使える シンクライアント の選び方 (4) クライアント仮想化環境のセキュリティと利便性を向上させる IC カード認証 (ARCACLAVIS 編 ) Ver.1.0 Copyright 2015 Hewlett-Packard Development Company, L.P. Page 0
目次 本書の取り扱いについて... 2 0. ユースケースとベネフィット... 3 1. はじめに... 3 2. 本書での対応製品... 3 3. ARCACLAVIS Ways for Thin Client とは?... 4 4. ARCACLAVIS Ways fot Thin Client の機能とメリット... 6 5. 動作確認済みのシステム環境... 12 6. IC カードを使用するために必要な HP Thin Client の設定... 14 7. ARCACLAVIS 製品情報... 19 日本ヒューレット パッカード株式会社 2/10/2015 Copyright 2015 Hewlett-Packard Development Company, L.P. Page 1
本書の取り扱いについて 本書は 日本ヒューレット パッカード株式会社が販売する製品を検討されているお客様が実際のご利用方法に合わせた設定を行う際に役立つ手順の一例を示すものです いかなる場合においても本書の通りになる事を保証するものではありません 本書の内容は 将来予告なしに変更されることがあります HP 製品およびサービスに対する保証については 該当製品およびサービス保証規定書に記載されています 本書のいかなる内容も 新たな保証を追加するものではありません 本書の内容につきましては万全を期しておりますが 本書中の技術的あるいは校正上の誤り 省略に対して責任を負いかねますのでご了承ください この文書の著作権は日本ヒューレット パッカード株式会社に帰属します 日本ヒューレット パッカードの許可なく一部または全体の複製 転載 編集等を行うことや 許可されていない第三者への開示等の行為全てを禁止します 本文中使用される企業名 製品名 商標などはそれを保持する企業 団体に帰属します Copyright 2015 Hewlett-Packard Development Company, L.P. Copyright 2015 Hewlett-Packard Development Company, L.P. Page 2
0. ユースケースとベネフィット 背景企業や自治体においてクライアント仮想化環境の導入が進んでいます クライアント仮想化環境を利用する事で 時間や場所にとらわれずに業務を行える環境を簡単に構築することが出来るようになりました データやアプリケーションはデータセンター内のサーバー側に置かれる事でセキュリティや利便性が向上する反面 従来型のユーザー ID/ パスワード認証によるログオン方式では不正アクセスやなりすましのリスクは残ったままです クライアント仮想化環境をより安全なものにするには さらなる本人認証の強化が求められます また クライアント仮想化環境にログイン後に利用する各種業務システムの本人認証においては 入力すべき ID/ パスワードが増える事は利用者の大きな負担となりまい業務効率の低下につながってしまいます そのために各種業務システムにログインするためのユーザー ID/ パスワードの効率的な管理も必要となってきています 解決したい課題 クライアント仮想化環境への本人認証の強化 業務システム利用時のユーザー ID/ パスワード管理 Why HP シンクライアント? HP シンクライアントは ARCACLAVIS Ways for Thin Client の動作検証を行っておりますので安 心してお使い頂けます 1. はじめに 本資料では ジャパンシステム株式会社が販売しているクライアント仮想化環境用の認証ソリューションである ARCACLAVIS Ways for Thin Client を使用した HP Thin Client のユーザー認証の強化方法について紹介します 2. 本書での対応製品 本資料では以下に記載されている製品を対象としています ARCACLAVIS Ways for Thin Client の詳細な動作環境は製品のリリースノートをご参照ください クライアント仮想化環境 Microsoft リモートデスクトップサービス (RDS) Citrix XenDesktop/XenApp Copyright 2015 Hewlett-Packard Development Company, L.P. Page 3
VMware Horizon View 認証ソリューション ARCACLAVIS Ways for Thin Client Ver1.2 ACR122U-A9(IC カードリーダライタ ) Felica カード MIFARE Standard 1K カード シンクライアント端末 HP t520 WES7 モデル HP t620 WES7 モデル HP t820 WES7 モデル HP t520 ThinPro/SmartZero モデル HP t620 ThinPro/SmartZero モデル HP mt41 HP Elitebook 745 G2 Notebook PC WES7 モデル HP t310 HP t310 AiO 3. ARCACLAVIS Ways for Thin Client とは? ARCACLAVIS Ways for Thin Client( アルカクラヴィスウェイズフォーシンクライアント ) は クライアント仮想化環境 (= シンクライアント環境 ) における本人認証の強化と業務システ ムの不正利用対策を実現するソリューションです IC カード認証やシングルサインオン ロ グ収集機能などにより セキュリティ強化と利便性の向上を実現します クライアント仮想化環境への本人認証の強化 クライアント仮想化環境におけるセキュリティリスクの原因となりうる ユーザー ID/ パスワード認証を ユーザー ID/ パスワード +IC カード の二要素認証にする事で強化することができます IC カードは Felica または MIFARE に対応しているためカードリーダに置いたままにする必要はなくタッチ操作による認証が可能です さまざまなアプリに対応するシングルサインオン クライアント仮想化環境にログオンした後は Web アプリケーション クライアント / サーバーアプリケーション レガシーアプリケーションなどのさまざまなタイプのアプリケーションに対してシングルサインオンによる自動ログインが可能になります アプリケーション側の改修やネットワーク構成の変更は不要です Copyright 2015 Hewlett-Packard Development Company, L.P. Page 4
