派生資格情報

派生資格情報によって、モバイルデバイスに強力なユーザー認証が得られます。資格情報は、スマートカードから派生したもので、カードの代わりにモバイルデバイスの中に存在します。スマートカードは、Personal Identity Verification(PIV)カードです。

派生資格情報は、UPNなどのユーザー識別子を含む登録証明書です。Endpoint Managementは、資格情報プロバイダーから取得した資格情報をデバイスの安全なコンテナーに保管します。

Endpoint Managementでは、デバイスの登録と認証に派生資格情報を使用できます。派生資格情報をEndpoint Managementで構成した場合、登録招待状や他の登録モードはサポートされません。iOSの登録で派生資格情報を使用できます。

アーキテクチャ

登録では、Endpoint Managementコンポーネントが以下の図に示すように接続しています。

派生資格情報登録のアーキテクチャ図

  • デバイス登録中に、Secure Hubは派生資格情報アプリから証明書を取得します。
  • 派生資格情報アプリは、登録中に資格情報管理サーバーと通信します。
  • 資格情報管理サーバーとサードパーティPKIプロバイダーについては、同一のサーバーを使用することも、別のサーバーを使用することもできます。
  • Endpoint Managementは、サードパーティPKIサーバーに接続して証明書を取得します。

要件

  • Citrix Secure Hubをダウンロードしてインストールします。
  • 派生資格情報を使用して、アプリをダウンロードして構成します:

    • Entrust Datacardの場合:
      • Endpoint Managementの登録に、デバイスでCitrix Derived Credential Managerアプリをダウンロードしてインストールします。Derived Credentials Managerアプリは、シトリックスのIDプロバイダーアプリです。以下は、このアプリのロゴです。 派生資格情報アプリのロゴの画像

        注:

        Citrix Derived Credentials Managerアプリは、新しい登録のみをサポートします。デバイスユーザーは再登録する必要があります。

      • Endpoint ManagementでMDM+MAMモードを構成する必要があります。
    • その他の派生情報資格プロバイダー:その他の資格情報ソリューションのほとんどは、おそらくXenMobileと互換性がありますが、実稼働させる前に統合テストをしてください。
  • 資格情報プロバイダーサーバーに証明書を発行する証明機関のルート証明書を持つ必要があります。その設定によって、Endpoint Managementは登録中にデジタル署名済みの証明書を受信することができます。証明書の追加について詳しくは、「証明書と認証」を参照してください。
    • ユーザーのメールドメインがLDAPドメインと異なる場合は、メールドメインを、[設定]>[LDAP]ドメインエイリアス設定に含めます。たとえば、メールアドレスのドメインがcitrix.comで、LDAPドメイン名がsample.comの場合は、ドメインエイリアスsample.com, citrix.comに設定します。
    • Endpoint Managementでは、共有デバイスでの派生資格情報の使用をサポートしていません。
  • ユーザーID証明書
    • サブジェクトの別名フィールドのユーザー名は、SujectAltName拡張のotherNameフィールド、rfc822Nameフィールド、またはdNSNameフィールドの形式である必要があります。その他のフィールドはサポートされていません。サブジェクトの別名について詳しくは、RFC、https://www.ietf.org/rfc/rfc5280.txtを参照してください。
    • メールまたはCNのサブジェクトフィールド内のユーザIDはサポートされていません。
  • 証明書認証または証明書+セキュリティトークン認証用に構成されたCitrix Gateway

派生資格情報の有効化

デフォルト設定では、Endpoint Managementコンソールに [設定]>[派生資格情報] ページはありません。

派生資格情報のインターフェイスを有効にするには:

  • [設定]>[サーバープロパティ] の順に移動し、サーバー属性derived.credentials.enableを追加してプロパティをtrueに設定します。

[サーバープロパティ]構成画面の画像

派生資格情報の構成

以下の手順では、Endpoint Managementとの統合を計画している派生資格情報プロバイダーについて、実用的な構成があることを前提としています。手順の実行後に、目的のサーバーと通信するようにEndpoint Managementを構成できます。また、Endpoint Managementに追加済みの派生資格情報のCA証明書を選択するか、CA証明書をインポートできます。

