動作概要
端末認証は、管理者による承認を受けた端末に対して認証を許可する機能です。
注意:
端末認証はGluegent Gateのオプション機能として提供しております。ご利用いただくには別途お申し込みが必要となります。
端末認証はクライアント端末にインストールされた弊社製アプリケーション「Gluegent Gate」を使って Trusted Network による端末制限を行います。iPhone / iPad にインストールされた各社製アプリケーションへのログインが可能です。
端末制御の仕組みは下図の通りです。
- ユーザーは弊社製アプリケーション「Gluegent Gate」を使い、申請を行います。
- 申請が完了すると Gluegent Gate の管理画面の端末一覧に追加されますので、管理者が有効化します。
- 有効化された端末ではログインが可能となります。ご契約内容に応じた認証方法でログインしてください。
アクセス制御ルールの準備
アクセス制御要件
端末認証を行うには予めアクセス制御要件に基づいて、「認証ルール」と必要に応じて「アクセス権限ルール」を作成しておく必要があります。
前述の図では、社外からログインを試みるUserA ~ Cと、社内からログインを試みるUserD、というアクセス制御要件に基づいて認証ルールとアクセス権限ルールを作成しています。
認証ルール
認証ルールの段階ではログインを試みるユーザーが誰であるかは分からないため、認証方式は端末認証と ID/パスワード認証を OR で組み合わせたルールを作成します。
アクセス権限ルール
前述の認証ルールによってユーザーが特定できたので、アクセス権限ルールではそのユーザーが対象サービスにログインするために許可されたアクセス手段であるかの条件設定を行います。
IP アドレスとユーザーを条件とした社内端末向けのルールと、端末認証とユーザーを条件とした条件としたルールを作成します。
これら 2 つのルールにマッチしないアクセス手段でログインを試みた場合は拒否されます。
申請
端末認証を利用するクライアント端末では、専用の弊社製アプリケーション「Gluegent Gate」をインストールします。
初期設定の過程で端末の申請を行います(図中「1.申請」)。申請では、申請者の ID/パスワード認証が行われた後、端末固有の情報(端末ID及びシークレット)が Gluegent Gate へ送信されます。端末固有の情報が Gluegent Gate へ送信されると、暗号化処理を施したシークレットが端末内部に記録・保存されます。
情報:
別オプションで「GSync」をご契約の場合、ID/パスワード認証の代わりにAD/LDAP認証が行われます。Gluegent Gate 管理画面の認証>AD/LDAP 認証 (LDAPS)>認証の設定で「有効」のチェックがオンの場合はAD/LDAP 認証が行われます。
承認
申請が行われると、Gluegent Gate 管理画面の端末一覧に端末情報が追加されます。端末情報には端末 ID と、申請者のユーザー ID が記載されます。申請直後の端末情報は「無効」の状態となり、そのままではサービスにログインできません。管理者は申請者のユーザーID を確認し、「無効」になっている端末情報を有効化します(図中「2.承認」)。
情報:
無効状態のときにログインを試みた場合、申請中の旨が表示されます。
ログイン
承認された端末は、「Gluegent Gate」でサービスにログイン可能になります(図中「3.ログイン」)。