スマートカード認証
スマートカード認証では、ユーザーはストアにアクセスする際にスマートカードとPINを使用して認証します。スマートカード認証は、Citrix Workspaceアプリ、Webブラウザ、およびXenApp Services URLを介してストアに接続するユーザーに対して有効にできます。
注:
ユーザーがスマートカードを使用してWindowsにログオンする場合、スマートカード認証の代わりに、またはスマートカード認証と併用して、ドメインパススルー認証を有効にすることをお勧めします。これにより、スマートカードで再認証することなく、ストアへのシングルサインオンが可能になります。
スマートカード認証を使用すると、ユーザーのログオンプロセスを効率化し、同時にインフラストラクチャへのユーザーアクセスのセキュリティを強化できます。内部企業ネットワークへのアクセスは、公開鍵インフラストラクチャを使用した証明書ベースの二要素認証によって保護されます。秘密鍵はハードウェア制御によって保護され、スマートカードから離れることはありません。ユーザーは、スマートカードとPINを使用して、さまざまな企業デバイスからデスクトップやアプリケーションにアクセスできる利便性を享受できます。
スマートカード認証を有効にするには、ユーザーアカウントがStoreFrontサーバーを含むMicrosoft Active Directoryドメイン内、またはStoreFrontサーバードメインと直接的な双方向信頼関係を持つドメイン内で構成されている必要があります。双方向信頼を伴うマルチフォレスト展開がサポートされています。
ドキュメント「Citrix環境向けスマートカード構成」では、特定のスマートカードタイプを使用するCitrix展開のスマートカード構成方法について説明しています。同様の手順は、他のベンダーのスマートカードにも適用されます。
前提条件
- すべてのユーザーのアカウントが、StoreFrontサーバーを展開する予定のMicrosoft Active Directoryドメイン内、またはStoreFrontサーバードメインと直接的な双方向信頼関係を持つドメイン内で構成されていることを確認します
- スマートカード認証によるパススルーを有効にする場合は、スマートカードリーダーの種類、ミドルウェアの種類と構成、およびミドルウェアのPINキャッシュポリシーがこれを許可していることを確認します
- ユーザーのデスクトップとアプリケーションを提供するVirtual Delivery Agentを実行している仮想マシンまたは物理マシンに、ベンダーのスマートカードミドルウェアをインストールします。Citrix Virtual Desktopsでのスマートカードの使用に関する詳細については、「スマートカード」を参照してください
- 公開鍵インフラストラクチャが適切に構成されていることを確認します。証明書とアカウントのマッピングがActive Directory環境に対して正しく構成されており、ユーザー証明書の検証が正常に実行できることを確認します
StoreFrontの構成
- スマートカード認証を有効にするには、StoreFrontとユーザーデバイス間の通信にHTTPSを使用する必要があります。「HTTPSを使用したStoreFrontの保護」を参照してください
- Citrix Workspaceアプリを介してストアに接続する際にスマートカード認証を有効にするには、認証方法で スマートカード をオンまたはオフにします
- ストアのスマートカード認証を有効にすると、デフォルトでそのストアのすべてのWebサイトでも有効になります。特定のWebサイトのスマートカード認証は、Webサイトの認証方法の管理タブで個別に有効または無効にできます
- スマートカード認証とユーザー名およびパスワード認証の両方を構成した場合、ユーザーは最初にスマートカードとPINを使用してログオンするよう求められますが、スマートカードに問題が発生した場合は明示的な認証を選択するオプションがあります
StoreFrontを信頼するためのDelivery Controller™の構成
スマートカード認証を使用する場合、StoreFrontはユーザーの資格情報にアクセスできないため、Citrix Virtual Apps and Desktopsに対して認証できません。したがって、Delivery ControllerがStoreFrontからの要求を信頼するように構成する必要があります。「Citrix Virtual Apps and Desktopsのセキュリティに関する考慮事項とベストプラクティス」を参照してください。
Citrix Gatewayを介したリモートアクセス
リモートアクセスの場合、Citrix Gatewayでスマートカードを有効にし、委任認証を使用してStoreFrontへのパススルー認証を有効にできます。詳細については、「Gatewayパススルー」を参照してください。
ユーザーがリソースへの接続を確立する際に、仮想サーバーで資格情報の追加プロンプトを受け取らないようにするには、2番目のゲートウェイを作成し、Secure Sockets Layer (SSL) パラメーターでクライアント認証を無効にします。詳細については、「スマートカード認証の構成」を参照してください。スマートカード認証を使用してゲートウェイ経由でStoreFrontにアクセスする場合。ストアのデスクトップとアプリケーションを提供する展開への接続のために、この仮想サーバーを介した最適なCitrix Gatewayルーティングを構成します。詳細については、「ストアの最適なHDXルーティングの構成」を参照してください。
VDAへのシングルサインオン
ユーザーのスマートカード資格情報をパススルーすることで、VDAへのシングルサインオンを有効にできます。ストアはWebブラウザまたはCitrix Workspace™アプリ for Windowsを介してアクセスできますが、リソースはCitrix Workspaceアプリ for Windowsで開く必要があります。他のオペレーティングシステム、またはブラウザを介してリソースにアクセスする場合、ユーザーはVDAに接続する際に資格情報を再入力する必要があります。
