Product Documentation

スマートカード

Mar 25, 2016

ユーザー認証にスマートカードを使用している場合は、以下のガイドラインを参照してください。

同一ユーザーデバイス上で、複数のスマートカードやスマートカードリーダーを使用することは可能ですが、パススルー認証を使用する場合は1枚のスマートカードを挿入した状態で仮想デスクトップまたはアプリケーションを開始する必要があります。 アプリケーション内でスマートカードを使用する場合(デジタル署名または暗号化機能など)、スマートカードの挿入またはPINの入力を求めるメッセージが表示されることがあります。 これは、同時に複数のスマートカードが挿入されている場合に発生します。 適切なスマートカードを挿入しているにもかかわらずスマートカードの挿入を求めるメッセージが表示された場合は、[キャンセル]をクリックするよう通知します。 ただし、PINの入力が求められた場合は、PINを再入力する必要があります。

Microsoft社のベーススマートカード暗号化サービスプロバイダー(CSP)によるスマートカードを使用する場合、Windows Server 2008または2008 R2が動作するサーバー上のアプリケーションにユーザーがアクセスすると、ほかのユーザーがスマートカードでログオンできなくなります。 これについての詳細および修正プログラムについては、http://support.microsoft.com/kb/949538を参照してください。

所属する組織によっては、スマートカードの使用について特定のセキュリティポリシーがある場合があります。 たとえば、スマートカードがどのように発行され、ユーザーがそれをどのように保護するかについてこれらのポリシーで規定してあることがあります。 XenAppおよびXenDesktopの環境では、これらのポリシーの一部の変更が必要になる場合があります。

カード管理システムまたはベンダーのユーティリティを使ってPINをリセットできます。

スマートカードのサポートには、Citrixパートナーから提供されるコンポーネントが使用される場合があります。 これらのコンポーネントはCitrixパートナーにより個別に提供およびアップデートされるため、ここでは説明しません。 詳しくは、http://www.citrix.com/ready/でCitrix Readyプログラムについて参照してください。

要件

カードリーダーのサポート:
  • USB Chip/Smart Card Interface Devices(CCID)仕様に準拠するZKA(Zentraler Kredit AusschussまたはCentral Credit Committee)Class 1接触型カードリーダーがサポートされます。 これらのカードリーダーでは、ユーザーがスマートカードをスロットに挿入したりスワイプしたりします。 Class 2リーダー(PINを入力するためのテンキーが付属したもの)を含むそのほかのクラスと非接触型リーダーはサポートされません。
  • 仮想スマートカード(Microsoft Windows Trusted Platform Moduleベースの仮想スマートカード)は、Receiver for Windows 4.3およびWindows 10または8がインストールされたユーザーデバイス上でサポートされます。 XenAppおよびXenDesktopの7.6 FP3よりも前のバージョンは、仮想スマートカードをサポートしていません。 仮想スマートカードについて詳しくは、Microsoft Windows TechCenterの「Virtual Smart Card Overview」を参照してください。
  • スマートカードリーダーのデバイスドライバーを入手して、ユーザーデバイスにインストールする必要があります。 Microsoftにより提供されるCCIDデバイスドライバーは、多くのスマートカードリーダーで使用できます。
  • スマートカードベンダーからデバイスドライバーと暗号化サービスプロバイダー(CSP)ソフトウェアを入手して、ユーザーデバイスと仮想デスクトップの両方にインストールします。 このドライバーとCSPソフトウェアは、XenAppやXenDesktopと互換性がある必要があります。詳しくは、ベンダーのドキュメントを参照してください。

Important

Citrixソフトウェアをインストールする前に、ドライバーとCSPをインストールする。

  • Citrixソフトウェアをインストールする前に、物理的なコンピューターにドライバーをインストールしてテストすることをお勧めします。
  • ミニドライバーモデルのスマートカードを使用するWindows 7の仮想デスクトップでは、スマートカードミニドライバーが自動的にダウンロードされます。また、http://catalog.update.microsoft.comまたはベンダーから入手することもできます。 さらに、PKCS#11ミドルウェアが必要な場合は、カードベンダーから入手してください。
スマートカードを使用したリモートPCアクセス:
  • オフィスで動作する、物理的なWindow 10、Windows 8、またはWindows 7マシンにリモートアクセスする場合は、スマートカードがサポートされます。Windows XPマシンへのリモートアクセスでは、スマートカードはサポートされません。
  • 以下のスマートカードが、リモートPCアクセス機能でテストされています。 
    • Gemalto .NET v2+とGemalto .NET miniドライバー
    • NIST PIVカードとActivIdentity ActivClient 6.2
    • NIST PIVカードとMicrosoftミニドライバー
    • CACカードとActivIdentity ActivClient 6.2
    • 仮想スマートカードとMicrosoftネイティブドライバー

