スマートカード
スマートカードおよび同等のテクノロジーは、この記事で説明されているガイドライン内でサポートされています。Citrix Virtual AppsまたはCitrix Virtual Desktops™でスマートカードを使用するには:
- スマートカードの使用に関する組織のセキュリティポリシーを理解してください。これらのポリシーには、たとえば、スマートカードの発行方法やユーザーがスマートカードを保護する方法が記載されている場合があります。これらのポリシーの一部は、Citrix Virtual Apps™またはCitrix Virtual Desktops環境で再評価する必要があるかもしれません。
- スマートカードで使用するユーザーデバイスの種類、オペレーティングシステム、および公開アプリケーションを決定します。
- スマートカードテクノロジーと、選択したスマートカードベンダーのハードウェアおよびソフトウェアについて理解を深めてください。
- 分散環境でデジタル証明書を展開する方法を知っておいてください。
注:
高速スマートカードではスマートカードの登録はサポートされていません。高速スマートカードが無効になっている場合、スマートカードの登録は機能する可能性がありますが、スマートカードとミドルウェアの種類によって異なります。Citrix Virtual Apps and Desktopsとの統合、および仮想セッションを介したスマートカード登録のサポートについては、スマートカードおよびミドルウェアベンダーにお問い合わせください。
スマートカードの種類
エンタープライズおよびコンシューマースマートカードは、同じ寸法、電気コネクタを持ち、同じスマートカードリーダーに適合します。
エンタープライズ用途のスマートカードには、デジタル証明書が含まれています。これらのスマートカードはWindowsログオンをサポートし、ドキュメントや電子メールのデジタル署名および暗号化のためのアプリケーションでも使用できます。Citrix Virtual Apps and Desktops™はこれらの用途をサポートしています。
コンシューマー用途のスマートカードにはデジタル証明書は含まれていません。共有シークレットが含まれています。これらのスマートカードは、支払い(チップと署名、またはチップとPINのクレジットカードなど)をサポートできます。Windowsログオンや一般的なWindowsアプリケーションはサポートしていません。これらのスマートカードを使用するには、特殊なWindowsアプリケーションと適切なソフトウェアインフラストラクチャ(たとえば、支払いカードネットワークへの接続を含む)が必要です。Citrix Virtual AppsまたはCitrix Virtual Desktopsでこれらの特殊なアプリケーションをサポートする方法については、Citrix担当者にお問い合わせください。
エンタープライズスマートカードには、同様の方法で使用できる互換性のある同等品があります。
- スマートカードと同等のUSBトークンは、USBポートに直接接続します。これらのUSBトークンは通常、USBフラッシュドライブと同じくらいのサイズですが、携帯電話で使用されるSIMカードと同じくらい小さい場合もあります。これらは、スマートカードとUSBスマートカードリーダーの組み合わせとして表示されます。
- Windowsトラステッドプラットフォームモジュール(TPM)を使用する仮想スマートカードは、スマートカードとして表示されます。これらの仮想スマートカードは、Citrix Workspaceアプリ(最小バージョンCitrix Receiver 4.3)を使用して、Windows 8およびWindows 10でサポートされています。
- XenApp and XenDesktop 7.6 FP3 以前の シトリックス バーチャル アプリケーションズ アンド デスクトップ (旧称 ゼナップ アンド ゼンテスクトップ) のバージョンは、仮想スマートカードをサポートしていません。
- 仮想スマートカードの詳細については、「仮想スマートカードの概要」を参照してください。
注: 「仮想スマートカード」という用語は、ユーザーコンピューターに保存されているデジタル証明書を指す場合もあります。これらのデジタル証明書は、厳密にはスマートカードと同等ではありません。
Citrix Virtual Apps and Desktops のスマートカードサポートは、Microsoft Personal Computer/Smart Card (PC/SC) 標準仕様に基づいています。最低要件として、スマートカードとスマートカードデバイスは、基盤となる Windows オペレーティングシステムによってサポートされ、Microsoft Windows Hardware Quality Labs (WHQL) によって認定されている必要があります。これにより、対象となる Windows オペレーティングシステムを実行しているコンピューターで使用できます。ハードウェアの PC/SC 準拠に関する追加情報については、Microsoft のドキュメントを参照してください。他の種類のユーザーデバイスも PS/SC 標準に準拠している場合があります。詳細については、「Citrix Ready プログラム」を参照してください。
