Product Documentation

スマートカード展開

Mar 25, 2016

この製品バージョンおよびこのバージョンと以前のバージョンとの混在環境では、以下の種類のスマートカード展開がサポートされます。 そのほかの構成でも使用できる場合がありますが、サポートの対象外です。

公開キー基盤(PKI)の各証明書に同じパスワードを使用する場合は「 StoreFrontへの接続
ローカルのドメイン参加コンピューター 直接接続
ドメイン参加コンピューターからのリモートアクセス NetScaler Gateway経由の接続
ドメイン不参加コンピューター 直接接続
ドメイン不参加コンピューターからのリモートアクセス NetScaler Gateway経由の接続
デスクトップアプライアンスサイトにアクセスするドメイン不参加コンピューターおよびシンクライアント デスクトップアプライアンスサイト経由の接続
XenApp Servicesサイト経由でStoreFrontにアクセスするドメイン参加コンピューターおよびシンクライアント XenApp Servicesサイト経由の接続
展開の種類は、スマートカードリーダーが接続されているユーザーデバイスの特徴により定義されます。
  • デバイスがドメインに参加しているか参加していないか。
  • デバイスがStoreFrontにどのように接続するか。
  • 仮想デスクトップやアプリケーションの表示にどのソフトウェアを使用するか。

これらの展開では、Microsoft WordやMicrosoft Excelなど、スマートカード対応のアプリケーションを使用できます。 ユーザーは、これらのアプリケーションを使用してドキュメントにデジタル署名を追加したり、ドキュメントを暗号化したりできます。

2モード認証

これらの各展開で可能な箇所では、スマートカードを使用するのか、ユーザー名およびパスワードを入力するのかをユーザーに選択させる2モード認証をReceiverがサポートします。 この機能は、ユーザーがスマートカードを使用できない場合(スマートカードを自宅に忘れた場合や資格情報の有効期限が切れた場合など)に便利です。

ドメイン不参加デバイスのユーザーはReceiver for Windowsに直接ログオンするため、管理者は指定ユーザー認証へのフォールバックを有効にすることができます。 2モード認証を構成した場合、ユーザーは最初にスマートカードとPINを使ったログオンを要求されますが、スマートカードでログオンできない場合は指定ユーザー認証を選択することができます。

NetScaler Gatewayを使用する環境では、ユーザーはデバイスにログオンし、NetScaler Gatewayの認証を受けるようにReceiver for Windowsから要求されます。 これはドメイン参加デバイスとドメイン不参加デバイスの両方に適用されます。 ユーザーは、スマートカードとPINを使って、または指定ユーザーの資格情報を使ってNetScaler Gatewayにログオンできます。 これにより、NetScaler Gatewayにログオンするときの2モード認証をユーザーに提供できます。 ユーザーがStoreFrontに透過的に認証されるように、NetScaler GatewayからStoreFrontへのパススルー認証を構成し、スマートカードユーザーの資格情報の検証をNetScaler Gatewayに委任します。

複数Active Directoryフォレストでの考慮事項

Citrix環境では、スマートカードは単一のフォレスト内でサポートされます。 フォレスト間でのスマートカード認証には、すべてのユーザーアカウントに対する直接の双方向の信頼関係が必要です。 より複雑なマルチフォレスト展開(一方向のみまたはそのほかの信頼関係が設定された複数フォレスト展開)はサポートされていません。

リモートデスクトップを含むCitrix環境でスマートカードを使用できます。 この機能は、(スマートカードが接続されるユーザーデバイス上に)ローカルにインストールしたり、(ユーザーデバイスが接続するリモートデスクトップ上に)リモートにインストールしたりできます。

スマートカード取り出し時の動作ポリシー

スマートカード取り出し時の動作ポリシーの設定により、セッション中にスマートカードリーダーからカードを取り出したときの処理が制御されます。 このポリシーは、Windowsオペレーティングシステムで設定します。
ポリシー設定 デスクトップの動作
何もしない 何もしません。
ワークステーションをロック デスクトップセッションは切断され、仮想デスクトップはロックされます。
ログオフを強制する ユーザーは強制的にログオフされます。 ネットワーク接続が失われ、この設定が有効な場合、セッションはログオフされてユーザーのデータは消失します。

