X.509 クライアント証明書および HTML フォーム認証方式

X.509 クライアント証明書およびフォーム認証方式は、フォーム認証方式と X.509 クライアント証明書認証方式を組み合わせたものです。この認証方式は、重要なリソースのセキュリティを追加のレイヤを提供します。
casso11jp
X.509 クライアント証明書およびフォーム認証方式は、フォーム認証方式と X.509 クライアント証明書認証方式を組み合わせたものです。この認証方式は、重要なリソースのセキュリティを追加のレイヤを提供します。
ユーザが正常に認証されるためには、以下の 2 つのイベントが発生する必要があります。
  • ユーザの X.509 クライアント証明書が確認されていること。
  • ユーザが HTML フォームで要求される認証情報を指定していること。
この方式の場合、認証処理では以下の手順に従います。
  1. ユーザを SSL 対応の Web サーバの FCC にリダイレクトするように、ポリシー サーバから Web エージェントに指示が出されます。
  2. Web エージェントにより、フォームが表示されます。
  3. FCC が証明書とフォームをポリシー サーバに戻します。
  4. ポリシー サーバによって、ユーザが証明書マッピングに存在することが確認されます。
  5. ポリシー サーバはユーザの HTML フォームの認証情報を確認し、証明書認証情報と HTML フォームの認証情報が同じユーザを表していることを確認します。
X.509 クライアント証明書および HTML フォームの認証方式の前提条件
X.509 クライアント証明書および HTML フォームの認証方式を設定するには、事前に以下の前提条件を満たしておく必要があります。
  • X.509 サーバ証明書が SSL Web サーバ上にインストールされていること。
    casso11jp
    : ポリシー サーバが FIPS モードで動作している場合は、証明書が FIPS 承認アルゴリムズのみを使用して生成されていることを確認してください。
  • ネットワークがクライアント ブラウザへの SSL 接続をサポートしていること(HTTPS プロトコル)。
  • X.509 クライアント証明書がクライアント ブラウザにインストールされていること。
  • クライアント証明書とサーバ証明書の間で信頼関係が確立されていること。
  • 証明書が、有効で信頼できる認証機関(CA)から発行されていること。
  • 発行する CA の公開キーが発行者のデジタル署名を検証すること。
  • クライアント証明書とサーバ証明書の有効期限が切れていないこと。
  • ユーザの公開キーがユーザのデジタル署名を検証すること。
  • フォーム クレデンシャルがユーザ ディレクトリにあること。
  • ポリシー サーバとユーザ ディレクトリの間にディレクトリ接続が確立されていること。
  • (Sun Java Systems)Sun Java Systems の Web サーバを使用している場合は、magnus.conf ファイル内の StackSize パラメータの値を 131072 より大きい値に増加してください。値を変更しないと、Web サーバはそのコアをダンプし、ポリシー サーバがフォームを使用して認証リクエストを行うたびに再起動します。
注:
Apache Web サーバで証明書が必須またはオプションに設定されている場合は、httpd.conf ファイルで SSL Verify Depth 10 の行をコメント解除する必要があります。
収集された証明書とフォームのデータは一緒にポリシー サーバに渡されます。
状況
結果
証明書がない場合
ブラウザがエラー 500 を発行します。
証明書とフォームのクレデンシャルが拒否された場合
ブラウザがエラー 500 を発行します。
エージェント API のサポート
X.509 Client Certificate および HTML の Forms は Sm_AuthApi_Cred_SSLRequired および Sm_AuthApi_Cred_FormRequired ビットを使用します。
X.509 証明書および HTML フォーム認証方式の設定
証明書認証と HTML フォーム ベースの認証を組み合わせるには、X.509 証明書および HTML 認証方式を使用します。
casso11jp
: 以下の手順では、新しいオブジェクトを作成しているとします。また、既存のオブジェクトのプロパティをコピーしてオブジェクトを作成することもできます。詳細については、「ポリシー サーバ オブジェクトの複製」を参照してください。
以下の手順に従います。
  1. [インフラストラクチャ]-[認証]をクリックします。
  2. [認証方式]をクリックします。
  3. [認証方式の作成]をクリックします。
    [認証方式タイプの新しいオブジェクトの作成]が選択されていることを確認します。
  4. [OK]をクリックします。
  5. 名前および保護レベルを入力します。
  6. [認証方式のタイプ]リストから[X509 クライアント証明書およびフォーム テンプレート]を選択します。
  7. SSL 認証情報コレクタのサーバ名とターゲットの情報を入力します。
  8. (オプション)[方式のセットアップ]で[認証セッション変数を保持する]を選択します。このオプションは、認証コンテキスト データがセッション ストアで保存されることを指定します。
  9. [サブミット]をクリックします。
    認証方式が保存され、レルムに割り当て可能になります。