スマートカードの展開
この製品バージョンおよびこのバージョンを含む混在環境では、以下の種類のスマートカード展開がサポートされています。その他の構成も機能する可能性がありますが、サポートされていません。
| 種類 | StoreFront™ への接続の提供 |
|---|---|
| ローカルのドメイン参加済みコンピューター | 直接接続済み |
| ドメイン参加済みコンピューターからのリモートアクセス | Citrix Gateway を経由して接続される |
| ドメインに参加していないコンピューター | 直接接続済み |
| ドメインに参加していないコンピューターからのリモートアクセス | Citrix ゲートウェイ経由で接続 |
| デスクトップアプライアンスサイトにアクセスするドメインに参加していないコンピューターおよびシンクライアント | デスクトップアプライアンスサイト経由で接続 |
| XenApp® Services URLを介してStoreFrontにアクセスするドメイン参加済みコンピューターおよびシンクライアント | XenApp Services ユーアールエルを介して接続 |
展開の種類は、スマートカードリーダーが接続されているユーザーデバイスの特性によって定義されます。
- デバイスがドメイン参加済みか、非ドメイン参加済みか。
- デバイスがStoreFrontにどのように接続されているか。
- 仮想デスクトップとアプリケーションを表示するためにどのソフトウェアが使用されているか。
さらに、Microsoft WordやMicrosoft Excelなどのスマートカード対応アプリケーションをこれらの展開で使用できます。これらのアプリケーションを使用すると、ユーザーはドキュメントにデジタル署名したり、暗号化したりできます。
バイモーダル認証
これらの各展開において可能な場合、Receiverはスマートカードの使用とユーザー名およびパスワードの入力のいずれかを選択できるようにすることで、バイモーダル認証をサポートします。これは、スマートカードが使用できない場合(たとえば、ユーザーが自宅に忘れた場合やログオン証明書の有効期限が切れた場合など)に役立ちます。
非ドメイン参加デバイスのユーザーはReceiver for Windowsに直接ログオンするため、明示的な認証にフォールバックできるようにすることができます。バイモーダル認証を構成すると、ユーザーは最初にスマートカードとPINを使用してログオンするよう求められますが、スマートカードに問題が発生した場合は明示的な認証を選択するオプションがあります。
Citrix Gatewayを展開する場合、ユーザーはデバイスにログオンし、Receiver for WindowsによってCitrix Gatewayへの認証を求められます。これは、ドメイン参加済みデバイスと非ドメイン参加済みデバイスの両方に適用されます。ユーザーは、スマートカードとPIN、または明示的な資格情報のいずれかを使用してCitrix Gatewayにログオンできます。これにより、Citrix Gatewayログオンに対してバイモーダル認証をユーザーに提供できます。Citrix GatewayからStoreFrontへのパススルー認証を構成し、スマートカードユーザーの資格情報検証をCitrix Gatewayに委任することで、ユーザーはStoreFrontにサイレント認証されます。
複数のActive Directoryフォレストに関する考慮事項
Citrix環境では、スマートカードは単一のフォレスト内でサポートされます。フォレストをまたがるスマートカードログオンには、すべてのユーザーアカウントへの直接的な双方向フォレスト信頼が必要です。スマートカードを含むより複雑なマルチフォレスト展開(つまり、信頼が一方通行であるか、異なるタイプである場合)はサポートされていません。
リモートデスクトップを含むCitrix環境でスマートカードを使用できます。この機能は、ローカル(スマートカードが接続されているユーザーデバイス上)またはリモート(ユーザーデバイスが接続するリモートデスクトップ上)にインストールできます。
スマートカード取り外しポリシー
製品に設定されているスマートカード取り外しポリシーは、セッション中にリーダーからスマートカードを取り外した場合に何が起こるかを決定します。スマートカード取り外しポリシーは、Windowsオペレーティングシステムを介して構成および処理されます。
| ポリシー設定 | デスクトップの動作 |
|---|---|
| アクションなし | アクションなし。 |
| ワークステーションをロックする | デスクトップセッションが切断され、仮想デスクトップがロックされます。 |
| 強制ログオフ | ユーザーは強制的にログオフされます。ネットワーク接続が失われ、この設定が有効になっている場合、セッションがログオフされ、ユーザーはデータを失う可能性があります。 |
| リモートターミナルサービスセッションの場合に切断する | セッションが切断され、仮想デスクトップがロックされます。 |
証明書失効チェック
証明書失効チェックが有効になっており、ユーザーが無効な証明書を含むスマートカードをカードリーダーに挿入した場合、ユーザーは認証できず、証明書に関連するデスクトップまたはアプリケーションにアクセスできません。たとえば、無効な証明書がメールの復号化に使用された場合、メールは暗号化されたままになります。認証に使用されるものなど、カード上の他の証明書がまだ有効である場合、それらの機能はアクティブなままです。
展開例:ドメイン参加済みコンピューター
この展開には、Desktop Viewerを実行し、StoreFrontに直接接続するドメイン参加済みユーザーデバイスが含まれます。
