Web Studioのスマートカード認証を設定する
この記事では、Web Studioのスマートカード認証を設定および有効にするために必要な手順を説明します。
ステップ5(オプション):Web Studioの認証委任を構成する
ステップ6:Web Studioのスマートカード認証を有効にする
注:
スマートカード認証は、Web Studioサーバーと同じActive Directoryドメインのユーザーに対してのみサポートされます。
ステップ1:スマートカードドライバーをインストールする
以下のマシンにスマートカードドライバーをインストールします。
- 証明書サービスがインストールされているドメインコントローラー。
- ウェブスタジオサーバー
- エンドユーザーがWeb Studioにアクセスするために使用するマシン
- スマートカードユーザーの証明書を登録するために使用するマシン
スマートカードドライバーはベンダーによって異なります。たとえば、ITSが提供するスマートカードハードウェアを使用している場合は、SaftNetドライバーをhttps://support.globalsign.com/ssl/ssl-certificates-installation/safenet-driversからダウンロードしてください。
ステップ2:スマートカードユーザーの証明書を発行する
注:
以下の手順は、プロセスを案内するための例として提供されています。
ドメインコントローラーで、以下の手順に従ってタスクを完了します。
-
ドメインコントローラーにアクセスし、証明機関を開きます。
-
登録エージェントテンプレートを複製します。詳細な手順は次のとおりです。
-
証明書テンプレートを右クリックし、管理を選択します。
-
登録エージェントを右クリックし、テンプレートの複製を選択します。
-
サブジェクト名タブで、サブジェクト名に電子メールを含めるが選択されていないことを確認します。
-
暗号化タブで、Microsoft Base Smart Card Crypto Providerを選択し、OKをクリックします。証明書テンプレートリストに登録エージェントのコピーという名前のテンプレートが表示されます。
証明書テンプレート>暗号化(/ja-jp/citrix-virtual-apps-desktops/2407/media/ca-manage-template-crypto.png)
-
- スマートカード用の証明書を発行します。詳細な手順は次のとおりです。
- 証明書テンプレートを右クリックして、新規 > 発行するテンプレートを選択します。
- 登録エージェントのコピーとスマートカードユーザーを選択します。
- OKをクリックします。
ステップ3: スマートカードユーザー向けに証明書を登録する
注:
以下の手順は、プロセスを案内するための例として提供されています。
ドメインに参加している物理Windowsマシンで、次の手順に従って各スマートカードの証明書を登録します。
- 登録用として、ドメインに参加している物理Windowsマシンを準備します。
- スマートカードドライバーがインストールされていることを確認します。
- マシンにスマートカードを挿入します。
- スマートカードに割り当てるユーザーアカウントを使用してマシンにログオンします。
- ステップ1で準備したマシンに証明書スナップインを追加します。詳細な手順は次のとおりです。
- mmcを開きます。
- 「ファイル」をクリックし、次に「スナップインの追加と削除」をクリックします。
- 表示される「スナップインの追加と削除」ウィンドウで、「証明書」を選択し、「追加 >」をクリックします。
- 表示されるダイアログボックスで、「マイユーザーアカウント」を選択し、「完了」をクリックします。
-
「OK」をクリックします。
- 「証明書」スナップインの新しい証明書を要求します。詳細な手順は次のとおりです。
-
「証明書 - 現在のユーザー > 個人」に移動し、「証明書」を右クリックして、「すべてのタスク > 新しい証明書の要求」を選択します。
-
表示される「証明書の要求」ダイアログボックスで、「登録エージェントのコピー」と「スマートカードユーザー」を選択します。
-
上記のダイアログボックスで、「スマートカードユーザー」の「詳細」をクリックし、次に「プロパティ」をクリックします。「証明書のプロパティ」ダイアログボックスが表示されます。
- 「秘密キー」タブで、「暗号化サービスプロバイダー」を展開し、「Microsoft Strong Cryptographic Provider (暗号化)」のチェックを外し、「Microsoft Base Smart Card Crypto Provider (暗号化)」のみを選択して、「OK」をクリックします。
- 「登録」をクリックします。
-
表示される「Windowsセキュリティ」ダイアログボックスで、スマートカードのPINコードを入力し、「OK」をクリックします。登録が完了したら、「完了」をクリックします。
-
登録が成功すると、次のスクリーンショットに示すように、証明書 - 現在のユーザー -> 個人 -> 証明書の下に2つの証明書が表示されます。
ステップ4: Web Studio IISサーバーを構成する
各Web Studioサーバーで、スマートカード認証用にIISを構成するには、次の手順に従います。
-
Web Studioマシンに対してクライアント証明書マッピング認証を有効にします。
<clientCertificateMappingAuthentication>要素は、IIS 7以降のデフォルトインストールでは利用できません。インストールと有効化の詳細については、このMicrosoft記事を参照してください。 - Web StudioマシンでIISマネージャーを起動します。
-
マシンに対してActive Directoryクライアント証明書認証を有効にします。詳細な手順は次のとおりです。
-
左ペインでマシンを選択し、認証をダブルクリックします。
-
Active Directoryクライアント証明書認証を有効にします。
-
- クライアント証明書認証を使用したより安全なHTTPSプロトコル用にWeb Studioバックエンドモジュールを構成します。
-
サイト > 既定のWebサイト > Studio > バックエンド > スマートカードに移動し、IISセクションでSSL設定をダブルクリックします。
-
「クライアント証明書」で「必須」を選択します。
IISサーバーバックエンドスマートカードSSL必須(/ja-jp/citrix-virtual-apps-desktops/2407/media/iis-server-backend-smartcard-ssl-required.png)
-
「サイト > 既定のWebサイト > Studio > バックエンド > スマートカード」に戻り、「IIS」セクションで「構成エディター」をダブルクリックします。
IIS > 構成エディター(/ja-jp/citrix-virtual-apps-desktops/2407/media/iis-server-backend-smartcard-config.png)
-
Make sure /clientCertificateMappingAuthentication is enabled.
