スマートカード
スマートカードおよび同等のテクノロジは,このアーティクルに記載されているガイドライン内でサポートされています。XenAppまたはXenDesktopでスマートカードを使用するには,以下を行う必要があります:
- 所属する組織における,スマートカードの使用に関するセキュリティポリシーを理解します。たとえば,スマートカードがどのように発行され,ユーザーがそれをどのように保護するかについてこれらのポリシーで規定してあることがあります。XenAppおよびXenDesktopの環境では,これらのポリシーの一部の変更が必要になる場合があります。
- どのユーザーデバイスの種類,オペレーティングシステム,および公開アプリケーションがスマートカードとともに使用されるかを決定します。
- スマートカードテクノロジ全般および選択したスマートカードベンダーのハードウェアとソフトウェアについて理解します。
- 分散環境でのデジタル証明書の展開管理方法について理解します。
スマートカードの種類
エンタープライズ向けとコンシューマー向けのスマートカードは,寸法も電気コネクタも同じで,同じスマートカードリーダーを使用できます。
エンタープライズ向けのスマートカードにはデジタル証明書が含まれています。これらのスマートカードはWindowsログオンをサポートしていて,ドキュメントや電子メールのデジタル署名と暗号化のためのアプリケーションと連携して使用できます。XenAppおよびXenDesktopは,これらの用途をサポートしています。
コンシューマー向けのスマートカードにはデジタル証明書は含まれていませんが,共有シークレットが含まれています。これらのスマートカードは,支払い(チップと署名,チップと销クレジットカードなど)をサポートできます。これらのスマートカードは,Windowsログインや一般的なWindowsアプリケーションをサポートしていません。これらのスマートカードと合わせて使用するには,特別なWindowsアプリケーションと,適切なソフトウェアインフラストラクチャ(支払いカードネットワークへの接続など)が必要です。XenAppまたはXenDesktopでのこのような特別なアプリケーションのサポートについて詳しくは,Citrix担当者にお問い合わせください。
エンタープライズ向けスマートカードには,互換性のある同等のものが存在し,類似した方法で使用できます。
- スマートカードと同等のUSBトークンはUSBポートに直接接続します。これらのUSBトークンは通常USBフラッシュドライブのサイズですが,携帯電話で使用されるSIMカードと同じくらい小さいものもあります。それらは,スマートカードとUSBスマートカードリーダーの組み合わせとして表示されます。
- Windowsトラステッドプラットフォームモジュール(TPM:可信平台模块)を使用する仮想スマートカードは,スマートカードとして表示されます。これらの仮想スマートカードは,Citrix接收机以4.3上を使用して,Windows 8およびWindows 10でサポートされます。
- 7.6 XenAppおよびXenDesktopのFP3よりも前のバージョンは,仮想スマートカードをサポートしていません。
- 仮想スマートカードについて詳しくは,”虚拟智能卡概述“を参照してください。
注:“仮想スマートカード”という用語は,単にユーザーコンピューターに保存されたデジタル証明書についても使用されます。これらのデジタル証明書は,厳密にはスマートカードと同等ではありません。
XenAppおよびXenDesktopのスマートカードのサポートは,微软のPC / SC(个人电脑/智能卡)標準仕様に基づいています。スマートカードおよびスマートカードデバイスは、使用するWindowsオペレーティングシステムでサポートされており、Microsoft WHQL(Windows Hardware Quality Lab)により承認されている必要があります。PC/SCに準拠しているハードウェアについては、Microsoft社のドキュメントを参照してください。 その他のタイプのユーザーデバイスは、PS/SC標準に準拠していることがあります。詳しくは、Citrix Readyプログラム(//m.giftsix.com/ready/)を参照してください。
通常,各ベンダーのスマートカードまたは同等のものには,別々のデバイスドライバーが必要です。ただし,スマートカードがNIST个人身份验证(PIV)標準などの標準に準拠している場合,一定範囲のスマートカードに単一のデバイスドライバーを使用できる場合があります。デバイスドライバーをユーザーデバイスと虚拟投递代理(VDA)の両方にインストールする必要があります。多くの場合,デバイスドライバーはCitrixパートナーから入手可能なスマートカードミドルウェアパッケージの一部として提供されます。スマートカードミドルウェアパッケージにより,高度な機能が提供されます。デバイスドライバーは,暗号化サービスプロバイダー(CSP:加密服务提供者),キーストレージプロバイダー(过度增殖:密钥存储提供商),ミニドライバーとして説明されることもあります。