リモートターミナルサービスセッションの場合に切断

セッションは切断され、仮想デスクトップはロックされます。

証明書失効のチェック

証明書失効のチェックが有効な場合、スマートカードの証明書が有効かどうか検出されます。証明書が無効な場合、ユーザー認証に失敗したり、その証明書に関連付けられているデスクトップやアプリケーションへのアクセスが拒否されたりします。 たとえば、メールの復号化用の証明書が無効な場合、暗号化されたメールを復号化できなくなります。 同じスマートカード上に有効なほかの証明書がある場合、その機能については有効なままとなります。たとえば、認証用の証明書が有効な場合、ユーザー認証に成功します。

展開例:ドメイン参加コンピューター

この展開には、Desktop Viewerを実行し、StoreFrontに直接接続する、ドメインに参加しているユーザーデバイスが含まれています。



ユーザーは、スマートカードとPINを使ってデバイスにログオンします。 Receiverは、StoreFrontサーバーにアクセスするユーザーを統合Windows認証(IWA)で認証します。 StoreFrontにより、ユーザーのセキュリティ識別子(SID)がXenAppまたはXenDesktopに渡されます。 Receiverでシングルサインオン機能が構成されているため、ユーザーが仮想デスクトップやアプリケーションを起動するときにPINを再入力する必要はありません。

この展開は、2つ目のStoreFrontサーバーとアプリケーションをホストするサーバーを追加してダブルホップ形式に拡張できます。 仮想デスクトップのReceiverは、2つ目のStoreFrontサーバーへの認証を実行します。 この2つ目の接続では任意の認証方法を使用できます。 最初の接続で使用した認証方法を2つ目の接続で再使用したり、または2つ目の接続で異なる方法を使用したりできます。

展開例:ドメイン参加コンピューターからのリモートアクセス

この展開には、Desktop Viewerを実行し、NetScaler Gateway/Access Gatewayを介してStoreFrontに接続する、ドメインに参加しているユーザーデバイスが含まれています。



ユーザーはスマートカードとPINを使ってデバイスにログオンし、次にNetScaler Gateway/Access Gatewayにもう一度ログオンします。 この展開ではReceiverで2モード認証を使用できるため、この2つ目のログオンではスマートカードとPINを使用したりユーザー名とパスワードを入力したりできます。

ユーザーは自動的にStoreFrontにログオンし、ユーザーセキュリティ識別子(SID)がXenAppまたはXenDesktopに渡されます。 Receiverでシングルサインオン機能が構成されているため、ユーザーが仮想デスクトップやアプリケーションを起動するときにPINを再入力する必要はありません。

この展開は、2つ目のStoreFrontサーバーとアプリケーションをホストするサーバーを追加してダブルホップ形式に拡張できます。 仮想デスクトップのReceiverは、2つ目のStoreFrontサーバーへの認証を実行します。 この2つ目の接続では任意の認証方法を使用できます。 最初の接続で使用した認証方法を2つ目の接続で再使用したり、または2つ目の接続で異なる方法を使用したりできます。

展開例:ドメイン不参加コンピューター

この展開には、Desktop Viewerを実行し、StoreFrontに直接接続する、ドメイン不参加のユーザーデバイスが含まれています。



ユーザーがデバイスにログオンします。 通常はユーザー名とパスワードを入力しますが、デバイスがドメインに参加していないため、このログオンでの資格情報の入力は必須ではありません。 この展開では2モード認証を使用できるため、ReceiverではスマートカードとPIN、またはユーザー名とパスワードのいずれかの入力が求められます。 その後、ReceiverがStorefrontへの認証を実行します。

StoreFrontにより、ユーザーのセキュリティ識別子(SID)がXenAppまたはXenDesktopに渡されます。 この展開ではシングルサインオン機能を使用できないため、ユーザーが仮想デスクトップやアプリケーションを起動するときにPINを再入力する必要があります。

この展開は、2つ目のStoreFrontサーバーとアプリケーションをホストするサーバーを追加してダブルホップ形式に拡張できます。 仮想デスクトップのReceiverは、2つ目のStoreFrontサーバーへの認証を実行します。 この2つ目の接続では任意の認証方法を使用できます。 最初の接続で使用した認証方法を2つ目の接続で再使用したり、または2つ目の接続で異なる方法を使用したりできます。

展開例:ドメイン不参加コンピューターからのリモートアクセス

この展開には、Desktop Viewerを実行し、StoreFrontに直接接続する、ドメイン不参加のユーザーデバイスが含まれています。



ユーザーがデバイスにログオンします。 通常はユーザー名とパスワードを入力しますが、デバイスがドメインに参加していないため、このログオンでの資格情報の入力は必須ではありません。 この展開では2モード認証を使用できるため、ReceiverではスマートカードとPIN、またはユーザー名とパスワードのいずれかの入力が求められます。 その後、ReceiverがStorefrontへの認証を実行します。