クライアント認証を有効にする(/ja-jp/citrix-virtual-apps-desktops/2407/media/iis-server-backend-smartcard-config-enabled.png)
-
-
(Windows 2022のみ) TCP経由のTLS 3.1を無効にします。詳細な手順は次のとおりです。
- 「サイト > 既定のWebサイト」に移動します。
- 「サイトの編集 > バインド」をクリックします。
-
表示される「サイトバインド」ダイアログボックスで、「https」レコードを選択し、「編集」をクリックします。
Windows 2022 のみで利用可能なセキュアな通信の編集(/ja-jp/citrix-virtual-apps-desktops/2407/media/iis-server-default-site-https-edit.png)
-
表示される「サイトバインドの編集」ダイアログボックスで、「TCP経由のTLS 1.3を無効にする」を選択し、「OK」をクリックします。
Windows 2022 のみで利用可能なセキュアな通信の編集が無効(/ja-jp/citrix-virtual-apps-desktops/2407/media/iis-server-default-site-https-edit-disable.png)
知っておくと良いこと:
Web Studioバックエンドは、Web Studioのモジュールであり、次の機能を提供します。
- スマートカード認証。
- 統合Windows認証を使用したオーケストレーションサービスからのFMAベアラートークンの取得。
ステップ5(オプション)Web Studioの認証委任を構成する
Web StudioとDelivery Controllerが異なるサーバーにインストールされている場合、各Web StudioサーバーからDelivery ControllerへのHOSTおよびHTTPSサービスの委任を構成する必要があります。
各Web Studioサーバーでタスクを完了するには、次の手順に従います。
- デリバリーコントローラー™ オーケストレーション HTTPS 証明書をインポートする
- Web Studioサーバーの委任を構成する
- (オプション)Web Studio IISサーバーのサービスアカウントの委任を構成する
デリバリーコントローラー オーケストレーション HTTPS 証明書をインポートする
Web Studioサーバーで、Delivery Controller Orchestration HTTPS証明書を信頼されたルート証明機関にインポートします。詳細な手順は次のとおりです。
- 設定 > コンピューター証明書の管理を開始します。
-
信頼されたルート証明機関 > 証明書を右クリックし、すべてのタスク > インポートを選択します。
- 画面の指示に従って、デリバリーコントローラー オーケストレーション HTTPS 証明書をインポートします。
Web Studioサーバーの委任を構成する
ドメインコントローラーで、Web StudioサーバーからDelivery ControllerへのHOSTおよびHTTPサービスに対する委任を構成します。このタスクを完了するには、次の手順に従います。
- ドメインコントローラーで、Active Directory管理センターを起動します。
- 委任を構成するWeb Studioサーバーのコンピューターアカウント(例:Dan002)を見つけます。
-
アカウントを右クリックし、プロパティを選択して、次の手順を完了します。
-
委任タブに移動します。
- 指定されたサービスへの委任に対してこのユーザーを信頼する > 任意の認証プロトコルを使用するを選択します。
- 追加をクリックして、このコンピューターアカウントが委任できるサービスを指定します。
- 表示されるサービスの追加ダイアログボックスで、ユーザーまたはコンピューターの追加をクリックして、Delivery Controllerのコンピューター名(例:Dan001)を見つけます。
- HOSTサービスとHTTPサービスを選択し、OKをクリックします。
-
構成結果を次のスクリーンショットに示します。
(オプション)Web Studio IISサーバーのサービスアカウントの委任を構成する
Web Studio IISサーバーにサービスアカウントを構成している場合は、このサービスアカウントからDelivery ControllerへのHOSTおよびHTTPサービスに対する委任も構成する必要があります。この委任が確立されると、Web Studioサーバーは、そのサービスアカウントを使用して、現在のスマートカードユーザーを偽装し、HOSTおよびHTTPサービスのためにDelivery Controllerにアクセスできます。構成を完了するには、次の手順に従います。
- ドメインコントローラーで、Active Directory管理センターを起動します。
- 委任を構成するWeb Studio IISサーバー(サービスアカウント)のユーザーアカウントを見つけます(例:svr-stud-002)。
- アカウントを右クリックし、プロパティを選択します。
- (#configure-delegation-for-the-web-studio-server)のステップ3に記載されている手順に従って、Web Studio IISサーバーのサービスアカウントをHOSTサービスとHTTPサービスのためにDelivery Controllerに委任します。
構成結果を次のスクリーンショットに示します。
証明書テンプレートの管理(/ja-jp/citrix-virtual-apps-desktops/2407/media/kerbero-delegation-result-2.png)
ステップ6:Web Studioのスマートカード認証を有効にする
次の手順に従って、Web Studioのスマートカード認証を有効にします。
- Web Studioにサインインし、左ペインで設定を選択します。
- 必要に応じて、スマートカード認証またはドメイン資格情報またはスマートカード認証を選択します。
-
適用をクリックします。
証明書テンプレートの管理(/ja-jp/citrix-virtual-apps-desktops/2407/media/enable-stud-settings.png)