スマートカード認証の構成

このトピックでは、一般的なStoreFront展開環境のすべてのコンポーネントでスマートカード認証を設定するための概要について説明します。詳細と構成手順については、各製品のドキュメントを参照してください。

Citrix環境のためのスマートカードの構成（PDF）

スマートカード向けのCitrix展開環境の構成に関するこの概要では、特定のスマートカードの種類を使用します。同様の手順がほかのベンダーのスマートカードにも適用されます。

前提条件

• StoreFrontサーバーを展開するMicrosoft Active Directoryドメインか、そのドメインと直接の双方向の信頼関係が設定されているドメインのいずれかにすべてのユーザーアカウントが属していることを確認します。
• スマートカードパススルー認証を有効にする場合は、スマートカードリーダーの種類、ミドルウェアの種類と構成、およびミドルウェアのPINのキャッシュポリシーでパススルー認証が許可されることを確認します。
• ユーザーのデスクトップやアプリケーションを提供する、Virtual Delivery Agentが動作する仮想マシンや物理マシンに、スマートカードのベンダーが提供するミドルウェアをインストールします。XenDesktop環境でスマートカードを使用する方法については、「スマートカードによる認証セキュリティ」を参照してください。
• 事前に公開キーインフラストラクチャが正しく構成されていることを確認します。アカウントマッピングのための証明書がActive Directory環境に対して正しく構成されており、ユーザー証明書の検証を正しく実行できることを確認します。

NetScaler Gatewayの構成

• NetScaler Gatewayアプライアンスに、証明機関からの署名入りサーバー証明書をインストールします。詳しくは、「Installing and Managing Certificates」を参照してください。

• アプライアンスに、スマートカードユーザーの証明書を発行した証明機関のルート証明書をインストールします。詳しくは、「To install a root certificate on NetScaler Gateway」を参照してください。

• クライアント証明書認証用の仮想サーバーを作成して構成します。証明書認証ポリシーを作成し、証明書のユーザー名抽出オプションとして「SubjectAltName:PrincipalName」を指定します。さらに、このポリシーを仮想サーバーにバインドして、クライアント証明書を要求するように構成します。詳しくは、「Configuring and Binding a Client Certificate Authentication Policy」を参照してください。

• 証明機関のルート証明書を仮想サーバーにバインドします。詳しくは、「To add a root certificate to a virtual server」を参照してください。

• 資格情報を再入力せずにリソースに接続されるようにするには、仮想サーバーをもう1つ作成し、SSL（Secure Sockets Layer）パラメーターでクライアント認証を無効にします。詳しくは、「スマートカード認証の構成」を参照してください。

  管理者は、作成した仮想サーバー経由でユーザー接続がルーティングされるようにStoreFrontを構成する必要もあります。ユーザーは最初の仮想サーバーにログオンします。作成した（2つ目の）仮想サーバーはリソースへの接続に使用されます。接続時にNetScaler Gatewayにログオンする必要はありませんが、デスクトップやアプリケーションへのログオン時にPINを入力する必要があります。スマートカードでの認証の失敗時に指定ユーザー認証を使用できるように設定する場合を除き、2つ目の仮想サーバーをリソースへのユーザー接続用に構成することは省略可能です。

• NetScaler Gateway経由でStoreFrontに接続するためのセッションポリシーおよびセッションプロファイルを作成して、それらを適切な仮想サーバーにバインドします。詳しくは、サポートの記事を参照してください。

• StoreFrontへの接続用の仮想サーバーを構成するときに、すべての通信がクライアント証明書で認証されるように指定した場合は、StoreFrontのコールバックURLを提供する仮想サーバーをさらに作成する必要があります。この仮想サーバーは、StoreFrontでNetScaler Gatewayアプライアンスからの要求を検証するためだけに使用されるため、公開ネットワークからアクセス可能である必要はありません。クライアント証明書による認証が必要な場合は、隔離された仮想サーバーが必要です。これは、認証用の証明書をStoreFrontで提示できないためです。詳しくは、「仮想サーバーの作成」を参照してください。

StoreFrontの構成

• スマートカード認証を有効にするには、StoreFrontとユーザーデバイス間の通信でHTTPSが使用されるように構成する必要があります。Microsoftインターネットインフォメーションサービス（IIS）でHTTPSを構成します。これを行うには、IISでSSL証明書を入手して、HTTPSバインドをデフォルトのWebサイトに追加します。IISでサーバー証明書を作成する方法については、https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831637(v=ws.11)を参照してください。HTTPSバインドをIISサイトに追加する方法について詳しくは、「https://docs.microsoft.com/en-us/previous-versions/orphan-topics/ws.11/hh831632(v=ws.11)」を参照してください。

• すべてのStoreFront URLへのHTTPS接続でクライアント証明書が要求されるようにするには、StoreFrontサーバー上でIISを構成します。

  StoreFrontインストール時のIISのデフォルト構成では、StoreFront認証サービスの証明書認証URLへのHTTPS接続でのみクライアント証明書が要求されます。この構成は、ユーザーがスマートカードでログオンできない場合に指定ユーザー認証でログオンできるようにしたり、Windowsポリシーが適切に設定されている条件で再認証なしにスマートカードを取り出せるようにしたりするために必要です。