Windowsシステムでは,以下のスマートカードとミドルウェアでのCitrixの動作確認が行われています。ただし,そのほかのスマートカードおよびミドルウェアも使用できます。Citrix互換のスマートカードとミドルウェアについて詳しくは,//m.giftsix.com/readyを参照してください。
| ミドルウェア | スマートカード |
|---|---|
| ActivClient 7.0(国防部モード有効) | 国防部CACカード |
| 此外モードのActivClient 7.0 | NIST PIVカード |
| 微软ミニドライバー | NIST PIVカード |
| 金雅拓迷你驱动为。netカード | 金雅拓。net v2 + |
| 微软ネイティブドライバー | 仮想スマートカード(TPM) |
他の種類のデバイスでのスマートカード使用法について詳しくは,そのデバイスに関するCitrix接收机のドキュメントを参照してください。
他の種類のデバイスでのスマートカード使用法について詳しくは,そのデバイスに関するCitrix接收机のドキュメントを参照してください。
リモートPCアクセス
オフィスで動作する,物理的な窗口10,Windows 8,またはWindows 7マシンにリモートアクセスする場合は,スマートカードがサポートされます。Windows XPマシンへのリモートアクセスでは,スマートカードはサポートされません。
以下のスマートカードが,リモートPCアクセス機能でテストされています。
| ミドルウェア | スマートカード |
|---|---|
| 金雅拓。netミニドライバー | 金雅拓。net v2 + |
| ActivIdentity ActivClient 6.2 | NIST PIV |
| ActivIdentity ActivClient 6.2 | CAC |
| 微软ミニドライバー | NIST PIV |
| 微软ネイティブドライバー | 仮想スマートカード |
スマートカードリーダーの種類
スマートカードリーダーはユーザーデバイス内に作成されることもありますし,別にユーザーデバイスに(通常はUSBまたは蓝牙で)接続することもあります。USB芯片/智能卡接口设备(队伍)仕様に準拠する接触カードリーダーがサポートされます。これらのカードリーダーでは,ユーザーがスマートカードをスロットに挿入したりスワイプしたりします。多伊奇e Kreditwirtschaft(DK)標準は、接触カードリーダーの4つのクラスを定義しています。
- 类1スマートカードリーダーは最も一般的で,通常1つのみのスロットを備えています。Class 1スマートカードリーダーは通常、オペレーティングシステム付属の標準CCIDデバイスドライバーでサポートされます。
- 二班スマートカードリーダーには,ユーザーデバイスがアクセスできない安全なキーパッドも含まれています。二班スマートカードリーダーは,内蔵の安全なキーパッドがあるキーボードに搭載される場合があります。二班スマートカードリーダーについては,Citrixの担当者に連絡してください。安全なキーパッドの機能を有効化するには,リーダー固有のデバイスドライバーが必要になる場合があります。
- 3班スマートカードリーダーには,安全なディスプレイも含まれます。3班スマートカードリーダーはサポートされません。
- 第4类スマートカードリーダーには,安全なトランザクションモジュールも含まれます。第4类スマートカードリーダーはサポートされません。
注:スマートカードリーダーのクラスは,USBデバイスのクラスには無関係です。
スマートカードリーダーは,対応するデバイスドライバーとともにユーザーデバイスにインストールする必要があります。
サポートされているスマートカードリーダーについては,使用しているCitrix接收机のマニュアルを参照してください。サポートされているバージョンは,通常,Citrix接收机のドキュメントでスマートカードの記事でまたはシステム要件に関する記事に掲載されています。
ユーザーエクスペリエンス
スマートカードのサポートは,デフォルトで有効な特定のICA / HDXスマートカード仮想チャネルを使用して,XenAppおよびXenDesktopに統合されています。
重要:スマートカードリーダーでは汎用USBリダイレクトを使用しないでください。一部のスマートカードリーダーではこれはデフォルトで無効にされており,有効化した場合サポートされなくなります。
同一ユーザーデバイス上で,複数のスマートカードやスマートカードリーダーを使用することは可能ですが,パススルー認証を使用する場合は1枚のスマートカードを挿入した状態で仮想デスクトップまたはアプリケーションを開始する必要があります。アプリケーション内でスマートカードを使用する場合(デジタル署名または暗号化機能など),スマートカードの挿入または销の入力を求めるメッセージが表示されることがあります。これは,同時に複数のスマートカードが挿入されている場合に発生します。
- 適切なスマートカードを挿入しているにもかかわらずスマートカードの挿入を求めるメッセージが表示された場合は,[キャンセル]をクリックするよう通知します。
- ただし,销の入力が求められた場合は,销を再入力する必要があります。
