XenApp and XenDesktop

スマートカード

スマートカードおよび同等のテクノロジは、このアーティクルに記載されているガイドライン内でサポートされています。 XenAppまたはXenDesktopでスマートカードを使用するには、以下を行う必要があります:

  • 所属する組織における、スマートカードの使用に関するセキュリティポリシーを理解します。たとえば、スマートカードがどのように発行され、ユーザーがそれをどのように保護するかについてこれらのポリシーで規定してあることがあります。XenAppおよびXenDesktopの環境では、これらのポリシーの一部の変更が必要になる場合があります。
  • どのユーザーデバイスの種類、オペレーティングシステム、および公開アプリケーションがスマートカードとともに使用されるかを決定します。
  • スマートカードテクノロジ全般および選択したスマートカードベンダーのハードウェアとソフトウェアについて理解します。
  • 分散環境でのデジタル証明書の展開管理方法について理解します。

スマートカードの種類

エンタープライズ向けとコンシューマー向けのスマートカードは、寸法も電気コネクタも同じで、同じスマートカードリーダーを使用できます。

エンタープライズ向けのスマートカードにはデジタル証明書が含まれています。これらのスマートカードはWindowsログオンをサポートしていて、ドキュメントや電子メールのデジタル署名と暗号化のためのアプリケーションと連携して使用できます。XenAppおよびXenDesktopは、これらの用途をサポートしています。

コンシューマー向けのスマートカードにはデジタル証明書は含まれていませんが、共有シークレットが含まれています。これらのスマートカードは、支払い(チップと署名、チップとPINクレジットカードなど)をサポートできます。これらのスマートカードは、Windowsログインや一般的なWindowsアプリケーションをサポートしていません。これらのスマートカードと合わせて使用するには、特別なWindowsアプリケーションと、適切なソフトウェアインフラストラクチャ(支払いカードネットワークへの接続など)が必要です。XenAppまたはXenDesktopでのこのような特別なアプリケーションのサポートについて詳しくは、Citrix担当者にお問い合わせください。

エンタープライズ向けスマートカードには、互換性のある同等のものが存在し、類似した方法で使用できます。

  • スマートカードと同等のUSBトークンはUSBポートに直接接続します。これらのUSBトークンは通常USBフラッシュドライブのサイズですが、携帯電話で使用されるSIMカードと同じくらい小さいものもあります。それらは、スマートカードとUSBスマートカードリーダーの組み合わせとして表示されます。
  • Windowsトラステッドプラットフォームモジュール(TPM:Trusted Platform Module)を使用する仮想スマートカードは、スマートカードとして表示されます。これらの仮想スマートカードは、Citrix Receiver 4.3以上を使用して、Windows 8およびWindows 10でサポートされます。
    • XenAppおよびXenDesktopの7.6 FP3よりも前のバージョンは、仮想スマートカードをサポートしていません。
    • 仮想スマートカードについて詳しくは、「Virtual Smart Card Overview」を参照してください。

注:「仮想スマートカード」という用語は、単にユーザーコンピューターに保存されたデジタル証明書についても使用されます。これらのデジタル証明書は、厳密にはスマートカードと同等ではありません。

XenAppおよびXenDesktopのスマートカードのサポートは、MicrosoftのPC/SC(Personal Computer/Smart Card)標準仕様に基づいています。スマートカードおよびスマートカードデバイスは、使用するWindowsオペレーティングシステムでサポートされており、Microsoft WHQL(Windows Hardware Quality Lab)により承認されている必要があります。PC/SCに準拠しているハードウェアについては、Microsoft社のドキュメントを参照してください。 その他のタイプのユーザーデバイスは、PS/SC標準に準拠していることがあります。詳しくは、Citrix Readyプログラム(https://www.citrix.com/ready/)を参照してください。

通常、各ベンダーのスマートカードまたは同等のものには、別々のデバイスドライバーが必要です。ただし、スマートカードがNIST Personal Identity Verification(PIV)標準などの標準に準拠している場合、一定範囲のスマートカードに単一のデバイスドライバーを使用できる場合があります。デバイスドライバーをユーザーデバイスとVirtual Delivery Agent(VDA)の両方にインストールする必要があります。多くの場合、デバイスドライバーはCitrixパートナーから入手可能なスマートカードミドルウェアパッケージの一部として提供されます。スマートカードミドルウェアパッケージにより、高度な機能が提供されます。デバイスドライバーは、暗号化サービスプロバイダー(CSP:Cryptographic Service Provider)、キーストレージプロバイダー(KSP:Key Storage Provider)、ミニドライバーとして説明されることもあります。

