〜はじめに〜
本マニュアルは、複数のアクセス権限ルールを用いて、条件により異なる認証方法を実現するための設定方法をご案内しています。
特定のオフィス内(グローバル IP アドレス固定)でログインを行う場合、その IP アドレスからのアクセスであればログインできるようにすることでセキュリティが確保できます。
一方、クライアント証明書によるアクセス制限(端末制御)を行うことでもセキュリティが確保できます。
Gluegent Gate は、これら 2 つのアクセス制御の両立が可能です。これにより、以下のようなアクセス制御が実現できます。
特定のオフィス内からのアクセス → ID/パスワードによる認証
特定のオフィス外からのアクセス(モバイル回線や自宅等) → クライアント証明書によるアクセス制限(端末制御)
ステップ1:認証ルールの設定
ステップ2:アクセス権限ルールの作成(IP アドレス制限用)
ステップ3:アクセス権限ルールの作成(証明書認証用)
ステップ4:アクセス権限ルールの作成(ユーザーポータル用)
ステップ5:ユーザーポータルの設定
ステップ6:クライアント証明書の発行
ステップ7:クライアント証明書のダウンロード・インストール
ステップ8:挙動確認
ステップ1:認証ルールの設定
認証ルール(本人確認のための処理)の作成を行います。ここでは、ユーザー ID とパスワードによる認証方式のルールを作成します。
他のスタートアップガイドでクラウドサービスとの連携設定済みの場合は、既に作成されていますので、次のステップに進んでください。
Gluegent Gateの管理画面にアクセスします。
左メニューの「認証」>「新規登録」の順にクリックします。
認証ルールの新規登録画面に遷移します。必要事項を入力します。
ID
- 任意の値を入力します。(例:rule_web)
- 認証方法
- 「ID/パスワード認証」のチェックをオンにします。
- クライアント
-
「ブラウザー PC」「ブラウザー スマートフォン」「ブラウザー タブレット」のチェックをオンにします。
「登録」をクリックします。
ステップ2:アクセス権限ルールの作成(IP アドレス制限用)
アクセス権限ルール(各種サービスへの認可の付与)の作成を行います。ここでは、ユーザー ID とパスワードによる認証方式のルールを作成します。
他のスタートアップガイドでクラウドサービスとの連携設定済みの場合は、既に作成されていますので、作成されたルールの設定変更を行ってください。
スタートアップガイド ネットワーク制限編で作成済みの場合は、そのまま利用可能ですので、次のステップに進んでください。
Gluegent Gateの管理画面にアクセスします。
左メニューの「アクセス権限」→「新規登録」の順にクリックします。
アクセス権限ルールの新規登録画面に遷移します。必要事項を入力します。
ID
- 任意の値を入力します。(例:for_intra)
- アクセス先のサービス
- ログインを許可したいクラウドサービス (Microsoft 365 など) のチェックをオンにします。
- 要求される認証方式
- 「ID/パスワード認証」のチェックをオンにします。
- クライアント
-
「ブラウザー PC」「ブラウザー スマートフォン」「ブラウザー タブレット」のチェックをオンにします。
「登録」をクリックします。
登録に成功すると画面右上に「正常に登録されました」と表示されます。
続けて「許可するネットワーク」をクリックします。
「IP アドレス」に固定のグローバルIPアドレス(外部接続 IP アドレス等)を入力します。
重要:
「IPアドレス」にはプライベートIPアドレス (162.198.0.1 など) は利用できません。必ずお使いのネットワークのグローバル IP アドレスを入力してください。
グローバル IP アドレスが固定でない場合、ここでのネットワーク制限はできません。IPアドレスの他、ネットワークアドレスやホスト名で制限ができる場合があります。
「更新」をクリックします。
ステップ3:アクセス権限ルールの作成(証明書認証用)
証明書認証用のアクセス権限ルールを作成します。
スタートアップガイド 証明書認証(NRA-PKI)編で作成済みの場合は、そのまま利用可能ですので、次のステップに進んでください。
Gluegent Gateの管理画面にアクセスします。
左メニューの「アクセス権限」→「新規登録」の順にクリックします。
アクセス権限ルールの新規登録画面に遷移します。必要事項を入力します。
ID
- 任意の値を入力します。(例:for_cert)
- アクセス先のサービス
- ログインを許可したいクラウドサービス (Microsoft 365 など) のチェックをオンにします。
- 要求される認証方式
- 「証明書認証」のチェックをオンにします。
- クライアント
-
「ブラウザー PC」「ブラウザー スマートフォン」「ブラウザー タブレット」のチェックをオンにします。
「登録」をクリックします。
登録に成功すると画面右上に「正常に登録されました」と表示されます。
注意:
この設定を行うことで、全ユーザーが証明書認証の対象となります。必要に応じて「許可するユーザー」「許可するグループ」で対象を設定してください。
