-
-
-
スマートカード
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
スマートカード
スマートカードおよび同等のテクノロジーは、本記事で説明されているガイドライン内でサポートされています。Citrix Virtual AppsまたはCitrix Virtual Desktops™でスマートカードを使用するには:
- スマートカードの使用に関する組織のセキュリティポリシーを理解してください。これらのポリシーには、たとえば、スマートカードの発行方法やユーザーがスマートカードを保護する方法が記載されている場合があります。これらのポリシーの一部は、Citrix Virtual Apps™またはCitrix Virtual Desktops環境で再評価する必要がある場合があります。
- スマートカードで使用するユーザーデバイスの種類、オペレーティングシステム、および公開アプリケーションを決定します。
- スマートカードテクノロジー、および選択したスマートカードベンダーのハードウェアとソフトウェアに精通してください。
- 分散環境でデジタル証明書を展開する方法を理解してください。
注:
スマートカードの登録は、高速スマートカードではサポートされていません。高速スマートカードが無効になっている場合、スマートカードの登録は機能する可能性がありますが、スマートカードとミドルウェアの種類によって異なります。Citrix Virtual Apps and Desktopsとの統合、および仮想セッションを介したスマートカード登録のサポートについては、スマートカードおよびミドルウェアベンダーにお問い合わせください。
スマートカードの種類
エンタープライズおよびコンシューマー向けスマートカードは、同じ寸法、電気コネクタを持ち、同じスマートカードリーダーに適合します。
エンタープライズ用途のスマートカードには、デジタル証明書が含まれています。これらのスマートカードはWindowsログオンをサポートし、ドキュメントやメールのデジタル署名および暗号化のためのアプリケーションでも使用できます。Citrix Virtual Apps and Desktops™はこれらの用途をサポートしています。
コンシューマー用途のスマートカードにはデジタル証明書は含まれていません。共有シークレットが含まれています。これらのスマートカードは、支払い(チップと署名、またはチップとPINのクレジットカードなど)をサポートできます。Windowsログオンや一般的なWindowsアプリケーションはサポートしていません。これらのスマートカードを使用するには、特殊なWindowsアプリケーションと適切なソフトウェアインフラストラクチャ(たとえば、決済カードネットワークへの接続を含む)が必要です。Citrix Virtual AppsまたはCitrix Virtual Desktopsでこれらの特殊なアプリケーションをサポートする方法については、Citrix担当者にお問い合わせください。
エンタープライズスマートカードには、同様に利用できる互換性のある同等品があります。
- スマートカードと同等のUSBトークンは、USBポートに直接接続します。これらのUSBトークンは通常、USBフラッシュドライブと同じくらいのサイズですが、携帯電話で使用されるSIMカードと同じくらい小さい場合もあります。これらは、スマートカードとUSBスマートカードリーダーの組み合わせとして表示されます。
- Windows Trusted Platform Module (TPM) を使用する仮想スマートカードは、スマートカードとして表示されます。これらの仮想スマートカードは、Citrix Workspaceアプリ(最小バージョンCitrix Receiver 4.3)を使用して、Windows 8およびWindows 10でサポートされています。
- ゼナップおよびゼンドデスクトップ 7.6 FP3より前のバージョンのシトリックス バーチャル アプリケーションズ アンド デスクトップ (旧ゼナップおよびゼンドデスクトップ) では、仮想スマートカードはサポートされていません。
- 仮想スマートカードの詳細については、「仮想スマートカードの概要」を参照してください。
注: 「仮想スマートカード」という用語は、ユーザーコンピューターに保存されているデジタル証明書を指す場合もあります。これらのデジタル証明書は、厳密にはスマートカードと同等ではありません。
Citrix Virtual Apps and Desktops のスマートカードサポートは、Microsoft Personal Computer/Smart Card (PC/SC) 標準仕様に基づいています。最低要件として、スマートカードおよびスマートカードデバイスは、基盤となる Windows オペレーティングシステムによってサポートされ、Microsoft Windows Hardware Quality Labs (WHQL) によって認定されている必要があります。これにより、対象となる Windows オペレーティングシステムを実行しているコンピューターで使用できます。ハードウェアの PC/SC 準拠に関する追加情報については、Microsoft のドキュメントを参照してください。他の種類のユーザーデバイスも PS/SC 標準に準拠している場合があります。詳細については、「Citrix Ready プログラム」を参照してください。
