〜はじめに〜
本マニュアルは、クライアント証明書(NRA-PKI)を用いた端末制御を行うための設定方法をご案内しています。Gluegent Gate のログインをクライアント証明書がインストールされた端末に限定したいといった場合はこのマニュアルの手順に沿って設定を行ってください。
本マニュアルの対象は「端末認証 WEB / 証明書付き(NRA-PKI)」オプションをお契約いただいているお客様です。
本マニュアルではサンプルとして「証明書認証」を使用しています。「証明書認証」と「証明書確認」の違いについては「証明書認証・証明書確認 - 1. 動作概要」をご参照ください。
本マニュアルは Google Workspace や Microsoft 365 などの各種クラウドサービスとの連携設定が完了していることを前提としております。まだ連携設定がお済みでない場合は、ご利用のクラウドサービスに応じたスタートアップガイド、クラウドサービス連携ガイドをご参照いただき、設定を行ってください。
ステップ1:認証ルールの作成
ステップ2:アクセス権限ルールの作成(証明書認証用)
ステップ3:アクセス権限ルールの作成(ユーザーポータル用)
ステップ4:ユーザーポータルの設定
ステップ5:クライアント証明書の発行
ステップ6:クライアント証明書のダウンロード・インストール
ステップ7:挙動確認
ステップ1:認証ルールの作成
認証ルール(本人確認のための処理)の作成を行います。ここでは、ユーザー ID とパスワードによる認証方式のルールを作成します。
他のスタートアップガイドでクラウドサービスとの連携設定済みの場合は、既に作成されていますので、次のステップに進んでください。
Gluegent Gateの管理画面にアクセスします。
左メニューの「認証」>「新規登録」の順にクリックします。
認証ルールの新規登録画面に遷移します。必要事項を入力します。
ID
- 任意の値を入力します。(例:rule_web)
- 認証方法
- 「ID/パスワード認証」のチェックをオンにします。
- クライアント
-
「ブラウザー PC」「ブラウザー スマートフォン」「ブラウザー タブレット」のチェックをオンにします。
「登録」をクリックします。
ステップ2:アクセス権限ルールの作成(証明書認証用)
アクセス権限ルール(各種サービスへの認可の付与)の作成を行います。ここでは、「証明書認証」による認証方式のルールを作成します。
他のスタートアップガイドでクラウドサービスとの連携設定済みの場合は、既に作成されていますので、作成されたルールの設定変更を行ってください。
Gluegent Gateの管理画面にアクセスします。
左メニューの「アクセス権限」→「新規登録」の順にクリックします。
アクセス権限ルールの新規登録画面に遷移します。必要事項を入力します。
ID
- 任意の値を入力します。(例:for_cert)
- アクセス先のサービス
- ログインを許可したいクラウドサービス (Microsoft 365 など) のチェックをオンにします。
- 要求される認証方式
- 「証明書認証」のチェックをオンにします。
- クライアント
-
「ブラウザー PC」「ブラウザー スマートフォン」「ブラウザー タブレット」のチェックをオンにします。
「登録」をクリックします。
登録に成功すると画面右上に「正常に登録されました」と表示されます。
注意:
この設定を行うことで、全ユーザーが証明書認証の対象となります。
ステップ3:アクセス権限ルールの作成(ユーザーポータル用)
今回はクライアント証明書のダウンロード・インストールをエンドユーザーが行うよう設定しますので、ユーザーポータル用のアクセス権限ルールを作成します。ここでは、ユーザー ID とパスワードによる認証方式のルールを作成します。
Gluegent Gateの管理画面にアクセスします。
左メニューの「アクセス権限」→「新規登録」の順にクリックします。
アクセス権限ルールの新規登録画面に遷移します。必要事項を入力します。
ID
- 任意の値を入力します。(例:for_id_pw)
- アクセス先のサービス
- 「ユーザーポータル」のチェックをオンにします。
- 要求される認証方式
- 「ID/パスワード認証」のチェックをオンにします。
- クライアント
-
「ブラウザー PC」「ブラウザー スマートフォン」「ブラウザー タブレット」のチェックをオンにします。
「登録」をクリックします。
登録に成功すると画面右上に「正常に登録されました」と表示されます。
注意:
この設定を行うことで、全ユーザーがユーザーポータルへのログインがID/パスワード認証で行えるようになります。
ステップ4:ユーザーポータルの設定
今回はクライアント証明書のダウンロード・インストールをエンドユーザーが行うよう設定しますので、ユーザーがユーザーポータルにてクライアント証明書をダウンロードできるように設定します。
Gluegent Gateの管理画面にアクセスします。
左メニューの「システム」>「画面設定」をクリックします。
「ポータルに表示する機能」の「クライアント証明書ダウンロード」のチェックをオンにます。
