スマートカード展開
この製品バージョンおよびこのバージョンと以前のバージョンとの混在環境では,以下の種類のスマートカード展開がサポートされます。そのほかの構成でも使用できる場合がありますが,サポートの対象外です。
| 種類 | 店面への接続 |
|---|---|
| ローカルのドメイン参加コンピューター | 直接接続 |
| ドメイン参加コンピューターからのリモートアクセス | NetScaler网关経由の接続 |
| ドメイン不参加コンピューター | 直接接続 |
| ドメイン不参加コンピューターからのリモートアクセス | NetScaler网关経由の接続 |
| デスクトップアプライアンスサイトにアクセスするドメイン不参加コンピューターおよびシンクライアント | デスクトップアプライアンスサイト経由の接続 |
| XenApp服务サイト経由で店面にアクセスするドメイン参加コンピューターおよびシンクライアント | XenApp服务サイト経由の接続 |
展開の種類は,スマートカードリーダーが接続されているユーザーデバイスの特徴により定義されます。
- デバイスがドメインに参加しているか参加していないか。
- デバイスが店面にどのように接続するか。
- 仮想デスクトップやアプリケーションの表示にどのソフトウェアを使用するか。
これらの展開では,Microsoft WordやMicrosoft Excelなど,スマートカード対応のアプリケーションを使用できます。ユーザーは,これらのアプリケーションを使用してドキュメントにデジタル署名を追加したり,ドキュメントを暗号化したりできます。
2.モード認証
これらの各展開で可能な箇所では、スマートカードを使用するのか、ユーザー名およびパスワードを入力するのかをユーザーに選択させる2.モード認証を接受者がサポートします。この機能は、ユーザーがスマートカードを使用できない場合(スマートカードを自宅に忘れた場合や資格情報の有効期限が切れた場合など)に便利です。
ドメイン不参加デバイスのユーザーは接收机为Windowsに直接ログオンするため,管理者は指定ユーザー認証へのフォールバックを有効にすることができます。2.モード認証を構成した場合、ユーザーは最初にスマートカードとPINを使ったログオンを要求されますが、スマートカードでログオンできない場合は指定ユーザー認証を選択することができます。
NetScaler网关を使用する環境では、ユーザーはデバイスにログオンし、NetScaler网关の認証を受けるように窗口接收器から要求されます。これはドメイン参加デバイスとドメイン不参加デバイスの両方に適用されます。ユーザーは、スマートカードと大头针を使って、または指定ユーザーの資格情報を使ってNetScaler网关にログオンできます。これにより、NetScaler网关にログオンするときの2.モード認証をユーザーに提供できます。ユーザーが店面に透過的に認証されるように、NetScaler网关から店面へのパススルー認証を構成し、スマートカードユーザーの資格情報の検証をNetScaler网关に委任します。
複数Active Directoryフォレストでの考慮事項
Citrix環境では,スマートカードは単一のフォレスト内でサポートされます。フォレスト間でのスマートカード認証には,すべてのユーザーアカウントに対する直接の双方向の信頼関係が必要です。より複雑なマルチフォレスト展開(一方向のみまたはそのほかの信頼関係が設定された複数フォレスト展開)はサポートされていません。
リモートデスクトップを含むCitrix環境でスマートカードを使用できます。この機能は(スマートカードが接続されるユーザーデバイス上に)ローカルにインストールしたり,(ユーザーデバイスが接続するリモートデスクトップ上に)リモートにインストールしたりできます。
スマートカード取り出し時の動作ポリシー
スマートカード取り出し時の動作ポリシーの設定により、セッション中にスマートカードリーダーからカードを取り出したときの処理が制御されます。このポリシーは、窗户オペレーティングシステムで設定します。
| ポリシー設定 | デスクトップの動作 |
|---|---|
| 何もしない | 何もしない。 |
| ワークステーションをロック | デスクトップセッションは切断され、仮想デスクトップはロックされます。 |
| ログオフを強制する | ユーザーは強制的にログオフされます。ネットワーク接続が失われ,この設定が有効な場合,セッションはログオフされてユーザーのデータは消失します。 |
| リモートターミナルサービスセッションの場合に切断 | セッションは切断され,仮想デスクトップはロックされます。 |