ユーザーデバイスではCitrix Receiver、 適切なミドルウェア、および32ビット版と64ビット版のいずれかのWindows 7またはWindows 8(Embedded Editionを含む)が動作している必要があります。

ミドルウェア:
  • Receiverのスマートカードのサポートは、Microsoft社のPC/SC(Personal Computer/Smart Card)標準仕様に基づいています。 スマートカードおよびスマートカードデバイスは、使用するWindowsオペレーティングシステムでサポートされており、Microsoft WHQL(Windows Hardware Quality Lab)により承認されている必要があります。 PC/SCに準拠しているハードウェアについては、Microsoft社のドキュメントを参照してください。
  • Windowsシステムでは、以下のスマートカードとミドルウェアでの動作確認が行われています。 ただし、そのほかのスマートカードおよびミドルウェアも使用できます。 Citrix互換のスマートカードとミドルウェアについて詳しくは、http://www.citrix.com/ready/jaを参照してください。
    ミドルウェアスマートカード
    ActivClient 7.0(DoDモード有効)DoD CACカード
    PIVモードのActivClient 7.0NIST PIVカード
    MicrosoftミニドライバーNIST PIVカード
    GemAlto Mini Driver for .NETカードGemAlto .NET v2+

    Microsoftネイティブドライバー

    仮想スマートカード(TPM)
スマートカードを展開する前の確認事項:
  • Windows 10で実行するInternet Explorerでスマートカードを実行するユーザーの信頼済みサイトの一覧にCitrix Receiver for Web URLを追加します。 Windows 10では、Internet Explorerは信頼済みサイトのデフォルトで保護モードでは実行しません。
  • PKI(Public Key Infrastructure:公開キー基盤)が適切に構成されていることを確認します。 つまり、アカウントマッピングのための証明書がActive Directory環境に対して正しく構成されており、ユーザー証明書の検証を正しく実行できることを確認します。
  • スマートカードでのログオン時にTLS 1.0が使用されるように各コンポーネントを構成します。
  • ReceiverやStoreFrontなど、スマートカードで使用するほかのCitrixコンポーネントのシステム要件を満たしていることを確認します。
  • サイト内の以下のサーバーにアクセスできることを確認します。
    • スマートカード上のログオン証明書に関連付けられているユーザーアカウント用のActive Directoryドメインコントローラー
    • Delivery Controller
    • Citrix StoreFront
    • Citrix NetScaler Gateway/Citrix Access Gateway 10.x
    • Virtual Delivery Agent
    • Microsoft Exchange Server(リモートアクセスの場合はオプション)
  • 管理者は、一般的なスマートカードテクノロジーと、使用するそのほかのテクノロジー、およびSDKに精通している必要があります。 また分散環境での証明書のインストールと維持管理方法に関する理解も必要です。

スマートカード使用の有効化

  1. Citrix製品内で、スマートカードの使用を有効にします。
    1. カードの発行ポリシーに従って、ユーザーにスマートカードを発行します。
    2. 必要に応じて、ユーザーがリモートPCアクセスを実行できるようにスマートカードをセットアップします。
    3. Delivery ControllerとStoreFrontをインストールして構成します。
  2. StoreFrontで、スマートカードの使用を有効にします。 詳しくは、StoreFrontドキュメントの「スマートカード認証の構成」を参照してください。
  3. NetScaler Gateway/Access Gatewayで、スマートカードの使用を有効にします。 詳しくは、NetScalerドキュメントの「認証と承認の構成」および「Web Interfaceでのスマートカードアクセスの構成」を参照してください。
  4. Virtual Delivery Agent(VDA)で、スマートカードの使用を有効にします。
    1. Virtual Delivery Agentに必要なアプリケーションおよび更新がインストール済みであることを確認します。
    2. ミドルウェアをインストールします。
    3. ユーザーデバイス上のReceiverと仮想デスクトップセッション間でスマートカードデータ通信が行われるように、スマートカードのリモート処理をセットアップします。
  5. ユーザーデバイス(ドメインに属しているマシンと属していないマシンを含む)でスマートカードの使用を有効にします。 詳しくは、StoreFrontドキュメントの「スマートカード認証の構成」を参照してください。
    1. 証明機関のルート証明書とその証明機関の証明書をデバイスのキーストア内にインポートします。
    2. ベンダーが提供する暗号化ミドルウェアをインストールします。
    3. Receiver for Windowsをインストールおよび構成して、グループポリシー管理コンソールを使ってicaclient.admをインポートします。また、スマートカード認証を有効にします。
  6. 展開をテストします。 テストユーザーのスマートカードで仮想デスクトップを起動して、展開が正しく構成されていることを確認します。 すべてのアクセス方法(たとえば、Internet ExplorerおよびReceiverを介したデスクトップアクセスなど)をテストします。