→グループの管理
→認証・アクセス権限 - 7. アクセス権限ルールの作成
ステップ4:アクセス権限ルールの作成(ユーザーポータル用)
クライアント証明書のダウンロード用にユーザーポータルのアクセス権限ルールを作成します。ここでは、ユーザー ID とパスワードによる認証方式のルールを作成します。
スタートアップガイド 証明書認証(NRA-PKI)編で作成済みの場合は、そのまま利用可能ですので、次のステップに進んでください。
Gluegent Gateの管理画面にアクセスします。
左メニューの「アクセス権限」→「新規登録」の順にクリックします。
アクセス権限ルールの新規登録画面に遷移します。必要事項を入力します。
ID
- 任意の値を入力します。(例:for_id_pw)
- アクセス先のサービス
- 「ユーザーポータル」のチェックをオンにします。
- 要求される認証方式
- 「ID/パスワード認証」のチェックをオンにします。
- クライアント
-
「ブラウザー PC」「ブラウザー スマートフォン」「ブラウザー タブレット」のチェックをオンにします。
「登録」をクリックします。
登録に成功すると画面右上に「正常に登録されました」と表示されます。
注意:
この設定を行うことで、全ユーザーがユーザーポータルへのログインがID/パスワード認証で行えるようになります。
ステップ5:ユーザーポータルの設定
今回はクライアント証明書のダウンロード・インストールをエンドユーザーが行うよう設定しますので、ユーザーがユーザーポータルにてクライアント証明書をダウンロードできるように設定します。
スタートアップガイド 証明書認証(NRA-PKI)編で設定済みの場合は、そのまま利用可能ですので、次のステップに進んでください。
Gluegent Gateの管理画面にアクセスします。
左メニューの「システム」>「画面設定」をクリックします。
「ポータルに表示する機能」の「クライアント証明書ダウンロード」のチェックをオンにます。
「保存」をクリックします。
ステップ6:クライアント証明書の発行
ユーザーに配布するクライアント証明書を発行します。クライアント証明書は 1 ユーザーにつき 3 枚分発行できます。
スタートアップガイド 証明書認証(NRA-PKI)編で発行済みの場合は、そのまま利用可能ですので、次のステップに進んでください。
Gluegent Gateの管理画面にアクセスします。
左メニューの「端末」>「クライアント証明書」をクリックします。
「申請」をクリックします。
この画面では、クライアント証明書を 1 枚ずつ発行できます。必要な情報を入力します。
- 証明書ID
- 任意の文字列(英数字)を入力します。
設定例
user001_PC_202104 (ユーザーID + PC + 利用開始年月)
user001_SP_001 (ユーザーID + SP[smart phone] + 1 台目)
- 利用形態
- 「証明書認証」「証明書確認」のいずれかを選択します。
- 申請先CA
- 「NRA-PKI」を選択します。
- 証明書の発行
- クライアント証明書を発行したいユーザーを「ユーザーの検索」で検索し、選択します。
「申請」をクリックします。
クライアント証明書の一覧に遷移します。クライアント証明書が発行されるのを待ちます。
申請を行った証明書は状態が「申請中」となっています。状態が「発行済」に変わるとダウンロード可能になります。「発行済」になるまで最大 15 分かかります。(他のお客様の発行状況によりそれ以上かかる場合があります)
クライアント証明書の状態が「発行済」になったら、ダウンロード可能です。
情報:クライアント証明書の一括申請も可能です。詳しくは「スタートアップガイド 証明書認証(NRA-PKI)編」をご参照ください。
ステップ7:クライアント証明書のダウンロード・インストール
ログイン時に利用するクライアント証明書をダウンロードし、端末にインストールします。
ここでは、エンドユーザーが各自ダウンロード・インストールする方法をご紹介しています。管理者が端末を預かって個々の端末にクライアント証明書をインストール方法もありますので、運用に合わせて行ってください。
スタートアップガイド 証明書認証(NRA-PKI)編でインストール済みの場合は、そのまま利用可能ですので、次のステップに進んでください。
クライアント証明書をインストールしたい端末 (PC / スマートフォン / タブレット) でユーザーポータルにアクセスします。
ユーザーポータルには以下の URL にアクセスします。
https://auth.gluegent.net/user/index.php?tenant=<テナントID>
例えばテナントIDが「example」の場合は以下の URL となります。
https://auth.gluegent.net/user/index.php?tenant=example
※iPhone / iPadの場合、必ず Safari をご利用ください。
※ Android の場合、必ず Chrome をご利用ください。
→ログイン
この端末を使うことが想定されているユーザーでログインしてください。