Windowsシステムでは、以下のスマートカードとミドルウェアでのCitrixの動作確認が行われています。ただし、そのほかのスマートカードおよびミドルウェアも使用できます。Citrix互換のスマートカードとミドルウェアについて詳しくは、https://www.citrix.com/readyを参照してください。

ミドルウェア スマートカード
ActivClient 7.0(DoDモード有効) DoD CACカード
PIVモードのActivClient 7.0 NIST PIVカード
Microsoftミニドライバー NIST PIVカード
GemAlto Mini Driver for .NETカード GemAlto .NET v2+
Microsoftネイティブドライバー 仮想スマートカード(TPM)

他の種類のデバイスでのスマートカード使用法について詳しくは、そのデバイスに関するCitrix Receiverのドキュメントを参照してください。

他の種類のデバイスでのスマートカード使用法について詳しくは、そのデバイスに関するCitrix Receiverのドキュメントを参照してください。

リモートPCアクセス

オフィスで動作する、物理的なWindow 10、Windows 8、またはWindows 7マシンにリモートアクセスする場合は、スマートカードがサポートされます。Windows XPマシンへのリモートアクセスでは、スマートカードはサポートされません。

以下のスマートカードが、リモートPCアクセス機能でテストされています。

ミドルウェア スマートカード
Gemalto .NETミニドライバー Gemalto .NET v2+
ActivIdentity ActivClient 6.2 NIST PIV
ActivIdentity ActivClient 6.2 CAC
Microsoftミニドライバー NIST PIV
Microsoftネイティブドライバー 仮想スマートカード

スマートカードリーダーの種類

スマートカードリーダーはユーザーデバイス内に作成されることもありますし、別にユーザーデバイスに(通常はUSBまたはBluetoothで)接続することもあります。 USB Chip/Smart Card Interface Devices(CCID)仕様に準拠する接触カードリーダーがサポートされます。これらのカードリーダーでは、ユーザーがスマートカードをスロットに挿入したりスワイプしたりします。Deutsche Kreditwirtschaft(DK)標準は、接触カードリーダーの4つのクラスを定義しています。

  • Class 1スマートカードリーダーは最も一般的で、通常1つのみのスロットを備えています。Class 1スマートカードリーダーは通常、オペレーティングシステム付属の標準CCIDデバイスドライバーでサポートされます。
  • Class 2スマートカードリーダーには、ユーザーデバイスがアクセスできない安全なキーパッドも含まれています。 Class 2スマートカードリーダーは、内蔵の安全なキーパッドがあるキーボードに搭載される場合があります。Class 2スマートカードリーダーについては、Citrixの担当者に連絡してください。安全なキーパッドの機能を有効化するには、リーダー固有のデバイスドライバーが必要になる場合があります。
  • Class 3スマートカードリーダーには、安全なディスプレイも含まれます。 Class 3スマートカードリーダーはサポートされません。
  • Class 4スマートカードリーダーには、安全なトランザクションモジュールも含まれます。Class 4スマートカードリーダーはサポートされません。

注:スマートカードリーダーのクラスは、USBデバイスのクラスには無関係です。

スマートカードリーダーは、対応するデバイスドライバーとともにユーザーデバイスにインストールする必要があります。

サポートされているスマートカードリーダーについては、使用しているCitrix Receiverのマニュアルを参照してください。サポートされているバージョンは、通常、Citrix Receiverのドキュメントでスマートカードの記事でまたはシステム要件に関する記事に掲載されています。

ユーザーエクスペリエンス

スマートカードのサポートは、デフォルトで有効な特定のICA/HDXスマートカード仮想チャネルを使用して、XenAppおよびXenDesktopに統合されています。

重要:スマートカードリーダーでは汎用USBリダイレクトを使用しないでください。 一部のスマートカードリーダーではこれはデフォルトで無効にされており、有効化した場合サポートされなくなります。

同一ユーザーデバイス上で、複数のスマートカードやスマートカードリーダーを使用することは可能ですが、パススルー認証を使用する場合は1枚のスマートカードを挿入した状態で仮想デスクトップまたはアプリケーションを開始する必要があります。アプリケーション内でスマートカードを使用する場合(デジタル署名または暗号化機能など)、スマートカードの挿入またはPINの入力を求めるメッセージが表示されることがあります。これは、同時に複数のスマートカードが挿入されている場合に発生します。

  • 適切なスマートカードを挿入しているにもかかわらずスマートカードの挿入を求めるメッセージが表示された場合は、[キャンセル]をクリックするよう通知します。
  • ただし、PINの入力が求められた場合は、PINを再入力する必要があります。

