認証方法の追加
証明書認証 / 証明書確認は Gluegent Gate のアクセス制御ルール(認証ルール、 アクセス権限ルール)の認証方式として指定することで有効となります。
※アクセス制御ルールの設定方法の詳細につきましては「Gluegent Gate管理者ガイド」を参照してください。
認証ルール
認証ルール、つまりユーザーを特定する本人確認のフェーズで証明書認証 / 証明書確認を使用したい場 合、認証ルール作成画面の「認証方法」にて「証明書認証」または「証明書確認」を選択します。
※証明書認証によってID/パスワードの入力なくサービスへログインさせたい場合は、認証ルールの認証方法で 証明書認証を選択します。
※認証ルールは「本人確認」のフェーズであるため、ユーザーが特定できていません。認証ルールで証明書認証/ 証明書確認を設定した場合、ログインを試みる全てのユーザーに証明書認証/証明書確認が求められます。「UserAは証明 書認証/証明書確認を行う。UserBはID/パスワード認証のみ行う」など、ユーザーを条件に認証方式を分けたい場合は、認証 ルールではなくアクセス権限ルールで証明書認証/証明書確認を使用してください。
※証明書確認はそれ自体にユーザー認証の仕組みを持ちません。認証ルールで証明書確認を使用する場合は、ID/パ スワード認証など他の認証方式とAND条件で組み合わせて使用してください。
ID/パスワード認証と証明書確認をAND条件で組み合わせた例
アクセス権限ルール
認証ルールによる本人確認後、ユーザーに対してアクセス権限を付与する際に証明書認証/証明書確認を使用したい 場合、アクセス権限ルール作成画面の「要求される認証方法」にて「証明書認証」または「証明書確認」を選択します。
認証後のユーザーに対し追加の認証として証明書確認を指定した例
テナント情報(クライアント証明書配布機能を使わない場合)
証明書認証 / 証明書確認共通の設定です。Gluegent Gate 管理画面の「システム」>「テナント情報」をクリックします。
必要事項を入力します。
| 項目名 | 設定内容 |
|---|---|
|
証明書のサブジェクト |
クライアント証明書の組織情報確認の為のサブジェクト値を登録します。サブジェクト値はカンマ区切りで指定します。 |
|
CA証明書(必須) |
クライアント証明書の正当性確認の為に CA のルート証明書をアップロードします。 |
|
CRLのURL(必須) |
CRL(証明書失効リスト)公開している URL を指定します。 |
|
CA証明書有効期限切れ通知 |
登録した CA 証明書の有効期限が切れた場合に上の「管理者のメールアドレス」宛にメール通知します。 |
|
CRL有効期限切れ通知 |
登録した CRL の有効期限が切れた場合に上の「管理者のメールアドレス」宛にメール通知します。 |
CA 証明書、CRL、クライアント証明書の有効期限が 30 日前を切ったときに管理者のメールアドレス宛に通知を送りたい場合は、以下の設定を行います。システム>テナント情報をクリックします。
「管理者のメールアドレス」に送付先のメールアドレスを入力します。
「CA証明書有効期限切れ通知」「CRL有効期限切れ通知」「クライアント証明書有効期限通知」のうち必要なものをチェックし、「保存」をクリックします。
例)クライアント証明書が有効期限切れになったときに送付されるメール文面
"管理者ユーザー名" 様
発行されたクライアント証明書の有効期限についてお知らせがあります。
ご確認下さい。
有効期限が切れた証明書があります。
1. "ユーザーID" "ユーザー名(姓)" "ユーザー(名)" : id["証明書ID"]
subject["ユーザーAに配布された証明書のサブジェクト"]
2. <※複数あれば続けて表示>
[1] テキストエディタ等で中間証明書、ルート証明書の順でそれぞれの内容を併記する方法で結合してください。