認証方法の追加
証明書認証 / 証明書確認は Gluegent Gate のアクセス制御ルール(認証ルール、 アクセス権限ルール)の認証方式として指定することで有効となります。
情報:
アクセス制御ルールの設定方法の詳細につきましては「認証・アクセス権限」を参照してください。
認証ルール
認証ルール、つまりユーザーを特定する本人確認のフェーズで証明書認証 / 証明書確認を使用したい場 合、認証ルール作成画面の「認証方法」にて「証明書認証」または「証明書確認」を選択します。
証明書認証によって ID/パスワードの入力なくサービスへログインさせたい場合は、認証ルールの認証方法で証明書認証を選択します。
注意:
- 認証ルールは「本人確認」のフェーズであるため、ユーザーが特定できていません。認証ルールで証明書認証/ 証明書確認を設定した場合、ログインを試みる全てのユーザーに証明書認証/証明書確認が求められます。「UserAは証明書認証/証明書確認を行う。UserBはID/パスワード認証のみ行う」など、ユーザーを条件に認証方式を分けたい場合は、認証ルールではなくアクセス権限ルールで証明書認証/証明書確認を使用してください。
- 証明書確認はそれ自体にユーザー認証の仕組みを持ちません。認証ルールで証明書確認を使用する場合は、ID/パスワード認証など他の認証方式とAND条件で組み合わせて使用してください。
ID/パスワード認証と証明書確認をAND条件で組み合わせた例
アクセス権限ルール
認証ルールによる本人確認後、ユーザーに対してアクセス権限を付与する際に証明書認証/証明書確認を使用したい場合、アクセス権限ルール作成画面の「要求される認証方法」にて「証明書認証」または「証明書確認」を選択します。
認証後のユーザーに対し追加の認証として証明書確認を指定した例
認証>証明書認証
証明書認証 / 証明書確認共通の設定です。Gluegent Gate 管理画面の「認証」>「証明書認証」をクリックします。
必要事項を入力し、「保存」をクリックします。
情報:
「端末認証 WEB / 証明書付き(NRA-PKI)」「端末認証 WEB / 証明書付き(Cybertrust DeviceID)」をご契約いただいている場合はこの画面での設定は不要です。
※「クライアント証明書有効期限切れ通知」を除く
- 証明書のサブジェクト
- クライアント証明書配布機能を使わない場合に指定します。
- クライアント証明書の組織情報確認の為のサブジェクト値を登録します。サブジェクト値はカンマ区切りで指定します。
- 例
-
O=Gluegent, Inc.,L=Minato-ku,ST=Tokyo,C=JP
- 組織情報のキーワードは 3 つまで登録しておくことができ、複数指定した場合は OR 条件で判定されます。
- 「追加」をクリックすることで入力欄が増えます。各入力欄にそれぞれの組織情報を入力してください。
-
情報:
未入力の場合、組織情報確認を行いません。(証明書の正当性確認のみ行います)
- CA証明書(必須)
- クライアント証明書配布機能を使わない場合に指定します。
- クライアント証明書の正当性確認の為に CA のルート証明書をアップロードします。
-
情報:
- アップロードする証明書は PEM 形式である必要があります。
- アップロードしてから反映されるまでに最大 1 時間かかります。
- 複数の証明書をアップロードする場合は zip で圧縮してください。
- 中間証明書がある場合はルート証明書と結合してください。テキストエディタ等で中間証明書、ルート証明書の順でそれぞれの内容を併記する方法で結合してください。
- CRLのURL(必須)
- クライアント証明書配布機能を使わない場合に指定します。
- CRL(証明書失効リスト)公開している URL を指定します。
-
情報:
- CRL の URL が HTTPS である場合、そのサイトのサーバ証明書は信頼された第三者機関の CA から発行されたものである必要があります。
(自己認証局による証明書で運用しているサイトに配置された CRL は使用できません) - CRL は 1 時間毎に指定 URL よりダウンロードし反映されます。
- CRL の有効期限を過去の日時を設定した場合、有効な証明書含め全ての証明書認証が認証エラーとなりますのでご注意ください。
- CRL を使用しない場合、有効期限を 100 年後程度に設定した CRL を作成し、弊社サポート宛にお送りください。
- ファイルサイズが大きい場合、画面表示時にエラー( Can not read 〜 )が表示されますが、保存や CRL の取得は正常に行えています。
- CRL の URL へのアクセスを制限する場合は 175.41.253.63 からのアクセスを許可してください。
- CRL の URL が HTTPS である場合、そのサイトのサーバ証明書は信頼された第三者機関の CA から発行されたものである必要があります。
- CA証明書有効期限切れ通知
- クライアント証明書配布機能を使わない場合に使用します。
- 登録した CA 証明書の有効期限が切れているときに「管理者のメールアドレス」宛にメール通知します。有効期限切れチェックは毎時 35 分に行います。
→テナント情報
- CRL有効期限切れ通知
- クライアント証明書配布機能を使わない場合に使用します。
- 登録した CRL の有効期限が切れているときに「管理者のメールアドレス」宛にメール通知します。有効期限切れチェックは毎時 35 分に行います。
- クライアント証明書有効期限切れ通知
- クライアント証明書配布機能を使う場合に使用します。
- 発行した証明書の有効期限が 30 日を切ったときと有効期限が切れた時に「管理者のメールアドレス」宛にメール通知します。有効期限切れチェックは毎日 3 時に行います。
- 1 回の通知で対象のクライアント証明書が複数あった場合は 1 通のメールにまとめられます。
管理者のメールアドレス
管理者のメールアドレスはシステム>テナント情報で設定します。
「管理者のメールアドレス」に送付先のメールアドレスを入力し、「保存」をクリックします。
例)クライアント証明書が有効期限切れになったときに送付されるメール文面
"管理者ユーザー名" 様
発行されたクライアント証明書の有効期限についてお知らせがあります。
ご確認下さい。
有効期限が切れた証明書があります。
1. "ユーザーID" "ユーザー名(姓)" "ユーザー(名)" : id["証明書ID"]
subject["ユーザーAに配布された証明書のサブジェクト"]
2. <※複数あれば続けて表示>