スマートカード
スマートカードおよび同等のテクノロジは、このアーティクルに記載されているガイドライン内でサポートされています。 XenAppまたはXenDesktopでスマートカードを使用するには、以下を行う必要があります:
- 所属する組織における、スマートカードの使用に関するセキュリティポリシーを理解します。たとえば、スマートカードがどのように発行され、ユーザーがそれをどのように保護するかについてこれらのポリシーで規定してあることがあります。XenAppおよびXenDesktopの環境では、これらのポリシーの一部の変更が必要になる場合があります。
- どのユーザーデバイスの種類、オペレーティングシステム、および公開アプリケーションがスマートカードとともに使用されるかを決定します。
- スマートカードテクノロジ全般および選択したスマートカードベンダーのハードウェアとソフトウェアについて理解します。
- 分散環境でのデジタル証明書の展開管理方法について理解します。
スマートカードの種類
エンタープライズ向けとコンシューマー向けのスマートカードは、寸法も電気コネクタも同じで、同じスマートカードリーダーを使用できます。
エンタープライズ向けのスマートカードにはデジタル証明書が含まれています。これらのスマートカードはWindowsログオンをサポートしていて、ドキュメントや電子メールのデジタル署名と暗号化のためのアプリケーションと連携して使用できます。XenAppおよびXenDesktopは、これらの用途をサポートしています。
コンシューマー向けのスマートカードにはデジタル証明書は含まれていませんが、共有シークレットが含まれています。これらのスマートカードは、支払い(チップと署名、チップとPINクレジットカードなど)をサポートできます。これらのスマートカードは、Windowsログインや一般的なWindowsアプリケーションをサポートしていません。これらのスマートカードと合わせて使用するには、特別なWindowsアプリケーションと、適切なソフトウェアインフラストラクチャ(支払いカードネットワークへの接続など)が必要です。XenAppまたはXenDesktopでのこのような特別なアプリケーションのサポートについて詳しくは、Citrix担当者にお問い合わせください。
エンタープライズ向けスマートカードには、互換性のある同等のものが存在し、類似した方法で使用できます。
- スマートカードと同等のUSBトークンはUSBポートに直接接続します。これらのUSBトークンは通常USBフラッシュドライブのサイズですが、携帯電話で使用されるSIMカードと同じくらい小さいものもあります。それらは、スマートカードとUSBスマートカードリーダーの組み合わせとして表示されます。
- Windowsトラステッドプラットフォームモジュール(TPM:Trusted Platform Module)を使用する仮想スマートカードは、スマートカードとして表示されます。これらの仮想スマートカードは、Citrix Receiver 4.3以上を使用して、Windows 8およびWindows 10でサポートされます。
- XenAppおよびXenDesktopの7.6 FP3よりも前のバージョンは、仮想スマートカードをサポートしていません。
- 仮想スマートカードについて詳しくは、「Virtual Smart Card Overview」を参照してください。
注:「仮想スマートカード」という用語は、単にユーザーコンピューターに保存されたデジタル証明書についても使用されます。これらのデジタル証明書は、厳密にはスマートカードと同等ではありません。
XenAppおよびXenDesktopのスマートカードのサポートは、MicrosoftのPC/SC(Personal Computer/Smart Card)標準仕様に基づいています。スマートカードおよびスマートカードデバイスは、使用するWindowsオペレーティングシステムでサポートされており、Microsoft WHQL(Windows Hardware Quality Lab)により承認されている必要があります。PC/SCに準拠しているハードウェアについては、Microsoft社のドキュメントを参照してください。 その他のタイプのユーザーデバイスは、PS/SC標準に準拠していることがあります。詳しくは、Citrix Readyプログラム(https://www.citrix.com/ready/)を参照してください。
通常、各ベンダーのスマートカードまたは同等のものには、別々のデバイスドライバーが必要です。ただし、スマートカードがNIST Personal Identity Verification(PIV)標準などの標準に準拠している場合、一定範囲のスマートカードに単一のデバイスドライバーを使用できる場合があります。デバイスドライバーをユーザーデバイスとVirtual Delivery Agent(VDA)の両方にインストールする必要があります。多くの場合、デバイスドライバーはCitrixパートナーから入手可能なスマートカードミドルウェアパッケージの一部として提供されます。スマートカードミドルウェアパッケージにより、高度な機能が提供されます。デバイスドライバーは、暗号化サービスプロバイダー(CSP:Cryptographic Service Provider)、キーストレージプロバイダー(KSP:Key Storage Provider)、ミニドライバーとして説明されることもあります。
Windowsシステムでは、以下のスマートカードとミドルウェアでのCitrixの動作確認が行われています。ただし、そのほかのスマートカードおよびミドルウェアも使用できます。Citrix互換のスマートカードとミドルウェアについて詳しくは、https://www.citrix.com/readyを参照してください。
