スマートカード
スマートカードおよび同等のテクノロジーは、この記事で説明されているガイドライン内でサポートされています。XenAppまたはXenDesktop®でスマートカードを使用するには、次の手順に従います。
- スマートカードの使用に関する組織のセキュリティポリシーを理解します。これらのポリシーには、たとえば、スマートカードの発行方法やユーザーがスマートカードを保護する方法が記載されている場合があります。これらのポリシーの一部は、XenApp®またはXenDesktop環境で再評価する必要がある場合があります。
- スマートカードで使用するユーザーデバイスの種類、オペレーティングシステム、および公開アプリケーションを決定します。
- スマートカードテクノロジーと、選択したスマートカードベンダーのハードウェアおよびソフトウェアについて理解を深めます。
- 分散環境でデジタル証明書を展開する方法を把握します。
スマートカードの種類
エンタープライズおよびコンシューマー向けスマートカードは、同じ寸法、電気コネクタを持ち、同じスマートカードリーダーに適合します。
エンタープライズ用途のスマートカードには、デジタル証明書が含まれています。これらのスマートカードはWindowsログオンをサポートし、ドキュメントや電子メールのデジタル署名および暗号化用のアプリケーションでも使用できます。XenAppおよびXenDesktopはこれらの用途をサポートします。
コンシューマー用途のスマートカードにはデジタル証明書は含まれていません。共有シークレットが含まれています。これらのスマートカードは、支払い(チップと署名またはチップとPINのクレジットカードなど)をサポートできます。Windowsログオンや一般的なWindowsアプリケーションはサポートしていません。これらのスマートカードを使用するには、特殊なWindowsアプリケーションと適切なソフトウェアインフラストラクチャ(たとえば、決済カードネットワークへの接続など)が必要です。XenAppまたはXenDesktopでこれらの特殊なアプリケーションをサポートする方法については、Citrix®担当者にお問い合わせください。
エンタープライズスマートカードには、同様の方法で使用できる互換性のある同等品があります。
- スマートカードと同等のUSBトークンは、USBポートに直接接続します。これらのUSBトークンは通常、USBフラッシュドライブと同じサイズですが、携帯電話で使用されるSIMカードと同じくらい小さい場合もあります。これらは、スマートカードとUSBスマートカードリーダーの組み合わせとして表示されます。
- Windows Trusted Platform Module (TPM) を使用する仮想スマートカードは、スマートカードとして表示されます。これらの仮想スマートカードは、Citrix Receiver 4.3以降を使用するWindows 8およびWindows 10でサポートされています。
- 7.6 FP3より前のバージョンのXenAppおよびXenDesktopは、仮想スマートカードをサポートしていません。
- 仮想スマートカードの詳細については、「Virtual Smart Card Overview」を参照してください。
注: 「仮想スマートカード」という用語は、ユーザーのコンピューターに単に保存されているデジタル証明書を指すためにも使用されます。これらのデジタル証明書は、厳密にはスマートカードと同等ではありません。
XenAppおよびXenDesktopのスマートカードサポートは、Microsoft Personal Computer/Smart Card (PC/SC) 標準仕様に基づいています。最低要件として、スマートカードおよびスマートカードデバイスは、基盤となるWindowsオペレーティングシステムによってサポートされ、Microsoft Windows Hardware Quality Labs (WHQL) によって認定されたWindowsオペレーティングシステムを実行するコンピューターで使用するために承認されている必要があります。ハードウェアのPC/SC準拠に関する追加情報については、Microsoftのドキュメントを参照してください。その他の種類のユーザーデバイスもPS/SC標準に準拠している場合があります。詳細については、https://www.citrix.com/ready/のCitrix Readyプログラムを参照してください。
通常、各ベンダーのスマートカードまたは同等のものには、個別のデバイスドライバーが必要です。ただし、スマートカードがNIST個人識別検証 (PIV) 標準などの標準に準拠している場合、さまざまなスマートカードに対して単一のデバイスドライバーを使用できる可能性があります。デバイスドライバーは、ユーザーデバイスとVirtual Delivery Agent (VDA) の両方にインストールする必要があります。デバイスドライバーは、Citrixパートナーから入手できるスマートカードミドルウェアパッケージの一部として提供されることが多く、スマートカードミドルウェアパッケージは高度な機能を提供します。デバイスドライバーは、Cryptographic Service Provider (CSP)、Key Storage Provider (KSP)、またはミニドライバーとも呼ばれます。
Windowsシステム用の以下のスマートカードとミドルウェアの組み合わせは、Citrixによってその種類の代表的な例としてテストされています。ただし、他のスマートカードやミドルウェアも使用できます。Citrix互換のスマートカードとミドルウェアの詳細については、https://www.citrix.com/readyを参照してください。
