スマートカード認証の構成

このトピックでは、一般的なStoreFront展開環境のすべてのコンポーネントでスマートカード認証を設定するための概要について説明します。詳細と構成手順については、各製品のドキュメントを参照してください。

Citrix環境のためのスマートカードの構成』では、Citrix環境でスマートカードを使用する場合に、特定の種類のスマートカードが使用されるように構成する方法について説明しています。同様の手順がほかのベンダーのスマートカードにも適用されます。

前提条件

  • StoreFrontサーバーを展開するMicrosoft Active Directoryドメインか、そのドメインと直接の双方向の信頼関係が設定されているドメインのいずれかにすべてのユーザーアカウントが属していることを確認します。
  • スマートカードパススルー認証を有効にする場合は、スマートカードリーダーの種類、ミドルウェアの種類と構成、およびミドルウェアのPINのキャッシュポリシーでパススルー認証が許可されることを確認します。
  • ユーザーのデスクトップやアプリケーションを提供する、Virtual Delivery Agentが動作する仮想マシンや物理マシンに、スマートカードのベンダーが提供するミドルウェアをインストールします。Citrix Virtual Desktops環境でスマートカードを使用する方法については、「スマートカード」を参照してください。
  • 事前に公開キーインフラストラクチャが正しく構成されていることを確認します。アカウントマッピングのための証明書がActive Directory環境に対して正しく構成されており、ユーザー証明書の検証を正しく実行できることを確認します。

Citrix Gatewayを構成します

  • Citrix Gatewayアプライアンスに、証明機関からの署名入りサーバー証明書をインストールします。詳しくは、「Installing and Managing Certificates」を参照してください。

  • Citrix Gatewayアプライアンスに、スマートカードユーザーの証明書を発行した証明機関のルート証明書をインストールします。詳しくは、「To install a root certificate on Citrix Gateway」を参照してください。

  • クライアント証明書認証用の仮想サーバーを作成して構成します。証明書認証ポリシーを作成し、証明書のユーザー名抽出オプションとして「SubjectAltName:PrincipalName」を指定します。さらに、このポリシーを仮想サーバーにバインドして、クライアント証明書を要求するように構成します。詳しくは、「Configuring and Binding a Client Certificate Authentication Policy」を参照してください。

  • 証明機関のルート証明書を仮想サーバーにバインドします。詳しくは、「To add a root certificate to a virtual server」を参照してください。

  • 資格情報を再入力せずにリソースに接続されるようにするには、仮想サーバーをもう1つ作成し、SSL(Secure Sockets Layer)パラメーターでクライアント認証を無効にします。詳しくは、「スマートカード認証の構成」を参照してください。

    管理者は、作成した仮想サーバー経由でユーザー接続がルーティングされるようにStoreFrontを構成する必要もあります。ユーザーは最初の仮想サーバーにログオンします。作成した(2つ目の)仮想サーバーはリソースへの接続に使用されます。接続時にCitrix Gatewayにログオンする必要はありませんが、デスクトップやアプリケーションへのログオン時にPINを入力する必要があります。スマートカードでの認証の失敗時に指定ユーザー認証を使用できるように設定する場合を除き、2つ目の仮想サーバーをリソースへのユーザー接続用に構成することは省略可能です。

  • Citrix Gateway経由でStoreFrontに接続するためのセッションポリシーおよびセッションプロファイルを作成して、それらを適切な仮想サーバーにバインドします。詳しくは、「Access to StoreFront Through Citrix Gateway」を参照してください。

  • StoreFrontへの接続用の仮想サーバーを構成するときに、すべての通信がクライアント証明書で認証されるように指定した場合は、StoreFrontのコールバックURLを提供する仮想サーバーをさらに作成する必要があります。この仮想サーバーは、StoreFrontでCitrix Gatewayアプライアンスからの要求を検証するためだけに使用されるため、公開ネットワークからアクセス可能である必要はありません。クライアント証明書による認証が必要な場合は、隔離された仮想サーバーが必要です。これは、認証用の証明書をStoreFrontで提示できないためです。詳しくは、「仮想サーバーの作成」を参照してください。

StoreFrontの構成

  • スマートカード認証を有効にするには、StoreFrontとユーザーデバイス間の通信でHTTPSが使用されるように構成する必要があります。Microsoftインターネットインフォメーションサービス(IIS)でHTTPSを構成します。これを行うには、IISでSSL証明書を入手して、HTTPSバインドをデフォルトのWebサイトに追加します。IISでサーバー証明書を作成する方法については、https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831637(v=ws.11)#create-certificate-wizardを参照してください。HTTPSバインドをIISサイトに追加する方法については、https://docs.microsoft.com/en-us/previous-versions/orphan-topics/ws.11/hh831632(v=ws.11)を参照してください。

