スマートカードの展開
この製品バージョンおよびこのバージョンを含む混在環境では、以下の種類のスマートカード展開がサポートされています。その他の構成も機能する可能性がありますが、サポートされていません。
| 種類 | ストアフロント™ 接続 |
|---|---|
| ローカルのドメイン参加済みコンピューター | 直接接続された状態 |
| ドメイン参加済みコンピューターからのリモートアクセス | シトリックス ゲートウェイ を経由した接続 |
| ドメインに参加していないコンピューター | 直接接続された状態 |
| ドメインに参加していないコンピューターからのリモートアクセス | シトリックス ゲートウェイ経由で接続 |
| Desktop Applianceサイトにアクセスする、ドメインに参加していないコンピューターおよびシンクライアント | デスクトップ アプライアンス サイト経由で接続 |
| XenApp® Services URL経由でStoreFrontにアクセスする、ドメイン参加済みコンピューターおよびシンクライアント | ゼナップ サービス ユーアールエル 経由で接続 |
展開の種類は、スマートカードリーダーが接続されているユーザーデバイスの特性によって定義されます。
- デバイスがドメイン参加済みか、非ドメイン参加済みか。
- デバイスがStoreFrontにどのように接続されているか。
- 仮想デスクトップとアプリケーションを表示するためにどのソフトウェアが使用されているか。
さらに、Microsoft WordやMicrosoft Excelなどのスマートカード対応アプリケーションは、これらの展開で使用できます。これらのアプリケーションを使用すると、ユーザーはドキュメントにデジタル署名したり、暗号化したりできます。
バイモーダル認証
これらの展開のそれぞれにおいて可能な場合、Receiverはスマートカードの使用とユーザー名およびパスワードの入力の選択肢をユーザーに提供することで、バイモーダル認証をサポートします。これは、スマートカードが使用できない場合(たとえば、ユーザーが自宅に忘れた場合やログオン証明書の有効期限が切れた場合)に役立ちます。
非ドメイン参加デバイスのユーザーはReceiver for Windowsに直接ログオンするため、ユーザーが明示的な認証にフォールバックできるようにすることができます。バイモーダル認証を構成すると、ユーザーは最初にスマートカードとPINを使用してログオンするように求められますが、スマートカードに問題が発生した場合は明示的な認証を選択するオプションがあります。
Citrix Gatewayを展開する場合、ユーザーはデバイスにログオンし、Receiver for WindowsによってCitrix Gatewayへの認証を求められます。これは、ドメイン参加済みデバイスと非ドメイン参加済みデバイスの両方に適用されます。ユーザーは、スマートカードとPIN、または明示的な資格情報を使用してCitrix Gatewayにログオンできます。これにより、Citrix Gatewayログオンに対してバイモーダル認証をユーザーに提供します。Citrix GatewayからStoreFrontへのパススルー認証を構成し、スマートカードユーザーの資格情報検証をCitrix Gatewayに委任することで、ユーザーはStoreFrontにサイレント認証されます。
複数のActive Directoryフォレストに関する考慮事項
Citrix環境では、スマートカードは単一のフォレスト内でサポートされます。フォレストをまたがるスマートカードログオンには、すべてのユーザーアカウントへの直接的な双方向フォレスト信頼が必要です。スマートカードを含むより複雑なマルチフォレスト展開(つまり、信頼が一方通行であるか、異なるタイプである場合)はサポートされていません。
リモートデスクトップを含むCitrix環境でスマートカードを使用できます。この機能は、ローカル(スマートカードが接続されているユーザーデバイス上)またはリモート(ユーザーデバイスが接続するリモートデスクトップ上)にインストールできます。
スマートカード取り外しポリシー
製品に設定されているスマートカード取り外しポリシーは、セッション中にリーダーからスマートカードを取り外した場合に何が起こるかを決定します。スマートカード取り外しポリシーは、Windowsオペレーティングシステムを介して構成および処理されます。
| ポリシー設定 | デスクトップの動作 |
|---|---|
| アクションなし | アクションなし。 |
| ワークステーションをロックする | デスクトップセッションが切断され、仮想デスクトップがロックされます。 |
| 強制ログオフ | ユーザーは強制的にログオフされます。ネットワーク接続が失われ、この設定が有効になっている場合、セッションがログオフされ、ユーザーはデータを失う可能性があります。 |
| リモートターミナルサービスセッションの場合に切断する | セッションが切断され、仮想デスクトップがロックされます。 |
証明書失効チェック
証明書失効チェックが有効になっていて、ユーザーが無効な証明書を含むスマートカードをカードリーダーに挿入した場合、ユーザーは認証できず、その証明書に関連するデスクトップまたはアプリケーションにアクセスできません。たとえば、無効な証明書がメールの復号化に使用されている場合、メールは暗号化されたままになります。認証に使用されるものなど、カード上の他の証明書がまだ有効な場合、それらの機能はアクティブなままです。
展開例:ドメイン参加済みコンピューター
この展開には、Desktop Viewerを実行し、StoreFrontに直接接続するドメイン参加済みユーザーデバイスが含まれます。
展開例:ドメイン参加済みコンピューター(/ja-jp/citrix-virtual-apps-desktops/2203-ltsr/media/smartcard1_1.png)