証明書失効のチェック
証明書失効のチェックが有効な場合,スマートカードの証明書が有効かどうか検出されます。証明書が無効な場合,ユーザー認証に失敗したり,その証明書に関連付けられているデスクトップやアプリケーションへのアクセスが拒否されたりします。たとえば,メールの復号化用の証明書が無効な場合,暗号化されたメールを復号化できなくなります。同じスマートカード上に有効なほかの証明書がある場合,その機能については有効なままとなります。たとえば,認証用の証明書が有効な場合,ユーザー認証に成功します。
展開例:ドメイン参加コンピューター
この展開には、桌面浏览器を実行し,店面に直接接続する,ドメインに参加しているユーザーデバイスが含まれています。
ユーザーは、スマートカードと大头针を使ってデバイスにログオンします。接受者は、店面サーバーにアクセスするユーザーを統合窗户認証(IWA)で認証します。店面により、ユーザーのセキュリティ識別子(SID)が塞纳普またはXenDesktopに渡されます。接受者でシングルサインオン機能が構成されているため、ユーザーが仮想デスクトップやアプリケーションを起動するときに大头针を再入力する必要はありません。
この展開は2つ目の店面サーバーとアプリケーションをホストするサーバーを追加してダブルホップ形式に拡張できます。仮想デスクトップの接收机は,2つ目の店面サーバーへの認証を実行します。この2つ目の接続では任意の認証方法を使用できます。最初の接続で使用した認証方法を2つ目の接続で再使用したり,または2つ目の接続で異なる方法を使用したりできます。
展開例:ドメイン参加コンピューターからのリモートアクセス
この展開には、桌面浏览器を実行し,NetScaler网关/访问网关を介して店面に接続する,ドメインに参加しているユーザーデバイスが含まれています。
ユーザーはスマートカードと销を使ってデバイスにログオンし,次にNetScaler网关/访问网关にもう一度ログオンします。この展開では接收机で2モード認証を使用できるため,この2つ目のログオンではスマートカードと销を使用したりユーザー名とパスワードを入力したりできます。
ユーザーは自動的に店面にログオンし、ユーザーセキュリティ識別子(SID)が塞纳普またはXenDesktopに渡されます。接受者でシングルサインオン機能が構成されているため、ユーザーが仮想デスクトップやアプリケーションを起動するときに大头针を再入力する必要はありません。
この展開は2つ目の店面サーバーとアプリケーションをホストするサーバーを追加してダブルホップ形式に拡張できます。仮想デスクトップの接收机は,2つ目の店面サーバーへの認証を実行します。この2つ目の接続では任意の認証方法を使用できます。最初の接続で使用した認証方法を2つ目の接続で再使用したり,または2つ目の接続で異なる方法を使用したりできます。
展開例:ドメイン不参加コンピューター
この展開には、桌面浏览器を実行し,店面に直接接続する,ドメイン不参加のユーザーデバイスが含まれています。
ユーザーがデバイスにログオンします。通常はユーザー名とパスワードを入力しますが,デバイスがドメインに参加していないため,このログオンでの資格情報の入力は必須ではありません。この展開では2モード認証を使用できるため,接收机ではスマートカードと销,またはユーザー名とパスワードのいずれかの入力が求められます。その後,接收机が店面への認証を実行します。
店面により、ユーザーのセキュリティ識別子(SID)が塞纳普またはXenDesktopに渡されます。この展開ではシングルサインオン機能を使用できないため、ユーザーが仮想デスクトップやアプリケーションを起動するときに大头针を再入力する必要があります。
この展開は2つ目の店面サーバーとアプリケーションをホストするサーバーを追加してダブルホップ形式に拡張できます。仮想デスクトップの接收机は,2つ目の店面サーバーへの認証を実行します。この2つ目の接続では任意の認証方法を使用できます。最初の接続で使用した認証方法を2つ目の接続で再使用したり,または2つ目の接続で異なる方法を使用したりできます。
展開例:ドメイン不参加コンピューターからのリモートアクセス
この展開には、桌面浏览器を実行し,店面に直接接続する,ドメイン不参加のユーザーデバイスが含まれています。
ユーザーがデバイスにログオンします。通常はユーザー名とパスワードを入力しますが,デバイスがドメインに参加していないため,このログオンでの資格情報の入力は必須ではありません。この展開では2モード認証を使用できるため,接收机ではスマートカードと销,またはユーザー名とパスワードのいずれかの入力が求められます。その後,接收机が店面への認証を実行します。
