This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
スマートカードの展開
この製品バージョンおよびこのバージョンを含む混在環境では、以下の種類のスマートカード展開がサポートされています。その他の構成も動作する可能性がありますが、サポートされていません。
| 種類 | StoreFront™の接続に関する情報 |
|---|---|
| ローカルのドメイン参加済みコンピューター | 直接接続されている |
| ドメイン参加済みコンピューターからのリモートアクセス | NetScaler® Gatewayを介して接続が確立されています |
| ドメインに参加していないコンピューター | 直接接続されている |
| ドメインに参加していないコンピューターからのリモートアクセス | NetScaler Gateway を経由して接続されています |
| ドメインに参加していないコンピューターおよびDesktop Applianceサイトにアクセスするシンクライアント | Desktop Appliance サイトを介して接続されています |
| XenApp® Services URL経由でStoreFrontにアクセスするドメイン参加済みコンピューターおよびシンクライアント | ゼナップサービスユーアールエル経由で接続 |
展開の種類は、スマートカードリーダーが接続されているユーザーデバイスの特性によって定義されます。
- デバイスがドメイン参加済みか、ドメイン非参加か。
- デバイスがStoreFrontにどのように接続されているか。
- 仮想デスクトップとアプリケーションを表示するためにどのソフトウェアが使用されているか。
さらに、Microsoft WordやMicrosoft Excelなどのスマートカード対応アプリケーションをこれらの展開で使用できます。これらのアプリケーションを使用すると、ユーザーはドキュメントにデジタル署名したり、暗号化したりできます。
バイモーダル認証
これらの各展開において可能な場合、Receiverはスマートカードの使用とユーザー名およびパスワードの入力のいずれかを選択できるようにすることで、バイモーダル認証をサポートします。これは、スマートカードが使用できない場合(たとえば、ユーザーが自宅に忘れた場合や、ログオン証明書の有効期限が切れている場合など)に役立ちます。
ドメイン非参加デバイスのユーザーはReceiver for Windowsに直接ログオンするため、ユーザーが明示的な認証にフォールバックできるようにすることができます。バイモーダル認証を構成すると、ユーザーは最初にスマートカードとPINを使用してログオンするように求められますが、スマートカードに問題が発生した場合は明示的な認証を選択するオプションがあります。
NetScaler Gatewayを展開する場合、ユーザーはデバイスにログオンし、Receiver for WindowsによってNetScaler Gatewayへの認証を求められます。これは、ドメイン参加済みデバイスとドメイン非参加デバイスの両方に適用されます。ユーザーは、スマートカードとPIN、または明示的な資格情報のいずれかを使用してNetScaler Gatewayにログオンできます。これにより、NetScaler Gatewayログオンにバイモーダル認証をユーザーに提供できます。NetScaler GatewayからStoreFrontへのパススルー認証を構成し、スマートカードユーザーの資格情報検証をNetScaler Gatewayに委任することで、ユーザーはStoreFrontにサイレント認証されます。
複数のActive Directoryフォレストに関する考慮事項
Citrix®環境では、スマートカードは単一のフォレスト内でサポートされます。フォレストをまたがるスマートカードログオンには、すべてのユーザーアカウントへの直接的な双方向フォレスト信頼が必要です。スマートカードを含むより複雑なマルチフォレスト展開(つまり、信頼が一方通行であるか、異なるタイプである場合)はサポートされていません。
リモートデスクトップを含むCitrix環境でスマートカードを使用できます。この機能は、ローカル(スマートカードが接続されているユーザーデバイス上)またはリモート(ユーザーデバイスが接続するリモートデスクトップ上)にインストールできます。
スマートカード取り外しポリシー
製品に設定されているスマートカード取り外しポリシーは、セッション中にリーダーからスマートカードを取り外した場合に何が起こるかを決定します。スマートカード取り外しポリシーは、Windowsオペレーティングシステムを通じて構成および処理されます。
| ポリシー設定 | デスクトップの動作 |
|---|---|
| アクションなし | アクションなし。 |
| ワークステーションをロックする | デスクトップセッションが切断され、仮想デスクトップがロックされます。 |
| 強制ログオフ | ユーザーは強制的にログオフされます。ネットワーク接続が失われ、この設定が有効になっている場合、セッションがログオフされ、ユーザーはデータを失う可能性があります。 |
| リモートターミナルサービスセッションの場合に切断する | セッションが切断され、仮想デスクトップがロックされます。 |
証明書失効チェック
証明書失効チェックが有効になっており、ユーザーが無効な証明書を含むスマートカードをカードリーダーに挿入した場合、ユーザーは証明書に関連するデスクトップまたはアプリケーションを認証またはアクセスできません。たとえば、無効な証明書がメールの復号化に使用された場合、メールは暗号化されたままになります。認証に使用されるものなど、カード上の他の証明書がまだ有効である場合、それらの機能はアクティブなままです。