ユーザーはスマートカードとPINを使用してデバイスにログオンします。Receiverは、統合Windows認証 (IWA) を使用して、ユーザーをStoreFrontサーバーに認証します。StoreFrontは、ユーザーセキュリティ識別子 (SID) をCitrix Virtual AppsまたはCitrix Virtual Desktopsに渡します。ユーザーが仮想デスクトップまたはアプリケーションを起動すると、シングルサインオン機能がReceiverで構成されているため、PINの入力を再度求められることはありません。
この展開は、2つ目のStoreFrontサーバーとアプリケーションをホストするサーバーを追加することで、ダブルホップに拡張できます。仮想デスクトップからのReceiverは、2つ目のStoreFrontサーバーに認証します。この2つ目の接続には、任意の認証方法を使用できます。最初のホップで示されている構成は、2つ目のホップで再利用することも、2つ目のホップでのみ使用することもできます。
展開例:ドメイン参加済みコンピューターからのリモートアクセス
この展開には、Desktop Viewerを実行し、Citrix Gateway/Access Gatewayを介してStoreFrontに接続するドメイン参加済みユーザーデバイスが含まれます。
ユーザーはスマートカードとPINを使用してデバイスにログオンし、その後Citrix Gateway/Access Gatewayに再度ログオンします。この2回目のログオンは、スマートカードとPIN、またはユーザー名とパスワードのいずれかを使用できます。これは、この展開ではReceiverがバイモーダル認証を許可しているためです。
ユーザーはStoreFrontに自動的にログオンし、StoreFrontはユーザーセキュリティ識別子 (SID) をCitrix Virtual Apps™またはCitrix Virtual Desktopsに渡します。ユーザーが仮想デスクトップまたはアプリケーションを起動すると、シングルサインオン機能がReceiverで構成されているため、PINの入力を再度求められることはありません。
この展開は、2つ目のStoreFrontサーバーとアプリケーションをホストするサーバーを追加することで、ダブルホップに拡張できます。仮想デスクトップからのReceiverは、2つ目のStoreFrontサーバーに認証します。この2つ目の接続には、任意の認証方法を使用できます。最初のホップで示されている構成は、2つ目のホップで再利用することも、2つ目のホップでのみ使用することもできます。
展開例:ドメイン非参加コンピューター
この展開には、Desktop Viewerを実行し、StoreFrontに直接接続するドメイン非参加ユーザーデバイスが含まれます。
ユーザーはデバイスにログオンします。通常、ユーザーはユーザー名とパスワードを入力しますが、デバイスがドメインに参加していないため、このログオンの資格情報はオプションです。この展開ではバイモーダル認証が可能であるため、ReceiverはユーザーにスマートカードとPIN、またはユーザー名とパスワードのいずれかを要求します。その後、ReceiverはStoreFrontに認証します。
StoreFrontは、ユーザーセキュリティ識別子 (SID) をCitrix Virtual AppsまたはCitrix Virtual Desktopsに渡します。ユーザーが仮想デスクトップまたはアプリケーションを起動すると、この展開ではシングルサインオン機能が利用できないため、PINの入力を再度求められます。
この展開は、2つ目のStoreFrontサーバーとアプリケーションをホストするサーバーを追加することで、ダブルホップに拡張できます。仮想デスクトップからのReceiverは、2つ目のStoreFrontサーバーに認証します。この2つ目の接続には、任意の認証方法を使用できます。最初のホップで示されている構成は、2つ目のホップで再利用することも、2つ目のホップでのみ使用することもできます。
展開例:ドメイン非参加コンピューターからのリモートアクセス
この展開では、Desktop Viewer を実行し、StoreFront に直接接続するドメインに参加していないユーザーデバイスが関与します。
展開例: ドメインに参加していないコンピューターからのリモートアクセス(/ja-jp/citrix-virtual-apps-desktops/2203-ltsr/media/smartcard4_1.png)
ユーザーはデバイスにログオンします。通常、ユーザーはユーザー名とパスワードを入力しますが、デバイスがドメインに参加していないため、このログオンの資格情報はオプションです。この展開ではバイモーダル認証が可能なため、Receiver はスマートカードと PIN、またはユーザー名とパスワードのいずれかをユーザーに要求します。その後、Receiver は StoreFront に対して認証を行います。
StoreFront はユーザーセキュリティ識別子 (SID) を Citrix Virtual Apps または Citrix Virtual Desktops に渡します。ユーザーが仮想デスクトップまたはアプリケーションを起動すると、この展開ではシングルサインオン機能が利用できないため、ユーザーは再度 PIN の入力を求められます。
この展開は、2番目の StoreFront サーバーとアプリケーションをホストするサーバーを追加することで、ダブルホップに拡張できます。仮想デスクトップからの Receiver は、2番目の StoreFront サーバーに対して認証を行います。この2番目の接続には、任意の認証方法を使用できます。最初のホップで示された構成は、2番目のホップで再利用することも、2番目のホップでのみ使用することもできます。
展開例: ドメインに参加していないコンピューターとシンクライアントが Desktop Appliance サイトにアクセスする