- Citrix Workspace for Windowsをインストールする際にシングルサインオンコンポーネントを含め、シングルサインオン用に構成します。「ドメインパススルー認証の構成」を参照してください
- テキストエディターを使用して、ストアのdefault.icaファイルを開きます。「Default ica」を参照してください
-
Citrix Gatewayなしでストアにアクセスするユーザーに対してスマートカード資格情報のパススルーを有効にするには、[Application]セクションに次の設定を追加します
DisableCtrlAltDel=Offこの設定は、ストアのすべてのユーザーに適用されます。デスクトップとアプリケーションへのドメインパススルーとスマートカード認証によるパススルーの両方を有効にするには、認証方法ごとに個別のストアを作成する必要があります。その後、ユーザーをそれぞれの認証方法に適したストアに誘導します。
-
Citrix Gatewayを介してストアにアクセスするユーザーに対してスマートカード資格情報のパススルーを有効にするには、[Application]セクションに次の設定を追加します
UseLocalUserAndPassword=Onこの設定は、ストアのすべてのユーザーに適用されます。一部のユーザーに対してパススルー認証を有効にし、他のユーザーにはデスクトップとアプリケーションにログオンを要求するには、ユーザーグループごとに個別のストアを作成する必要があります。その後、ユーザーをそれぞれの認証方法に適したストアに誘導します。
または、フェデレーション認証サービスを構成してVDAへのシングルサインオンを行うこともできます。
重要な考慮事項
StoreFrontでのユーザー認証にスマートカードを使用するには、以下の要件と制限が適用されます。
- スマートカード認証で仮想プライベートネットワーク (VPN) トンネルを使用するには、ユーザーはCitrix Gatewayプラグインをインストールし、Webページを介してログオンし、各ステップでスマートカードとPINを使用して認証する必要があります。Citrix Gatewayプラグインを使用したStoreFrontへのパススルー認証は、スマートカードユーザーには利用できません
- 同じユーザーデバイスで複数のスマートカードと複数のリーダーを使用できますが、スマートカード認証によるパススルーを有効にする場合、ユーザーはデスクトップまたはアプリケーションにアクセスする際に1枚のスマートカードのみが挿入されていることを確認する必要があります
- デジタル署名や暗号化などのアプリケーション内でスマートカードを使用する場合、ユーザーはスマートカードの挿入やPINの入力に関する追加のプロンプトが表示されることがあります。これは、複数のスマートカードが同時に挿入されている場合に発生する可能性があります。また、PINキャッシュなどのミドルウェア設定のように、通常はグループポリシーを使用して構成される設定が原因で発生することもあります。スマートカードがすでにリーダーに挿入されているにもかかわらずスマートカードの挿入を促されたユーザーは、[キャンセル] をクリックする必要があります。PINの入力を求められた場合は、PINを再度入力する必要があります
- Citrix Gatewayを介してストアにアクセスしないドメイン参加デバイスを持つCitrix Workspaceアプリ for Windowsユーザーに対して、Citrix Virtual Apps and Desktopsへのスマートカード認証によるパススルーを有効にする場合、この設定はストアのすべてのユーザーに適用されます。デスクトップとアプリケーションへのドメインパススルーとスマートカード認証によるパススルーの両方を有効にするには、認証方法ごとに個別のストアを作成する必要があります。その後、ユーザーはそれぞれの認証方法に適したストアに接続する必要があります
- Citrix Gatewayを介してストアにアクセスするドメイン参加デバイスを持つCitrix Workspaceアプリ for Windowsユーザーに対して、Citrix Virtual Apps and Desktopsへのスマートカード認証によるパススルーを有効にする場合、この設定はストアのすべてのユーザーに適用されます。一部のユーザーに対してパススルー認証を有効にし、他のユーザーにはデスクトップとアプリケーションにログオンを要求するには、ユーザーグループごとに個別のストアを作成する必要があります。その後、ユーザーをそれぞれの認証方法に適したストアに誘導します
- 各XenApp® Services URLに対して構成できる認証方法は1つのみであり、ストアごとに利用できるURLも1つのみです。スマートカード認証に加えて他の種類の認証を有効にする必要がある場合は、認証方法ごとに個別のストアを作成し、それぞれにXenApp Services URLを設定する必要があります。その後、ユーザーをそれぞれの認証方法に適したストアに誘導します
- StoreFrontがインストールされている場合、Microsoft Internet Information Services (IIS) のデフォルト構成では、StoreFront認証サービスの証明書認証URLへのHTTPS接続に対してのみクライアント証明書の提示を要求します。IISは、他のStoreFront URLに対してクライアント証明書を要求しません。この構成により、スマートカードユーザーは、スマートカードに問題が発生した場合に明示的な認証にフォールバックするオプションを利用できます
適切なWindowsポリシー設定に従って、ユーザーは再認証することなくスマートカードを取り外すこともできます。
IISを構成して、すべてのStoreFront URLへのHTTPS接続にクライアント証明書を要求するように決定した場合、認証サービスとストアは同じサーバーに併置する必要があります。すべてのストアで有効なクライアント証明書を使用する必要があります。このIISサイト構成では、スマートカードユーザーはCitrix Gatewayを介して接続できず、明示的な認証にフォールバックすることもできません。ユーザーがデバイスからスマートカードを取り外した場合、再度ログオンする必要があります。