展開例:ドメイン参加済みコンピューター
この展開には、Desktop Viewer を実行し、StoreFront に直接接続するドメイン参加済みユーザーデバイスが含まれます。
ユーザーはスマートカードとPINを使用してデバイスにログオンします。Receiverは、統合Windows認証 (IWA) を使用して、ユーザーをStoreFrontサーバーに認証します。StoreFrontは、ユーザーセキュリティ識別子 (SID) をXenAppまたはXenDesktopに渡します。ユーザーが仮想デスクトップまたはアプリケーションを起動すると、Receiverでシングルサインオン機能が構成されているため、PINの入力を再度求められることはありません。
この展開は、2つ目のStoreFrontサーバーとアプリケーションをホストするサーバーを追加することで、ダブルホップに拡張できます。仮想デスクトップからのReceiverは、2つ目のStoreFrontサーバーに認証します。この2つ目の接続には、任意の認証方法を使用できます。最初のホップで示されている構成は、2つ目のホップで再利用することも、2つ目のホップでのみ使用することもできます。
展開例:ドメイン参加済みコンピューターからのリモートアクセス
この展開には、Desktop Viewerを実行し、NetScaler Gateway/Access Gatewayを介してStoreFrontに接続するドメイン参加済みのユーザーデバイスが含まれます。
ユーザーはスマートカードとPINを使用してデバイスにログオンし、その後NetScaler Gateway/Access Gatewayに再度ログオンします。この2回目のログオンは、スマートカードとPIN、またはユーザー名とパスワードのいずれかで行うことができます。これは、この展開ではReceiverがバイモーダル認証を許可しているためです。
ユーザーはStoreFrontに自動的にログオンし、StoreFrontはユーザーセキュリティ識別子 (SID) をXenAppまたはXenDesktopに渡します。ユーザーが仮想デスクトップまたはアプリケーションを起動すると、Receiverでシングルサインオン機能が構成されているため、PINの入力を再度求められることはありません。
この展開は、2つ目のStoreFrontサーバーとアプリケーションをホストするサーバーを追加することで、ダブルホップに拡張できます。仮想デスクトップからのReceiverは、2つ目のStoreFrontサーバーに認証します。この2つ目の接続には、任意の認証方法を使用できます。最初のホップで示されている構成は、2つ目のホップで再利用することも、2つ目のホップでのみ使用することもできます。
展開例:ドメイン非参加コンピューター
この展開には、Desktop Viewerを実行し、StoreFrontに直接接続するドメイン非参加のユーザーデバイスが含まれます。
ユーザーはデバイスにログオンします。通常、ユーザーはユーザー名とパスワードを入力しますが、デバイスがドメインに参加していないため、このログオンの資格情報はオプションです。この展開ではバイモーダル認証が可能であるため、ReceiverはユーザーにスマートカードとPIN、またはユーザー名とパスワードのいずれかを要求します。その後、ReceiverはStoreFrontに認証します。
StoreFrontは、ユーザーセキュリティ識別子 (SID) をXenAppまたはXenDesktopに渡します。ユーザーが仮想デスクトップまたはアプリケーションを起動すると、この展開ではシングルサインオン機能が利用できないため、PINの入力を再度求められます。
この展開は、2つ目のStoreFrontサーバーとアプリケーションをホストするサーバーを追加することで、ダブルホップに拡張できます。仮想デスクトップからのReceiverは、2つ目のStoreFrontサーバーに認証します。この2つ目の接続には、任意の認証方法を使用できます。最初のホップで示されている構成は、2つ目のホップで再利用することも、2つ目のホップでのみ使用することもできます。
展開例:ドメイン非参加コンピューターからのリモートアクセス
この展開には、Desktop Viewerを実行し、StoreFrontに直接接続するドメインに参加していないユーザーデバイスが含まれます。
ローカライズされた画像(/ja-jp/xenapp-and-xendesktop/7-15-ltsr/media/smartcard4.1.png)
ユーザーはデバイスにログオンします。通常、ユーザーはユーザー名とパスワードを入力しますが、デバイスがドメインに参加していないため、このログオンの資格情報はオプションです。この展開ではバイモーダル認証が可能なため、ReceiverはユーザーにスマートカードとPIN、またはユーザー名とパスワードのいずれかを要求します。その後、ReceiverはStoreFrontに対して認証を行います。
StoreFrontはユーザーセキュリティ識別子(SID)をXenAppまたはXenDesktopに渡します。ユーザーが仮想デスクトップまたはアプリケーションを起動すると、この展開ではシングルサインオン機能が利用できないため、ユーザーは再度PINを要求されます。
この展開は、2台目のStoreFrontサーバーとアプリケーションをホストするサーバーを追加することで、ダブルホップに拡張できます。仮想デスクトップからのReceiverは、2台目のStoreFrontサーバーに対して認証を行います。この2番目の接続には、任意の認証方法を使用できます。最初のホップで示された構成は、2番目のホップで再利用することも、2番目のホップでのみ使用することもできます。