| ミドルウェア | スマートカード |
|---|---|
| ActivClient 7.0(DoDモード有効) | DoD CACカード |
| PIVモードのActivClient 7.0 | NIST PIVカード |
| Microsoftミニドライバー | NIST PIVカード |
| GemAlto Mini Driver for .NETカード | GemAlto .NET v2+ |
| Microsoftネイティブドライバー | 仮想スマートカード(TPM) |
他の種類のデバイスでのスマートカード使用法について詳しくは、そのデバイスに関するCitrix Receiverのドキュメントを参照してください。
他の種類のデバイスでのスマートカード使用法について詳しくは、そのデバイスに関するCitrix Receiverのドキュメントを参照してください。
リモートPCアクセス
オフィスで動作する、物理的なWindow 10、Windows 8、またはWindows 7マシンにリモートアクセスする場合は、スマートカードがサポートされます。Windows XPマシンへのリモートアクセスでは、スマートカードはサポートされません。
以下のスマートカードが、リモートPCアクセス機能でテストされています。
| ミドルウェア | スマートカード |
|---|---|
| Gemalto .NETミニドライバー | Gemalto .NET v2+ |
| ActivIdentity ActivClient 6.2 | NIST PIV |
| ActivIdentity ActivClient 6.2 | CAC |
| Microsoftミニドライバー | NIST PIV |
| Microsoftネイティブドライバー | 仮想スマートカード |
スマートカードリーダーの種類
スマートカードリーダーはユーザーデバイス内に作成されることもありますし、別にユーザーデバイスに(通常はUSBまたはBluetoothで)接続することもあります。 USB Chip/Smart Card Interface Devices(CCID)仕様に準拠する接触カードリーダーがサポートされます。これらのカードリーダーでは、ユーザーがスマートカードをスロットに挿入したりスワイプしたりします。Deutsche Kreditwirtschaft(DK)標準は、接触カードリーダーの4つのクラスを定義しています。
- Class 1スマートカードリーダーは最も一般的で、通常1つのみのスロットを備えています。Class 1スマートカードリーダーは通常、オペレーティングシステム付属の標準CCIDデバイスドライバーでサポートされます。
- Class 2スマートカードリーダーには、ユーザーデバイスがアクセスできない安全なキーパッドも含まれています。 Class 2スマートカードリーダーは、内蔵の安全なキーパッドがあるキーボードに搭載される場合があります。Class 2スマートカードリーダーについては、Citrixの担当者に連絡してください。安全なキーパッドの機能を有効化するには、リーダー固有のデバイスドライバーが必要になる場合があります。
- Class 3スマートカードリーダーには、安全なディスプレイも含まれます。 Class 3スマートカードリーダーはサポートされません。
- Class 4スマートカードリーダーには、安全なトランザクションモジュールも含まれます。Class 4スマートカードリーダーはサポートされません。
注:スマートカードリーダーのクラスは、USBデバイスのクラスには無関係です。
スマートカードリーダーは、対応するデバイスドライバーとともにユーザーデバイスにインストールする必要があります。
サポートされているスマートカードリーダーについては、使用しているCitrix Receiverのマニュアルを参照してください。サポートされているバージョンは、通常、Citrix Receiverのドキュメントでスマートカードの記事でまたはシステム要件に関する記事に掲載されています。
ユーザーエクスペリエンス
スマートカードのサポートは、デフォルトで有効な特定のICA/HDXスマートカード仮想チャネルを使用して、XenAppおよびXenDesktopに統合されています。
重要:スマートカードリーダーでは汎用USBリダイレクトを使用しないでください。 一部のスマートカードリーダーではこれはデフォルトで無効にされており、有効化した場合サポートされなくなります。
同一ユーザーデバイス上で、複数のスマートカードやスマートカードリーダーを使用することは可能ですが、パススルー認証を使用する場合は1枚のスマートカードを挿入した状態で仮想デスクトップまたはアプリケーションを開始する必要があります。アプリケーション内でスマートカードを使用する場合(デジタル署名または暗号化機能など)、スマートカードの挿入またはPINの入力を求めるメッセージが表示されることがあります。これは、同時に複数のスマートカードが挿入されている場合に発生します。
- 適切なスマートカードを挿入しているにもかかわらずスマートカードの挿入を求めるメッセージが表示された場合は、[キャンセル]をクリックするよう通知します。
- ただし、PINの入力が求められた場合は、PINを再入力する必要があります。
