X.509 クライアント証明書または基本認証方式

X.509 クライアント証明書または基本認証方式では、基本認証方式または X.509 クライアント証明書認証方式のいずれかを使用してユーザを識別できます。ユーザが認証されるためには、以下の 2 つのイベントのいずれかが発生する必要があります。
casso126jjp
X.509 クライアント証明書または基本認証方式では、基本認証方式または X.509 クライアント証明書認証方式のいずれかを使用してユーザを識別できます。ユーザが認証されるためには、以下の 2 つのイベントのいずれかが発生する必要があります。
  • ユーザの X.509 クライアント証明書が確認されていること。
  • ユーザが有効なユーザ名とパスワードを指定していること。
この方式では、ユーザが保護されたリソースをリクエストすると、Web エージェントがブラウザに証明書の提示を要求します。ユーザが証明書を保有していないか、証明書を提示しないよう選択([キャンセル]をクリック)した場合、Web エージェントは HTTP ベーシック プロトコルを介してユーザに要求します。HTTP ベーシック認証により、エージェントはユーザ名とパスワードを取得することができます。
この方式は X.509 証明書を段階的に展開していく必要がある場合に有用です。たとえば、50,000 人のユーザを抱える企業においては、50,000 人分の証明書を同時に発行して展開することは極めて困難です。ところが、この認証方式を利用すれば適切と思われる数(1 度に 500 または 5,000)の証明書を発行していくことができます。証明書を展開していく過渡期においては、すでに証明書を保有しているユーザに対しては証明書を使ってリソースを保護し、その他の権限を持ったユーザに対してはディレクトリのユーザ名とパスワードに基づいてリソースへのアクセスを許可するということができます。
この方式には、SSL 接続の要求に基本認証を設定するオプションもあります。
注:
X509 証明書や基本認証など、複数の証明書ベースの認証方式を実装すると、ブラウザのキャッシュがいっぱいになって予期しない動作が起こる可能性があります。ユーザが証明書または基本認証方式で保護されているレルムにあるリソースへのアクセスに証明書ベースの認証を選択しない場合、ブラウザは自動的にこの決定をキャッシュに保存します。このユーザが同じブラウザ セッションの中で、必須証明書(X509 証明書、X509 証明書およびベーシック、または X509 証明書およびフォームなど)が指定された認証方式で保護されているリソースにアクセスしようとすると、「Forbidden」エラーメッセージが表示されます。
この場合、最初のリソースへのアクセス時にユーザが証明書ベースの認証の証明書を送信しないと選択し、ブラウザはその選択内容をキャッシュに保存しているため、証明書が必要なレルムにアクセスすると、ユーザのアクセスは自動的に拒否されます。
認証を受ける証明書を送信するかどうかの決定をユーザに認めない X509 証明書または基本認証方式およびその他の証明書ベースの認証方式を含む証明書ベースの認証方式で保護されているレルムが混在する配置において、有効な証明書を保有しているユーザに、その証明書をリソースにアクセスするために使用するよう促します。
2
X.509 クライアント証明書または基本認証方式の前提条件
X.509 クライアント証明書または基本認証方式を設定する前に、以下の前提条件を確認してください。
  • X.509 サーバ証明書が SSL Web サーバ上にインストールされていること。
    casso126jjp
    : ポリシー サーバが FIPS モードで動作している場合は、証明書が FIPS 承認アルゴリムズのみを使用して生成されていることを確認してください。
  • ネットワークが、HTTPS プロトコルを使用したクライアント ブラウザへの SSL 接続に対応していること。
  • X.509 クライアント証明書がクライアント ブラウザにインストールされていること。
  • クライアント証明書とサーバ証明書の間で信頼関係が確立されていること。
  • 証明書が、有効で信頼できる認証機関(CA)から発行されていること。
  • 発行する CA の公開キーが発行者のデジタル署名を検証すること。
  • クライアント証明書とサーバ証明書の有効期限が切れていないこと。
  • ユーザの公開キーがユーザのデジタル署名を検証すること。
  • クライアントのユーザ名とパスワード情報がユーザ ディレクトリにあること。
  • ポリシー サーバとユーザ ディレクトリの間にディレクトリ接続が確立されていること。
注:
Apache Web サーバで証明書が必須またはオプションに設定されている場合は、httpd.conf ファイルで SSL Verify Depth 10 の行をコメント解除する必要があります。
X.509 証明書または基本認証方式の設定
証明書認証または基本認証、あるいはその両方の認証を実装するには、X.509 証明書または基本認証方式を使用します。
casso126jjp
: 以下の手順では、新しいオブジェクトを作成しているとします。また、既存のオブジェクトのプロパティをコピーしてオブジェクトを作成することもできます。詳細については、「ポリシー サーバ オブジェクトの複製」を参照してください。
casso126jjp
以下の手順に従います。
  1. [インフラストラクチャ]-[認証]をクリックします。
  2. [認証方式]をクリックします。
  3. [認証方式の作成]をクリックします。
    [認証方式タイプの新しいオブジェクトの作成]が選択されていることを確認します。
  4. [OK]をクリックします。
  1. 名前および保護レベルを入力します。
  2. [認証方式のタイプ]リストから[X509 クライアント証明書または基本テンプレート]を選択します。
  3. SSL 認証情報コレクタのサーバおよびターゲット情報を入力します。
  4. (オプション)[方式のセットアップ]で[認証セッション変数を保持する]を選択します。このオプションは、認証コンテキスト データがセッション ストアで保存されることを指定します。
  5. [サブミット]をクリックします。
    認証方式が保存され、レルムに割り当て可能になります。