Workspace ONE Access コンソールの [認証方法] ページから [証明書 (クラウド デプロイ)] 認証方法を構成し、この認証方法を組み込み ID プロバイダで使用するように選択します。

前提条件

  • ユーザーから提示された証明書に署名した CA からルート証明書と中間証明書を入手します。
  • (オプション)証明書認証のための有効な証明書ポリシーのオブジェクト識別子 (OID) のリスト。
  • 失効チェックのための、CRL のファイルの場所および OCSP サーバの URL。
  • (オプション)OCSP応答署名証明書ファイルの場所。
  • 認証の前に同意書が表示される場合には、同意書の内容。

手順

  1. [ID とアクセス管理] タブで、[管理] > [認証方法] の順に移動します。
  2. [証明書 (クラウド デプロイ)] の [構成] 列で鉛筆アイコンをクリックします。
  3. デバイス コンプライアンスの認証を有効にして、ログイン試行の最大失敗回数を設定します。他のテキスト ボックスには、Workspace ONE UEM の構成済みの値が入力されています。
  4. [証明書サービスの認証アダプタ] ページを構成します。
    オプション 説明
    証明書アダプタを有効にする 証明書認証を有効にするには、このチェック ボックスをオンにします。
    *ルートおよび中間 CA 証明書 アップロードする証明書ファイルを選択します。DER または PEM としてエンコードされた複数のルート CA および中間 CA 証明書を選択できます。
    アップロードされた CA 証明書 アップロードされた証明書ファイルは、フォームの [アップロードされた CA 証明書] セクションに表示されます。
    ユーザー ID の検索順序

    証明書内のユーザー ID を特定する検索順序を選択します。

    • [upn]:Subject Alternative Name の UserPrincipalName の値
    • [email]:Subject Alternative Name のメール アドレス。
    • [subject]:サブジェクトの UID 値。サブジェクト DN に UID が見つからない場合、CN テキスト ボックスが構成されていれば、CN テキスト ボックスの UID 値が使用されます。
    UPN フォーマットを検証 [UserPrincipalName] テキスト ボックスの形式を検証するには、このチェック ボックスをオンにします。
    要求のタイムアウト 応答を待機する時間を秒単位で入力します。ゼロ (0) の値は応答の待ち時間を制限しないことを意味します。
    承認された証明書ポリシー 証明書ポリシー拡張で承認されたオブジェクト識別子のリストを作成します。

    証明書発行ポリシーのオブジェクト ID 番号 (OID) を入力します。[別の値を追加] をクリックして、OID を追加します。

    証明書の失効を有効にする 証明書の失効チェックを有効にするには、このチェック ボックスをオンにします。失効チェックにより、ユーザー証明書が失効したユーザーは認証されなくなります。
    証明書の CRL を使用する 証明書を発行した CA が公開する証明書失効リスト (CRL) を使用して証明書のステータス(失効しているかどうか)を確認するには、このチェック ボックスをオンにします。
    CRL の場所 CRL を取得するサーバのファイル パスまたはローカル ファイル パスを入力します。
    OCSP の失効を有効にする 証明書検証プロトコルとして Online Certificate Status Protocol (OCSP) を使用して、証明書の失効ステータスを取得するには、このチェック ボックスをオンにします。
    OCSP の障害時に CRL を使用する CRL と OCSP の両方を構成し、OCSP チェックが利用できない場合に CRL の使用に戻るには、このチェック ボックスをオンにします。
    OCSP Nonce を送信する 応答時に、OCSP 要求の一意の ID を送信する場合は、このチェック ボックスをオンにします。
    OCSP の URL OCSP による失効を有効にした場合は、失効チェック用の OCSP サーバ アドレスを入力します。
    OCSP URL のソース 失効チェックに使用するソースを選択します。
    • [設定のみ]:テキスト ボックスで指定した OCSP URL を使用して証明書の失効チェックを実行し、証明書チェーン全体を検証します。
    • [証明書のみ (必須)]:チェーン内の各証明書の AIA 拡張機能にある OCSP URL を使用して証明書の失効チェックを実行します。チェーン内の各証明書には OCSP URL が定義されている必要があります。そうでないと、証明書の失効チェックは失敗します。
    • [証明書のみ (オプション)]:証明書の AIA 拡張機能にある OCSP URL のみを使用して証明書の失効チェックを実行します。証明書の AIA 拡張機能に OCSP URL がない場合は、失効チェックを実行しません。
    • [構成へのフォールバック付き証明書]:OCSP URL が使用可能なときに、チェーン内の各証明書の AIA 拡張機能から抽出された OCSP URL を使用して証明書の失効チェックを実行します。OCSP URL が AIA 拡張機能にない場合は、OCSP URL のテキスト ボックスで構成した OCSP URL を使用して失効チェックを実行します。OCSP URL のテキスト ボックスには、OCSP サーバ アドレスを設定する必要があります。
    OCSP レスポンダの署名証明書 レスポンダの OCSP 証明書のパスを入力します。たとえば、/path/to/file.cer のようになります。
    OCSP 署名証明書をアップロードする このセクションにはアップロードされた証明書ファイルがリストされます。
    認証前に同意書を有効にする ユーザーが証明書認証を使用して Workspace ONE ポータルにログインする前に同意書ページを表示するには、このチェック ボックスをオンにします。
    同意書の内容 同意書に表示するテキストをこのテキスト ボックスに入力します。
  5. [保存] をクリックします。

次のタスク

  • 組み込み ID プロバイダの証明書 (クラウド デプロイ) 認証方法を関連付けます。Workspace ONE Access での組み込み ID プロバイダの構成 を参照してください。
  • デフォルトのアクセス ポリシーに証明書認証方法を追加します。アクセス ポリシーの管理 を参照してください。
  • (オンプレミス デプロイ)証明書認証を構成し、ロード バランサの背後でサービス アプライアンスがセットアップされている場合、ロード バランサで Workspace ONE Access コネクタ が SSL パススルーを使用して構成されており、ロード バランサで SSL を終了するように構成されていないことを確認します。この構成では、コネクタとクライアント間で SSL ハンドシェイクを確実に実行し、コネクタに証明書を渡すことができます。