  • すべてのStoreFront URLへのHTTPS接続でクライアント証明書が要求されるようにするには、StoreFrontサーバー上でIISを構成します。

    StoreFrontインストール時のIISのデフォルト構成では、StoreFront認証サービスの証明書認証URLへのHTTPS接続でのみクライアント証明書が要求されます。この構成は、ユーザーがスマートカードでログオンできない場合に指定ユーザー認証でログオンできるようにしたり、再認証なしにスマートカードを取り出せるようにしたりするために必要です。

    すべてのStoreFront URLへのHTTPS接続でクライアント証明書が要求されるようにIISを構成すると、スマートカードユーザーがCitrix Gateway経由で接続できなくなり、指定ユーザー認証にもフォールバックされません。また、スマートカードをデバイスから取り出す場合は再度ログオンする必要があります。このIISサイト構成を有効にするには、認証サービスとストアを同じサーバー上に配置して、すべてのストアに対して有効なクライアント証明書を使用する必要があります。また、すべてのStoreFront URLへのHTTPS接続でクライアント証明書が要求されるようにIISを構成すると、Citrix Receiver for Webクライアントでの認証に問題が生じます。このため、Citrix Receiver for Webクライアントを使用しない場合のみ、この構成を使用してください。

  • StoreFrontをインストールして構成します。必要に応じて、認証サービスを作成し、ストアを追加します。Citrix Gatewayを介したリモートアクセスを有効にする場合は、仮想プライベートネットワーク(VPN)統合を有効にしないでください。詳しくは、「StoreFrontのインストールとセットアップ」を参照してください。

  • 内部ネットワーク上のローカルユーザーに対して、StoreFrontへのスマートカード認証を有効にします。スマートカードユーザーがCitrix Gateway経由でストアにアクセスする場合は、認証方法としてCitrix Gatewayからのパススルーを有効にして、資格情報の検証をCitrix Gatewayに委任します。ドメインに参加しているユーザーデバイスにCitrix Receiver for WindowsまたはWindows向けCitrix Workspaceアプリをインストールするときにパススルー認証を有効にする場合は、ドメインパススルー認証を有効にしておきます。詳しくは、「認証サービスの構成」を参照してください。

    Citrix Receiver for Webクライアントでスマートカードによる認証を許可するには、各Citrix Receiver for Webサイトでこの認証方法を有効にする必要があります。方法については、「Citrix Receiver for Webサイトの構成」を参照してください。

    スマートカード認証で指定ユーザー認証へのフォールバックを有効にする場合は、ユーザー名とパスワードを使用する認証方法を無効にしないでください。

  • ドメインに参加しているユーザーデバイスにCitrix Receiver for WindowsまたはWindows向けCitrix Workspaceアプリをインストールするときにパススルー認証を有効にする場合は、デスクトップやアプリケーションにアクセスするときにスマートカードの資格情報がパススルーされるようにストアのdefault.icaファイルを編集します。詳しくは、「Citrix Receiver for WindowsまたはWindows向けCitrix Workspaceアプリのスマートカードパススルー認証を有効にする」を参照してください。

  • デスクトップやアプリケーションへのユーザー接続のみに使用されるCitrix Gateway仮想サーバーを追加した場合は、その仮想サーバーを経由する「最適なCitrix Gatewayルーティング」を構成します。詳しくは、「ストアの最適なHDXルーティングの構成」を参照してください。

  • ドメインに不参加のWindowsデスクトップアプライアンスのユーザーがスマートカードを使用してデスクトップにログオンできるようにするには、デスクトップアプライアンスサイトへのスマートカード認証を有効にします。詳しくは、「デスクトップアプライアンスサイトの構成」を参照してください。

デスクトップアプライアンスサイトでスマートカード認証および指定ユーザー認証の両方を有効にして、スマートカードでログオンできない場合は資格情報を入力してログオン(指定ユーザー認証)できるようにします。

  • ドメインに参加しているデスクトップアプライアンスのユーザー、およびCitrix Desktop Lockを実行している再目的化されたPCのユーザーがスマートカードを使用して認証できるようにするには、XenApp Servicesサイトへのスマートカードパススルー認証を有効にします。詳しくは、「XenApp Services URLの認証の構成」を参照してください。

ユーザーデバイスの構成

  • すべてのユーザーデバイスに、スマートカードのベンダーが提供するミドルウェアをインストールします。

  • ユーザーが、ドメインに不参加のWindowsデスクトップアプライアンスを使用する場合は、管理者権限を持つアカウントでReceiver for Windows Enterpriseをインストールします。デバイスの電源を入れたときにInternet Explorerが全画面モードで起動して、デスクトップアプライアンスサイトが表示されるように構成します。デスクトップアプライアンスサイトのURLでは大文字と小文字が区別されることに注意してください。デスクトップアプライアンスサイトをInternet Explorerのローカルイントラネットまたは信頼済みサイトのゾーンに追加します。スマートカードを使用してデスクトップアプライアンスサイトにログオンして、ストアからリソースにアクセスできることを確認した後で、Citrix Desktop Lockをインストールします。詳しくは、「Desktop Lockをインストールするには」を参照してください。