微软社のベーススマートカード暗号化サービスプロバイダー(CSP)によるスマートカードを使用する場合,Windows Server 2008または2008 R2が動作するサーバー上のアプリケーションにユーザーがアクセスすると,ほかのユーザーがスマートカードでログオンできなくなります。これについての詳細および修正プログラムについては,https://support.microsoft.com/kb/949538を参照してください。
カード管理システムまたはベンダーのユーティリティを使って销をリセットできます。
重要
XenAppまたはXenDesktopセッションでは,微软リモートデスクトップ接続アプリケーションでのスマートカードの使用はサポートされません。これは”ダブルホップ”の使用と呼ばれることがあります。
スマートカードを展開する前の確認事項
- スマートカードリーダーのデバイスドライバーを入手して,ユーザーデバイスにインストールする必要があります。微软により提供される赛迪デバイスドライバーは,多くのスマートカードリーダーで使用できます。
- スマートカードベンダーからデバイスドライバーと暗号化サービスプロバイダー(CSP)ソフトウェアを入手して,ユーザーデバイスと仮想デスクトップの両方にインストールします。このドライバーとCSPソフトウェアは,XenAppやXenDesktopと互換性がある必要があります。詳しくは,ベンダーのドキュメントを参照してください。ミニドライバーモデルのスマートカードを使用する仮想デスクトップでは,スマートカードミニドライバーが自動的にダウンロードされます。また,https://catalog.update.microsoft.comまたはベンダーから入手することもできます。さらに,PKCS # 11ミドルウェアが必要な場合は,カードベンダーから入手してください。
- 重要:Citrixソフトウェアをインストールする前に,物理的なコンピューターにドライバーとCSPソフトウェアをインストールしてテストすることをお勧めします。
- Windows 10で実行するInternet Explorerでスマートカードを実行するユーザーの信頼済みサイトの一覧にCitrix接收机为Web URLを追加します。Windows 10では,Internet Explorerは信頼済みサイトのデフォルトで保護モードでは実行しません。
- PKI(公钥基础设施:公開キー基盤)が適切に構成されていることを確認します。つまり,アカウントマッピングのための証明書がActive Directory環境に対して正しく構成されており,ユーザー証明書の検証を正しく実行できることを確認します。
- Citrix接收机や店面など,スマートカードで使用するほかのCitrixコンポーネントのシステム要件を満たしていることを確認します。
- サイト内の以下のサーバーにアクセスできることを確認します。
- スマートカード上のログオン証明書に関連付けられているユーザーアカウント用のActive Directoryドメインコントローラー
- 交付控制器
- Citrix店面
- Citrix NetScaler Gateway/Citrix Access Gateway 10.x
- 的共识
- Microsoft Exchange Server(リモートPCアクセスの場合はオプション)
スマートカード使用の有効化
手順1:カードの発行ポリシーに従って,ユーザーにスマートカードを発行します。
手順2:必要に応じて,ユーザーがリモートPCアクセスを実行できるようにスマートカードをセットアップします。
手順3:交付控制器と店面をインストールして(未インストールの場合),スマートカードのリモート処理用に構成します。
手順4:店面で,スマートカードの使用を有効にします。詳しくは,店面ドキュメントの”スマートカード認証の構成“を参照してください。
手順5:NetScaler网关/访问网关でスマートカードの使用を有効にします。詳しくは,NetScalerドキュメントの”認証と承認の構成“および“Web界面でのスマートカードアクセスの構成“を参照してください。
手順6:vdaで,スマートカードの使用を有効にします。
- VDAに必要なアプリケーションおよび更新がインストール済みであることを確認します。
- ミドルウェアをインストールします。
- ユーザーデバイス上のCitrix接收机と仮想デスクトップセッション間でスマートカードデータ通信が行われるように,スマートカードのリモート処理をセットアップします。
手順7:ユーザーデバイス(ドメインに属しているマシンと属していないマシンを含む)でスマートカードの使用を有効にします。詳しくは,店面ドキュメントの”スマートカード認証の構成“を参照してください。
- 証明機関のルート証明書とその証明機関の証明書をデバイスのキーストア内にインポートします。
- ベンダーが提供するスマートカードミドルウェアをインストールします。
- Citrix接收机为Windowsをインストールおよび構成して,グループポリシー管理コンソールを使ってicaclient.admをインポートします。また,スマートカード認証を有効にします。
手順8.展開をテストします。テストユーザーのスマートカードで仮想デスクトップを起動して,展開が正しく構成されていることを確認します。すべてのアクセス方法(たとえば,Internet ExplorerおよびCitrix接收机を介したデスクトップアクセスなど)をテストします。