  すべてのStoreFront URLへのHTTPS接続でクライアント証明書が要求されるようにIISを構成すると、スマートカードユーザーがNetScaler Gateway経由で接続できなくなり、指定ユーザー認証にもフォールバックされません。また、スマートカードをデバイスから取り出す場合は再度ログオンする必要があります。このIISサイト構成を有効にするには、認証サービスとストアを同じサーバー上に配置して、すべてのストアに対して有効なクライアント証明書を使用する必要があります。また、すべてのStoreFront URLへのHTTPS接続でクライアント証明書が要求されるようにIISを構成すると、Citrix Receiver for Webクライアントでの認証に問題が生じます。このため、Citrix Receiver for Webクライアントを使用しない場合のみ、この構成を使用してください。

  StoreFrontをWindows Server 2012上にインストールして、IISでSSLとクライアント証明書による認証を有効にする場合、サーバー上の「信頼されたルート証明機関」の証明書ストアにインストールされた非自己署名証明書が拒否されることに注意してください。この問題について詳しくは、http://support.microsoft.com/kb/2802568を参照してください。

• StoreFrontをインストールして構成します。必要に応じて、認証サービスを作成し、ストアを追加します。NetScaler Gatewayを介したリモートアクセスを有効にする場合は、仮想プライベートネットワーク（VPN）統合を有効にしないでください。詳しくは、「StoreFrontのインストールとセットアップ」を参照してください。

• 内部ネットワーク上のローカルユーザーに対して、StoreFrontへのスマートカード認証を有効にします。スマートカードユーザーがNetScaler Gateway経由でストアにアクセスする場合は、認証方法としてNetScaler Gatewayからのパススルーを有効にして、資格情報の検証をNetScaler Gatewayに委任します。ドメインに参加しているユーザーデバイスにCitrix Receiver for Windowsをインストールするときにパススルー認証を有効にする場合は、ドメインパススルー認証を有効にしておきます。詳しくは、「認証サービスの構成」を参照してください。

  Citrix Receiver for Webクライアントでスマートカードによる認証を許可するには、各Citrix Receiver for Webサイトでこの認証方法を有効にする必要があります。方法については、「Citrix Receiver for Webサイトの構成」を参照してください。

  スマートカード認証で指定ユーザー認証へのフォールバックを有効にする場合は、ユーザー名とパスワードを使用する認証方法を無効にしないでください。

• ドメインに参加しているユーザーデバイスにCitrix Receiver for Windowsをインストールするときにパススルー認証を有効にする場合は、デスクトップやアプリケーションにアクセスするときにスマートカードの資格情報がパススルーされるようにストアのdefault.icaファイルを編集します。詳しくは、「Citrix Receiver for Windowsのスマートカードパススルー認証を有効にする」を参照してください。

• デスクトップやアプリケーションへのユーザー接続のみに使用されるNetScaler Gateway仮想サーバーを追加した場合は、その仮想サーバーを経由する「最適なNetScaler Gatewayルーティング」を構成します。詳しくは、「ストアの最適なHDXルーティングの構成」を参照してください。

• ドメインに不参加のWindowsデスクトップアプライアンスのユーザーがスマートカードを使用してデスクトップにログオンできるようにするには、デスクトップアプライアンスサイトへのスマートカード認証を有効にします。詳しくは、「デスクトップアプライアンスサイトの構成」を参照してください。

デスクトップアプライアンスサイトでスマートカード認証および指定ユーザー認証の両方を有効にして、スマートカードでログオンできない場合は資格情報を入力してログオン（指定ユーザー認証）できるようにします。

• ドメインに参加しているデスクトップアプライアンスのユーザー、およびCitrix Desktop Lockを実行している再目的化されたPCのユーザーがスマートカードを使用して認証できるようにするには、XenApp Servicesサイトへのスマートカードパススルー認証を有効にします。詳しくは、「XenApp Services URLの認証の構成」を参照してください。

ユーザーデバイスの構成

• すべてのユーザーデバイスに、スマートカードのベンダーが提供するミドルウェアをインストールします。

• ユーザーが、ドメインに不参加のWindowsデスクトップアプライアンスを使用する場合は、管理者権限を持つアカウントでReceiver for Windows Enterpriseをインストールします。デバイスの電源を入れたときにInternet Explorerが全画面モードで起動して、デスクトップアプライアンスサイトが表示されるように構成します。デスクトップアプライアンスサイトのURLでは大文字と小文字が区別されることに注意してください。デスクトップアプライアンスサイトをInternet Explorerのローカルイントラネットまたは信頼済みサイトのゾーンに追加します。スマートカードを使用してデスクトップアプライアンスサイトにログオンして、ストアからリソースにアクセスできることを確認した後で、Citrix Desktop Lockをインストールします。詳しくは、「Desktop Lockをインストールするには」を参照してください。