通常、各ベンダーのスマートカードまたは同等のものには、個別のデバイスドライバーが必要です。ただし、スマートカードが NIST Personal Identity Verification (PIV) 標準などの標準に準拠している場合、さまざまなスマートカードに単一のデバイスドライバーを使用できる可能性があります。デバイスドライバーは、ユーザーデバイスと Virtual Delivery Agent (VDA) の両方にインストールする必要があります。デバイスドライバーは、Citrix パートナーから入手できるスマートカードミドルウェアパッケージの一部として提供されることが多く、スマートカードミドルウェアパッケージは高度な機能を提供します。デバイスドライバーは、Cryptographic Service Provider (CSP)、Key Storage Provider (KSP)、またはミニドライバーとも呼ばれます。
Windows システム向けの以下のスマートカードとミドルウェアの組み合わせは、Citrix によってその種類の代表的な例としてテストされています。ただし、他のスマートカードとミドルウェアも使用できます。Citrix 互換のスマートカードとミドルウェアの詳細については、http://www.citrix.com/ready を参照してください。
| ミドルウェア | 対応カード |
|---|---|
| Gemalto .NET カード用ミニドライバー | ジェムアルト .NET v2以降 |
他の種類のデバイスでのスマートカードの使用については、そのデバイスの Citrix Workspace™ アプリのドキュメントを参照してください。
リモート PC アクセス
スマートカードは、Windows 10、Windows 8、または Windows 7 を実行している物理的なオフィス PC へのリモートアクセスでのみサポートされています。
以下のスマートカードは、Remote PC Access でテストされました。
| ミドルウェア | 対応カード |
|---|---|
| ジェムアルト ドットネット ミニドライバー | ジェムアルト .NET v2以降 |
高速スマートカード
高速スマートカードは、既存のHDX PC/SCベースのスマートカードリダイレクトに対する改善点です。スマートカードが高遅延のWAN環境で使用される場合に、パフォーマンスを向上させます。遅延が高い場合、パフォーマンスの向上は著しいものとなります(例えば、Windows高速スマートカードログオンでは15秒ですが、PC/SCベースのスマートカードリダイレクトでは1分以上かかります)。
高速スマートカードは、現在サポートされているWindows VDAを搭載したホストマシンでデフォルトで有効になっています。ホスト側で高速スマートカードを無効にするには(例えば診断目的で)、「Disable Cryptographic Redirection」レジストリ設定をゼロ以外の値に設定します。
HKLM\SOFTWARE\Citrix\SmartCard
CryptographicRedirectionDisable (DWORD)
<!--NeedCopy-->
クライアント側では、高速スマートカードを有効にするには、関連するStoreFrontサイトのdefault.icaファイルにSmartCardCryptographicRedirection ICAパラメーターを含めます。
[WFClient]
SmartCardCryptographicRedirection=On
さらに、クライアント側では、高速スマートカードを次のレジストリ設定を使用して強制的に有効または無効にできます(例えば診断目的で)。
- HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceEnableCryptographicRedirection (as a non-zero DWORD)
または
- HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceDisableCryptographicRedirection (as a non-zero DWORD)
クライアントマシンが64ビットの場合、32ビットレジストリハイブを指定する必要があります(WOW6432Nodeを使用して)。
制限事項:
- Citrix Workspaceアプリ for Windowsのみが高速スマートカードをサポートしています。default.icaファイルで高速スマートカードを設定した場合でも、Windows用ではないCitrix Workspaceアプリは引き続き既存のPC/SCリダイレクトを使用します。
- 高速スマートカードがサポートする唯一のダブルホップシナリオは、両方のホップで高速スマートカードが有効になっているICA® > ICAです。高速スマートカードはICA > RDPダブルホップシナリオをサポートしていないため、これらのシナリオは機能しません。
- 高速スマートカードは次世代暗号化をサポートしていません。そのため、高速スマートカードは楕円曲線暗号 (ECC) スマートカードをサポートしていません。
- 高速スマートカードは、読み取り専用キーコンテナ操作のみをサポートします。
- 高速スマートカードは、スマートカードPINの変更をサポートしていません。
VDAバージョン2203およびWindows向けCitrix Workspaceアプリバージョン2202(またはそれ以降)以降、高速スマートカードは次世代暗号化 (CNG) と互換性があります。さらに、楕円曲線暗号 (ECC) スマートカードは、ECDSAとECDHの両方で、P-256、P-384、P-521ビットの以下の曲線に対応しています。
VDAバージョン2203以降、高速スマートカードは、同じユーザーのログオンセッション内のアプリケーション間でスマートカードPINをキャッシュする機能を追加します。たとえば、セッションPINキャッシュが有効になっており、エンドユーザーが以前にOutlookにスマートカードPINを提供していた場合、Wordでドキュメントに署名する際に、WordはすでにキャッシュされているスマートカードPIN(Outlookに送信されたもの)を使用します。セッションPINキャッシュは、ユーザーがスマートカードPINを入力する回数を減らすことで、ユーザーエクスペリエンスを向上させます。さらに、スマートカードを使用してVDAにログオンする場合、WindowsスマートカードログオンPINをオプションでセッションPINキャッシュに保存できます。これにより、ユーザーエクスペリエンスがさらに向上します。
