スマートカードを使用したパススルー認証とシングルサインオン

パススルー認証

仮想デスクトップへのスマートカードによるパススルー認証は、Windows 10、Windows 8、Windows 7 Service Pack 1 Enterpriseエディション、およびProfessionalエディションが動作するユーザーデバイスでサポートされます。

ホストされるアプリケーションへのスマートカードによるパススルー認証は、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、およびWindows Server 2008 R2 SP1が動作するサーバーでサポートされます。

サーバーでホストされるアプリケーションへのスマートカードパススルー認証を使用するには、サイトの認証方法としてスマートカードパススルーを構成するときにKerberosを有効にする必要があります。

注:スマートカードによるパススルー認証を使用できるかどうかは、さまざまな要因により決定されます。

  • パススルー認証に関する組織のセキュリティポリシー。
  • ミドルウェアの種類と構成。
  • スマートカードリーダーの種類。
  • ミドルウェアのPINキャッシュポリシー。

スマートカードによるパススルー認証は、Citrix StoreFront上で構成します。詳しくは、StoreFrontのドキュメントを参照してください。

Single Sign-On

「シングルサインオン」とは、仮想デスクトップやアプリケーションの起動時にパススルー認証を実行する機能を指します。この機能を「ドメイン参加のStoreFront直接アクセス」および「ドメイン参加のNetScaler経由のStoreFrontアクセス」のスマートカード展開で使用して、ユーザーがPINを入力する回数を減らすことができます。これらの種類の展開でシングルサインオンを使用するには、StoreFrontサーバー上default.icaで以下のパラメーターを編集します。

  • ドメイン参加のStoreFront直接アクセス — DisableCtrlAltDelをOffに設定します。
  • ドメイン参加のNetScaler経由のStoreFrontアクセス — UseLocalUserAndPasswordをOnに設定します。

これらのパラメーター設定について詳しくは、StoreFrontまたはNetScaler Gatewayのドキュメントを参照してください。

シングルサインオン機能を使用できるかどうかは、以下を含むさまざまな要因により決定されます。

  • シングルサインオンに関する組織のセキュリティポリシー。
  • ミドルウェアの種類と構成。
  • スマートカードリーダーの種類。
  • ミドルウェアのPINキャッシュポリシー。

注:スマートカードリーダーが接続されたマシン上のVirtual Delivery Agent(VDA)にユーザーがログオンすると、前回使用された認証方法(スマートカードまたはパスワードなど)の画面が開く場合があります。この結果、シングルサインオンが有効な場合はシングルサインオン用の画面が開きます。この画面ではシングルサインオンが機能しないため、ログオンを行うには、 [ユーザーの切り替え]をクリックしてほかの画面を開く必要があります。

スマートカードを使用したパススルー認証とシングルサインオン