スマートカード
スマートカードおよび同等のテクノロジーは、この記事で説明されているガイドライン内でサポートされています。Citrix Virtual AppsまたはCitrix Virtual Desktops™でスマートカードを使用するには、次のとおりです。
- スマートカードの使用に関する組織のセキュリティポリシーを理解してください。これらのポリシーには、たとえば、スマートカードの発行方法やユーザーがスマートカードを保護する方法が記載されている場合があります。これらのポリシーの一部は、Citrix Virtual Apps™またはCitrix Virtual Desktops環境で再評価する必要があるかもしれません。
- スマートカードで使用するユーザーデバイスの種類、オペレーティングシステム、および公開アプリケーションを決定します。
- スマートカードテクノロジーと、選択したスマートカードベンダーのハードウェアおよびソフトウェアについて理解を深めてください。
- 分散環境でデジタル証明書を展開する方法を把握してください。
注:
スマートカード登録は、高速スマートカードではサポートされていません。高速スマートカードが無効になっている場合、スマートカード登録は機能する可能性がありますが、スマートカードとミドルウェアの種類によって異なります。Citrix Virtual Apps and Desktopsとの統合および仮想セッションを介したスマートカード登録のサポートについては、スマートカードおよびミドルウェアベンダーにお問い合わせください。
スマートカードの種類
エンタープライズスマートカードとコンシューマースマートカードは、同じ寸法、電気コネクタを持ち、同じスマートカードリーダーに適合します。
エンタープライズ用途のスマートカードには、デジタル証明書が含まれています。これらのスマートカードはWindowsログオンをサポートし、ドキュメントや電子メールのデジタル署名および暗号化のためのアプリケーションでも使用できます。Citrix Virtual Apps and Desktops™はこれらの用途をサポートしています。
コンシューマー用途のスマートカードにはデジタル証明書は含まれていません。共有シークレットが含まれています。これらのスマートカードは、支払い(チップと署名、またはチップとPINのクレジットカードなど)をサポートできます。Windowsログオンや一般的なWindowsアプリケーションはサポートしていません。これらのスマートカードを使用するには、特殊なWindowsアプリケーションと適切なソフトウェアインフラストラクチャ(たとえば、支払いカードネットワークへの接続を含む)が必要です。Citrix Virtual AppsまたはCitrix Virtual Desktopsでこれらの特殊なアプリケーションをサポートする方法については、Citrix担当者にお問い合わせください。
エンタープライズスマートカードには、同様の方法で使用できる互換性のある同等品があります。
- スマートカードと同等のUSBトークンは、USBポートに直接接続します。これらのUSBトークンは通常、USBフラッシュドライブと同じくらいのサイズですが、携帯電話で使用されるSIMカードと同じくらい小さい場合もあります。これらは、スマートカードとUSBスマートカードリーダーの組み合わせとして表示されます。
- Windows Trusted Platform Module (TPM) を使用する仮想スマートカードは、スマートカードとして表示されます。これらの仮想スマートカードは、Citrix Workspace app (最小バージョン Citrix Receiver 4.3) を使用して、Windows 8およびWindows 10でサポートされています。
- XenAppおよびXenDesktop 7.6 FP3より前のシトリックス バーチャル アプリケーションズ アンド デスクトップス(旧XenAppおよびXenDesktop)のバージョンは、仮想スマートカードをサポートしていません。
- 仮想スマートカードの詳細については、「仮想スマートカードの概要」を参照してください。
注: 「仮想スマートカード」という用語は、ユーザーコンピューターに保存されているデジタル証明書を指す場合もあります。これらのデジタル証明書は、厳密にはスマートカードと同等ではありません。
Citrix Virtual Apps and Desktops のスマートカードサポートは、Microsoft Personal Computer/Smart Card (PC/SC) 標準仕様に基づいています。最低要件として、スマートカードとスマートカードデバイスは、基盤となるWindowsオペレーティングシステムによってサポートされ、Microsoft Windows Hardware Quality Labs (WHQL) によって認定されている必要があります。これにより、対象となるWindowsオペレーティングシステムを実行しているコンピューターで使用できます。ハードウェアのPC/SC準拠に関する追加情報については、Microsoftのドキュメントを参照してください。他の種類のユーザーデバイスもPS/SC標準に準拠している場合があります。詳細については、「Citrix Readyプログラム」を参照してください。