「保存」をクリックします。
ステップ5:クライアント証明書の発行
ユーザーに配布するクライアント証明書を発行します。クライアント証明書は 1 ユーザーにつき 3 枚分発行できます。
Gluegent Gateの管理画面にアクセスします。
左メニューの「端末」>「クライアント証明書」をクリックします。
クライアント証明書発行の個別申請
「申請」をクリックします。
この画面では、クライアント証明書を 1 枚ずつ発行できます。必要な情報を入力します。
- 証明書ID
- 任意の文字列(英数字)を入力します。
設定例
user001_PC_202104 (ユーザーID + PC + 利用開始年月)
user001_SP_001 (ユーザーID + SP[smart phone] + 1 台目)
- 利用形態
- 「証明書認証」「証明書確認」のいずれかを選択します。
ここでは「証明書認証」をチェックしています。
- 申請先CA
- 「NRA-PKI」を選択します。
- 証明書の発行
- クライアント証明書を発行したいユーザーを「ユーザーの検索」で検索し、選択します。
「申請」をクリックします。
クライアント証明書の一覧に遷移します。クライアント証明書が発行されるのを待ちます。
申請を行った証明書は状態が「申請中」となっています。状態が「発行済」に変わるとダウンロード可能になります。「発行済」になるまで最大 15 分かかります。(他のお客様の発行状況によりそれ以上かかる場合があります)
クライアント証明書の状態が「発行済」になったら、ダウンロード可能です。
クライアント証明書発行の一括申請
クライアント証明書を複数発行する必要があるときは、一括申請が便利です。一括申請は CSV ファイルを使って申請を行います。
「一括申請」をクリックします。
一括申請用 CSV を用意します。
CSV ファイルの形式は以下の通りです。
| 項目名 | 項目の型 | 備考 |
|---|---|---|
|
証明書ID |
文字列 |
|
|
利用形態 |
選択 |
0:証明書認証 または 1:証明書確認 |
|
申請先CA |
選択 |
ここでは「NRA-PKI」を入力します。 |
|
ユーザーID |
文字列 |
入力例
user1_SP_202204,0,NRA-PKI,user1@example
user2_PC_202204,0,NRA-PKI,user2@example
作成した CSV ファイルを選択し、「申請」をクリックします。
取り込み結果は管理画面にログインしているユーザーにメールで通知されます。また、システム>ファイル入出力結果>インポートファイルでも確認できます。
クライアント証明書が発行されるのを待ちます。
申請を行った証明書は状態が「申請中」となっています。状態が「発行済」に変わるとダウンロード可能になります。「発行済」になるまで最大 15 分かかります。(他のお客様の発行状況によりそれ以上かかる場合があります)
ステップ6:クライアント証明書のダウンロード・インストール
ログイン時に利用するクライアント証明書をダウンロードし、端末にインストールします。
ここでは、エンドユーザーが各自ダウンロード・インストールする方法をご紹介しています。管理者が端末を預かって個々の端末にクライアント証明書をインストール方法もありますので、運用に合わせて行ってください。
クライアント証明書をインストールしたい端末 (PC / スマートフォン / タブレット) でユーザーポータルにアクセスします。
ユーザーポータルには以下の URL にアクセスします。
https://auth.gluegent.net/user/index.php?tenant=<テナントID>
例えばテナントIDが「example」の場合は以下の URL となります。
https://auth.gluegent.net/user/index.php?tenant=example
※iPhone / iPadの場合、必ず Safari をご利用ください。
※ Android の場合、必ず Chrome をご利用ください。
→ログイン
この端末を使うことが想定されているユーザーでログインしてください。
ポータル画面右上の「≡」をクリックし、「クライアント証明書ダウンロード」をクリックします。
対象の証明書の「ダウンロード」をクリックします。
ダイアログにパスワードが表示されます。表示されたパスワードはクライアント証明書をインストールする際に使用しますので、テキストエディタ等に控えておきます。「OK」をクリックすると、クライアント証明書のダウンロードが始まります。
PC (Windows / Mac) の場合は、クライアント証明書を PC に一旦保存してください。
iPhone / iPad の場合は、Safari でダウンロードしてください。上記画面で「OK」をタップ後、下記ダイアログが表示されます。「許可」をタップしてください。
端末別のガイドに従い、クライアント証明書をインストールします。
→クライアント証明書認証のインストール(Windows 10)
