X.509 クライアント証明書認証方式
X.509 V3 クライアント証明書を設定できます。証明書がクライアントにインストールされると、リソースを要求するユーザの識別に、その証明書を使用できます。証明書認証は SSL 通信を使用します。証明書認証と基本認証を組み合わせて使用すると、より高い安全性を提供することができます。
sm1252sp1jjp
X.509 V3 クライアント証明書を設定できます。証明書がクライアントにインストールされると、リソースを要求するユーザの識別に、その証明書を使用できます。証明書認証は SSL 通信を使用します。証明書認証と基本認証を組み合わせて使用すると、より高い安全性を提供することができます。
注:
証明書のみの認証方式の場合には、Web エージェントは「HTTP エラー 403: アクセスが拒否されたか、または禁止されています。」を返します。これは、Web エージェントがユーザに新しい証明書を要求できないためです。X.509 クライアント証明書の認証方式により、証明書認証が実行されます。X.509 クライアント証明書認証を使用するには、お使いの環境が SSL 通信に対応している必要があります。つまり、クライアント ブラウザ、Web サーバ、およびすべてのユーザ証明書で証明書認証を受諾および実行できるよう設定されている必要があります。これらのタスクは、ポリシー サーバ設定のスコープ外で行われます。
必要な SSL コンポーネントが正しくセットアップされたら、X.509 認証方式を設定します。以下の設定タスクがあります。
- Web エージェント設定ウィザードの実行時に、高度な SSL 認証方式を選択します。
- 管理 UI を使用して、X.509 認証方式の 1 つを設定します。
X.509 クライアント証明書認証方式は以下のタスクを実行します。
- クライアント証明書情報を収集します。
- ユーザ証明書から情報に基づいてディレクトリ内のユーザを特定します。このプロセスは「証明書マッピング」と呼ばれます。
- (任意)証明書破棄リスト(CRL)またはオンライン証明書ステータス プロトコル(OCSP)を使用して、証明書が有効かどうかを確認します。
2
証明書認証の証明書の抽出
保護されたリソースをユーザが要求した場合、Web エージェントはまずポリシー サーバにアクセスし、リソースを保護している認証方式を確認します。X.509 認証方式がリソースを保護している場合、Web エージェントは、設定された認証方式に対応する認証情報コレクタへユーザのブラウザをリダイレクトします。クレデンシャル コレクタへのパスは認証方式の設定に定義されています。
クレデンシャル コレクタへの接続は SSL 対応の接続で、Web サーバはクライアント証明書が必要とされるよう設定されています。そのため、ブラウザは、認証用のクライアント証明書をサブミットする必要があります。クレデンシャル コレクタ URL の末尾のリソース名と拡張子によって、Web サーバからユーザ証明書を抽出するように Web エージェントに指示されます。Web エージェントは、認証方式で使用するための証明書をポリシー サーバに渡します。
CA Single Sign-on
でユーザの識別に証明書データを使用する方法Web エージェントは証明書情報を収集後、そのデータを確認のためポリシー サーバに渡します。ポリシー サーバでは証明書マッピングを実行します。証明書マッピングの目的は、ユーザ証明書内の対象名に基づきユーザを特定することです。
まず、ポリシー サーバは、ポリシー ストア内の適切な証明書マッピングを調べます。ポリシー サーバは、証明書発行者 DN を使用してマッピングを特定します。発行者 DN は証明書マッピング設定の一部です。ポリシー サーバでマッピングを検出したら、証明書の対象名に基づいてマッピングを適用し、ユーザ ディレクトリ内のユーザ エントリを検索します。
ポリシー サーバは、以下のリポジトリにのみ格納されたユーザ証明書にアクセスできます。
- LDAP/AD ユーザ ディレクトリ
- ODBC ストア
重要:
X.509 クライアント証明書認証方式の場合は、常に証明書マッピングを設定する必要があります。X.509 クライアント証明書認証方式の前提条件
X.509 クライアント証明書認証方式を設定するには、以下の前提条件を満たす必要があります。
- X.509 サーバ証明書を SSL Web サーバ上にインストールします。証明書が期限切れになっていないことを確認してください。注: ポリシー サーバが FIPS モードで動作している場合は、証明書が FIPS 承認アルゴリムズのみを使用して生成されていることを確認してください。
- ネットワークでクライアント ブラウザへの SSL 接続(HTTPS プロトコル)がサポートされていることを確認します。
- X.509 クライアント証明書がクライアント ブラウザにインストールされていることを確認します。証明書が期限切れになっていないことを確認してください。
X.509 証明書認証方式の設定
証明書認証を設定するには、SSL 環境のセットアップに加えて、以下の手順を実行します。
- お使いの環境が SSL 通信に対応するよう設定します。クライアント ブラウザ、Web サーバ、およびいずれのユーザ証明書でも証明書認証を受諾および実行できるよう設定します。
- インストールされた Web エージェントが SSL 認証を処理できることを確認します。
- 管理 UI で X.509 認証方式を設定します。
- 証明書マッピングを定義して、クライアント証明書の情報に基づいたユーザを識別できるようにします。
- (オプション) CRL または OCSP を使用して証明書の検証を設定します。注: 以下の手順では、新しいオブジェクトを作成しているとします。また、既存のオブジェクトのプロパティをコピーしてオブジェクトを作成することもできます。詳細については、「ポリシー サーバ オブジェクトの複製」を参照してください。
以下の手順に従います。
- [インフラストラクチャ]-[認証]をクリックします。
- [認証方式]をクリックします。
- [認証方式の作成]をクリックします。[認証方式タイプの新しいオブジェクトの作成]が選択されていることを確認します。
- [OK]をクリックします。
- 名前および保護レベルを入力します。
- [認証方式のタイプ]リストから[X.509 クライアント証明書テンプレート]を選択します。
- SSL 認証情報コレクタのサーバ名とターゲットの情報を入力します。
- (オプション)[認証セッション変数を保持する]を選択します。このオプションは、認証コンテキスト データが、後で認証判断の際に使用できるようセッション ストアで保存されることを指定します。
- [サブミット]をクリックします。認証方式が保存され、レルムに割り当て可能になります。
X.509 証明書認証方式が管理 UI で設定されました。次に、証明書マッピングを設定します。