通常、各ベンダーのスマートカードまたは同等のものには、個別のデバイスドライバーが必要です。ただし、スマートカードがNIST Personal Identity Verification (PIV) 標準などの標準に準拠している場合、さまざまなスマートカードに単一のデバイスドライバーを使用できる可能性があります。デバイスドライバーは、ユーザーデバイスとVirtual Delivery Agent (VDA) の両方にインストールする必要があります。デバイスドライバーは、Citrixパートナーから入手できるスマートカードミドルウェアパッケージの一部として提供されることが多く、スマートカードミドルウェアパッケージは高度な機能を提供します。デバイスドライバーは、Cryptographic Service Provider (CSP)、Key Storage Provider (KSP)、またはミニドライバーとも呼ばれることがあります。
Windowsシステム用の以下のスマートカードとミドルウェアの組み合わせは、Citrixによってそのタイプの代表的な例としてテストされています。ただし、他のスマートカードとミドルウェアも使用できます。Citrix互換のスマートカードとミドルウェアの詳細については、http://www.citrix.com/readyを参照してください。
| ミドルウェア | 対応カード |
|---|---|
| Gemalto .NETカード用ミニドライバー | ジェムアルト .NET v2+ |
他の種類のデバイスでのスマートカードの使用については、そのデバイス用のCitrix Workspace™アプリのドキュメントを参照してください。
リモートPCアクセス
スマートカードは、Windows 10、Windows 8、またはWindows 7を実行している物理的なオフィスPCへのリモートアクセスでのみサポートされます。
以下のスマートカードは、Remote PC Accessでテストされました。
| ミドルウェア | 対応カード |
|---|---|
| ジェムアルト .NET ミニドライバー | ジェムアルト .NET v2以降 |
高速スマートカード
高速スマートカードは、既存のHDX PC/SCベースのスマートカードリダイレクトを改善したものです。スマートカードが高遅延のWAN環境で使用される場合、パフォーマンスが向上します。遅延が大きい場合、パフォーマンスの向上は顕著になります(例: Windowsの高速スマートカードログオンでは15秒、PC/SCベースのスマートカードリダイレクトでは1分以上かかるところが改善されます)。
高速スマートカードは、現在サポートされているWindows VDAがインストールされたホストマシンでデフォルトで有効になっています。ホスト側で高速スマートカードを無効にするには(診断目的など)、’Disable Cryptographic Redirection’レジストリ設定をゼロ以外の値に設定します。
HKLM\SOFTWARE\Citrix\SmartCard
CryptographicRedirectionDisable (DWORD)
<!--NeedCopy-->
クライアント側では、高速スマートカードを有効にするには、関連するStoreFrontサイトのdefault.icaファイルにSmartCardCryptographicRedirection ICAパラメーターを含めます。
[WFClient]
SmartCardCryptographicRedirection=On
さらに、クライアント側では、次のレジストリ設定を使用して高速スマートカードを強制的に有効または無効にできます(診断目的など)。
- HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceEnableCryptographicRedirection (as a non-zero DWORD)
または
- HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceDisableCryptographicRedirection (as a non-zero DWORD)
クライアントマシンが64ビットの場合、32ビットレジストリハイブを指定する必要があります(WOW6432Nodeを使用して)。
制限事項:
- Citrix Workspaceアプリ for Windowsのみが高速スマートカードをサポートします。default.icaファイルで高速スマートカードを設定した場合、Windows以外のCitrix Workspaceアプリは、引き続き既存のPC/SCリダイレクトを使用します。
- 高速スマートカードがサポートする唯一のダブルホップシナリオは、両方のホップで高速スマートカードが有効になっているICA® > ICAです。高速スマートカードはICA > RDPダブルホップシナリオをサポートしないため、これらのシナリオは機能しません。
- 高速スマートカードはCryptography Next Generationをサポートしていません。そのため、高速スマートカードは楕円曲線暗号 (ECC) スマートカードをサポートしていません。
- 高速スマートカードは、読み取り専用のキーコンテナー操作のみをサポートします。
- 高速スマートカードは、スマートカードのPINの変更をサポートしていません。
VDAバージョン2203およびWindows向けCitrix Workspace appバージョン2202(またはそれ以降)以降、高速スマートカードはCryptography Next Generation (CNG) と互換性があります。さらに、楕円曲線暗号 (ECC) スマートカードは、ECDSAとECDHの両方で、P-256、P-384、P-521ビットの曲線でサポートされています。