店面により、ユーザーのセキュリティ識別子(SID)が塞纳普またはXenDesktopに渡されます。この展開ではシングルサインオン機能を使用できないため、ユーザーが仮想デスクトップやアプリケーションを起動するときに大头针を再入力する必要があります。
この展開は2つ目の店面サーバーとアプリケーションをホストするサーバーを追加してダブルホップ形式に拡張できます。仮想デスクトップの接收机は,2つ目の店面サーバーへの認証を実行します。この2つ目の接続では任意の認証方法を使用できます。最初の接続で使用した認証方法を2つ目の接続で再使用したり,または2つ目の接続で異なる方法を使用したりできます。
展開例:デスクトップアプライアンスサイトにアクセスするドメイン不参加コンピューターおよびシンクライアント
この展開には、桌面锁を実行し、デスクトップアプライアンスサイトを介して店面に接続する、ドメイン不参加のユーザーデバイスが含まれています。
桌面锁はXenApp、XenDesktopおよびCitrix VDI-in-a-Boxと一緒にリリースされる個別のコンポーネントです。桌面浏览器の代替として使用でき,主に再目的化されたWindowsコンピューターおよびWindowsシンクライアント向けに設計されています。桌面锁はユーザーデバイス上のWindows Shellとタスクマネージャーを置き換えるもので,これによりユーザーはそのデバイスに直接アクセスできなくなります。桌面锁により,ユーザーにはWindows ServerおよびWindows桌面のデスクトップが提供されます。桌面锁のインストールは必須ではありません。
ユーザーは、スマートカードを使ってデバイスにログオンします。桌面锁を実行するデバイスは、キオスクモードで動作するInternet Explorerを介してデスクトップアプライアンスサイトを起動するように構成されます。サイトのActiveXコントロールにより大头针の入力が求められ、それが店面に送信されます。店面により、ユーザーのセキュリティ識別子(SID)が塞纳普またはXenDesktopに渡されます。割り当てられたデスクトップグループ一覧で使用可能な(アルファベット順で)最初のデスクトップが起動します。
この展開は2つ目の店面サーバーとアプリケーションをホストするサーバーを追加してダブルホップ形式に拡張できます。仮想デスクトップの接收机は,2つ目の店面サーバーへの認証を実行します。この2つ目の接続では任意の認証方法を使用できます。最初の接続で使用した認証方法を2つ目の接続で再使用したり,または2つ目の接続で異なる方法を使用したりできます。
展開例:XenApp服务サイト経由で店面にアクセスするドメイン参加コンピューターおよびシンクライアント
この展開には、桌面锁を実行し、XenApp服务URLを介して店面に接続する、ドメインに参加しているユーザーデバイスが含まれています。
桌面锁はXenApp、XenDesktopおよびCitrix VDI-in-a-Boxと一緒にリリースされる個別のコンポーネントです。桌面浏览器の代替として使用でき,主に再目的化されたWindowsコンピューターおよびWindowsシンクライアント向けに設計されています。桌面锁はユーザーデバイス上のWindows Shellとタスクマネージャーを置き換えるもので,これによりユーザーはそのデバイスに直接アクセスできなくなります。桌面锁により,ユーザーにはWindows ServerおよびWindows桌面のデスクトップが提供されます。桌面锁のインストールは必須ではありません。
ユーザーは、スマートカードと大头针を使ってデバイスにログオンします。デバイス上で桌面锁が動作している場合は、店面サーバーでのユーザー認証に統合窗户認証(IWA)が使用されます。店面により、ユーザーのセキュリティ識別子(SID)が塞纳普またはXenDesktopに渡されます。接受者でシングルサインオン機能が構成されているため、ユーザーが仮想デスクトップを起動するときに大头针を再入力する必要はありません。
この展開は2つ目の店面サーバーとアプリケーションをホストするサーバーを追加してダブルホップ形式に拡張できます。仮想デスクトップの接收机は,2つ目の店面サーバーへの認証を実行します。この2つ目の接続では任意の認証方法を使用できます。最初の接続で使用した認証方法を2つ目の接続で再使用したり,または2つ目の接続で異なる方法を使用したりできます。