証明書ベースの認証の構成

管理コンソールの [認証方法] ページから証明書 (クラウドデプロイ) 認証方法を構成し、組み込み ID プロバイダで使用する認証方法を選択します。

このタスクについて

x509 証明書による認証を構成して、クライアントがデスクトップおよびモバイルデバイス上の証明書を使用して認証できるようにすることができます。VMware Identity Manager で証明書またはスマートカードアダプタを使用するための構成を参照してください。

前提条件

ユーザーから提示された証明書に署名した CA からルート証明書と中間証明書を入手します。
（オプション）証明書認証のための有効な証明書ポリシーのオブジェクト識別子 (OID) のリスト。
失効チェックのための、CRL のファイルの場所および OCSP サーバの URL。
（オプション）OCSP応答署名証明書ファイルの場所。
認証の前に同意書が表示される場合には、同意書の内容。

手順

管理コンソールの [ID とアクセス管理] タブで、管理 > 認証方法の順に選択します。
[認証方法] セクションで、証明書 (クラウドデプロイ) アイコンをクリックします。

[証明書サービスの認証アダプタ] ページを構成します。

注:

アスタリスクは、必須フィールドを示します。その他のフィールドはオプションです。

オプション	説明
証明書アダプタを有効にする	証明書認証を有効にするには、このチェックボックスをオンにします。
*ルートおよび中間 CA 証明書	アップロードする証明書ファイルを選択します。DER または PEM としてエンコードされた複数のルート CA および中間 CA 証明書を選択できます。
アップロードされた CA 証明書	アップロードされた証明書ファイルは、フォームの [アップロードされた CA 証明書] セクションに表示されます。
証明書に UPN が含まれていない場合はメールを使用する	ユーザープリンシパル名 (UPN) が証明書に存在しない場合に、サブジェクトの別名の拡張として emailAddress 属性を使用してユーザーアカウントを検証するには、このチェックボックスをオンにします。
承認された証明書ポリシー	証明書ポリシー拡張で承認されたオブジェクト識別子のリストを作成します。証明書発行ポリシーのオブジェクト ID 番号 (OID) を入力します。別の値を追加をクリックして、OID を追加します。
証明書の失効を有効にする	証明書の失効チェックを有効にするには、このチェックボックスをオンにします。失効チェックにより、ユーザー証明書が失効したユーザーは認証されなくなります。
証明書から CRL を使用する	証明書を発行した CA が公開する証明書失効リスト (CRL) を使用して証明書のステータス（失効しているかどうか）を確認するには、このチェックボックスをオンにします。
CRL の場所	CRL を取得するサーバのファイルパスまたはローカルファイルパスを入力します。
OCSP の失効を有効にする	証明書検証プロトコルとして Online Certificate Status Protocol (OCSP) を使用して、証明書の失効ステータスを取得するには、このチェックボックスをオンにします。
OCSP の障害時に CRL を使用する	CRL と OCSP の両方を構成し、OCSP チェックが利用できない場合に CRL の使用に戻るには、このチェックボックスをオンにします。
OCSP Nonce を送信する	応答時に、OCSP 要求の一意の ID を送信する場合は、このチェックボックスをオンにします。
OCSP の URL	OCSP による失効を有効にした場合は、失効チェック用の OCSP サーバアドレスを入力します。
OCSP レスポンダの署名証明書	レスポンダの OCSP 証明書のパスを入力します。たとえば、`/path/to/file.cer` のようになります。
認証前に同意書を有効にする	ユーザーが証明書認証を使用して Workspace ONE ポータルにログインする前に同意書ページを表示するには、このチェックボックスをオンにします。
同意書の内容	同意書に表示するテキストをこのテキストボックスに入力します。

保存をクリックします。

次のタスク

組み込み ID プロバイダの証明書 (クラウドデプロイ) 認証方法を関連付けます。組み込み ID プロバイダの構成を参照してください。
デフォルトのアクセスポリシーに証明書認証方法を追加します。ユーザーに適用する認証方法の管理を参照してください。