ポータル画面右上の「≡」をクリックし、「クライアント証明書ダウンロード」をクリックします。
対象の証明書の「ダウンロード」をクリックします。
ダイアログにパスワードが表示されます。表示されたパスワードはクライアント証明書をインストールする際に使用しますので、テキストエディタ等に控えておきます。「OK」をクリックすると、クライアント証明書のダウンロードが始まります。
PC (Windows / Mac) の場合は、クライアント証明書を PC に一旦保存してください。
iPhone / iPad の場合は、Safari でダウンロードしてください。上記画面で「OK」をタップ後、下記ダイアログが表示されます。「許可」をタップしてください。
端末別のガイドに従い、クライアント証明書をインストールします。
→クライアント証明書認証のインストール(Windows 10)
→クライアント証明書認証のインストール(iPhone / iPad)
※Android の場合は、端末によってクライアント証明書インストール方法が異なりますので、端末のヘルプ等をご参照ください。
1 つのクライアント証明書のダウンロード可能回数は 1 回のみとなっています。証明書をダウンロード後は「ダウンロード」リンクは表示されなくなります。
情報:
ダウンロード可能回数は管理画面で変更できます。また、管理画面での操作により再ダウンロードも可能です。
ユーザーのクライアント証明書ダウンロード状況は Gluegent Gate管理画面の「システム」>「クライアント証明書」にて確認できます。ダウンロードされたクライアント証明書は状態が「有効」となります。
ステップ8:挙動確認
作成した認証・アクセス権限ルールが正しく動作し、指定のネットワーク内外からのログインで正しく動作するか確認します。
ログイン成功時の例(指定のネットワーク)
ステップ2 で設定したネットワーク(例えばオフィスのネットワーク)に接続した端末でサービスにアクセスします。ここでは、例として PC 端末で Microsoft 365 へのログインを行っています。
Microsoft 365 のログイン画面にアクセスします。
メールアドレスを入力後、「次へ」をクリックします。
Gluegent Gate のログイン画面が表示されます。
以下を入力して「ログイン」をクリックします。
- ユーザー名
- Gluegent Gateのユーザー名(ユーザーID の @ より前の部分)
- パスワード
- 新規登録時に設定したパスワード
ログインに成功します。
ログイン成功時の例(指定のネットワーク外 - 証明書)
ステップ2 で設定したネットワーク以外(例えば自宅やテレワークオフィス等のネットワーク)に接続した端末でサービスにアクセスします。端末にはクライアント証明書をインストールします。ここでは、例として PC 端末で Microsoft 365 へのログインを行っています。(検証前にログアウトしてください)
Microsoft 365 のログイン画面にアクセスします。
メールアドレスを入力後、「次へ」をクリックします。
Gluegent Gate のログイン画面が表示されます。
以下を入力して「ログイン」をクリックします。
- ユーザー名
- Gluegent Gateのユーザー名(ユーザーID の @ より前の部分)
- パスワード
- 新規登録時に設定したパスワード
インストールしたクライアント証明書を選択し、「OK」をクリックします。
ログインを試みているユーザーID が表示された証明書を選択します。
Mac の場合は、初回アクセスの際にキーチェーンへのアクセス許可を求めるダイアログが表示されます。「パスワード」には Mac のユーザーのパスワードを入力し、「常に許可」をクリックします。
ログインに成功します。
認証ログの確認
ログインに成功した時の認証ログを確認します。
Gluegent Gate 管理画面にて左メニューの「ログ」>「システムログ」をクリックします。
「ログファイル」にて「認証」を選択し「適用」をクリックします。
指定のネットワークからのアクセスの場合は、「ID/パスワード認証」「アクセス権限」が共に正常に出力されていることを確認します。これにより、ログインが正常に行われたことを確認できます。
指定のネットワーク外からのアクセスの場合は、「ID/パスワード認証」「証明書認証」「アクセス権限」すべてが正常に出力されていることを確認します。これにより、ログインが正常に行われたことを確認できます。
ログイン失敗時の例(指定のネットワーク外 - 証明書なし)
ログインに失敗する場合の端末側の挙動及び管理画面側でのログの出力を確認してい見ましょう。
クライアント証明書をインストールしていない端末で指定したしたネットワーク以外に接続した端末でサービスにアクセスします。
クライアント証明書がインストールされていないため、エラー画面が表示されます。
※エラー画面はブラウザにより異なります。
認証ログの確認(ログイン失敗時)
ログインに失敗した時の認証ログを確認します。
ID / パスワード認証には成功していますが、「アクセス権限」によるログイン履歴が出力されません。これにより、ログインに失敗していることが確認できます。