展開例:ドメイン参加済みコンピューター(/ja-jp/citrix-virtual-apps-desktops/2407/media/smartcard1_1.png)
ユーザーはスマートカードとPINを使用してデバイスにログオンします。Receiverは、統合Windows認証 (IWA) を使用して、ユーザーをStoreFrontサーバーに認証します。StoreFrontは、ユーザーセキュリティ識別子 (SID) をCitrix Virtual AppsまたはCitrix Virtual Desktopsに渡します。ユーザーが仮想デスクトップまたはアプリケーションを起動すると、Receiverでシングルサインオン機能が構成されているため、PINの再入力を求められることはありません。
この展開は、2つ目のStoreFrontサーバーとアプリケーションをホストするサーバーを追加することで、ダブルホップに拡張できます。仮想デスクトップからのReceiverは、2つ目のStoreFrontサーバーに対して認証を行います。この2つ目の接続には、任意の認証方法を使用できます。最初のホップで示された構成は、2つ目のホップで再利用することも、2つ目のホップでのみ使用することもできます。
展開例:ドメイン参加済みコンピューターからのリモートアクセス
この展開では、Desktop Viewerを実行し、Citrix Gateway/Access Gatewayを介してStoreFrontに接続するドメイン参加済みユーザーデバイスが関係します。
展開例:ドメイン参加済みコンピューターからのリモートアクセス(/ja-jp/citrix-virtual-apps-desktops/2407/media/smartcard2_1.png)
ユーザーはスマートカードとPINを使用してデバイスにログオンし、その後、Citrix Gateway/Access Gatewayに再度ログオンします。この展開ではReceiverがバイモーダル認証を許可しているため、この2回目のログオンはスマートカードとPIN、またはユーザー名とパスワードのいずれかで行うことができます。
ユーザーはStoreFrontに自動的にログオンし、StoreFrontはユーザーセキュリティ識別子 (SID) をCitrix Virtual Apps™またはCitrix Virtual Desktopsに渡します。ユーザーが仮想デスクトップまたはアプリケーションを起動すると、Receiverでシングルサインオン機能が構成されているため、PINの再入力を求められることはありません。
この展開は、2つ目のStoreFrontサーバーとアプリケーションをホストするサーバーを追加することで、ダブルホップに拡張できます。仮想デスクトップからのReceiverは、2つ目のStoreFrontサーバーに対して認証を行います。この2つ目の接続には、任意の認証方法を使用できます。最初のホップで示された構成は、2つ目のホップで再利用することも、2つ目のホップでのみ使用することもできます。
展開例:ドメイン非参加コンピューター
この展開では、Desktop Viewerを実行し、StoreFrontに直接接続するドメイン非参加ユーザーデバイスが関係します。
展開例:ドメイン非参加コンピューター(/ja-jp/citrix-virtual-apps-desktops/2407/media/smartcard3_1.png)
ユーザーはデバイスにログオンします。通常、ユーザーはユーザー名とパスワードを入力しますが、デバイスがドメインに参加していないため、このログオンの資格情報はオプションです。この展開ではバイモーダル認証が可能であるため、ReceiverはユーザーにスマートカードとPIN、またはユーザー名とパスワードのいずれかを要求します。その後、ReceiverはStoreFrontに対して認証を行います。
StoreFrontは、ユーザーセキュリティ識別子 (SID) をCitrix Virtual AppsまたはCitrix Virtual Desktopsに渡します。ユーザーが仮想デスクトップまたはアプリケーションを起動すると、この展開ではシングルサインオン機能が利用できないため、PINの再入力を求められます。
この展開は、2つ目のStoreFrontサーバーとアプリケーションをホストするサーバーを追加することで、ダブルホップに拡張できます。仮想デスクトップからのReceiverは、2つ目のStoreFrontサーバーに対して認証を行います。この2つ目の接続には、任意の認証方法を使用できます。最初のホップで示された構成は、2つ目のホップで再利用することも、2つ目のホップでのみ使用することもできます。
展開例:ドメイン非参加コンピューターからのリモートアクセス
この展開では、Desktop Viewerを実行し、StoreFrontに直接接続する、ドメインに参加していないユーザーデバイスが関係します。
ユーザーはデバイスにログオンします。通常、ユーザーはユーザー名とパスワードを入力しますが、デバイスがドメインに参加していないため、このログオンの資格情報はオプションです。この展開ではバイモーダル認証が可能であるため、ReceiverはスマートカードとPIN、またはユーザー名とパスワードのいずれかをユーザーに要求します。その後、ReceiverはStorefrontに対して認証を行います。
StoreFrontは、ユーザーセキュリティ識別子(SID)をCitrix Virtual AppsまたはCitrix Virtual Desktopsに渡します。この展開ではシングルサインオン機能が利用できないため、ユーザーが仮想デスクトップまたはアプリケーションを起動すると、再度PINの入力を求められます。