セッションPINキャッシュはデフォルトで無効になっています。VDAで以下のレジストリ設定を使用して有効化および制御できます。
HKLM\SOFTWARE\Citrix\SmartCard のレジストリパスにある設定は次のとおりです:
-
EnablePinSessionCacheをDWORDとして(有効にするにはゼロ以外) -
EnableLogonPinSessionCacheをDWORDとして(有効にするにはゼロ以外) -
PinSessionCacheEntryStaleTimeoutをDWORDとして(エントリが古くなるまでの秒数、デフォルトは1時間)
スマートカードリーダーの種類
スマートカードリーダーは、ユーザーデバイスに内蔵されている場合もあれば、ユーザーデバイスに別途接続されている場合もあります(通常はUSBまたはBluetooth経由)。USBチップ/スマートカードインターフェースデバイス (CCID) 仕様に準拠した接触型カードリーダーがサポートされています。これらには、ユーザーがスマートカードを挿入するスロットまたはスワイプが備わっています。ドイツ信用経済 (DK) 規格では、接触型カードリーダーの4つのクラスが定義されています。
- クラス1スマートカードリーダーは最も一般的で、通常はスロットを備えています。クラス1スマートカードリーダーは、通常、オペレーティングシステムに付属の標準CCIDデバイスドライバーでサポートされています。
- クラス2スマートカードリーダーには、ユーザーデバイスからアクセスできないセキュアなキーパッドも搭載されています。クラス2スマートカードリーダーは、統合されたセキュアなキーパッドを備えたキーボードに組み込まれている場合があります。クラス2スマートカードリーダーについては、Citrix担当者にお問い合わせください。セキュアなキーパッド機能を有効にするには、リーダー固有のデバイスドライバーが必要になる場合があります。
- クラス3スマートカードリーダーには、セキュアなディスプレイも搭載されています。クラス3スマートカードリーダーはサポートされていません。
- クラス4スマートカードリーダーには、セキュアトランザクションモジュールも含まれています。クラス4スマートカードリーダーはサポートされていません。
注:
スマートカードリーダーのクラスは、USBデバイスクラスとは関係ありません。
スマートカードリーダーは、ユーザーデバイスに適切なデバイスドライバーをインストールして使用する必要があります。
サポートされているスマートカードリーダーについては、使用しているCitrix Workspaceアプリのドキュメントを参照してください。Citrix Workspaceアプリのドキュメントでは、サポートされているバージョンはスマートカードに関する記事またはシステム要件に関する記事に記載されています。
ユーザーエクスペリエンス
スマートカードのサポートは、Citrix Virtual Apps and Desktopsに統合されており、デフォルトで有効になっている特定のICA/HDXスマートカード仮想チャネルを使用します。
重要:スマートカードリーダーに汎用USBリダイレクトを使用しないでください。これはスマートカードリーダーではデフォルトで無効になっており、有効にした場合でもサポートされません。
同じユーザーデバイスで複数のスマートカードと複数のリーダーを使用できますが、パススルー認証を使用している場合は、ユーザーが仮想デスクトップまたはアプリケーションを起動するときに、スマートカードを1枚だけ挿入する必要があります。アプリケーション内でスマートカードを使用する場合(デジタル署名や暗号化機能など)、スマートカードの挿入やPINの入力に関する追加のプロンプトが表示されることがあります。これは、複数のスマートカードが同時に挿入されている場合に発生する可能性があります。
- スマートカードがすでにリーダーに挿入されているにもかかわらず、スマートカードの挿入を促すプロンプトが表示された場合は、ユーザーは[キャンセル]を選択する必要があります。
- PINの入力を求められた場合は、ユーザーはPINを再度入力する必要があります。
カード管理システムまたはベンダーユーティリティを使用してPINをリセットできます。
重要:
Citrix Virtual AppsまたはCitrix Virtual Desktopsセッション内で、Microsoftリモートデスクトップ接続アプリケーションとスマートカードを使用することはサポートされていません。これは「ダブルホップ」の使用と呼ばれることがあります。
スマートカードを展開する前に
- スマートカードリーダー用のデバイスドライバーを入手し、ユーザーデバイスにインストールします。多くのスマートカードリーダーは、Microsoftが提供するCCIDデバイスドライバーを使用できます。
- スマートカードベンダーからデバイスドライバーと暗号化サービスプロバイダー (CSP) ソフトウェアを入手し、ユーザーデバイスと仮想デスクトップの両方にインストールします。ドライバーとCSPソフトウェアは、Citrix Virtual Apps and Desktopsと互換性がある必要があります。互換性については、ベンダーのドキュメントを確認してください。ミニドライバーモデルをサポートおよび使用するスマートカードを使用する仮想デスクトップの場合、スマートカードミニドライバーは自動的にダウンロードされますが、http://catalog.update.microsoft.com またはベンダーから入手することもできます。また、PKCS#11ミドルウェアが必要な場合は、カードベンダーから入手してください。
