PC / スマートフォン端末認証は、管理者による承認を受けた端末に対して認証を許可する機能です。
注意:
PC / スマートフォン端末認証は Gluegent Gate のオプション機能として提供しております。ご利用いただくには別途お申し込みが必要となります。
PC / スマートフォン端末認証はクライアント端末にインストールされた弊社製アプリケーションを使ってログインを行います。「PC端末認証」は弊社製アプリケーション「SeciossPass」がブラウザを起動し、ログインを行います。「スマートフォン認証」はスマートフォン・タブレットにインストールされた弊社製アプリケーション「Gluegent Gate」がブラウザを起動し、ログインを行います。
デスクトップアプリケーションやスマートフォンアプリケーションなどでの認証は行なえません。
端末制御の仕組みは下図の通りです。
- ユーザーは弊社製アプリケーション「Gluegent Gate」「SeciossPass」を使い、申請を行います。
- 申請が完了すると Gluegent Gate の管理画面の端末一覧に追加されますので、管理者が有効化します。
- 有効化された端末ではログインが可能となります。ご契約内容に応じた認証方法でログインしてください。
アクセス制御ルールの準備
アクセス制御要件
PC / スマートフォン端末認証を行うには予めアクセス制御要件に基づいて、「認証ルール」と必要に応じて「アクセス権限ルール」を作成しておく必要があります。
前述の図では、社外からログインを試みる UserA ~ C と、社内からログインを試みるUserD、というアクセス制御要件に基づいて認証ルールとアクセス権限ルールを作成しています。
認証ルール
認証ルールの段階ではログインを試みるユーザーが誰であるかは分からないため、認証方式は PC 端末認証とスマートフォン認証と ID/パスワード認証を OR で組み合わせたルールを作成します。
重要:
PC端末認証 / スマートフォン認証を使用する場合は、認証ポリシー>認証ルールにてチェックをオフにしてください。オンにした場合、PC端末認証 / スマートフォン認証は利用できません。
アクセス権限ルール
前述の認証ルールによってユーザーが特定できたので、アクセス権限ルールではそのユーザーが対象サービスにログインするために許可されたアクセス手段であるかの条件設定を行います。
IP アドレスとユーザーを条件とした社内端末向けのルールと、PC / スマートフォン端末認証とユーザーを条件とした条件としたルールを作成します。
これら 2 つのルールにマッチしないアクセス手段でログインを試みた場合は拒否されます。
申請
PC / スマートフォン端末認証を利用するクライアント端末では、専用の弊社製アプリケーションをインストールします。
情報:
アプリ名は以下の通りです。
PC(Windows / Mac)→「SeciossPass」
iPhone / iPad / Android→「Gluegent Gate」
初期設定の過程で端末の申請を行います(図の「1.申請」)。申請では、申請者の ID/パスワード認証が行われた後、端末固有の情報(端末 ID 及びシークレット)が Gluegent Gate へ送信されます。端末固有の情報が Gluegent Gate へ送信されると、暗号化処理を施したシークレットが端末内部に記録・保存されます。
情報:
別オプションで「GSync」をご契約の場合、ID/パスワード認証の代わりに AD/LDAP認証が行われます。Gluegent Gate 管理画面の認証>AD/LDAP 認証 (LDAPS)>認証の設定で「有効」のチェックがオンの場合はAD/LDAP 認証が行われます。
承認
申請が行われると、Gluegent Gate 管理画面の端末一覧に端末情報が追加されます。端末情報には端末 ID と、申請者のユーザー ID が記載されます。申請直後の端末情報は「無効」の状態となり、そのままではサービスにログインできません。管理者は申請者のユーザー ID を確認し、「無効」になっている端末情報を有効化します(図の「2.承認」)。
情報:
無効状態のときにログインを試みた場合、申請中の旨が表示されます。
ログイン
承認された端末は、「SeciossPass」「Gluegent Gate」でサービスにログイン可能になります(図の「3.ログイン」)。