Web Studio のスマートカード認証を設定する

この記事では、Web Studio のスマートカード認証を設定および有効にするために必要な手順について説明します。

ステップ 1: スマートカードドライバーをインストールする

ステップ 2: スマートカードユーザーに証明書を発行する

ステップ 3: スマートカードユーザーの証明書を登録する

ステップ 4: Web Studio IIS サーバーを構成する

ステップ 5 (オプション): Web Studio の認証委任を構成する

ステップ 6: Web Studio のスマートカード認証を有効にする

注:

スマートカード認証は、Web Studio サーバーと同じ Active Directory ドメインのユーザーに対してのみサポートされます。

ステップ 1: スマートカードドライバーをインストールする

次のマシンにスマートカードドライバーをインストールします。

• 証明書サービスがインストールされているドメインコントローラー。
• ウェブスタジオ サーバー
• エンドユーザーが Web Studio にアクセスするために使用するマシン
• スマートカードユーザーの証明書を登録するために使用するマシン

スマートカードドライバーはベンダーによって異なります。たとえば、ITS が提供するスマートカードハードウェアを使用している場合は、SaftNet ドライバーを https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers からダウンロードしてください。

ステップ2：スマートカードユーザーの証明書を発行する

注：

以下の手順は、プロセスを案内するための例として提供されています。

ドメインコントローラーで、以下の手順に従ってタスクを完了します。

1. ドメインコントローラーにアクセスし、証明機関を開きます。

   

2. 登録エージェントテンプレートを複製します。詳細な手順は次のとおりです。

   1. 証明書テンプレートを右クリックし、管理を選択します。

      

   2. 登録エージェントを右クリックし、テンプレートの複製を選択します。

   3. 暗号化タブで、Microsoft Base Smart Card Crypto Providerを選択し、OKをクリックします。証明書テンプレートリストに、登録エージェントのコピーという名前のテンプレートが表示されます。

      

   4. サブジェクト名タブで、サブジェクト名に電子メールを含めるが選択されていないことを確認します。

      証明書テンプレート > サブジェクト名(/ja-jp/citrix-virtual-apps-desktops/media/add-certificate-3-1.png)

3. スマートカード用の証明書を発行します。詳細な手順は次のとおりです。
   1. 証明書テンプレートを右クリックし、新規 > 発行するテンプレートを選択します。
   2. 登録エージェントのコピーとスマートカードユーザーを選択します。
   3. OKをクリックします。

ステップ3: スマートカードユーザー用の証明書を登録する

注:

以下の手順は、プロセスを案内するための例として提供されています。

ドメインに参加している物理Windowsマシンで、各スマートカード用の証明書を登録するには、次の手順に従います。

1. 登録用にドメインに参加している物理Windowsマシンを準備します。
   1. スマートカードドライバーがインストールされていることを確認します。
   2. スマートカードをマシンに挿入します。
   3. スマートカードに割り当てるユーザーアカウントを使用してマシンにログオンします。
2. ステップ1で準備したマシンに証明書スナップインを追加します。詳細な手順は次のとおりです。
   1. mmcを開きます。
   2. 「ファイル」をクリックし、次に「スナップインの追加と削除」をクリックします。
   3. 表示される「スナップインの追加と削除」ウィンドウで、「証明書」を選択し、次に「追加 >」をクリックします。
   4. 表示されるダイアログボックスで、「マイユーザーアカウント」を選択し、「完了」をクリックします。

   5. 「OK」をクリックします。

      証明書の追加(/ja-jp/citrix-virtual-apps-desktops/media/add-certificate-1.png)

3. 「証明書」スナップインの新しい証明書を要求します。詳細な手順は次のとおりです。

   1. 「証明書 - 現在のユーザー > 個人」に移動し、「証明書」を右クリックし、次に「すべてのタスク > 新しい証明書の要求」を選択します。

      

   2. 表示される「証明書の要求」ダイアログボックスで、「登録エージェントのコピー」と「スマートカードユーザー」を選択します。

      証明書テンプレートの管理(/ja-jp/citrix-virtual-apps-desktops/media/add-certificate-3-1.png)

   3. 上記のダイアログボックスで、「スマートカードユーザー」の「詳細」をクリックし、次に「プロパティ」をクリックします。「証明書のプロパティ」ダイアログボックスが表示されます。 新しい証明書の要求 > プロパティ(/ja-jp/citrix-virtual-apps-desktops/media/add-certificate-3-2.png)
   4. 「秘密キー」タブで、「暗号化サービスプロバイダー」を展開し、「Microsoft Strong 暗号化プロバイダー (Encrption)」のチェックを外し、「Microsoft Base スマートカード暗号化プロバイダー (Encryption)」のみを選択して、「OK」をクリックします。
   5. 「登録」をクリックします。
   6. 表示される「Windows セキュリティ」ダイアログボックスで、スマートカードのPINコードを入力し、「OK」をクリックします。登録が完了したら、「完了」をクリックします。 証明書の登録(/ja-jp/citrix-virtual-apps-desktops/media/add-certificate-4.png)

登録が正常に完了すると、「証明書 - 現在のユーザー -> 個人 -> 証明書」の下に2つの証明書が表示されます。次のスクリーンショットに示すとおりです。 証明書テンプレートの管理(/ja-jp/citrix-virtual-apps-desktops/media/add-certificate-result.png)