Microsoft社のベーススマートカード暗号化サービスプロバイダー(CSP)によるスマートカードを使用する場合、Windows Server 2008または2008 R2が動作するサーバー上のアプリケーションにユーザーがアクセスすると、ほかのユーザーがスマートカードでログオンできなくなります。これについての詳細および修正プログラムについては、https://support.microsoft.com/kb/949538を参照してください。

カード管理システムまたはベンダーのユーティリティを使ってPINをリセットできます。

重要

XenAppまたはXenDesktopセッションでは、Microsoftリモートデスクトップ接続アプリケーションでのスマートカードの使用はサポートされません。これは「ダブルホップ」の使用と呼ばれることがあります。

スマートカードを展開する前の確認事項

  • スマートカードリーダーのデバイスドライバーを入手して、ユーザーデバイスにインストールする必要があります。Microsoftにより提供されるCCIDデバイスドライバーは、多くのスマートカードリーダーで使用できます。
  • スマートカードベンダーからデバイスドライバーと暗号化サービスプロバイダー(CSP)ソフトウェアを入手して、ユーザーデバイスと仮想デスクトップの両方にインストールします。このドライバーとCSPソフトウェアは、XenAppやXenDesktopと互換性がある必要があります。詳しくは、ベンダーのドキュメントを参照してください。ミニドライバーモデルのスマートカードを使用する仮想デスクトップでは、スマートカードミニドライバーが自動的にダウンロードされます。また、https://catalog.update.microsoft.comまたはベンダーから入手することもできます。さらに、PKCS#11ミドルウェアが必要な場合は、カードベンダーから入手してください。
  • 重要:Citrixソフトウェアをインストールする前に、物理的なコンピューターにドライバーとCSPソフトウェアをインストールしてテストすることをお勧めします。
  • Windows 10で実行するInternet Explorerでスマートカードを実行するユーザーの信頼済みサイトの一覧にCitrix Receiver for Web URLを追加します。Windows 10では、Internet Explorerは信頼済みサイトのデフォルトで保護モードでは実行しません。
  • PKI(Public Key Infrastructure:公開キー基盤)が適切に構成されていることを確認します。つまり、アカウントマッピングのための証明書がActive Directory環境に対して正しく構成されており、ユーザー証明書の検証を正しく実行できることを確認します。
  • Citrix ReceiverやStoreFrontなど、スマートカードで使用するほかのCitrixコンポーネントのシステム要件を満たしていることを確認します。
  • サイト内の以下のサーバーにアクセスできることを確認します。
    • スマートカード上のログオン証明書に関連付けられているユーザーアカウント用のActive Directoryドメインコントローラー
    • Delivery Controller
    • Citrix StoreFront
    • Citrix NetScaler Gateway/Citrix Access Gateway 10.x
    • VDA
    • Microsoft Exchange Server(リモートPCアクセスの場合はオプション)

スマートカード使用の有効化

手順1:カードの発行ポリシーに従って、ユーザーにスマートカードを発行します。

手順2:必要に応じて、ユーザーがリモートPCアクセスを実行できるようにスマートカードをセットアップします。

手順3:Delivery ControllerとStoreFrontをインストールして(未インストールの場合)、スマートカードのリモート処理用に構成します。

手順4:StoreFrontで、スマートカードの使用を有効にします。詳しくは、StoreFrontドキュメントの「スマートカード認証の構成」を参照してください。

手順5:NetScaler Gateway/Access Gatewayで、スマートカードの使用を有効にします。詳しくは、NetScalerドキュメントの「認証と承認の構成」および「Web Interfaceでのスマートカードアクセスの構成」を参照してください。

手順6:VDAsで、スマートカードの使用を有効にします。

  • VDAに必要なアプリケーションおよび更新がインストール済みであることを確認します。
  • ミドルウェアをインストールします。
  • ユーザーデバイス上のCitrix Receiverと仮想デスクトップセッション間でスマートカードデータ通信が行われるように、スマートカードのリモート処理をセットアップします。

手順7:ユーザーデバイス(ドメインに属しているマシンと属していないマシンを含む)でスマートカードの使用を有効にします。詳しくは、StoreFrontドキュメントの「スマートカード認証の構成」を参照してください。

  • 証明機関のルート証明書とその証明機関の証明書をデバイスのキーストア内にインポートします。
  • ベンダーが提供するスマートカードミドルウェアをインストールします。
  • Citrix Receiver for Windowsをインストールおよび構成して、グループポリシー管理コンソールを使ってicaclient.admをインポートします。また、スマートカード認証を有効にします。

手順8. 展開をテストします。テストユーザーのスマートカードで仮想デスクトップを起動して、展開が正しく構成されていることを確認します。すべてのアクセス方法(たとえば、Internet ExplorerおよびCitrix Receiverを介したデスクトップアクセスなど)をテストします。

スマートカード