  • ユーザーが、ドメインに参加しているデスクトップアプライアンスや再目的化されたPCを使用する場合は、管理者権限を持つアカウントでReceiver for Windows Enterpriseをインストールします。Receiver for Windowsを構成するときに、適切なストアのXenApp ServicesサイトのURLを指定します。スマートカードを使用してデバイスにログオンして、ストアからリソースにアクセスできることを確認した後で、Citrix Desktop Lockをインストールします。詳しくは、「Desktop Lockをインストールするには」を参照してください。

  • そのほかの場合は、適切なバージョンのCitrix Receiverをユーザーデバイスにインストールします。ドメインに参加しているデバイスのユーザーがCitrix Virtual Apps and Desktopsに接続するときのスマートカードパススルー認証を有効にするには、管理者アカウントを使ってReceiver for Windowsをコマンドラインでインストールします。このときに、/includeSSONオプションを指定します。詳しくは、「コマンドラインパラメーターを使用したReceiver for Windowsの構成とインストール」を参照してください。

    ドメインポリシーまたはローカルコンピューターポリシーで、スマートカード認証が使用されるようにReceiver for Windowsが構成されていることを確認します。ドメインポリシーの場合は、グループポリシー管理コンソールを使用して、Receiver for Windowsのグループポリシーオブジェクトテンプレートファイルicaclient.admを、ユーザーアカウントが属しているドメインのドメインコントローラーにインポートします。デバイスごとに構成する場合は、そのデバイス上のグループポリシーオブジェクトエディターを使用してこのテンプレートを構成します。詳しくは、「グループポリシーオブジェクトテンプレートによるReceiverの構成」を参照してください。

    [スマートカード認証]ポリシーを有効にします。スマートカードの資格情報が自動的に使用(パススルー)されるようにするには、[PINにパススルー認証を使用します]チェックボックスをオンにします。さらに、Citrix Virtual Apps and Desktopsにスマートカードの資格情報がパススルーされるようにするには、[ローカルユーザー名とパスワード]ポリシーを有効にして、[すべてのICA接続にパススルー認証を許可します]チェックボックスをオンにします。詳しくは、「ICA設定リファレンス」を参照してください。

    ドメインに参加しているデバイスのユーザーがCitrix Virtual Apps and Desktopsに接続するときのスマートカードパススルー認証を有効にした場合は、ストアのURLをInternet Explorerのローカルイントラネットまたは信頼済みサイトのゾーンに追加します。この場合、そのゾーンのセキュリティ設定で[現在のユーザー名とパスワードで自動的にログオンする]が選択されていることを確認してください。

  • 必要な場合は、ストア(内部ネットワーク上のユーザーの場合)やCitrix Gatewayアプライアンス(リモートユーザーの場合)に接続するための詳細を適切な方法でユーザーに提供します。構成情報のユーザーへの提供について詳しくは、「Citrix Receiver」を参照してください。

Receiver for WindowsまたはWindows向けCitrix Workspaceアプリのスマートカードパススルー認証を有効にする

ドメインに参加しているユーザーデバイスにReceiver for Windowsをインストールするときに、パススルー認証(シングルサインオン)を有効にできます。Citrix Virtual Apps and Desktopsによってホストされているデスクトップおよびアプリケーションにアクセスするときにスマートカードの資格情報が自動的に使用(パススルー)されるようにするには、ストアのdefault.icaファイルを編集します。

重要:

複数サーバーによる展開環境では、複数のサーバー上で同時にサーバーグループの構成を変更しないでください。展開内のほかのサーバー上でCitrix StoreFront管理コンソールを同時に実行していないことを確認してください。変更が完了したら、 構成の変更をサーバーグループに反映させて、展開内のほかのサーバーを更新します。

  1. テキストエディターを使ってストアのdefault.icaファイルを開きます。このファイルは通常、C:\inetpub\wwwroot\Citrix\storename\App_Data\ディレクトリにあります。ここで、storenameはストアの作成時に指定した名前です。

  2. Citrix Gatewayを経由しないでストアにアクセスするユーザーに対して、スマートカードの資格情報でのパススルーを有効にするには、[[アプリケーション]] セクションに次の設定を追加します。

    DisableCtrlAltDel=Off

    この設定はストアのすべてのユーザーに適用されます。デスクトップおよびアプリケーションに対するドメインパススルー認証とスマートカードパススルー認証の両方を有効にするには、これらの認証方法について個別のストアを作成する必要があります。この場合、どのストアにアクセスすべきかをユーザーに通知してください。

  3. Citrix Gatewayを経由してストアにアクセスするユーザーに対して、スマートカードの資格情報でのパススルーを有効にするには、[[アプリケーション]]セクションに次の設定を追加します。

    UseLocalUserAndPassword=On

    この設定はストアのすべてのユーザーに適用されます。一部のユーザーに対してのみパススルー認証を有効にする場合は、それらのユーザー用に個別のストアを作成する必要があります。この場合、どのストアにアクセスすべきかをユーザーに通知してください。