シングルサインオンの製品

ICカード指紋認証でworkgroupのシンクライアントからログインするシステムってそんな難しい物だったんでしょうかね?
今日、とあるSIerさんにアポとって仮想環境で使える認証と言うことでお話聞いたのですが、
接続元もドメイン参加が前提という残念な結果でした。BYOD非対応という意味ですので折角の複数認証の価値がほぼないと判断しました。
敢えて聞きませんでしたがゼロクラも当然非対応でしょう。これで仮想環境対応していると言われると思いませんでした。

元々私が想定していたシンクライアントドメイン参加は、シンクライアントドメインのユーザがVDIドメインには接続できない
片方向信頼関係のドメインとして構築し、View ClientでID/PASS、ドメインを選択する事を想定していました。
こうする事で、管理者PCのDNSサフィックスにシンクラのドメインを追加すればユーザからは見えずセキュリティ面でも無駄なアカウントがなく
進入されないが、Viewクライアントで重要なシステムタイムのずれが発生してもADによる時刻同期強制によりハードウェアクロックがずれても
修正される(はず)といった運用面での利便性が得られるという事を考えていました。

そういった観点でこのSIerさんの製品では特定を防ぐため詳細は書きませんがADに手を加えて対応するという事だったので
シンクライアントから認証できる必要がある=同ドメインか双方向信頼設定が必要という事で
打ち合わせ開始10分以内に状況が厳しいと判断した次第です。