展開例: ドメインに参加していないコンピューターとシンクライアントがDesktop Applianceサイトにアクセスする
この展開には、Desktop Lockを実行し、Desktop Applianceサイトを介してStoreFrontに接続する可能性のあるドメインに参加していないユーザーデバイスが含まれます。
Desktop Lockは、XenApp、XenDesktop、およびVDI-in-a-Boxとともにリリースされる個別のコンポーネントです。これはDesktop Viewerの代替であり、主に再利用されたWindowsコンピューターおよびWindowsシンクライアント向けに設計されています。Desktop Lockは、これらのユーザーデバイスでWindowsシェルとタスクマネージャーを置き換え、ユーザーが基盤となるデバイスにアクセスするのを防ぎます。Desktop Lockを使用すると、ユーザーはWindows Server MachineデスクトップとWindows Desktop Machineデスクトップにアクセスできます。Desktop Lockのインストールはオプションです。
ローカライズされた画像(/ja-jp/xenapp-and-xendesktop/7-15-ltsr/media/smartcard5.1.png)
ユーザーはスマートカードを使用してデバイスにログオンします。デバイスでDesktop Lockが実行されている場合、デバイスはキオスクモードで実行されているInternet Explorerを介してDesktop Applianceサイトを起動するように構成されます。サイト上のActiveXコントロールがユーザーにPINを要求し、それをStoreFrontに送信します。StoreFrontはユーザーセキュリティ識別子(SID)をXenAppまたはXenDesktopに渡します。割り当てられたデスクトップグループのアルファベット順リストで最初に利用可能なデスクトップが起動します。
この展開は、2台目のStoreFrontサーバーとアプリケーションをホストするサーバーを追加することで、ダブルホップに拡張できます。仮想デスクトップからのReceiverは、2台目のStoreFrontサーバーに対して認証を行います。この2番目の接続には、任意の認証方法を使用できます。最初のホップで示された構成は、2番目のホップで再利用することも、2番目のホップでのみ使用することもできます。
展開例: ドメインに参加しているコンピューターとシンクライアントがXenApp Services URLを介してStoreFrontにアクセスする
この展開には、Desktop Lockを実行し、XenApp Services URLを介してStoreFrontに接続するドメインに参加しているユーザーデバイスが含まれます。
Desktop Lockは、XenApp、XenDesktop、およびVDI-in-a-Boxとともにリリースされる個別のコンポーネントです。これはDesktop Viewerの代替であり、主に再利用されたWindowsコンピューターおよびWindowsシンクライアント向けに設計されています。Desktop Lockは、これらのユーザーデバイスでWindowsシェルとタスクマネージャーを置き換え、ユーザーが基盤となるデバイスにアクセスするのを防ぎます。Desktop Lockを使用すると、ユーザーはWindows Server MachineデスクトップとWindows Desktop Machineデスクトップにアクセスできます。Desktop Lockのインストールはオプションです。
ローカライズされた画像(/ja-jp/xenapp-and-xendesktop/7-15-ltsr/media/smartcard6.png)
ユーザーはスマートカードとPINを使用してデバイスにログオンします。デバイスでDesktop Lockが実行されている場合、統合Windows認証 (IWA) を使用してユーザーをStoreFrontサーバーに認証します。StoreFrontは、ユーザーセキュリティ識別子 (SID) をXenAppまたはXenDesktopに渡します。ユーザーが仮想デスクトップを起動すると、Receiverでシングルサインオン機能が構成されているため、PINの入力を再度求められることはありません。
この展開は、2番目のStoreFrontサーバーとアプリケーションをホストするサーバーを追加することで、ダブルホップに拡張できます。仮想デスクトップからのReceiverは、2番目のStoreFrontサーバーに対して認証を行います。この2番目の接続には、任意の認証方法を使用できます。最初のホップで示された構成は、2番目のホップで再利用することも、2番目のホップでのみ使用することもできます。
共有
共有
この記事の概要
- バイモーダル認証
- 複数のActive Directoryフォレストに関する考慮事項
- スマートカード取り外しポリシー
- 証明書失効チェック
- 展開例:ドメイン参加済みコンピューター
- 展開例:ドメイン参加済みコンピューターからのリモートアクセス
- 展開例:ドメイン非参加コンピューター
- 展開例:ドメイン非参加コンピューターからのリモートアクセス
- 展開例: ドメインに参加していないコンピューターとシンクライアントがDesktop Applianceサイトにアクセスする
- 展開例: ドメインに参加しているコンピューターとシンクライアントがXenApp Services URLを介してStoreFrontにアクセスする
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.