术(CNG)と互換性があります。さらに,楕円曲線暗号(ECC)スマートカードは,次の曲線でサポートされます:ECDSAとECDHの両方でp - 256, p - 384, p - 521ビット。
VDAバージョン2203年以降,高速スマートカードで,同一ユーザーのログオンセッションのアプリケーション間でスマートカード销をキャッシュする機能が追加されています。たとえば,セッションpinキャッシュが有効になっていて,エンドユーザーが以前にスマートカード销を前景に提供した場合,词を使用してドキュメントに署名すると,词は既にキャッシュされているスマートカード销(前景に送信されたもの)を使用します。セッションpinキャッシュは,ユーザーがスマートカードの销を入力する回数を減らすことで,ユーザーエクスペリエンスを向上させます。さらに,スマートカードを使用してVDAにログオンする場合,Windowsスマートカードのログオン销をオプションでセッションpinキャッシュに保存できます。これにより,ユザエクスペリエンスをさらに向上させることができます。
セッションpinキャッシュはデフォルトで無効になっています。的共识の次のレジストリ設定を使用して有効化、制御することができます:
場所:HKEY_LOCAL_MACHINE \ \ Citrix \智能卡软件
EnablePinSessionCacheをdwordとして設定(有効にする場合はゼロ以外)EnableLogonPinSessionCacheをdwordとして設定(有効にする場合はゼロ以外)PinSessionCacheEntryStaleTimeoutをdwordとして設定(エントリが古くなるまでの秒数.デフォルトは1時間)
スマトカドリダの種類
スマートカードリーダーはユーザーデバイス内に作成されることもありますし,別にユーザーデバイスに(通常はUSBまたは蓝牙で)接続することもあります。USB芯片/智能卡接口设备(队伍)仕様に準拠する接触カードリーダーがサポートされます。これらのカードリーダーでは,ユーザーがスマートカードをスロットに挿入したりスワイプしたりします。多伊奇e Kreditwirtschaft(DK)標準は、接触カードリーダーの4つのクラスを定義しています。
- 类1スマトカドリダは最も一般的で,通常1。Class 1スマートカードリーダーは通常、オペレーティングシステム付属の標準CCIDデバイスドライバーでサポートされます。
- 二班スマートカードリーダーには,ユーザーデバイスがアクセスできない安全なキーパッドも含まれています。二班スマートカードリーダーは,内蔵の安全なキーパッドがあるキーボードに搭載される場合があります。类2スマトカドリ,Citrixの担当者に連絡してください。安全なキーパッドの機能を有効化するには,リーダー固有のデバイスドライバーが必要になる場合があります。
- 3类スマトカドリダには,安全なディスプレも含まれます。3类スマトカドリダはサポトされません。
- 类4スマトカドリダには,安全なトランザクションモジュルも含まれます。类4スマトカドリダはサポトされません。
注:
スマトカドリダのクラスは,usbデバスのクラスには無関係です。
スマートカードリーダーは,対応するデバイスドライバーとともにユーザーデバイスにインストールする必要があります。
サポートされているスマートカードリーダーについては,使用しているCitrix工作区アプリのマニュアルを参照してください。サポートされているバージョンは,Citrix工作区アプリのドキュメントでスマートカードの記事でまたはシステム要件に関する記事に掲載されています。
ユザエクスペリエンス
スマートカードのサポートは,デフォルトで有効な特定のICA / HDXスマートカード仮想チャネルを使用して,Citrix虚拟应用程序和桌面に統合されています。
重要:スマトカusbリダレクトを使用しないでください。一部のスマートカードリーダーではこれはデフォルトで無効にされており,有効化した場合サポートされなくなります。
同一ユーザーデバイス上で,複数のスマートカードやスマートカードリーダーを使用することは可能ですが,パススルー認証を使用する場合は1枚のスマートカードを挿入した状態で仮想デスクトップまたはアプリケーションを開始する必要があります。アプリケーション内でスマートカードを使用する場合(デジタル署名または暗号化機能など),スマートカードの挿入または销の入力を求める別のメッセージが表示されることがあります。これは,同時に複数のスマトカドが挿入されている場合に発生します。
- 適切なスマートカードを挿入しているにもかかわらずスマートカードの挿入を求めるメッセージが表示された場合は,[キャンセル]を選択するよう通知します。
- ただし,输入の入力が求められた場合は,输入を再入力する必要があります。
カド管理システムまたはベンダのユティリティを使ってpinをリセットできます。
重要:
Citrix虚拟应用またはCitrix虚拟桌面セッションでは,微软リモートデスクトップ接続アプリケーションでのスマートカードの使用はサポートされません。これは"ダブルホップ"の使用と呼ばれることがあります。
スマトカドを展開する前の確認事項
- スマートカードリーダーのデバイスドライバーを入手して,ユーザーデバイスにインストールする必要があります。微软により提供される赛迪デバイスドライバーは,多くのスマートカードリーダーで使用できます。