| ミドルウェア | 対応カード |
|---|---|
| アクティブクライアント 7.0 (DoDモード有効) | DoD シーエーシー カード |
| アクティブクライアント 7.0 PIVモード | NIST ピーアイブイ カード |
| Microsoftミニドライバー | NIST ピーアイブイカード |
| GemAlto .NETカード用ミニドライバー | ジェムアルト .NET v2以降 |
| Microsoftネイティブドライバー | 仮想スマートカード (TPM) |
他の種類のデバイスでのスマートカードの使用については、そのデバイスのCitrix Receiver™ドキュメントを参照してください。
他の種類のデバイスでのスマートカードの使用については、そのデバイスのCitrix Receiverドキュメントを参照してください。
リモートPCアクセス
スマートカードは、Windows 10、Windows 8、またはWindows 7を実行している物理的なオフィスPCへのリモートアクセスでのみサポートされます。Windows XPを実行しているオフィスPCではスマートカードはサポートされません。
リモートPCアクセスでテストされたスマートカードは次のとおりです。
| ミドルウェア | 対応カード |
|---|---|
| ジェムアルト .NET ミニドライバー | ジェムアルト .NET v2+ |
| アクティブアイデンティティ アクティブクライアント 6.2 | ニスト PIV |
| アクティブアイデンティティ アクティブクライアント 6.2 | CAC |
| Microsoftミニドライバー | ニスト ピーアイブイ |
| Microsoftネイティブドライバー | 仮想スマートカード |
スマートカードリーダーの種類
スマートカードリーダーは、ユーザーデバイスに内蔵されている場合や、ユーザーデバイスに別途接続されている場合があります(通常はUSBまたはBluetooth経由)。USB Chip/Smart Card Interface Devices (CCID)仕様に準拠した接触型カードリーダーがサポートされています。これらには、ユーザーがスマートカードを挿入するスロットまたはスワイプが備わっています。Deutsche Kreditwirtschaft (DK)規格では、接触型カードリーダーの4つのクラスが定義されています。
- クラス1スマートカードリーダーは最も一般的で、通常はスロットのみを備えています。クラス1スマートカードリーダーは、通常、オペレーティングシステムに付属の標準CCIDデバイスドライバーでサポートされます。
- クラス2スマートカードリーダーには、ユーザーデバイスからアクセスできないセキュアなキーパッドも含まれています。クラス2スマートカードリーダーは、統合されたセキュアなキーパッドを備えたキーボードに組み込まれている場合があります。クラス2スマートカードリーダーについては、Citrix担当者にお問い合わせください。セキュアなキーパッド機能を有効にするには、リーダー固有のデバイスドライバーが必要になる場合があります。
- クラス3スマートカードリーダーには、セキュアなディスプレイも含まれています。クラス3スマートカードリーダーはサポートされていません。
- クラス4スマートカードリーダーには、セキュアなトランザクションモジュールも含まれています。クラス4スマートカードリーダーはサポートされていません。
注:スマートカードリーダーのクラスは、USBデバイスクラスとは関係ありません。
スマートカードリーダーは、ユーザーデバイスに適切なデバイスドライバーをインストールする必要があります。
サポートされているスマートカードリーダーについては、ご使用のCitrix Receiverのドキュメントを参照してください。Citrix Receiverのドキュメントでは、サポートされているバージョンは通常、スマートカードに関する記事またはシステム要件に関する記事に記載されています。
ユーザーエクスペリエンス
スマートカードのサポートは、XenAppおよびXenDesktopに統合されており、デフォルトで有効になっている特定のICA/HDXスマートカード仮想チャネルを使用します。
重要:スマートカードリーダーに汎用USBリダイレクトを使用しないでください。これはスマートカードリーダーではデフォルトで無効になっており、有効にした場合でもサポートされません。
複数のスマートカードと複数のリーダーを同じユーザーデバイスで使用できますが、パススルー認証を使用している場合は、ユーザーが仮想デスクトップまたはアプリケーションを起動するときに、スマートカードを1枚だけ挿入する必要があります。アプリケーション内でスマートカードを使用する場合(たとえば、デジタル署名や暗号化機能の場合)、スマートカードの挿入またはPINの入力に関する追加のプロンプトが表示されることがあります。これは、複数のスマートカードが同時に挿入されている場合に発生する可能性があります。
- スマートカードがすでにリーダーに挿入されているにもかかわらず、スマートカードの挿入を求めるプロンプトが表示された場合は、[キャンセル]を選択してください。
- PINの入力を求められた場合は、PINを再度入力してください。
Windows Server 2008または2008 R2で実行されているホスト型アプリケーションを使用しており、Microsoft Base Smart Card Cryptographic Service Providerを必要とするスマートカードを使用している場合、あるユーザーがスマートカードトランザクションを実行すると、ログオンプロセスでスマートカードを使用する他のすべてのユーザーがブロックされることがあります。この問題の詳細と修正プログラムについては、https://support.microsoft.com/kb/949538を参照してください。
