ユーザー認証にスマート カードを使用するクライアント デバイスは、特定の要件を満たす必要があります。
クライアントのハードウェア要件とソフトウェア要件
ユーザー認証にスマート カードを使用する各クライアント デバイスには、次のハードウェアおよびソフトウェアが必要です。
- Horizon Client
- 互換性のあるスマート カード リーダー
Horizon Client では、PKCS#11 または Microsoft CryptoAPI プロバイダを使用するスマート カードおよびスマート カード リーダーがサポートされています。必要に応じて、ActivIdentity ActivClient ソフトウェア スイートをインストールできます。このソフトウェアは、スマート カードと対話するためのツールを提供します。
- 製品固有のアプリケーション ドライバ
スマート カードで認証を行うユーザーはスマート カードまたは USB スマート カード トークンを所有している必要があり、各スマート カードにはユーザー証明書が含まれる必要があります。
証明書発行テンプレートで指定されている暗号化サービス プロバイダ (CSP) の場合は、Microsoft ベース スマート カード暗号化プロバイダか、SHA-256 アルゴリズムで RSA をサポートするサードパーティ製のスマート カード CSP を使用します。
スマート カード登録の要件
スマート カードに証明書をインストールするには、管理者が登録局として機能するようにコンピュータを設定する必要があります。このコンピュータは、ユーザーにスマート カードを発行するための権限を持っている必要があり、証明書を発行するドメインのメンバーである必要があります。
スマート カードを登録するときに、生成される証明書のキー サイズを選択できます。ローカル デスクトップでスマート カードを使用するには、スマートカードの登録時に 1024 ビットまたは 2048 ビットのキー サイズを選択する必要があります。512 ビットの鍵の証明書はサポートされていません。
Microsoft TechNet の Web サイトでは、Windows システム用にスマート カード認証を計画して実装する方法についての詳細情報が提供されています。
リモート デスクトップおよび公開アプリケーションのソフトウェア要件
Horizon 管理者は、仮想デスクトップまたは RDS ホストに製品固有のアプリケーション ドライバをインストールする必要があります。
Horizon Client で、[ユーザー名のヒント] テキスト ボックスを有効にする
いくつかの環境では、スマート カード ユーザーは、単一のスマート カード証明書を使用して、複数のユーザーアカウントを認証できます。スマート カードでログインするときに、[ユーザー名のヒント] テキスト ボックスにユーザー名を入力します。
[ユーザー名のヒント] テキスト ボックスが Horizon Client のログイン ダイアログ ボックスに表示されるようにするには、Connection Server でスマート カードのユーザー名のヒント機能を有効にする必要があります。スマート カード ユーザー名のヒント機能を有効にする方法については、Horizon の管理を参照してください。
外部アクセスの安全を確保するために、お使いの環境で Unified Access Gateway アプライアンスを使用している場合、スマート カード ユーザー名のヒント機能をサポートするように、Unified Access Gateway アプライアンスを構成する必要があります。スマート カード ユーザー名のヒント機能は、Unified Access Gateway 2.7.2 以降でのみサポートされます。Unified Access Gateway でスマート カード ユーザー名のヒント機能を有効にする方法については、VMware Unified Access Gateway の導入および設定ドキュメントを参照してください。
Horizon Client は、スマート カード ユーザー名のヒント機能が有効な場合、単一アカウントのスマート カード証明書も引き続きサポートします。
スマート カード認証の追加要件
Horizon Client システムのスマート カード要件以外に、他の Horizon コンポーネントは、スマート カードをサポートするための特定の構成要件を満たす必要があります。
- Connection Server およびセキュリティ サーバ ホスト
-
管理者は、すべての信頼されたユーザー証明書に適用可能なすべての認証局 (CA) 証明書チェーンを Connection Server ホスト(セキュリティ サーバを使用している場合は、セキュリティ サーバ ホスト)のサーバ信頼ストア ファイルに追加する必要があります。これらの証明書チェーンにはルート証明書が含まれています。中間認証局がユーザーのスマート カードの証明書を発行している場合は、中間証明書も含まれます。
スマート カードの使用をサポートするように Connection Server を構成する方法については、Horizon の管理を参照してください。
- Unified Access Gateway アプライアンス
- Unified Access Gateway アプライアンスでのスマート カード認証の設定については、 VMware Unified Access Gateway の導入および設定を参照してください。
- Active Directory
- スマート カード認証のために管理者が Active Directory で実行する必要があるタスクについては、 Horizon の管理ドキュメントを参照してください。