初期設定
Chromebook向けSSOの有効化
※本操作は Google Workspace 上で初回のみ実施します。
Google Workspace 管理コンソールにログインし、「デバイス」>「Chrome」>「設定」>「ユーザーとブラウザ」をクリックします。
「ユーザーとブラウザの設定」をクリックし、「シングルサインオン」設定で「Chrome デバイスに対して SAML ベースのシングルサインオンを有効にする」を選択し、画面右上の「保存」をクリックします。
Chromebook向けクライアント証明書の送信条件の設定
※本操作はGoogle Workspace上で初回のみ実施します。
続けて「デバイスの設定」をクリックし、「シングルサインオンのクライアント証明書」設定で以下に示す値を入力して「保存」をクリックします。
入力値
{"pattern":"https://[*.]gluegent.net","filter":{}}
Cybertrust DeviceiD Importer の登録
※本操作は Google Workspace 上で初回のみ実施します。
Google Workspace 管理コンソールにて、「デバイス」>「Chrome」>「アプリと拡張機能」>「ユーザーとブラウザ」をクリックします。
画面右下の「+」アイコンをクリックし、「Chrome アプリや拡張機能を ID で追加」をクリックします。
「拡張機能 ID」に以下の値を入力し「保存」をクリックします。
入力値
gckinijepghhkpbmoafjgpghdodhboeb
追加されたら「Cybertrust DeviceiD Importer」をクリックし、「自動インストールしてブラウザのツールバーに固定する」をクリックします。
画面右側下方の「拡張機能のポリシー」に、以下の値を入力し画面右上の「保存」をクリックします。
入力値
{
"SITEID": {
"Value": "DiD"
},
"ORGANIZATION": {
"Value": "SIOS Technology 02A8"
}
}
Chromebook のデバイス登録
※既に Chromebook がデバイス登録済みの場合は本項をスキップしてください。
※本操作は Chromebook 上で実施します。
既に Gluegent Gate で全てのユーザーにクライアント証明書を求める設定をしている場合、デバイス登録時の認証は Google Workspace の特権管理権限ユーザーを使用する事を推奨します。
一般権限ユーザーのメールアドレスを入力すると Gluegent Gate のログイン画面に遷移しますが、この時点でクライアント証明書はインストールされていないためエラーとなります。
もしデバイス登録時の認証も一般権限のユーザーを使用したい場合は、Gluegent Gate のアクセス権限ルールでそのユーザーを証明書確認 / 証明書認証の対象外にするなど、事前に運用方法を検討してください。
以下の Google ヘルプ記事に従って Chromebook を Google Workspace にデバイス登録してください。
事前申請
Chromebook シリアル番号の確認
対象の Chromebook を指定するためシリアル番号を確認します。
シリアル番号は以下の手段で確認することができます。
- Chromebook の外箱に貼付されたラベル、もしくは本体背面に貼付されたラベルで確認。
- Google Workspace 管理コンソール上で確認。
本操作は Google Workspace 管理コンソール上で実施します。
Google Workspace 管理コンソールにログインし「デバイス」>「Chrome」>「デバイス」をクリックします。管理対象の Chromebook のリストにて、対象の Chromebook のシリアル番号を確認。
クライアント証明書の事前申請
本操作は Gluegent Gate 管理画面上で実施します。
Gluegent Gate 管理画面にログインし、「システム」>「クライアント証明書」をクリックします。
画面右上の「申請」タブをクリックします
申請情報を入力し「申請」をクリックします。
| 項目名 | 入力内容 |
|---|---|
|
証明書ID |
任意値を入力します。 ※Gluegent Gate 管理画面上で各クライアント証明書を識別するための ID です。他のクライアント証明書と重複しない値を入力してください。 ※半角英数字およびハイフン(-)、アンダースコア(_)が使用可能です。 |
|
利用形態 |
「証明書認証」を選択します。 |
|
申請先CA |
「Cybertrust DeviceID」を選択します。 |
|
ユーザーの選択と証明書の発行 |
発行先の Gluegent Gate ユーザーを検索し選択します。 |
|
ダウンロードを許可する端末 |
「Chromebook」を選択し、前項で確認したシリアル番号を入力してください。 |
申請が完了するとクライアント証明書の一覧にエントリが追加され、「状態」フィールドが「申請中」となります。認証局への事前申請が完了すると「有効」になります。
※事前申請の完了まで最大15分かかります。
申請操作と認証局への事前申請の完了は操作ログからも確認することができます。
申請操作の記録
事前申請完了の記録(申請操作から最大 15 分後)
発行申請
クライアント証明書の発行と取得
※本操作はChromebook上で行います。
対象の Chromebook に任意のユーザーでログインします。
既に Gluegent Gate で全てのユーザーにクライアント証明書を求める設定をしている場合、本操作の認証は Google Workspace の特権管理権限ユーザーを使用する事を推奨します。
一般権限ユーザーのメールアドレスを入力すると Gluegent Gate のログイン画面に遷移しますが、この時点でクライアント証明書はインストールされていないためエラーとなります。
もし一般権限のユーザーを使用したい場合は、Gluegent Gate のアクセス権限ルールでそのユーザーを証明書確認 / 認証の対象外にするなど、事前に運用方法を検討してください
Chrome ブラウザを起動し、画面右上の Cybertrust DeviceiD Importer アイコンをクリックします。
Cybertrust DeviceiD Importer が起動したら、「証明書を取得する」をクリックします。
「ログを表示」をクリックすると進行状況が表示され、ログの最後に「証明書のインストール 完了」が表示されることを確認します。
※もしログ上でエラーが記録されていた場合は、ログが確認できるスクリーンショットを取得し、「エラーや問題発生時のお問い合わせ」に記載の内容と共に弊社クラウドコンシェルジュへお問い合わせください。
クライアント証明書のインストール確認
Chrome ブラウザの画面右上のメニューアイコンをクリックし「設定」をクリックします。
検索ボックスに「証明書」と入力し、「証明書の管理」をクリックします。
証明書一覧にて「org-SIOS Technology 02A8」の中に発行先ユーザー名の証明書が格納されている事を確認します。
Chromebook からログアウトし、操作を行っていた特権管理権限ユーザーのプロファイルを削除して Chromebook を使用者に引き渡してください。
※削除処理はChromebook上のプロファイル削除であり、アカウントやアカウントデータに影響はありません。
※もしクライアント証明書が確認できなかった場合は、状況が確認できるスクリーンショットを取得し、「エラーや問題発生時のお問い合わせ」に記載の内容と共に弊社クラウドコンシェルジュへお問い合わせください。
エラーや問題発生時のお問い合わせ
クライアント証明書の申請や発行操作、発行後のログインで問題が発生した場合は、その内容と共に以下の情報を添えて弊社クラウドコンシェルジュへお問い合わせください。
- 状況を示すスクリーンショットや写真
- Gluegent Gate の管理画面上で、該当のクライアント証明書の申請状況がわかるスクリーンショット
- Gluegent Gate の管理画面上で、操作ログで該当のクライアント証明書の申請内容の記録と、その後の事前申請完了の記録。