ユーザー認証にスマート カードを使用するクライアント デバイスは、特定の要件を満たす必要があります。
クライアントのハードウェア要件とソフトウェア要件
ユーザー認証にスマート カードを使用する各クライアント マシンには、次のハードウェアおよびソフトウェアが必要です。
- Horizon Client
- 互換性のあるスマート カード リーダー
- 製品固有のアプリケーション ドライバ
ユーザーはスマート カードを所有している必要があり、各スマート カードにはユーザー証明書が含まれる必要があります。次のスマート カードに対応しています。
- 米国国防総省 Common Access Card (CAC)
- 米国連邦政府 Personal Identity Verification (PIV) カード(FIPS-201 スマート カードとも呼ばれる)
- Gemalto .NET カード
- Gemalto IDPrime MD カード
CAC および PIV カードの場合、Horizon Client はデフォルトで CryptoTokenKit スマート カード ドライバを使用します。ミドルウェアをインストールする必要はありません。
Gemalto .NET カードの場合、使用している macOS のバージョンに適した SafeNet Authentication Client のバージョンをインストールします。Gemalto SafeNet Authentication Client は、Gemalto .NET スマート カードに CryptoTokenKit と TokenD スマート カード ドライバの両方をサポートします。
また、CAC と PIV カードに次のサードパーティ スマート カード ドライバを使用することもできます。
- PKard for Mac v1.7 および v1.7.1
- Charismathics (CCSI_5.0.3_PIV)
- Centrify Express
サードパーティのスマート カード ドライバを使用するには、CryptoTokenKit スマート カード ドライバを無効にする必要があります。詳細については、CryptoTokenKit スマート カード ドライバの無効化を参照してください。
エージェント ソフトウェアの要件
Horizon 管理者は、製品固有のアプリケーション ドライバをエージェント マシンにインストールする必要があります。
Windows 7 仮想デスクトップで PIV カードを使用する場合、スマート カード リーダーと PIV カードを挿入したときに、オペレーティング システムが関連ドライバをインストールします。Windows 7 仮想デスクトップの PIV カードでは、次のエージェント ドライバがサポートされます。
- Charismathics (CSTC PIV 5.2.2)
- Microsoft ミニドライバ
- ActivClient 6.x
Windows 10 仮想デスクトップの PIV カードでは、次のエージェント ドライバがサポートされます。
- Charismathics (CSTC PIV 5.2.2)
- ActivClient 7.x
Gemalto .NET カードの場合、.NET スマート カード用の Gemalto ミニドライバがサポートされます。
Horizon Client で [ユーザー名のヒント] フィールドを有効にする
いくつかの環境では、スマート カード ユーザーは、単一のスマート カード証明書を使用して、複数のユーザーアカウントを認証できます。スマート カードで認証を行うときに、[ユーザー名のヒント] テキスト ボックスにユーザー名を入力します。
Horizon Client のログイン ダイアログ ボックスで [ユーザー名のヒント] テキスト ボックスを表示させるには、Horizon Console の Connection Server インスタンスでスマート カード ユーザー名のヒント機能を有効にする必要があります。スマート カード ユーザー名のヒント機能は、Horizon 7 バージョン 7.0.2 以降のサーバとエージェントでのみサポートされます。スマート カード ユーザー名のヒント機能を有効にする方法については、VMware Horizon Console の管理を参照してください。
外部アクセスのセキュリティを確保するために、お使いの環境でセキュリティ サーバではなく Unified Access Gateway アプライアンスを使用している場合、スマート カード ユーザー名のヒント機能をサポートするように、Unified Access Gateway アプライアンスを構成する必要があります。スマート カード ユーザー名のヒント機能は、Unified Access Gateway 2.7.2 以降でのみサポートされます。Unified Access Gateway でスマート カード ユーザー名のヒント機能を有効にする方法については、Unified Access Gateway の導入および設定ドキュメントを参照してください。
スマート カード認証の追加要件
Horizon Client システムのスマート カード要件以外に、他の Horizon コンポーネントは、スマート カードをサポートするための特定の構成要件を満たす必要があります。
- Connection Server およびセキュリティ サーバ ホスト
-
Horizon 管理者は、すべての信頼されたユーザー証明書に適用可能なすべての認証局 (CA) 証明書を Connection Server ホストまたはセキュリティ サーバ ホスト上のサーバ信頼ストア ファイルに追加する必要があります。これらの証明書にはルート証明書が含まれ、ユーザーのスマート カード証明書が中間証明機関によって発行された場合には中間証明書を含める必要があります。
空の PIV カードの証明書を生成する場合は、PIV データ生成ツールの [暗号化プロバイダ] タブに Connection Server またはセキュリティ サーバ ホスト上のサーバ信頼ストア ファイルへのパスを入力します。
スマート カードの使用をサポートするように Connection Server を構成する方法については、VMware Horizon Console の管理を参照してください。
- Active Directory
- スマート カード認証のために管理者が Active Directory で実行する必要があるタスクについては、 VMware Horizon Console の管理ドキュメントを参照してください。