この展開は、2番目のStoreFrontサーバーとアプリケーションをホストするサーバーを追加することで、ダブルホップに拡張できます。仮想デスクトップからのReceiverは、2番目のStoreFrontサーバーに対して認証を行います。この2番目の接続には、任意の認証方法を使用できます。最初のホップで示された構成は、2番目のホップで再利用することも、2番目のホップでのみ使用することもできます。
展開例:ドメインに参加していないコンピューターとシンクライアントがDesktop Applianceサイトにアクセスする
この展開では、Desktop Lockを実行し、Desktop Applianceサイトを介してStoreFrontに接続する、ドメインに参加していないユーザーデバイスが関係します。
Desktop Lockは、Citrix Virtual Apps、Citrix Virtual Desktops、およびVDI-in-a-Boxとともにリリースされる個別のコンポーネントです。これはDesktop Viewerの代替であり、主に再利用されたWindowsコンピューターおよびWindowsシンクライアント向けに設計されています。Desktop Lockは、これらのユーザーデバイスのWindowsシェルとタスクマネージャーを置き換え、ユーザーが基になるデバイスにアクセスするのを防ぎます。Desktop Lockを使用すると、ユーザーはWindows Server MachineデスクトップおよびWindows Desktop Machineデスクトップにアクセスできます。Desktop Lockのインストールはオプションです。
ユーザーはスマートカードを使用してデバイスにログオンします。デバイスでDesktop Lockが実行されている場合、デバイスはキオスクモードで実行されているInternet Explorerを介してDesktop Applianceサイトを起動するように構成されています。サイト上のActiveXコントロールはユーザーにPINを要求し、それをStoreFrontに送信します。StoreFrontは、ユーザーセキュリティ識別子(SID)をCitrix Virtual AppsまたはCitrix Virtual Desktopsに渡します。割り当てられたデスクトップグループのアルファベット順リストで最初に利用可能なデスクトップが起動します。
この展開は、2番目のStoreFrontサーバーとアプリケーションをホストするサーバーを追加することで、ダブルホップに拡張できます。仮想デスクトップからのReceiverは、2番目のStoreFrontサーバーに対して認証を行います。この2番目の接続には、任意の認証方法を使用できます。最初のホップで示された構成は、2番目のホップで再利用することも、2番目のホップでのみ使用することもできます。
展開例:ドメインに参加しているコンピューターとシンクライアントがXenApp Services URLを介してStoreFrontにアクセスする
この展開では、Desktop Lockを実行し、XenApp Services URLを介してStoreFrontに接続する、ドメインに参加しているユーザーデバイスが関係します。
Desktop Lockは、Citrix Virtual Apps、Citrix Virtual Desktops、およびVDI-in-a-Boxとともにリリースされる個別のコンポーネントです。これはDesktop Viewerの代替であり、主に再利用されたWindowsコンピューターおよびWindowsシンクライアント向けに設計されています。Desktop Lockは、これらのユーザーデバイスのWindowsシェルとタスクマネージャーを置き換え、ユーザーが基になるデバイスにアクセスするのを防ぎます。Desktop Lockを使用すると、ユーザーはWindows Server MachineデスクトップおよびWindows Desktop Machineデスクトップにアクセスできます。Desktop Lockのインストールはオプションです。
ユーザーはスマートカードとPINを使用してデバイスにログオンします。デバイスでDesktop Lockが実行されている場合、統合Windows認証 (IWA) を使用してユーザーをStoreFrontサーバーに認証します。StoreFrontは、ユーザーのセキュリティ識別子 (SID) をCitrix Virtual AppsまたはCitrix Virtual Desktopsに渡します。ユーザーが仮想デスクトップを起動すると、Receiverでシングルサインオン機能が構成されているため、PINの入力を再度求められることはありません。
この展開は、2番目のStoreFrontサーバーとアプリケーションをホストするサーバーを追加することで、ダブルホップに拡張できます。仮想デスクトップからのReceiverは、2番目のStoreFrontサーバーに認証します。この2番目の接続には、任意の認証方法を使用できます。最初のホップで示された構成は、2番目のホップで再利用することも、2番目のホップでのみ使用することもできます。
この記事の概要
- バイモーダル認証
- 複数のActive Directoryフォレストに関する考慮事項
- スマートカード取り外しポリシー
- 証明書失効チェック
- 展開例:ドメイン参加済みコンピューター
- 展開例:ドメイン参加済みコンピューターからのリモートアクセス
- 展開例:ドメイン非参加コンピューター
- 展開例:ドメイン非参加コンピューターからのリモートアクセス
- 展開例:ドメインに参加していないコンピューターとシンクライアントがDesktop Applianceサイトにアクセスする
- 展開例:ドメインに参加しているコンピューターとシンクライアントがXenApp Services URLを介してStoreFrontにアクセスする