万が一のための備え ( 緊急パスワード ログ収集 ) IC カードを忘れたり 紛失 盗難の際には 管理者が発行した緊急パスワードで IC カード無しでもログオンすることが可能です シンクライアント端末利用時の IC カード操作やシングルサインオン利用時のログを記録します 共有アカウントを使用している場合でも IC カードに紐付いたユーザーのログが出力されるのでインシデント発生時に追跡調査が可能です システム構成概要 Copyright 2015 Hewlett-Packard Development Company, L.P. Page 5
4. ARCACLAVIS Ways for Thin Client の機能とメリット 4-1. IC カード認証クライアント仮想化環境を利用する際の本人認証を ユーザー ID/ パスワード + IC カード の 2 要素認証で行うことでセキュリティが強化されます 非接触型の IC カードを利用するため認証後は IC カードをカードリーダライタから取り外す事が可能です IC カードを持たないユーザーからのアクセスを遮断する事で ID/ パスワード盗難による不正 アクセスやなりすましを防止します 4-1-1. IC カード認証のフロー RDS のリモートログオン時 シンクライアント端末にて リモートデスクト ップ接続 を起動し ユーザー ID とパスワード を入力してリモートサーバーへアクセス サーバーへのアクセスに成功すると ARCACLAVIS Ways for Thin Client の認証画面が表示されます IC カードを IC カードリーダライ タにセットする ( かざす ) IC カードのパスワードを入力します 設定により 4 をスキップする事も可能 Windows にログオン! ク ライアント仮想化環境を 安全に利用! Copyright 2015 Hewlett-Packard Development Company, L.P. Page 6
4-1-2. IC カード認証のフロー RDS の Remote App プログラム利用時 クライアント端末にてリモートデスクトップサービスの RD Web アクセス ページにアクセスし サインイン サインイン後 利用する Remote App プログラムのアイコンをクリック ( 上記では Word を選択 ) サーバーへのアクセスに成功すると ARCACLAVIS Ways for Thin Client の認証画面が表示される IC カードを IC カードリーダライ タにセットする ( かざす ) IC カードのパスワードを入力します 設定により 5 をスキップする事も可能 2 でクリックしたプログラム (Word) が起動する! シンクライアント環境を安全に利用! Copyright 2015 Hewlett-Packard Development Company, L.P. Page 7
4-1-3. IC カード認証のフロー Citrix XenApp の公開アプリケーション利用時 クライアント端末にて Citrix StoreFront の Web サイトにアクセスし サインイン サインイン後 アプリケーション タブを選択し 公開アプリケーションのアイコンをクリック ( 上記では Word を選択 ) サーバーへのアクセスに成功すると ARCACLAVIS Ways for Thin Client の認証画面が表示される IC カードを IC カードリーダライ タにセットする ( かざす ) IC カードのパスワードを入力します 設定により 5 をスキップする事も可能 2 でクリックしたプログラム (Word) が起動する! シンクライアント環境を安全に利用! Copyright 2015 Hewlett-Packard Development Company, L.P. Page 8
4-1-4. IC カード認証のフロー Citrix XenDesktop または Citrix XenApp の公開デスクトップ利 用時 クライアント端末にて Citrix StoreFront の Web サイトにアクセスし サインイン サインイン後 デスクトップ タブを選択し 接続するデスクトップのアイコンをクリック サーバーへのアクセスに成功すると ARCACLAVIS Ways for Thin Client の認証画面が表示される IC カードを IC カードリーダライ タにセットする ( かざす ) IC カードのパスワードを入力します 設定により 5 をスキップする事も可能 Windows にログオン! ク ライアント仮想化環境を 安全に利用! 上記の画面は XenDesktop の Windows 7 デスクトップに接続した場合のものです Copyright 2015 Hewlett-Packard Development Company, L.P. Page 9