そのCA証明書のオンライン証明書状態プロトコル(OCSP)サポートをアクティブにすることができます。OCSPについて詳しくは、「PKIエンティティ」の「任意CA」を参照してください。

  1. Endpoint Managementコンソールで、[設定]>[iOSの派生資格情報] の順に選択します。

  2. [派生資格情報のプロバイダーを選択] の場合、Entrust Datacardで [その他] を選択します。[アプリケーションURL(iOS)]dcapp://mode=SecureHubを入力します。

    派生資格情報構成画面の画像

  3. オプションのパラメーター: 派生資格情報プロバイダーの中には、接続のパラメーターを指定する必要があるものもあります。たとえば、ベンダーがバックエンドサーバーのURLを指定することを要求する場合もあります。[追加] をクリックしてパラメーターを設定します。

  4. 派生資格情報の証明書を指定します。証明書をEndpoint Managementにアップロード済みの場合は、[発行者CA]でその証明書を選択します。それ以外の場合は、[インポート] をクリックして証明書を追加します。[証明書のインポート] ダイアログボックスが開きます。

  5. [証明書のインポート] ダイアログボックスで、[参照] をクリックし、証明書を選択します。次に、[参照] をクリックし、秘密キーファイルを選択します。

    派生資格情報構成画面の画像

  6. 次の設定を構成します。
    • Citrix Derived Credentials Managerアプリの場合: [ユーザー識別子のフィールド]サブジェクトの別名で、[ユーザー識別子の種類]userPrincipalNameです。
    • その他の派生資格情報プロバイダーの情報については、当該プロバイダーに連絡してください。
  7. 証明書失効のチェックにOCSPレスポンダーを使用することもできます。セキュリティ上の理由から、OCSPレスポンダーを使用することをお勧めします。デフォルトでは、OCSPチェックはオフになっています。

    • CA証明書のOCSPサポートをアクティブにする場合、[OCSPのカスタムURLを使用]のオプションを選択します。デフォルトでは、Endpoint ManagementはOCSP URLを証明書([失効の証明書定義を使用] オプション)から抽出します。レスポンダーURLを指定するには、[カスタムを使用] をクリックしてURLを入力します。
    • レスポンダーCA[レスポンダーCA] から証明書を選択します。または、[インポート] をクリックし、次に [証明書のインポート] ダイアログボックスを使用して証明書を検索します。
  8. [保存] をクリックします。[派生資格情報を有効にする] ダイアログボックスが表示されます。

    派生資格情報構成画面の画像

    • 派生資格情報構成を有効にするには、[保存] をクリックします。派生資格情報を使用するには、登録設定も構成する必要があります。

    • 派生資格情報構成を有効にして、そのまま [設定]>[登録] に進むには、[保存して登録に移動] をクリックします。

  9. 派生資格情報を登録のために有効にするには、[設定]>[登録] ページの [詳細な登録] の下にある 派生資格情報(iOSのみ)] を選択して [有効化] をクリックします。

    登録構成画面の画像

  10. 確認ダイアログボックスが開きます。派生資格情報を有効にするには、チェックボックスを選択し、[有効化] をクリックします。

    登録構成画面の画像

  11. 派生資格情報登録のためにオプションを編集するには、[設定]>[登録] の順に選択し、[派生資格情報(iOSのみ)] を選択して、[編集] をクリックします。

派生資格情報を有効にした後:デバイス登録 レポートで、[登録モード] 列に derived_credentials が表示されます。

Secure Mail用にEndpoint Managementを構成する

Secure Mailが派生資格情報で正しく動作するようにするには、LDAP属性のクライアントプロパティを追加します。クライアントプロパティの追加について詳しくは「クライアントプロパティ」を参照してください。