この展開では、Desktop Lock を実行し、Desktop Appliance サイトを介して StoreFront に接続する可能性のある、ドメインに参加していないユーザーデバイスが関与します。
Desktop Lock は、Citrix Virtual Apps、Citrix Virtual Desktops、および VDI-in-a-Box とともにリリースされる個別のコンポーネントです。これは Desktop Viewer の代替であり、主に再利用された Windows コンピューターと Windows シンクライアント向けに設計されています。Desktop Lock は、これらのユーザーデバイスの Windows シェルとタスクマネージャーを置き換え、ユーザーが基盤となるデバイスにアクセスするのを防ぎます。Desktop Lock を使用すると、ユーザーは Windows Server Machine デスクトップと Windows Desktop Machine デスクトップにアクセスできます。Desktop Lock のインストールはオプションです。
展開例: ドメインに参加していないコンピューターとシンクライアントが Desktop Appliance サイトにアクセスする(/ja-jp/citrix-virtual-apps-desktops/2203-ltsr/media/smartcard5_1.png)
ユーザーはスマートカードを使用してデバイスにログオンします。デバイスで Desktop Lock が実行されている場合、デバイスはキオスクモードで実行されている Internet Explorer を介して Desktop Appliance サイトを起動するように構成されます。サイト上の ActiveX コントロールは、ユーザーに PIN を要求し、それを StoreFront に送信します。StoreFront はユーザーセキュリティ識別子 (SID) を Citrix Virtual Apps または Citrix Virtual Desktops に渡します。割り当てられたデスクトップグループのアルファベット順リストで最初に利用可能なデスクトップが起動します。
この展開は、2番目の StoreFront サーバーとアプリケーションをホストするサーバーを追加することで、ダブルホップに拡張できます。仮想デスクトップからの Receiver は、2番目の StoreFront サーバーに対して認証を行います。この2番目の接続には、任意の認証方法を使用できます。最初のホップで示された構成は、2番目のホップで再利用することも、2番目のホップでのみ使用することもできます。
展開例: ドメインに参加しているコンピューターとシンクライアントが XenApp Services URL を介して StoreFront にアクセスする
この展開では、Desktop Lock を実行し、XenApp Services URL を介して StoreFront に接続するドメインに参加しているユーザーデバイスが関与します。
Desktop Lock は、Citrix Virtual Apps、Citrix Virtual Desktops、および VDI-in-a-Box とともにリリースされる個別のコンポーネントです。これは Desktop Viewer の代替であり、主に再利用された Windows コンピューターと Windows シンクライアント向けに設計されています。Desktop Lock は、これらのユーザーデバイスの Windows シェルとタスクマネージャーを置き換え、ユーザーが基盤となるデバイスにアクセスするのを防ぎます。Desktop Lock を使用すると、ユーザーは Windows Server Machine デスクトップと Windows Desktop Machine デスクトップにアクセスできます。Desktop Lock のインストールはオプションです。
展開例: ドメインに参加しているコンピューターとシンクライアントが XenApp Services URL を介して StoreFront にアクセスする(/ja-jp/citrix-virtual-apps-desktops/2203-ltsr/media/smartcard6.png)
ユーザーはスマートカードとPINを使用してデバイスにログオンします。デバイスでDesktop Lockが実行されている場合、統合Windows認証 (IWA) を使用してユーザーをStoreFrontサーバーに認証します。StoreFrontは、ユーザーセキュリティ識別子 (SID) をCitrix Virtual AppsまたはCitrix Virtual Desktopsに渡します。ユーザーが仮想デスクトップを起動すると、シングルサインオン機能がReceiverで構成されているため、PINの再入力を求められることはありません。
この展開は、2番目のStoreFrontサーバーとアプリケーションをホストするサーバーを追加することで、ダブルホップに拡張できます。仮想デスクトップからのReceiverは、2番目のStoreFrontサーバーに対して認証を行います。この2番目の接続には、任意の認証方法を使用できます。最初のホップで示された構成は、2番目のホップで再利用することも、2番目のホップでのみ使用することもできます。
この記事の概要
- バイモーダル認証
- 複数のActive Directoryフォレストに関する考慮事項
- スマートカード取り外しポリシー
- 証明書失効チェック
- 展開例:ドメイン参加済みコンピューター
- 展開例:ドメイン参加済みコンピューターからのリモートアクセス
- 展開例:ドメイン非参加コンピューター
- 展開例:ドメイン非参加コンピューターからのリモートアクセス
- 展開例: ドメインに参加していないコンピューターとシンクライアントが Desktop Appliance サイトにアクセスする
- 展開例: ドメインに参加しているコンピューターとシンクライアントが XenApp Services URL を介して StoreFront にアクセスする