VDAバージョン2203以降、高速スマートカードは、同じユーザーのログオンセッション内のアプリケーション間でスマートカードのPINをキャッシュする機能を追加します。たとえば、セッションPINキャッシュが有効になっていて、エンドユーザーが以前にスマートカードのPINをOutlookに提供した場合、その後Wordを使用してドキュメントに署名すると、WordはすでにキャッシュされているスマートカードのPIN(Outlookに送信されたもの)を使用します。セッションPINキャッシュは、ユーザーがスマートカードのPINを入力する回数を減らすことで、ユーザーエクスペリエンスを向上させます。さらに、スマートカードがVDAへのログオンに使用される場合、WindowsスマートカードログオンPINをオプションでセッションPINキャッシュに保存できます。これにより、ユーザーエクスペリエンスがさらに向上します。
セッションPINキャッシュはデフォルトで無効になっています。これは、VDA上の以下のレジストリ設定で有効にして制御できます。
In HKLM\SOFTWARE\Citrix\SmartCard:
-
EnablePinSessionCacheをDWORDとして (有効にするにはゼロ以外) -
EnableLogonPinSessionCacheをDWORDとして (有効にするにはゼロ以外) -
PinSessionCacheEntryStaleTimeoutをDWORDとして (エントリが古くなるまでの秒数、デフォルトは1時間)
スマートカードリーダーの種類
スマートカードリーダーは、ユーザーデバイスに内蔵されている場合や、ユーザーデバイスに別途接続されている場合があります(通常、USBまたはBluetooth経由)。USB Chip/Smart Card Interface Devices (CCID) 仕様に準拠する接触型カードリーダーがサポートされています。これらには、ユーザーがスマートカードを挿入するスロットまたはスワイプがあります。Deutsche Kreditwirtschaft (DK) 規格は、接触型カードリーダーの4つのクラスを定義しています。
- クラス1スマートカードリーダーは最も一般的で、通常はスロットを備えています。クラス1スマートカードリーダーはサポートされており、通常、オペレーティングシステムに付属の標準CCIDデバイスドライバーを使用します。
- クラス2スマートカードリーダーには、ユーザーデバイスからアクセスできないセキュアキーパッドも含まれています。クラス2スマートカードリーダーは、セキュアキーパッドが統合されたキーボードに組み込まれている場合があります。クラス2スマートカードリーダーについては、Citrix担当者にお問い合わせください。セキュアキーパッド機能を有効にするには、リーダー固有のデバイスドライバーが必要になる場合があります。
- クラス3スマートカードリーダーには、セキュアディスプレイも含まれています。クラス3スマートカードリーダーはサポートされていません。
- クラス4スマートカードリーダーには、セキュアトランザクションモジュールも含まれています。クラス4スマートカードリーダーはサポートされていません。
注:
スマートカードリーダーのクラスは、USBデバイスクラスとは関係ありません。
スマートカードリーダーは、ユーザーデバイスに適切なデバイスドライバーをインストールする必要があります。
サポートされているスマートカードリーダーについては、使用しているCitrix Workspaceアプリのドキュメントを参照してください。Citrix Workspaceアプリのドキュメントでは、サポートされているバージョンがスマートカードの記事またはシステム要件の記事に記載されています。
ユーザーエクスペリエンス
スマートカードのサポートは、Citrix Virtual Apps and Desktopsに統合されており、デフォルトで有効になっている特定のICA/HDXスマートカード仮想チャネルを使用します。
重要:スマートカードリーダーに汎用USBリダイレクトを使用しないでください。これはスマートカードリーダーではデフォルトで無効になっており、有効にしてもサポートされません。
複数のスマートカードと複数のリーダーを同じユーザーデバイスで使用できますが、パススルー認証を使用している場合は、ユーザーが仮想デスクトップまたはアプリケーションを起動するときに、スマートカードを1枚だけ挿入する必要があります。アプリケーション内でスマートカードを使用する場合(たとえば、デジタル署名や暗号化機能の場合)、スマートカードの挿入やPINの入力に関する追加のプロンプトが表示されることがあります。これは、複数のスマートカードが同時に挿入されている場合に発生する可能性があります。
- スマートカードがすでにリーダーに挿入されているにもかかわらず、スマートカードの挿入を促すプロンプトが表示された場合、ユーザーはキャンセルを選択する必要があります。
- ユーザーがPINの入力を求められた場合、PINを再度入力する必要があります。
カード管理システムまたはベンダーユーティリティを使用してPINをリセットできます。
重要:
Citrix Virtual AppsまたはCitrix Virtual Desktopsセッション内で、Microsoft Remote Desktop Connectionアプリケーションとスマートカードを使用することはサポートされていません。これは「ダブルホップ」使用と呼ばれることがあります。
スマートカードを展開する前に
- スマートカードリーダー用のデバイスドライバーを入手し、ユーザーデバイスにインストールします。多くのスマートカードリーダーは、Microsoftが提供するCCIDデバイスドライバーを使用できます。