通常、各ベンダーのスマートカードまたは同等のものには、個別のデバイスドライバーが必要です。ただし、スマートカードが NIST Personal Identity Verification (PIV) 標準などの標準に準拠している場合、さまざまなスマートカードに対して単一のデバイスドライバーを使用できる可能性があります。デバイスドライバーは、ユーザーデバイスと Virtual Delivery Agent (VDA) の両方にインストールする必要があります。デバイスドライバーは、Citrix パートナーから入手できるスマートカードミドルウェアパッケージの一部として提供されることが多く、このスマートカードミドルウェアパッケージは高度な機能を提供します。デバイスドライバーは、Cryptographic Service Provider (CSP)、Key Storage Provider (KSP)、またはミニドライバーとも呼ばれることがあります。
Windows システム用の以下のスマートカードとミドルウェアの組み合わせは、Citrix によってそのタイプの代表的な例としてテストされています。ただし、他のスマートカードとミドルウェアも使用できます。Citrix 互換のスマートカードとミドルウェアの詳細については、http://www.citrix.com/ready を参照してください。
| ミドルウェア | 対応カード |
|---|---|
| Gemalto .NET カード用ミニドライバー | ジェムアルト .NET v2以降 |
他の種類のデバイスでのスマートカードの使用に関する情報については、そのデバイスの Citrix Workspace™ アプリのドキュメントを参照してください。
リモートPCアクセス
スマートカードは、Windows 10、Windows 8、または Windows 7 を実行している物理的なオフィス PC へのリモートアクセスでのみサポートされています。
以下のスマートカードは、Remote PC Access でテストされました。
| ミドルウェア | 一致するカード |
|---|---|
| ジェムアルト .NET ミニドライバー | ジェムアルト .NET v2+ |
高速スマートカード
高速スマートカードは、既存のHDX PC/SCベースのスマートカードリダイレクトに対する改善点です。スマートカードが高遅延のWAN環境で使用される場合のパフォーマンスを向上させます。遅延が大きい場合、パフォーマンスの向上は顕著になります(例: Windowsの高速スマートカードログオンでは15秒、PC/SCベースのスマートカードリダイレクトでは1分以上かかるところが改善されます)。
高速スマートカードは、現在サポートされているWindows VDAを搭載したホストマシンでデフォルトで有効になっています。ホスト側で高速スマートカードを無効にするには(診断目的など)、レジストリ設定「Disable Cryptographic Redirection」をゼロ以外の値に設定します。
HKLM\SOFTWARE\Citrix\SmartCard
CryptographicRedirectionDisable (DWORD)
<!--NeedCopy-->
クライアント側で高速スマートカードを有効にするには、関連するStoreFrontサイトのdefault.icaファイルにSmartCardCryptographicRedirection ICAパラメーターを含めます。
[WFClient]
SmartCardCryptographicRedirection=On
さらに、クライアント側では、高速スマートカードを以下のレジストリ設定で強制的に有効または無効にできます(診断目的など)。
- HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceEnableCryptographicRedirection (as a non-zero DWORD)
または
- HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceDisableCryptographicRedirection (as a non-zero DWORD)
クライアントマシンが64ビットの場合、32ビットレジストリハイブを指定する必要があります (WOW6432Nodeを使用)。
制限事項:
- Citrix Workspaceアプリfor Windowsのみが高速スマートカードをサポートします。default.icaファイルで高速スマートカードを構成した場合でも、Windows用ではないCitrix Workspaceアプリは、既存のPC/SCリダイレクトを使用します。
- 高速スマートカードがサポートする唯一のダブルホップシナリオは、両方のホップで高速スマートカードが有効になっているICA® > ICAです。高速スマートカードはICA > RDPのダブルホップシナリオをサポートしないため、これらのシナリオは機能しません。
- Fast Smart CardはCryptography Next Generationをサポートしていません。そのため、Fast Smart Cardは楕円曲線暗号 (ECC) スマートカードをサポートしていません。
- Fast Smart Cardは読み取り専用キーコンテナ操作のみをサポートしています。
- Fast Smart CardはスマートカードPINの変更をサポートしていません。
VDAバージョン2203およびWindows向けCitrix Workspaceアプリバージョン2202(またはそれ以降)以降、Fast Smart CardはCryptography Next Generation (CNG) と互換性があります。さらに、楕円曲線暗号 (ECC) スマートカードは、ECDSAとECDHの両方で、P-256、P-384、P-521ビットの以下の曲線に対応しています。
