Unified Access Gateway アプライアンスでの証明書またはスマートカード認証の構成

Unified Access Gateway で X.509 証明書認証を構成すると、クライアントがデスクトップやモバイルデバイス上の証明書や、スマートカードアダプタを使用して認証できます。

証明書による認証は、ユーザーに提供する物（プライベートキーまたはスマートカード）とユーザーに提供する情報（プライベートキーのパスワードまたはスマートカードの PIN）に基づいて行われます。スマートカード認証は、個人が持っているもの（スマートカード）と個人が知っていること (PIN) の両方を検証することによって、2 要素認証を提供します。エンドユーザーは、スマートカードを使用して、リモート側の Horizon デスクトップオペレーティングシステムにログインしたり、スマートカード対応アプリケーションへのアクセス、たとえば、E メール署名用の証明書を使用して送信者の ID を証明する E メールアプリケーションに対して、スマートカードを使用することもできます。

この機能を使用すると、Unified Access Gateway サービスに対してスマートカード証明書の認証が実行されます。Unified Access Gateway は、SAML アサーションを使用してエンドユーザーの X.509 証明書とスマートカードの PIN に関する情報を Horizon Server とやりとりします。

証明書失効チェックを構成すると、ユーザー証明書が失効したユーザーは認証されなくなります。証明書は、ユーザーが組織を離れたとき、スマートカードを紛失したとき、別の部門に異動したときなどに失効します。証明書失効リスト (CRL) とオンライン証明書ステータスプロトコル (OCSP) 証明書の失効チェックがサポートされます。CRL は、証明書を発行した CA によって公開される、失効した証明書のリストです。OCSP は、証明書の失効ステータスを取得するために使用される証明書検証プロトコルです。

証明書認証アダプタの構成で CRL と OCSP の両方を構成できます。両方のタイプの証明書失効チェックを構成し、 [OCSP の障害時に] [ CRL を使用する] チェックボックスを有効にしている場合、OCSP が最初にチェックされ、OCSP で障害が発生した場合には、CRL に戻って失効チェックが実行されます。

注： CRL で障害が発生した場合、OCSP に戻って失効チェックが実行されることはありません。

注： Workspace ONE Access の場合、認証は常に Unified Access Gateway を経由して Workspace ONE Access サービスに渡されます。 Unified Access Gateway が Horizon 7 と併用されている場合のみ、 Unified Access Gateway アプライアンスでスマートカード認証が実行されるように構成できます。