- スマートカードベンダーからデバイスドライバーと暗号化サービスプロバイダー(CSP)ソフトウェアを入手して,ユーザーデバイスと仮想デスクトップの両方にインストールします。このドライバーとCSPソフトウェアは,Citrix虚拟应用程序和桌面と互換性がある必要があります。詳しくは,ベンダのドキュメントを参照してください。ミニドライバーモデルのスマートカードを使用する仮想デスクトップでは,スマートカードミニドライバーが自動的にダウンロードされます。また,http://catalog.update.microsoft.comまたはベンダから入手することもできます。さらに,pkcs #11ミドルウェアが必要な場合は,カドベンダから入手してください。
- 重要:Citrixソフトウェアをインストールする前に,物理的なコンピューターにドライバーとCSPソフトウェアをインストールしてテストすることをお勧めします。
- Windows 10で実行するInternet Explorerでスマートカードを使用するユーザーの信頼済みサイトの一覧にCitrix接收机为Web URLを追加します。Windows 10では,Internet Explorerは信頼済みサイトのデフォルトで保護モードでは実行しません。
- PKI(公钥基础设施:公開キー基盤)が適切に構成されていることを確認します。つまり,アカウントマッピングのための証明書がActive Directory環境に対して正しく構成されており,ユーザー証明書の検証を正しく実行できることを確認します。
- Citrix工作区アプリや店面など,スマートカードで使用するほかのCitrixコンポーネントのシステム要件を満たしていることを確認します。
- サ邮箱ト内の以下のサ邮箱バ邮箱にアクセスできることを確認します。
- スマートカード上のログオン証明書に関連付けられているユーザーアカウント用のActive Directoryドメインコントローラー
- 交付控制器
- Citrix店面
- Citrix Gateway/Citrix接入网关10.x
- 的共识
- Microsoft Exchange Server(リモトPCアクセスの場合はオプション)
スマトカド使用の有効化
手順1:カに従って,ユドを発行します。
手順2:必要に応じて,ユザがリモトpcアクセスを実行できるようにスマドをセットアップします。
手順3:交付控制器と店面をインストールして(未インストールの場合),スマートカードのリモート処理用に構成します。
手順4:StoreFrontで,スマトカドの使用を有効にします。詳しくは,StoreFrontドキュメントの「スマートカード認証の構成」を参照してください。
手順5:Citrix网关/接入网关で,スマトカドの使用を有効にします。詳しくは,NetScalerドキュメントの「認証と承認の構成」および「Web Interfaceでのスマートカードアクセスの構成」を参照してください。
手順6:vdaで、スマトカドの使用を有効にします。
- vdaに必要なアプリケションおよび更新が。
- ミドルウェアを邮箱ンスト邮箱ルします。
- ユーザーデバイス上のCitrix工作区アプリと仮想デスクトップセッション間でスマートカードデータ通信が行われるように,スマートカードのリモート処理をセットアップします。
手順7:ユーザーデバイス(ドメインに属しているマシンと属していないマシンを含む)でスマートカードの使用を有効にします。詳しくは,StoreFrontドキュメントの"スマ"を参照してください。
- 証明機関のルト証明書とその証明機関の証明書をデバ。
- ベンダが提供するスマトカドミドルウェアを。
- 窗户向けCitrix工作区アプリをインストールおよび構成して,グループポリシー管理コンソールを使ってicaclient.admをインポートします。また,スマトカド認証を有効にします。
手順8:展開をテストします。テストユーザーのスマートカードで仮想デスクトップを起動して,展開が正しく構成されていることを確認します。すべてのアクセス方法(たとえば,Internet ExplorerおよびCitrix工作区アプリを介したデスクトップアクセスなど)をテストします。
スマトカドリダ挿入回数の追跡
スマートカードのリモート処理では,SCardGetStatusChange関数を使用して,スマートカードがリーダーに対して挿入または削除された回数を追跡できます。この関数は,監視するリーダーごとにSCARD_READERSTATEデータ構造の配列1つを更新します。各SCARD_READERSTATEのdwEventStateフィールドの上位ワード(16ビット)には,リーダーの回数が含まれます。詳しくは,微软の記事SCardGetStatusChangeA函数およびSCARD_READERSTATEA结构を参照してください。
阅读器插入计数报告設定はデフォルトで無効になっています。有効にするには,次のレジストリキを追加します:
HKEY_LOCAL_MACHINE \ \ Citrix \智能卡软件
名前:EnableReaderInsertCountReporting
種類:字
値:ゼロ(0)以外の任意の数
セッションが切断されると,カウントはゼロにリセットされます。
阅读器插入计数报告は,サドパティのスマトカドミドルウェアと互換性があります。