4-1-4. IC カード認証のフロー VMware Horizon View 利用時 クライアント端末にて VMware Horizon View Client を起動し View 接続サーバーアイコンをダブルクリック 接続後 Windows のアカウント情報を入力し [ ログイン ] ボタンをクリック 接続するデスクトップアイコンをダブルクリックして接続 仮想デスクトップへのアクセスに成功すると ARCACLAVIS Ways for Thin Client の認証画面が表示される IC カードを IC カードリーダライ タにセットする ( かざす ) IC カードのパスワードを 入力します 設定により 6 をスキップする事も可 Windows にログオン! ク ライアント仮想化環境を 安全に利用! 4-1-5. IC カード認証 離席時のロックと解除 クライアント仮想化環境にログオン後は IC カードを IC カードリーダライタにかざす事で仮 想デスクトップ側の画面ロックおよびロック解除をする事ができます 離席時には IC カードを IC カード リーダライタにセットする ( かざす ) 仮想デスクトップの画面がロックします ロック解除には IC カードを IC カードリーダライタにセットする ( かざす ) Copyright 2015 Hewlett-Packard Development Company, L.P. Page 10
4-2. シングルサインオンクライアント仮想化環境へのログオン後に利用する様々な業務アプリケーションのユーザー認証を自動化することで利用者の利便性が向上します クライアント仮想化環境へログオンすると自動的に ARCACLAVIS Ways for Thin Client サーバーから事前に登録しておいたアプリケーションのユーザー ID/ パスワード情報を取得し アプリケーションの認証画面が表示されると自動的にユーザー ID/ パスワードが入力されます ARCACLAVIS Ways for Thin Client のシングルサインオン機能は 仮想デスクトップに常駐しているアプリケーションがウィンドウを監視していて登録済みのアプリケーションの認証画面が表示されるとユーザー ID/ パスワードを自動入力します ( 代行入力方式 ) そのため既存のアプリケーションやネットワークの変更が不要となり 低コスト 短期間 でシングルサインオンの導入が可能です Copyright 2015 Hewlett-Packard Development Company, L.P. Page 11
4-2-1. シングルサインオンのフロー タスクトレイからウィ ンドウを監視 登録されている認証画 面が表示される 自動的にユーザー ID/ パスワードが 入力されて認証されます 5. 動作確認済みのシステム環境 以下のシステム環境にて ARCACLAVIS Ways for Thin Client Ver1.2 の簡易的な動作確認を行い HP Thin Client からクライアント仮想化環境への IC カード認証が動作する事を確認しまいた 日本 HP およびジャパンシステムが下記の組み合わせでの動作を保証するものではございません 5-1. 検証環境 ARCACLAVIS ways for Thin Client 環境 Web サーバー兼 DB サーバー IC カードリーダライタ IC カード IC カードクライアント仮想化方式 Microsoft RDS Citrix XenDesktop 5.5 Citrix XenApp 6.5 VMware Horizon View 6 Windows Server 2008R2 Enterprise SP1 ACR122U-A9 Felica MIFARE Standard 1K OS Windows Server 2008R2 Enterprise SP1 Windows 7 Enterprise SP1 Windows Server 2008R2 Enterprise SP1 Windows 7 Enterprise SP1 Copyright 2015 Hewlett-Packard Development Company, L.P. Page 12
シンクライアント端末 HP t520 Thin Client HP t620 Thin Client HP t820 Thin Client HP mt41 Mobile Thin Client HP EliteBook 745G2 WES モデル HP t310 Zero Client HP t310 AiO Zero Client OS Windows Embedded Standard 7E HP ThinPro/SmartZero 5.1 Windows Embedded Standard 7E HP ThinPro/SmartZero 5.1 Windows Embedded Standard 7E Windows Embedded Standard 7E Windows Embedded Standard 7E なし (Teradici PCoIP Zero Client) なし (Teradici PCoIP Zero Client) HP t310 Zero Client および HP t310 AiO Zero Client はクライアント仮想化方式 VMware Horizon View にのみ対応 Copyright 2015 Hewlett-Packard Development Company, L.P. Page 13
6. IC カードを使用するために必要な HP Thin Client の設定 クライアント仮想化環境でのユーザー認証に IC カードを使用するためには シンクライアント端末に接続された IC カードリーダライタをクライアント仮想化環境の仮想デスクトップに認識させる必要があります 仮想デスクトップで表示される ARCACLAVIS Ways for Thin Client の認証画面の プロパティ をクリックすると仮想デスクトップが認識した IC カードリーダライタの情報が表示されます プロパティに IC カードリーダライタの情報が表示されない場合には IC カードリーダライタが仮想デスクトップに認識されていないため IC カード認証は利用できません 利用するクライアント仮想化環境により IC カードを仮想デスクトップに認識させるためのシンクライアント端末側の設定が異なります ここではクライアント仮想化方式に応じて必要となるシンクライアント端末側の設定を説明します Copyright 2015 Hewlett-Packard Development Company, L.P. Page 14