• ユーザーが、ドメインに参加しているデスクトップアプライアンスや再目的化されたPCを使用する場合は、管理者権限を持つアカウントでReceiver for Windows Enterpriseをインストールします。Receiver for Windowsを構成するときに、適切なストアのXenApp ServicesサイトのURLを指定します。スマートカードを使用してデバイスにログオンして、ストアからリソースにアクセスできることを確認した後で、Citrix Desktop Lockをインストールします。詳しくは、「Desktop Lockをインストールするには」を参照してください。

• そのほかの場合は、適切なバージョンのCitrix Receiverをユーザーデバイスにインストールします。ドメインに参加しているデバイスのユーザーがXenDesktopおよびXenAppに接続するときのスマートカードパススルー認証を有効にするには、管理者アカウントを使ってReceiver for Windowsをコマンドラインでインストールします。このときに、/includeSSONオプションを指定します。詳しくは、「コマンドラインパラメーターを使用したReceiver for Windowsの構成とインストール」を参照してください。

  ドメインポリシーまたはローカルコンピューターポリシーで、スマートカード認証が使用されるようにReceiver for Windowsが構成されていることを確認します。ドメインポリシーの場合は、グループポリシー管理コンソールを使用して、Receiver for Windowsのグループポリシーオブジェクトテンプレートファイルicaclient.admを、ユーザーアカウントが属しているドメインのドメインコントローラーにインポートします。デバイスごとに構成する場合は、そのデバイス上のグループポリシーオブジェクトエディターを使用してこのテンプレートを構成します。詳しくは、「グループポリシーオブジェクトテンプレートによるReceiverの構成」を参照してください。

  ［スマートカード認証］ポリシーを有効にします。スマートカードの資格情報が自動的に使用（パススルー）されるようにするには、［PINにパススルー認証を使用します］チェックボックスをオンにします。さらに、XenDesktopおよびXenAppにスマートカードの資格情報がパススルーされるようにするには、［ローカルユーザー名とパスワード］ポリシーを有効にして、［すべてのICA接続にパススルー認証を許可します］チェックボックスをオンにします。詳しくは、「ICA設定リファレンス」を参照してください。

  ドメインに参加しているデバイスのユーザーがXenDesktopやXenAppに接続するときのスマートカードパススルー認証を有効にした場合は、ストアのURLをInternet Explorerのローカルイントラネットまたは信頼済みサイトのゾーンに追加します。この場合、そのゾーンのセキュリティ設定で［現在のユーザー名とパスワードで自動的にログオンする］が選択されていることを確認してください。

• 必要な場合は、ストア（内部ネットワーク上のユーザーの場合）やNetScaler Gatewayアプライアンス（リモートユーザーの場合）に接続するための詳細を適切な方法でユーザーに提供します。構成情報のユーザーへの提供について詳しくは、「Citrix Receiver」を参照してください。

Receiver for Windowsのスマートカードパススルー認証を有効にする

ドメインに参加しているユーザーデバイスにReceiver for Windowsをインストールするときに、パススルー認証（シングルサインオン）を有効にできます。XenDesktopおよびXenAppによってホストされているデスクトップおよびアプリケーションにアクセスするときにスマートカードの資格情報が自動的に使用（パススルー）されるようにするには、ストアのdefault.icaファイルを編集します。

重要：複数サーバーによる展開環境では、複数のサーバー上で同時にサーバーグループの構成を変更しないでください。展開内のほかのサーバー上でCitrix StoreFront管理コンソールを同時に実行していないことを確認してください。変更が完了したら、 構成の変更をサーバーグループに反映させて、展開内のほかのサーバーを更新します。

1. テキストエディターを使ってストアのdefault.icaファイルを開きます。このファイルは通常、C:\inetpub\wwwroot\Citrix\storename\App_Data\ディレクトリにあります。ここで、storenameはストアの作成時に指定した名前です。

2. NetScaler Gatewayを経由しないでストアにアクセスするユーザーに対して、スマートカードの資格情報でのパススルーを有効にするには、［アプリケーション］セクションに次の設定を追加します。

   DisableCtrlAltDel=Off
   <!--NeedCopy-->
   

   この設定はストアのすべてのユーザーに適用されます。デスクトップおよびアプリケーションに対するドメインパススルー認証とスマートカードパススルー認証の両方を有効にするには、これらの認証方法について個別のストアを作成する必要があります。この場合、どのストアにアクセスすべきかをユーザーに通知してください。

3. NetScaler Gatewayを経由してストアにアクセスするユーザーに対して、スマートカードの資格情報でのパススルーを有効にするには、［アプリケーション］セクションに次の設定を追加します。

   UseLocalUserAndPassword=On
   <!--NeedCopy-->
   

   この設定はストアのすべてのユーザーに適用されます。一部のユーザーに対してのみパススルー認証を有効にする場合は、それらのユーザー用に個別のストアを作成する必要があります。この場合、どのストアにアクセスすべきかをユーザーに通知してください。