ステップ 4: Web Studio IIS サーバーを構成する

各Web Studioサーバーで、スマートカード認証用にIISを構成するには、以下の手順に従います。

1. Web Studioマシンでクライアント証明書マッピング認証を有効にします**。

   <clientCertificateMappingAuthentication>要素は、IIS 7以降のデフォルトインストールでは利用できません。インストールと有効化の詳細については、このMicrosoft の記事を参照してください。

2. Web Studioマシン上で「IIS マネージャー」を起動します。

3. マシンでActive Directory クライアント証明書認証を有効にします。詳細な手順は次のとおりです。

   1. 左ペインでマシンを選択し、Authenticationをダブルクリックします。

      

   2. Active Directory クライアント証明書認証を有効にします。

      

4. クライアント証明書認証を使用して、より安全なHTTPSプロトコルのWeb Studioバックエンドモジュールを構成します。

   1. サイト > デフォルトWebサイト > Studio > バックエンド > Smartcardに移動し、IISセクションのSSL設定をダブルクリックします。

      

   2. 「クライアント証明書」で「必須」を選択します。

      

   3. 「サイト > 既定のWebサイト > Studio > バックエンド > スマートカード」に戻り、「IIS」セクションで「構成エディター」をダブルクリックします。

      

   4. Make sure /clientCertificateMappingAuthentication is enabled.

      

5. (Windows 2022のみ) TCP経由のTLS 3.1を無効にします。詳細な手順は次のとおりです。

   1. 「サイト > 既定のWebサイト」に移動します。
   2. 「サイトの編集 > バインド」をクリックします。

   3. 表示されるサイトバインディングダイアログボックスで、httpsレコードを選択し、編集をクリックします。

      

   4. 表示されるサイトバインディングの編集ダイアログボックスで、TCP経由のTLS 1.3を無効にするを選択し、OKをクリックします。

      

参考情報:

Web Studio Backendは、Web Studio内のモジュールで、以下の機能を提供します。

• スマートカード認証。
• 統合Windows認証を使用して、オーケストレーションサービスからFMAベアラートークンを取得します。

ステップ 5 (オプション) Web Studio の認証委任を構成する

Web Studio と Delivery Controller が異なるサーバーにインストールされている場合、各 Web Studio サーバーから Delivery Controller への HOST および HTTPS サービスに対する委任を構成する必要があります。

各 Web Studio サーバーでこのタスクを完了するには、次の手順に従います。

1. デリバリーコントローラー™ オーケストレーション HTTPS 証明書をインポートする
2. Web Studio サーバーの委任を構成する
3. Web Studio IIS サーバーのサービスアカウントの委任を構成する

デリバリーコントローラー オーケストレーション HTTPS 証明書をインポートする

Web Studio サーバーで、Delivery Controller Orchestration HTTPS 証明書を信頼されたルート証明機関にインポートします。詳細な手順は次のとおりです。

1. 設定 > コンピューター証明書の管理を開始します。

2. 信頼されたルート証明機関 > 証明書を右クリックし、すべてのタスク > インポートを選択します。

   

3. 画面の指示に従って、デリバリーコントローラーオーケストレーションHTTPS 証明書をインポートします。

Web Studio サーバーの委任を構成する

ドメインコントローラーで、Web Studio サーバーから Delivery Controller への HOST および HTTP サービスに対する委任を構成します。このタスクを完了するには、次の手順に従います。

1. ドメインコントローラーで、Active Directory 管理センターを開始します。
2. 委任用に構成するWeb Studioサーバーのコンピューターアカウントを見つけます（例：Dan002）。

3. アカウントを右クリックし、プロパティを選択します。

   

   1. 委任タブに移動します。

      

   2. 指定されたサービスへの委任でのみ、このユーザーを信頼する > 任意の認証プロトコルを使用するを選択します。
   3. 追加をクリックして、このコンピューターアカウントを委任できるサービスを指定します。
   4. 表示されるサービスの追加ダイアログボックスで、ユーザーまたはコンピューターの追加をクリックして、Delivery Controllerのコンピューター名を見つけます（例：Dan001）。
   5. HOSTサービスとHTTPサービスを選択し、OKをクリックします。

構成結果を次のスクリーンショットに示します。

Web Studio IISサーバーのサービスアカウントの委任を構成する

Web Studio IISサーバーにサービスアカウントを構成している場合は、このサービスアカウントからDelivery ControllerへのHOSTサービスとHTTPサービスに対する委任も構成する必要があります。この委任が確立されると、Web Studioサーバーは、そのサービスアカウントを使用して、現在のスマートカードユーザーを偽装し、Delivery GroupのHOSTサービスとHTTPサービスにアクセスできます。構成を完了するには、次の手順に従います。

1. ドメインコントローラーで、Active Directory管理センターを起動します。
2. 委任用に構成するユーザーアカウントを見つけます（例：svr-stud-002）。
3. アカウントを右クリックし、プロパティを選択します。
4. ステップ2で説明されている手順に従って、Web Studio IISサービスアカウントをDelivery ControllerのHOSTサービスとHTTPサービスに委任します。

構成結果は次のスクリーンショットに示されています。

ステップ6: Web Studioのスマートカード認証を有効にする

Web Studioのスマートカード認証を有効にするには、次の手順に従います。

1. Web Studioにサインインし、左ペインで設定を選択します。
2. 必要に応じて、スマートカード認証またはドメイン資格情報 + スマートカード認証を選択します。
3. 必要に応じて、スマートカード認証またはドメイン資格情報またはスマートカード認証を選択します。

4. 適用をクリックします。