6-1. Microsoft RDS Microsoft RDS ではリモートデスクトップ接続のスマートカードのリダイレクト機能を利用 します Windows Embedded Standard の場合 リモートデスクトップ接続のローカルリソースとリソースの詳細設定画面でスマートカード が有効になっている ( チェックが付いている ) 必要があります スマートカードは初期状態 で有効になっています Copyright 2015 Hewlett-Packard Development Company, L.P. Page 15
HP ThinPro/SmartZero 5.1 の場合 リモートデスクトップ接続設定の編集画面で スマートカードログオンを許可する を有効にします Copyright 2015 Hewlett-Packard Development Company, L.P. Page 16
6-2. VMware Horizon View VMware Horizon View では接続プロトコルとして PCoIP と RDP を選択可能です PCoIP の場合は VMware Horizon View の PCoIP スマートカード機能を利用します この機能を利用するには仮想デスクトップに VMware Horizon View Agent をインストールする際にコンポーネントの選択画面で PCoIP スマートカード を選択してインストールしておく必要があります ( 初期状態では選択されていません ) RDP の場合はリモートデスクトップ接続のスマートカードのリダイレクト機能が利用されます Windows Embedded Standard の場合 初期設定のままでこの機能が利用できますので必要な設定は特にありません HP ThinPro/SmartZero 5.1 の場合 Horizon View 接続設定の編集画面で スマートカードログオンを許可する を有効にします Copyright 2015 Hewlett-Packard Development Company, L.P. Page 17
6-3. Citrix XenDesktop/XenApp Citrix XenDesktop/XenApp ではスマートカードのリダイレクト機能が利用されます Windows Embedded Standard の場合 初期設定のままでこの機能が利用できますので必要な設定は特にありません HP ThinPro/SmartZero 5.1 の場合 ThinPro レジストリの root/connectiontype/xen/general/enablesmartcard の値を 1 に設定します Copyright 2015 Hewlett-Packard Development Company, L.P. Page 18
7. ARCACLAVIS 製品情報 ARCACLAVIS ways for Thin Client に関する詳細な製品情報は以下の製品紹介ページをご参照く ださい http://www.japan-systems.co.jp/product/arcaclavis/product/ways-thinclient/index.html 新製品 ARCACLAVIS Ways V5.0 について ジャパンシステム株式会社では以下の 3 つの ARCACLAVIS シリーズの製品を統合し ARCACLAVIS Ways V5.0 として新たにリリースしました ARCACRAVIS Revo/Rex ARCACLAVIS Ways SSO ARCACLAVIS Ways for Thin Client http://www.japan-systems.co.jp/news/2015/150129.html ARCACLAVIS Ways V5.0 の動作環境 http://www.japan-systems.co.jp/product/arcaclavis/product/ways/spec.html ARCACLAVIS Ways V5.0 は ARCACLAVIS Ways for Thin Client からのバージョンアップも行え 今後はこちらがエンハンスされて行きます クライアント仮想化環境への対応としては Citrix XenDesktop/XenApp の新バージョンへの対応が予定されています ARCACLAVIS Ways V5.0 -> Citrix XenDesktop/XenApp 7.1 に対応 (2015 年 1/29 リリース済み ) ARCACLAVIS Ways V5.1 -> Citrix XenDesktop/XenApp 7.5 に対応 (2015 年 4 月リリース予定 ) ARCACLAVIS Ways V5.2 -> Citrix XenDesktop/XenApp 7.6 に対応 (2015 年 7 月リリース予定 ) お問い合わせ先 ジャパンシステム株式会社システム基盤事業本部営業部 TEL:03-5309-0222 FAX: 03-5309-0313 E-mail:security-sales@japan-systems.co.jp Copyright 2015 Hewlett-Packard Development Company, L.P. Page 19
HP シンクライアントに関する情報 http://www.hp.com/jp/thinclient Doc#:C0004 Copyright 2015 Hewlett-Packard Development Company, L.P. Page 20