- スマートカードベンダーからデバイスドライバーと暗号化サービスプロバイダー (CSP) ソフトウェアを入手し、ユーザーデバイスと仮想デスクトップの両方にインストールします。ドライバーとCSPソフトウェアはCitrix Virtual Apps and Desktopsと互換性がある必要があります。互換性についてはベンダーのドキュメントを確認してください。ミニドライバーモデルをサポートおよび使用するスマートカードを使用する仮想デスクトップの場合、スマートカードミニドライバーは自動的にダウンロードされますが、http://catalog.update.microsoft.com またはベンダーから入手することもできます。また、PKCS#11ミドルウェアが必要な場合は、カードベンダーから入手してください。
- 重要: Citrixでは、Citrixソフトウェアをインストールする前に、物理コンピューターにドライバーとCSPソフトウェアをインストールしてテストすることをお勧めします。
- Windows 10でInternet Explorerを使用してスマートカードを使用するユーザーの場合、Citrix Receiver™ for WebのURLを信頼済みサイトリストに追加します。Windows 10では、Internet Explorerは信頼済みサイトに対してデフォルトで保護モードで実行されません。
- 公開キーインフラストラクチャ (PKI) が適切に構成されていることを確認します。これには、Active Directory環境で証明書とアカウントのマッピングが正しく構成されており、ユーザー証明書の検証が正常に実行できることを確認することが含まれます。
- 展開が、Citrix WorkspaceアプリやStoreFrontなど、スマートカードで使用される他のCitrixコンポーネントのシステム要件を満たしていることを確認します。
- サイト内の以下のサーバーへのアクセスを確保します。
- スマートカード上のログオン証明書に関連付けられているユーザーアカウントのActive Directoryドメインコントローラー
- デリバリーコントローラー™
- シトリックス ストアフロント
- シトリックス ゲートウェイ/シトリックス アクセス ゲートウェイ 10.x
- VDA
- (リモートPCアクセスの場合、オプション): マイクロソフト エクスチェンジ サーバー
スマートカードの使用を有効にする
手順1. カード発行ポリシーに従って、ユーザーにスマートカードを発行します。
手順2. (オプション) Remote PC Accessのユーザーを有効にするためにスマートカードを設定します。
手順3. スマートカードリモート処理のために、Delivery ControllerとStoreFrontをインストールして構成します(まだインストールされていない場合)。
手順4. スマートカードの使用のためにStoreFrontを有効にします。詳細については、StoreFrontのドキュメントの「スマートカード認証の構成」を参照してください。
手順5. スマートカードの使用のためにCitrix Gateway/Access Gatewayを有効にします。詳細については、NetScalerのドキュメントの「認証と承認の構成」および「Webインターフェイスを使用したスマートカードアクセスの構成」を参照してください。
手順6. スマートカードの使用のためにVDAを有効にします。
- VDAに必要なアプリケーションと更新プログラムがあることを確認します。
- ミドルウェアをインストールします。
- スマートカードリモート処理を設定し、ユーザーデバイス上のCitrix Workspaceアプリと仮想デスクトップセッション間のスマートカードデータの通信を有効にします。
手順7. スマートカードの使用のためにユーザーデバイス(ドメイン参加済みまたは非ドメイン参加済みマシンを含む)を有効にします。詳細については、StoreFrontのドキュメントの「スマートカード認証の構成」を参照してください。
- 認証局ルート証明書と発行認証局証明書をデバイスのキーストアにインポートします。
- ベンダーのスマートカードミドルウェアをインストールします。
- Windows向けCitrix Workspaceアプリをインストールして構成します。その際、グループポリシー管理コンソールを使用してicaclient.admをインポートし、スマートカード認証を有効にしてください。
手順8. 展開をテストします。テストユーザーのスマートカードを使用して仮想デスクトップを起動し、展開が正しく構成されていることを確認します。可能なすべてのアクセスメカニズム(たとえば、Internet ExplorerおよびCitrix Workspaceアプリを介したデスクトップへのアクセス)をテストします。
スマートカードリーダーの挿入回数を追跡する
スマートカードリモート処理を使用すると、SCardGetStatusChange関数を使用して、スマートカードがリーダーに挿入または取り外された回数を追跡できます。この関数は、監視するリーダーごとに1つずつ、SCARD_READERSTATEデータ構造の配列を更新します。各SCARD_READERSTATEのdwEventStateフィールドの上位ワード(16ビット)には、リーダーカウントが含まれています。詳細については、Microsoftの記事「SCardGetStatusChangeA function」および「SCARD_READERSTATEA structure」を参照してください。
「リーダー挿入回数レポート」設定は、デフォルトで無効になっています。追跡を有効にするには、次のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartCard
Name: EnableReaderInsertCountReporting
Type: DWORD
値: 0以外の任意の値
セッションが切断されると、カウントはゼロにリセットされます。
「リーダー挿入回数レポート」は、サードパーティのスマートカードミドルウェアと互換性があります。