はじめまして、Citrixコンサルティングサービスの衛藤と申します。
このBlogを読んでいただいている企業さまの中には、従業員に支給しているパソコンをよりセキュアに利用させるため、証明書を内蔵したスマートカードを使って、支給パソコンのWindowsへログオンを行っている、というケースがあるかと思います。
万が一パソコンが第三者の手に渡ったとしても、社員が携帯する物理的なスマートカードを挿入しない限りWindowsへのログオンができないため、IDとパスワードを使った認証方式より更に強固なセキュリティが期待できる仕組みです。
実際にユーザーがWindowsへログオンを行うときは、物理カードを挿入した上で、予め設定を行ったPINの入力を行うことで、パソコンを利用することが可能となります。
今回のBlogでは、Citrix Virtual Apps and Desktops環境において、そのようなスマートカードを利用したシングルサインオン(パススルー認証)について整理していきます。
まず、CitrixのVirtual Apps and Desktopsによる仮想化環境を導入した場合、ユーザーによる認証作業は一般的に以下の3回必要です。
1回目:クライアント端末(パソコン)へのログオン
2回目:
I.社内ネットワークからアクセスする場合:StoreFrontへのログオン
II.社外ネットワークからアクセスする場合:Citrix Gatewayへのログオン
3回目:仮想リソースを起動する際に行われる、仮想側Windowsへのログオン
※2回目の認証の際、アクセス元が社内ネットワーク経由か社外ネットワーク経由かによって、アクセスして認証を行うコンポーネントが異なります。本Blogではパススルー認証の検証を行うのが趣旨であり、社内ネットワークからのアクセスを前提としているため、シンプルなStoreFrontの構成を採用します。そのためCitrix Gatewayは対象外です。
これら3回のログオンを毎回ユーザーが手動で行うのは煩雑となるため、クライアント端末へのログオンを一度行うだけで、あとの2回目、3回目の認証は不要とする、パススルー認証を実現することが理想です。
また、Windowsのログオンにスマートカードを利用するために、Active Directoryのユーザープロパティーの設定で「対話型ログオン時にはスマートカードが必要」を有効としている場合があります。このときCitrixの仮想デスクトップや仮想アプリケーション(以下、仮想リソース)をユーザーが起動して利用する際の3回目の認証にもスマートカードが必要となる点が特に考慮すべきポイントとなります。
ここまでに記載した考慮点を踏まえて、スマートカードをご利用になる環境ではシングルサインオンとしての「パススルー認証」をどのように実現できるのか、検証結果をまとめていきます。
※本記事の結果は、弊社が準備を行った以下の環境により確認がとれた結果です。実際にご利用になる環境やスマートカードの種類などによって結果の差異が考えられるため、導入前には入念なPoCの実施を強く推奨致します。
<検証環境>
1.Active Directoryドメインに参加したWindows 10クライアント端末
2.Citrix Virtual Apps and Desktops 7 1912 LTSR
3.YubiKey(擬似的にスマートカードとして利用可能な製品)
→Windowsに特別なドライバーを入れることなく、スマートカードとして利用可能な製品を選択…
Related Stories
- Your guide to implementing Citrix Workspace app for HTML5
- Lessons from the Field: nFactor, OTP and multiple domains
- シトリックス、「マイクロソフト ジャパン パートナー オブ ザ イヤー 2020」WVD & VDI アワードを受賞