スマートカード認証
ユーザーは、ストアにアクセスするときに、スマートカードとPINを使用して認証されます。StoreFrontをインストールする際、スマートカード認証はデフォルトで無効になっています。スマートカード認証は、Citrix Workspaceアプリ、WebブラウザーおよびXenApp Servicesサイトからストアに接続するユーザーに対して有効にすることができます。
スマートカード認証を使用することで、ユーザーのログオンプロセスを合理化しつつ、ユーザーによるインフラストラクチャへのアクセスにおいてセキュリティを強化することができます。社内ネットワークへのアクセスは、公開キーのインフラストラクチャを使用した証明書ベースの2要素認証によって保護されます。秘密キーは、ハードウェアで保護されるため、スマートカードの外に漏れることはありません。ユーザーは、スマートカードとPINを使用してさまざまなコーポレートデバイスからデスクトップとアプリケーションにアクセスできるようになります。
スマートカードは、Citrix Virtual Apps and Desktopsで提供されるデスクトップとアプリケーションのユーザー認証をStoreFront経由で行うために使用できます。StoreFrontにスマートカードでログオンするユーザーは、Endpoint Managementで提供されるアプリケーションにもアクセスできます。ただし、クライアント証明書認証を使用するEndpoint Management Webアプリケーションにアクセスするには、再度認証を受ける必要があります。
スマートカード認証を有効にする場合、StoreFrontサーバーが属しているMicrosoft Active Directoryドメインか、そのドメインと直接の双方向の信頼関係が設定されているドメインのいずれかにユーザーのアカウントが属している必要があります。双方向の信頼関係を含んでいるマルチフォレスト展開環境がサポートされます。
StoreFrontのスマートカード認証の構成は、ユーザーデバイス、インストールされているクライアント、およびデバイスがドメインに参加しているかどうかによって異なります。ドメインに参加しているデバイスとは、StoreFrontサーバーを含んでいるActive Directoryフォレスト内のドメインに属しているデバイスを意味します。
『Citrix環境のためのスマートカードの構成』では、Citrix環境でスマートカードを使用する場合に、特定の種類のスマートカードが使用されるように構成する方法について説明しています。同様の手順がほかのベンダーのスマートカードにも適用されます。
前提条件
- StoreFrontサーバーを展開するMicrosoft Active Directoryドメインか、そのドメインと直接の双方向の信頼関係が設定されているドメインのいずれかにすべてのユーザーアカウントが属していることを確認します。
- スマートカードパススルー認証を有効にする場合は、スマートカードリーダーの種類、ミドルウェアの種類と構成、およびミドルウェアのPINのキャッシュポリシーでパススルー認証が許可されることを確認します。
- ユーザーのデスクトップやアプリケーションを提供する、Virtual Delivery Agentが動作する仮想マシンや物理マシンに、スマートカードのベンダーが提供するミドルウェアをインストールします。Citrix Virtual Desktops環境でスマートカードを使用する方法については、「スマートカード」を参照してください。
- お使いの公開キー基盤が適切に構成されていることを確認します。アカウントマッピングのための証明書がActive Directory環境に対して正しく構成されており、ユーザー証明書の検証を正しく実行できることを確認します。
StoreFrontの構成
-
スマートカード認証を有効にするには、StoreFrontとユーザーデバイス間の通信でHTTPSが使用されるように構成する必要があります。「 HTTPSを使用したStoreFrontのセキュリティ」を参照してください。
-
Citrix Workspaceアプリを介したストアへの接続時にスマートカード認証を有効にするには、[認証方法] で [スマートカード] にチェックを入れるか、チェックを外します。
-
デフォルトでストアのスマートカード認証を有効にすると、そのストアのすべてのWebサイトでもスマートカード認証が有効になります。[Receiver for Webサイトの管理]の[認証方法]タブで、特定のWebサイトのスマートカード認証を個別に有効または無効にできます。
-
管理者がスマートカード認証およびユーザー名とパスワード認証の両方を構成した場合、ユーザーは最初にスマートカードとPINを使ったログオンを要求されますが、スマートカードでログオンできない場合は指定ユーザー認証を選択することができます。
StoreFrontを信頼するようにDelivery Controllerを構成する
スマートカード認証を使用する場合、StoreFrontはユーザーの資格情報にアクセスできないため、Citrix Virtual Apps and Desktopsに認証できません。したがって、StoreFrontからの要求を信頼するようにDelivery Controllerを構成する必要があります。Citrix Virtual Apps and Desktopsの「セキュリティに関する考慮事項およびベストプラクティス」を参照してください。
Citrix Gatewayを介したリモートアクセス
リモートアクセスの場合、Citrix Gatewayでスマートカードを有効にしてから、StoreFrontへのパススルー認証を委任認証で有効にすることができます。詳細については、「Gatewayパススルー」を参照してください。
リソースへの接続が確立されたときにユーザーが仮想サーバーで資格情報を要求する追加のプロンプトを受信しないようにするには、仮想サーバーをもう1つ作成し、SSL(Secure Sockets Layer)パラメーターでクライアント認証を無効にします。詳しくは、「スマートカード認証の構成」を参照してください。スマートカード認証でゲートウェイを経由してStoreFrontにアクセスする場合。ストアに対してデスクトップやアプリケーションを提供する展開への接続のために、この仮想サーバーを経由する最適なCitrix Gatewayルーティングを設定します。詳しくは、「ストアの最適なHDXルーティングの構成」を参照してください。
VDAへのシングルサインオン