クライアントプロパティには、次の情報を使用します:

  • キー: SEND_LDAP_ATTRIBUTES
  • 値: userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname},displayName=${user.displayName},mail=${user.mail}

[クライアントプロパティ]構成画面の画像

iOSデバイスでEntrust Datacard資格情報をアクティブ化する

注:

Entrust Webサイトを使用する場合:

  • PIVカードをプログラミングするときに、Internet ExplorerブラウザーでJavaを有効にしてください。
  • PIVカードを変更するときには、ブラウザーキャッシュを消去してください。
  1. 新しいスマート資格情報を要求するには、デスクトップまたはデバイスを使用してEntrustサイトにログインします。ページ下部の “Smart Credential Log In” のボタンを使用してログインします。デスクトップに取り付けられたスマートカードリーダーにユーザーが各自のカードを挿入します。

    Entrustログインページの画像

  2. “Self-Administration Actions”“I’d like to enroll for a derived mobile smart credential” を選択し、”Done” をクリックします。

    Entrust管理操作の画像

  3. “Derived Mobile Smart Credential” 画面で、“Identity Name” を入力します。ユーザー名やID番号のような一意の名前を選択できます。
  4. 派生資格情報アプリメニューでCitrix DCAPP を選択し、“OK” をクリックします。

    モバイルのスマート派生資格情報の画像

    QRコードのアクティブ化画面が開き、モバイルデバイスでコードをスキャンするよう求められます。

    注:

    デフォルトで、派生資格情報のQRコードの有効期限は3分です。

  5. デバイスのDerived Credential Managerアプリを使用してQRコードをスキャンし、アクティブ化を完了します。

    モバイルのスマート派生資格情報のQRコードをアクティブ化する画像

デバイス登録

前述のセットアップの完了後、ユーザーは派生資格情報でデバイスを登録できます。

注:

このセクションのスクリーンショットでは、例としてEntrust Datacardを使用しています。

  1. タップしてSecure Hubを開きます。プロンプトが表示されたら、 Endpoint Managementサーバーの完全修飾ドメイン名を入力して “次へ” をクリックします。
  2. “はい、登録します” をクリックします。Secure Hubでデバイスの登録が開始されます。

    Secure Hubの登録の画像

    Endpoint Managementで派生資格情報が構成されている場合、Citrix PINを作成し確認するように求められます。

    Secure HubのPIN確認の画像

    Citrix PINの確認後、派生資格情報セットアップのスプラッシュ画面が開きます。指示に従ってスマート資格情報をアクティブ化します。

  3. “Scan code” をタップします。携帯電話のカメラが起動します。

    スプラッシュ画面の画像

    注:

    QRコードをスキャンするには、カメラとマイクが有効で、これらの機能を使用するために必要なアクセス権限があることを確認してください。

  4. 派生資格情報アプリで、前述の手順で作成されたQRコードをスキャンします。

    QRコードのスキャン画像

  5. QRコードのスキャン後、“Import New Certificate” 画面のパスワードダイアログボックスにパスワードを入力して “OK” をクリックします。

    証明書のパスワードの画像

    “Import New Certificate” 画面のフィールドが自動入力されます。

    新しい証明書の画像

  6. 証明書が追加された後、“Derived Credentials” 画面で “Start Enrollment” をクリックします。

    “Start Enrollment”の画像

  7. Secure Hubで、プロンプトが表示されたら新しいPINを入力します。

    PINの認証後に、Secure Hubによって証明書がダウンロードされます。後はプロンプトに従って登録を完了させます。

Endpoint Managementコンソールでデバイス情報を表示するには:

  • [管理]>[デバイス] の順に移動し、コマンドボックスを表示するデバイスを選択します。[詳細表示] をクリックします。
  • [分析]>[ダッシュボード] の順に移動します。