- 重要: Citrixは、Citrixソフトウェアをインストールする前に、物理コンピューターにドライバーとCSPソフトウェアをインストールしてテストすることを推奨します。
- Windows 10でInternet Explorerを使用してスマートカードを使用するユーザーのために、Citrix Receiver™ for WebのURLを信頼済みサイトリストに追加します。Windows 10では、Internet Explorerは信頼済みサイトに対してデフォルトで保護モードで実行されません。
- 公開鍵インフラストラクチャ (PKI) が適切に構成されていることを確認してください。これには、Active Directory環境で証明書とアカウントのマッピングが正しく構成されており、ユーザー証明書の検証が正常に実行できることを確認することが含まれます。
- 展開が、Citrix WorkspaceアプリやStoreFrontなど、スマートカードで使用される他のCitrixコンポーネントのシステム要件を満たしていることを確認してください。
- サイト内の以下のサーバーへのアクセスを確保します。
- スマートカード上のログオン証明書に関連付けられているユーザーアカウントのActive Directoryドメインコントローラー
- デリバリーコントローラー™
- シトリックス ストアフロント
- シトリックス ゲートウェイ/シトリックス アクセス ゲートウェイ 10.x
- VDA
- (Remote PC Accessの場合、オプション): マイクロソフト エクスチェンジ サーバー
スマートカードの使用を有効にする
ステップ 1. カード発行ポリシーに従って、ユーザーにスマートカードを発行します。
ステップ2. (オプション) Remote PC Access のユーザーを有効にするためにスマートカードを設定します。
ステップ3. スマートカードリモーティング用に Delivery Controller と StoreFront をインストールおよび構成します (まだインストールされていない場合)。
ステップ4. スマートカードの使用のために StoreFront を有効にします。詳細については、StoreFront ドキュメントの「スマートカード認証の構成」を参照してください。
ステップ5. スマートカードの使用のために Citrix Gateway/Access Gateway を有効にします。詳細については、NetScaler ドキュメントの「認証と承認の構成」および「Web Interface を使用したスマートカードアクセスの構成」を参照してください。
ステップ6. スマートカードの使用のために VDA を有効にします。
- VDA に必要なアプリケーションと更新プログラムがあることを確認します。
- ミドルウェアをインストールします。
- ユーザーデバイス上の Citrix Workspace アプリと仮想デスクトップセッション間のスマートカードデータの通信を可能にするスマートカードリモーティングを設定します。
ステップ7. スマートカードの使用のためにユーザーデバイス (ドメイン参加済みまたは非ドメイン参加済みマシンを含む) を有効にします。詳細については、StoreFront ドキュメントの「スマートカード認証の構成」を参照してください。
- 証明機関のルート証明書と発行証明機関の証明書をデバイスのキーストアにインポートします。
- ベンダーのスマートカードミドルウェアをインストールします。
- Windows 用 Citrix Workspace アプリをインストールおよび構成し、グループポリシー管理コンソールを使用して icaclient.adm をインポートし、スマートカード認証を有効にしてください。
ステップ8. 展開をテストします。テストユーザーのスマートカードで仮想デスクトップを起動して、展開が正しく構成されていることを確認します。可能なすべてのアクセスメカニズム (たとえば、Internet Explorer および Citrix Workspace アプリを介したデスクトップへのアクセス) をテストします。
スマートカードリーダーの挿入回数を追跡する
スマートカードリモーティングを使用すると、SCardGetStatusChange 関数を使用して、スマートカードがリーダーに挿入または取り外された回数を追跡できます。この関数は、監視するリーダーごとに1つずつ、SCARD_READERSTATE データ構造の配列を更新します。各 SCARD_READERSTATE の dwEventState フィールドの上位ワード (16ビット) には、リーダーカウントが含まれています。詳細については、Microsoft の記事「SCardGetStatusChangeA function」および「SCARD_READERSTATEA structure」を参照してください。
デフォルトでは、リーダー挿入回数レポート設定は無効になっています。追跡を有効にするには、次のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartCard
Name: EnableReaderInsertCountReporting
型は DWORD です。
値: ゼロ以外の任意の値
セッションが切断されると、カウントはゼロにリセットされます。
リーダー挿入回数レポートは、サードパーティのスマートカードミドルウェアと互換性があります。