カード管理システムまたはベンダーユーティリティを使用してPINをリセットできます。
重要
XenAppまたはXenDesktopセッション内で、Microsoftリモートデスクトップ接続アプリケーションとスマートカードを併用することはサポートされていません。これは「ダブルホップ」の使用と呼ばれることがあります。
スマートカードを展開する前に
- スマートカードリーダーのデバイスドライバーを入手し、ユーザーデバイスにインストールします。多くのスマートカードリーダーは、Microsoftが提供するCCIDデバイスドライバーを使用できます。
- スマートカードベンダーからデバイスドライバーと暗号化サービスプロバイダー(CSP)ソフトウェアを入手し、ユーザーデバイスと仮想デスクトップの両方にインストールします。ドライバーとCSPソフトウェアはXenAppおよびXenDesktopと互換性がある必要があります。互換性についてはベンダーのドキュメントを確認してください。ミニドライバーモデルをサポートおよび使用するスマートカードを使用する仮想デスクトップの場合、スマートカードミニドライバーは自動的にダウンロードされるはずですが、https://catalog.update.microsoft.comまたはベンダーから入手できます。さらに、PKCS#11ミドルウェアが必要な場合は、カードベンダーから入手してください。
- 重要:Citrixでは、Citrixソフトウェアをインストールする前に、物理コンピューターにドライバーとCSPソフトウェアをインストールしてテストすることをお勧めします。
- Windows 10でInternet Explorerを使用してスマートカードを操作するユーザーのために、Citrix Receiver for WebのURLを信頼済みサイトリストに追加します。Windows 10では、信頼済みサイトの場合、Internet Explorerはデフォルトで保護モードで実行されません。
- 公開キーインフラストラクチャ(PKI)が適切に構成されていることを確認します。これには、Active Directory環境で証明書とアカウントのマッピングが正しく構成されており、ユーザー証明書の検証が正常に実行できることを確認することが含まれます。
- 展開が、Citrix ReceiverおよびStoreFrontを含む、スマートカードで使用される他のCitrixコンポーネントのシステム要件を満たしていることを確認します。
- サイト内の以下のサーバーへのアクセスを確保します。
- スマートカード上のログオン証明書に関連付けられているユーザーアカウントのActive Directoryドメインコントローラー
- デリバリーコントローラー™
- シトリックス ストアフロント
- シトリックス ネットスケーラー ゲートウェイ/シトリックス アクセス ゲートウェイ 10.x
- VDA
- (リモート PC アクセスの場合、オプション): マイクロソフト エクスチェンジ サーバー
スマートカードの使用を有効にする
ステップ 1. カード発行ポリシーに従って、ユーザーにスマートカードを発行します。
ステップ 2. (オプション) Remote PC Access のユーザーを有効にするためにスマートカードを設定します。
ステップ 3. スマートカードのリモーティング用に Delivery Controller および StoreFront をインストールして構成します (まだインストールされていない場合)。
ステップ 4. スマートカードの使用のために StoreFront を有効にします。詳細については、StoreFront ドキュメントの「スマートカード認証の構成」を参照してください。
ステップ 5. スマートカードの使用のために NetScaler Gateway/Access Gateway を有効にします。詳細については、NetScaler ドキュメントの「認証と承認の構成」および「Web Interface を使用したスマートカードアクセスの構成」を参照してください。
ステップ 6. スマートカードの使用のために VDA を有効にします。
- VDA に必要なアプリケーションと更新プログラムがあることを確認します。
- ミドルウェアをインストールします。
- スマートカードリモート処理を設定し、ユーザーデバイス上のCitrix Receiverと仮想デスクトップセッション間のスマートカードデータの通信を有効にします。
手順7. ユーザーデバイス(ドメイン参加済みまたは非ドメイン参加済みのマシンを含む)でスマートカードの使用を有効にします。詳細については、StoreFrontドキュメントの「スマートカード認証の構成」を参照してください。
- 認証局のルート証明書と発行認証局の証明書をデバイスのキーストアにインポートします。
- ベンダーのスマートカードミドルウェアをインストールします。
- Citrix Receiver for Windowsをインストールして構成します。その際、グループポリシー管理コンソールを使用してicaclient.admをインポートし、スマートカード認証を有効にしてください。
手順8. 展開をテストします。テストユーザーのスマートカードを使用して仮想デスクトップを起動し、展開が正しく構成されていることを確認します。可能なすべてのアクセスメカニズム(例:Internet ExplorerおよびCitrix Receiverを介したデスクトップへのアクセス)をテストします。