Microsoft社のベーススマートカード暗号化サービスプロバイダー(CSP)によるスマートカードを使用する場合、Windows Server 2008または2008 R2が動作するサーバー上のアプリケーションにユーザーがアクセスすると、ほかのユーザーがスマートカードでログオンできなくなります。これについての詳細および修正プログラムについては、https://support.microsoft.com/kb/949538を参照してください。
カード管理システムまたはベンダーのユーティリティを使ってPINをリセットできます。
重要
XenAppまたはXenDesktopセッションでは、Microsoftリモートデスクトップ接続アプリケーションでのスマートカードの使用はサポートされません。これは「ダブルホップ」の使用と呼ばれることがあります。
スマートカードを展開する前の確認事項
- スマートカードリーダーのデバイスドライバーを入手して、ユーザーデバイスにインストールする必要があります。Microsoftにより提供されるCCIDデバイスドライバーは、多くのスマートカードリーダーで使用できます。
- スマートカードベンダーからデバイスドライバーと暗号化サービスプロバイダー(CSP)ソフトウェアを入手して、ユーザーデバイスと仮想デスクトップの両方にインストールします。このドライバーとCSPソフトウェアは、XenAppやXenDesktopと互換性がある必要があります。詳しくは、ベンダーのドキュメントを参照してください。ミニドライバーモデルのスマートカードを使用する仮想デスクトップでは、スマートカードミニドライバーが自動的にダウンロードされます。また、https://catalog.update.microsoft.comまたはベンダーから入手することもできます。さらに、PKCS#11ミドルウェアが必要な場合は、カードベンダーから入手してください。
- 重要:Citrixソフトウェアをインストールする前に、物理的なコンピューターにドライバーとCSPソフトウェアをインストールしてテストすることをお勧めします。
- Windows 10で実行するInternet Explorerでスマートカードを実行するユーザーの信頼済みサイトの一覧にCitrix Receiver for Web URLを追加します。Windows 10では、Internet Explorerは信頼済みサイトのデフォルトで保護モードでは実行しません。
- PKI(Public Key Infrastructure:公開キー基盤)が適切に構成されていることを確認します。つまり、アカウントマッピングのための証明書がActive Directory環境に対して正しく構成されており、ユーザー証明書の検証を正しく実行できることを確認します。
- Citrix ReceiverやStoreFrontなど、スマートカードで使用するほかのCitrixコンポーネントのシステム要件を満たしていることを確認します。
- サイト内の以下のサーバーにアクセスできることを確認します。
- スマートカード上のログオン証明書に関連付けられているユーザーアカウント用のActive Directoryドメインコントローラー
- Delivery Controller
- Citrix StoreFront
- Citrix NetScaler Gateway/Citrix Access Gateway 10.x
- VDA
- Microsoft Exchange Server(リモートPCアクセスの場合はオプション)
スマートカード使用の有効化
手順1:カードの発行ポリシーに従って、ユーザーにスマートカードを発行します。
手順2:必要に応じて、ユーザーがリモートPCアクセスを実行できるようにスマートカードをセットアップします。
手順3:Delivery ControllerとStoreFrontをインストールして(未インストールの場合)、スマートカードのリモート処理用に構成します。
手順4:StoreFrontで、スマートカードの使用を有効にします。詳しくは、StoreFrontドキュメントの「スマートカード認証の構成」を参照してください。
手順5:NetScaler Gateway/Access Gatewayで、スマートカードの使用を有効にします。詳しくは、NetScalerドキュメントの「認証と承認の構成」および「Web Interfaceでのスマートカードアクセスの構成」を参照してください。
手順6:VDAsで、スマートカードの使用を有効にします。
- VDAに必要なアプリケーションおよび更新がインストール済みであることを確認します。
- ミドルウェアをインストールします。
- ユーザーデバイス上のCitrix Receiverと仮想デスクトップセッション間でスマートカードデータ通信が行われるように、スマートカードのリモート処理をセットアップします。
手順7:ユーザーデバイス(ドメインに属しているマシンと属していないマシンを含む)でスマートカードの使用を有効にします。詳しくは、StoreFrontドキュメントの「スマートカード認証の構成」を参照してください。
- 証明機関のルート証明書とその証明機関の証明書をデバイスのキーストア内にインポートします。
- ベンダーが提供するスマートカードミドルウェアをインストールします。
- Citrix Receiver for Windowsをインストールおよび構成して、グループポリシー管理コンソールを使ってicaclient.admをインポートします。また、スマートカード認証を有効にします。
手順8. 展開をテストします。テストユーザーのスマートカードで仮想デスクトップを起動して、展開が正しく構成されていることを確認します。すべてのアクセス方法(たとえば、Internet ExplorerおよびCitrix Receiverを介したデスクトップアクセスなど)をテストします。