VDAバージョン2203以降、Fast Smart Cardは、同じユーザーのログオンセッション内のアプリケーション間でスマートカードPINをキャッシュする機能を追加しました。たとえば、セッションPINキャッシュが有効になっており、エンドユーザーが以前にOutlookにスマートカードPINを提供していた場合、Wordでドキュメントに署名する際に、WordはすでにキャッシュされているスマートカードPIN(Outlookに送信されたもの)を使用します。セッションPINキャッシュは、ユーザーがスマートカードPINを入力する回数を減らすことで、ユーザーエクスペリエンスを向上させます。さらに、スマートカードがVDAへのログオンに使用される場合、WindowsスマートカードログオンPINをオプションでセッションPINキャッシュに保存できます。これにより、ユーザーエクスペリエンスがさらに向上します。
セッションPINキャッシュはデフォルトで無効になっています。VDA上の以下のレジストリ設定で有効化および制御できます。
In HKLM\SOFTWARE\Citrix\SmartCard:
-
EnablePinSessionCacheをDWORDとして (有効にするにはゼロ以外の値) -
EnableLogonPinSessionCacheをDWORDとして (有効にするにはゼロ以外の値) -
PinSessionCacheEntryStaleTimeoutをDWORDとして (エントリが古くなるまでの秒数、デフォルトは1時間)
スマートカードリーダーの種類
スマートカードリーダーは、ユーザーデバイスに内蔵されている場合や、ユーザーデバイスに別途接続されている場合(通常はUSBまたはBluetooth経由)があります。USB Chip/Smart Card Interface Devices (CCID) 仕様に準拠した接触型カードリーダーがサポートされています。これらには、ユーザーがスマートカードを挿入するスロットまたはスワイプ部分があります。Deutsche Kreditwirtschaft (DK) 規格は、接触型カードリーダーの4つのクラスを定義しています。
- クラス1スマートカードリーダーは最も一般的で、通常はスロットを備えています。クラス1スマートカードリーダーは、通常、オペレーティングシステムに付属の標準CCIDデバイスドライバーでサポートされています。
- クラス2スマートカードリーダーには、ユーザーデバイスからアクセスできないセキュアなキーパッドも搭載されています。クラス2スマートカードリーダーは、統合されたセキュアなキーパッドを備えたキーボードに組み込まれている場合があります。クラス2スマートカードリーダーについては、Citrixの担当者にお問い合わせください。セキュアなキーパッド機能を有効にするには、リーダー固有のデバイスドライバーが必要になる場合があります。
- クラス3スマートカードリーダーには、セキュアなディスプレイも搭載されています。クラス3スマートカードリーダーはサポートされていません。
- クラス4スマートカードリーダーもセキュアトランザクションモジュールを含んでいます。クラス4スマートカードリーダーはサポートされていません。
注:
スマートカードリーダーのクラスはUSBデバイスクラスとは関係ありません。
スマートカードリーダーは、ユーザーデバイスに対応するデバイスドライバーをインストールする必要があります。
サポートされているスマートカードリーダーについては、ご使用のCitrix Workspaceアプリのドキュメントを参照してください。Citrix Workspaceアプリのドキュメントでは、サポートされているバージョンがスマートカードの記事またはシステム要件の記事に記載されています。
ユーザーエクスペリエンス
スマートカードのサポートはCitrix Virtual Apps and Desktopsに統合されており、デフォルトで有効になっている特定のICA/HDXスマートカード仮想チャネルを使用します。
重要: スマートカードリーダーに汎用USBリダイレクトを使用しないでください。これはスマートカードリーダーではデフォルトで無効になっており、有効にした場合でもサポートされません。
複数のスマートカードと複数のリーダーを同じユーザーデバイスで使用できますが、パススルー認証を使用している場合は、ユーザーが仮想デスクトップまたはアプリケーションを起動するときに、スマートカードは1枚だけ挿入されている必要があります。アプリケーション内でスマートカードを使用する場合(例えば、デジタル署名や暗号化機能の場合)、スマートカードの挿入やPINの入力を求めるプロンプトが他に表示されることがあります。これは、複数のスマートカードが同時に挿入されている場合に発生する可能性があります。
- スマートカードがすでにリーダーに挿入されているにもかかわらず、スマートカードの挿入を求められた場合、ユーザーはキャンセルを選択する必要があります。
- ユーザーがPINの入力を求められた場合、PINを再度入力する必要があります。
カード管理システムまたはベンダーユーティリティを使用してPINをリセットできます。
重要:
Citrix Virtual AppsまたはCitrix Virtual Desktopsセッション内で、Microsoft Remote Desktop Connectionアプリケーションでスマートカードを使用することはサポートされていません。これは「ダブルホップ」使用と呼ばれることがあります。
スマートカードを展開する前に
- スマートカードリーダー用のデバイスドライバーを入手し、ユーザーデバイスにインストールします。多くのスマートカードリーダーは、Microsoftが提供するCCIDデバイスドライバーを使用できます。
- スマートカードベンダーからデバイスドライバーと暗号化サービスプロバイダー(CSP)ソフトウェアを入手し、ユーザーデバイスと仮想デスクトップの両方にインストールします。ドライバーとCSPソフトウェアは、Citrix Virtual Apps and Desktopsと互換性がある必要があります。互換性についてはベンダーのドキュメントを確認してください。ミニドライバーモデルをサポートおよび使用するスマートカードを使用する仮想デスクトップの場合、スマートカードミニドライバーは自動的にダウンロードされますが、Microsoft Update カタログまたはベンダーから入手することもできます。また、PKCS#11ミドルウェアが必要な場合は、カードベンダーから入手してください。