→クライアント証明書認証のインストール(iPhone / iPad)
※Android の場合は、端末によってクライアント証明書インストール方法が異なりますので、端末のヘルプ等をご参照ください。
1 つのクライアント証明書のダウンロード可能回数は 1 回のみとなっています。証明書をダウンロード後は「ダウンロード」リンクは表示されなくなります。
情報:
ダウンロード可能回数は管理画面で変更できます。また、管理画面での操作により再ダウンロードも可能です。
ユーザーのクライアント証明書ダウンロード状況は Gluegent Gate管理画面の「システム」>「クライアント証明書」にて確認できます。ダウンロードされたクライアント証明書は状態が「有効」となります。
ステップ7:挙動確認
作成した認証・アクセス権限ルールが正しく動作し、インストールした証明書による認証が正しく行えることを確認します。
PC でのログイン成功時の例
クライアント証明書をインストールした PC 端末 (Windows 10 の Chrome / Edge もしくは Mac のSafari / Chrome) でサービスにアクセスします。ここでは、例として Microsoft 365 へのログインを行っています。
Microsoft 365 のログイン画面にアクセスします。
メールアドレスを入力後、「次へ」をクリックします。Gluegent Gate のログイン画面に遷移します。
Gluegent Gate のログイン画面が表示されます。
以下を入力して「ログイン」をクリックします。
- ユーザー名
- Gluegent Gateのユーザー名(ユーザーID の @ より前の部分)
- パスワード
- 新規登録時に設定したパスワード
インストールしたクライアント証明書を選択し、「OK」をクリックします。
ログインを試みているユーザーID が表示された証明書を選択します。
Mac の場合は、初回アクセスの際にキーチェーンへのアクセス許可を求めるダイアログが表示されます。「パスワード」には Mac のユーザーのパスワードを入力し、「常に許可」をクリックします。
ログインに成功します。
スマートフォン / タブレットでのログイン成功時の例
クライアント証明書をインストールした端末 (スマートフォン / タブレット) でサービスにアクセスします。ここでは、例として Microsoft Outlook へのログインを行っています。
重要:
スマートフォン / タブレット用 Microsoft 365 アプリで証明書を用いた認証を行う場合、Microsoft Authenticator が必要です。Microsoft Authenticator をインストールしてください。
→【付録】Microsoft Authenticator の設定方法
Outlook アプリを起動します。
アカウントが登録されていない状態でOutlook アプリを起動すると、「アカウントの追加」画面が表示されます。「メールアドレス」にメールアドレスを入力後、「アカウントの追加」をタップします。
Authenticator アプリへの遷移を促されるので、「Authenticatorを開く」をタップします。
Gluegent Gate のログイン画面で ID / パスワードを入力し「ログイン」をタップします。
Gluegent Gate ログイン画面が再度表示される場合があります。その場合は再度 ID / パスワードを入力して「ログイン」をタップしてください。
インストールしたクライアント証明書をタップします。
ログインを試みているユーザーID が表示された証明書をタップします。
別のアカウント追加は行わず、「後で」をタップします。
Outlook へのログインに成功します。
認証ログの確認
ログインに成功したときの認証ログを確認します。
Gluegent Gate 管理画面にて左メニューの「ログ」>「システムログ」をクリックします。
「ログファイル」にて「認証」が選択されていることを確認し、「適用」をクリックします。
認証に成功したログ(例:ID/パスワード認証(認証ルール rule_general)の認証に成功しました。)とアクセス権限ルールに適合しログインに成功したログ(例:urn:federation:MicrosoftOnline(アクセス権限 for_cert)へWS Federationによりログインしました。)と証明書認証に成功したログが出力されていることを確認してください。
ログイン失敗時の例
ログインに失敗する場合の端末側の挙動を確認します。
クライアント証明書をインストールしていない端末でサービスにアクセスします。
クライアント証明書がインストールされていないため、エラー画面が表示されます。
PCの場合
※エラー画面はブラウザにより異なります。
スマートフォン / タブレットの場合
認証ログの確認(ログイン失敗時)
ログインに失敗したときの認証ログを確認します。
ID / パスワード認証には成功していますが、「証明書認証」と「アクセス権限」によるログイン履歴が出力されません。これにより、ログインに失敗していることが確認できます。