ユーザーのスマートカード資格情報のパススルーによって、VDAへのシングルサインオンを有効にすることができます。ストアにはWebブラウザーまたはWindows向けCitrix Workspaceアプリを通じてアクセスできますが、リソースはWindows向けCitrix Workspaceアプリで開く必要があります。他のオペレーティングシステムの場合、またはブラウザー経由でリソースにアクセスする場合、ユーザーはVDAに接続するときに資格情報を再入力する必要があります。
-
Windows向けCitrix Workspaceのインストール時にシングルサインオンコンポーネントを含めて、シングルサインオン用に構成します。「ドメインパススルー認証の構成」を参照してください。
-
テキストエディターを使用して、ストアのdefault.icaファイルを開きます。「デフォルトのica」を参照してください。
-
Citrix Gatewayを経由しないでストアにアクセスするユーザーに対して、スマートカードの資格情報でのパススルーを有効にするには、[アプリケーション]セクションに次の設定を追加します。
DisableCtrlAltDel=Off
この設定はストアのすべてのユーザーに適用されます。デスクトップおよびアプリケーションに対するドメインパススルー認証とスマートカードパススルー認証の両方を有効にするには、これらの認証方法について個別のストアを作成する必要があります。この場合、どのストアにアクセスすべきかをユーザーに通知してください。
-
Citrix Gatewayを経由してストアにアクセスするユーザーに対して、スマートカードの資格情報でのパススルーを有効にするには、[アプリケーション]セクションに次の設定を追加します。
UseLocalUserAndPassword=On
この設定はストアのすべてのユーザーに適用されます。一部のユーザーに対してのみパススルー認証を有効にする場合は、それらのユーザー用に個別のストアを作成する必要があります。この場合、どのストアにアクセスすべきかをユーザーに通知してください。
FASを使用したVDAへのシングルサインオン
また、HTML5向けCitrix Workspaceアプリではなく、ローカルにインストールされたCitrix Workspaceアプリを使用する場合に、フェデレーション認証サービスをVDAへのシングルサインオンで構成することもできます。
重要な注意事項
StoreFrontでのユーザー認証にスマートカードを使用する場合は、次の要件と制限があります。
-
スマートカード認証で仮想プライベートネットワーク(VPN)トンネルを使用するには、ユーザーがCitrix Gateway Plug-inをインストールしてWebページ経由でログオンする必要があります。この場合、各手順でスマートカードとPINによる認証が必要になります。スマートカードユーザーは、Citrix Gateway Plug-inを使用したStoreFrontへのパススルー認証を使用できません。
-
同一ユーザーデバイス上で複数のスマートカードやスマートカードリーダーを使用することができますが、スマートカードでのパススルー認証を有効にする場合は、ユーザーがデスクトップやアプリケーションにアクセスするときにスマートカードが1枚のみ挿入されていることを確認する必要があります。
-
アプリケーション内でスマートカードを使用する場合(デジタル署名または暗号化機能など)、スマートカードの挿入またはPINの入力を求めるメッセージが表示されることがあります。これは、同時に複数のスマートカードが挿入されている場合に発生します。また、構成設定(通常グループポリシーを使用して構成されるPINキャッシュなどのミドルウェア設定)が原因で発生することもあります。適切なスマートカードを挿入しているにもかかわらずスマートカードの挿入を求めるメッセージが表示された場合は、[キャンセル]をクリックする必要があります。ただし、PINの入力が求められた場合は、PINを再入力する必要があります。
-
ドメイン参加デバイスを使用するWindows向けCitrix WorkspaceアプリユーザーがCitrix Gatewayを介してストアにアクセスしない場合に、Citrix Virtual Apps and Desktopsへのスマートカードでのパススルー認証を有効にすると、この設定がストアのすべてのユーザーに適用されます。デスクトップおよびアプリケーションに対するドメインパススルー認証とスマートカードパススルー認証の両方を有効にするには、これらの認証方法について個別のストアを作成する必要があります。この場合、どのストアにアクセスすべきかをユーザーに通知してください。
-
ドメイン参加デバイスを使用するWindows向けCitrix WorkspaceアプリユーザーがCitrix Gatewayを介してストアにアクセスする場合、Citrix Virtual Apps and Desktopsへのスマートカードでのパススルー認証を有効にすると、この設定がストアのすべてのユーザーに適用されます。一部のユーザーに対してのみパススルー認証を有効にする場合は、それらのユーザー用に個別のストアを作成する必要があります。この場合、どのストアにアクセスすべきかをユーザーに通知してください。
-
各XenApp Servicesサイトに構成できる認証方法と各ストアで使用できるXenApp Servicesサイトは、それぞれ1つだけです。スマートカード認証に加えてほかの認証方法を有効にする必要がある場合は、認証方法ごとに個別のストアを作成し、それぞれのストアにXenApp Servicesサイトを1つずつ割り当てる必要があります。この場合、どのストアにアクセスすべきかをユーザーに通知してください。
-
StoreFrontインストール時のMicrosoftインターネットインフォメーションサービス(IIS)のデフォルト構成では、StoreFront認証サービスの証明書認証URLへのHTTPS接続でのみクライアント証明書が要求されます。それ以外のStoreFront URLにはクライアント証明書は必要ありません。この構成により、管理者は、スマートカードでの認証に問題が生じた場合に指定ユーザー認証を使用できるように設定できます。適用されるWindowsポリシー設定によっては、ユーザーが再認証なしにスマートカードを取り出すこともできます。
すべてのStoreFront URLへのHTTPS接続でクライアント証明書が必要になるようにIISを構成する場合は、認証サービスとストアを同じサーバー上に配置する必要があります。この場合、すべてのストアに有効なクライアント証明書を使用する必要があります。このIISサイト構成では、スマートカードユーザーがCitrix Gateway経由で接続できなくなり、指定ユーザー認証にもフォールバックされません。また、スマートカードをデバイスから取り出す場合は再度ログオンする必要があります。