- 重要:Citrixは、Citrixソフトウェアをインストールする前に、物理コンピューターにドライバーとCSPソフトウェアをインストールしてテストすることを推奨します。
- Windows 10でInternet Explorerを使用してスマートカードを使用するユーザーのために、Citrix Receiver™ for WebのURLを信頼済みサイトリストに追加します。Windows 10では、Internet Explorerは信頼済みサイトに対してデフォルトで保護モードで実行されません。
- 公開鍵インフラストラクチャ(PKI)が適切に構成されていることを確認します。これには、Active Directory環境で証明書とアカウントのマッピングが正しく構成されており、ユーザー証明書の検証が正常に実行できることを確認することが含まれます。
- 展開が、Citrix WorkspaceアプリやStoreFrontなど、スマートカードで使用される他のCitrixコンポーネントのシステム要件を満たしていることを確認します。
- サイト内の以下のサーバーへのアクセスを確保します。
- スマートカード上のログオン証明書に関連付けられているユーザーアカウントのActive Directoryドメインコントローラー
- デリバリーコントローラー™
- シトリックス ストアフロント
- シトリックス ゲートウェイ/シトリックス アクセス ゲートウェイ 10.x
- VDA
- (リモートPCアクセスの場合、オプション): マイクロソフト エクスチェンジ サーバー
スマートカードの使用を有効にする
ステップ1. カード発行ポリシーに従って、ユーザーにスマートカードを発行します。
ステップ2. (オプション) リモートPCアクセスを有効にするためにスマートカードを設定します。
ステップ3. スマートカードリモート処理のために、Delivery ControllerとStoreFrontをインストールして構成します(まだインストールされていない場合)。
ステップ4. スマートカードを使用できるようにStoreFrontを有効にします。詳細については、StoreFrontのドキュメントの「スマートカード認証の構成」を参照してください。
ステップ5. スマートカードを使用できるようにCitrix Gateway/Access Gatewayを有効にします。詳細については、NetScalerのドキュメントの「認証と承認の構成」および「Webインターフェイスでのスマートカードアクセスの構成」を参照してください。
ステップ6. スマートカードを使用できるようにVDAを有効にします。
- VDAに必要なアプリケーションと更新プログラムがあることを確認します。
- ミドルウェアをインストールします。
- スマートカードリモート処理を設定し、ユーザーデバイス上のCitrix Workspaceアプリと仮想デスクトップセッション間のスマートカードデータの通信を有効にします。
ステップ7. スマートカードを使用できるようにユーザーデバイス(ドメイン参加済みまたは非ドメイン参加済みのマシンを含む)を有効にします。詳細については、StoreFrontのドキュメントの「スマートカード認証の構成」を参照してください。
- 証明機関のルート証明書と発行証明機関の証明書をデバイスのキーストアにインポートします。
- ベンダーのスマートカードミドルウェアをインストールします。
- Windows用Citrix Workspaceアプリをインストールして構成します。その際、グループポリシー管理コンソールを使用してicaclient.admをインポートし、スマートカード認証を有効にしてください。
ステップ8. 展開をテストします。テストユーザーのスマートカードを使用して仮想デスクトップを起動し、展開が正しく構成されていることを確認します。可能なすべてのアクセスメカニズム(たとえば、Internet ExplorerおよびCitrix Workspaceアプリを介したデスクトップへのアクセス)をテストします。
スマートカードリーダーの挿入回数を追跡する
スマートカードリモート処理を使用すると、SCardGetStatusChange関数を使用して、スマートカードがリーダーに挿入または取り外された回数を追跡できます。この関数は、監視するリーダーごとに1つずつ、SCARD_READERSTATEデータ構造の配列を更新します。各SCARD_READERSTATEのdwEventStateフィールドのハイワード(16ビット)には、リーダーカウントが含まれています。詳細については、Microsoftの記事「SCardGetStatusChangeA function」および「SCARD_READERSTATEA structure」を参照してください。
「リーダー挿入回数レポート」設定は、デフォルトで無効になっています。追跡を有効にするには、次のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartCard
Name: EnableReaderInsertCountReporting
型は DWORD です
値: ゼロ以外の任意の値
セッションが切断されると、カウントはゼロにリセットされます。
「リーダー挿入回数レポート」は、サードパーティのスマートカードミドルウェアと互換性があります。
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.