StoreFrontにより、ユーザーのセキュリティ識別子(SID)がXenAppまたはXenDesktopに渡されます。 この展開ではシングルサインオン機能を使用できないため、ユーザーが仮想デスクトップやアプリケーションを起動するときにPINを再入力する必要があります。

この展開は、2つ目のStoreFrontサーバーとアプリケーションをホストするサーバーを追加してダブルホップ形式に拡張できます。 仮想デスクトップのReceiverは、2つ目のStoreFrontサーバーへの認証を実行します。 この2つ目の接続では任意の認証方法を使用できます。 最初の接続で使用した認証方法を2つ目の接続で再使用したり、または2つ目の接続で異なる方法を使用したりできます。

展開例:デスクトップアプライアンスサイトにアクセスするドメイン不参加コンピューターおよびシンクライアント

この展開には、Desktop Lockを実行し、デスクトップアプライアンスサイトを介してStoreFrontに接続する、ドメイン不参加のユーザーデバイスが含まれています。

Desktop Lockは、XenApp、XenDesktop、およびCitrix VDI-in-a-Boxと一緒にリリースされる個別のコンポーネントです。 Desktop Viewerの代替として使用でき、主に再目的化されたWindowsコンピューターおよびWindowsシンクライアント向けに設計されています。 Desktop Lockはユーザーデバイス上のWindows Shellとタスクマネージャーを置き換えるもので、これによりユーザーはそのデバイスに直接アクセスできなくなります。 Desktop Lockにより、ユーザーにはWindows ServerおよびWindows Desktopのデスクトップが提供されます。 Desktop Lockのインストールは必須ではありません。



ユーザーは、スマートカードを使ってデバイスにログオンします。 Desktop Lockを実行するデバイスは、キオスクモードで動作するInternet Explorerを介してデスクトップアプライアンスサイトを起動するように構成されます。 サイトのActiveXコントロールによりPINの入力が求められ、それがStoreFrontに送信されます。 StoreFrontにより、ユーザーのセキュリティ識別子(SID)がXenAppまたはXenDesktopに渡されます。 割り当てられたデスクトップグループ一覧で使用可能な(アルファベット順で)最初のデスクトップが起動します。

この展開は、2つ目のStoreFrontサーバーとアプリケーションをホストするサーバーを追加してダブルホップ形式に拡張できます。 仮想デスクトップのReceiverは、2つ目のStoreFrontサーバーへの認証を実行します。 この2つ目の接続では任意の認証方法を使用できます。 最初の接続で使用した認証方法を2つ目の接続で再使用したり、または2つ目の接続で異なる方法を使用したりできます。

展開例:XenApp Servicesサイト経由でStoreFrontにアクセスするドメイン参加コンピューターおよびシンクライアント

この展開には、Desktop Lockを実行し、XenApp Services URLを介してStoreFrontに接続する、ドメインに参加しているユーザーデバイスが含まれています。

Desktop Lockは、XenApp、XenDesktop、およびCitrix VDI-in-a-Boxと一緒にリリースされる個別のコンポーネントです。 Desktop Viewerの代替として使用でき、主に再目的化されたWindowsコンピューターおよびWindowsシンクライアント向けに設計されています。 Desktop Lockはユーザーデバイス上のWindows Shellとタスクマネージャーを置き換えるもので、これによりユーザーはそのデバイスに直接アクセスできなくなります。 Desktop Lockにより、ユーザーにはWindows ServerおよびWindows Desktopのデスクトップが提供されます。 Desktop Lockのインストールは必須ではありません。



ユーザーは、スマートカードとPINを使ってデバイスにログオンします。 デバイス上でDesktop Lockが動作している場合は、StoreFrontサーバーでのユーザー認証に統合Windows認証(IWA)が使用されます。 StoreFrontにより、ユーザーのセキュリティ識別子(SID)がXenAppまたはXenDesktopに渡されます。 Receiverでシングルサインオン機能が構成されているため、ユーザーが仮想デスクトップを起動するときにPINを再入力する必要はありません。

この展開は、2つ目のStoreFrontサーバーとアプリケーションをホストするサーバーを追加してダブルホップ形式に拡張できます。 仮想デスクトップのReceiverは、2つ目のStoreFrontサーバーへの認証を実行します。 この2つ目の接続では任意の認証方法を使用できます。 最初の接続で使用した認証方法を2つ目の接続で再使用したり、または2つ目の接続で異なる方法を使用したりできます。