Purebred は、米国国防情報システム局 (DISA) で開発され管理されているモバイル アプリケーションです。このアプリケーションは、PIV-D 証明書を互換性のあるモバイル デバイスに配布するためのセキュアでスケーラブルな方法を提供します。

Purebred 登録アプリケーションは、Workspace ONE Boxer の証明書配信ソースとして機能します。これは、Purebred PIV-D 証明書を使用した認証および S/MIME 機能(署名または暗号化、あるいはその両方)を Boxer で実現するのに役立ちます。このアプリケーションは、証明書を Android キーストアに格納し、証明書のエイリアス情報を Boxer と共有します。

Purebred を証明書ソースとして使用すると、Boxer で次の認証モードを構成できます。

  • 証明書ベースの認証 (CBA)
  • 先進認証を使用した証明書ベースの認証
  • 2 要素認証 (DCBA)

派生資格情報プロバイダとしての Purebred のセットアップ

管理者は、管理対象 Android デバイスの証明書ソースとして Purebred をサポートするように Workspace ONE Boxer を構成します。

Workspace ONE Boxer で Purebred 登録アプリケーションを派生資格情報証明書のソースとして使用する方法を指定できます。それには、Workspace ONE UEM console バージョン 2003 以前で、次のキー値ペアを使用して Boxer を構成する必要があります。

  • PolicyDerivedCredentials - Purebred 登録アプリケーションを証明書ベースの認証 (CBA) の証明書ソースとして使用するには、このキーを有効にします。
  • PolicyDerivedCredentialsSMIME - Purebred 登録アプリケーションを S/MIME 証明書(署名または暗号化)の証明書ソースとして使用するには、このキーを有効にします。

Workspace ONE UEM console バージョン 2004 以降を使用して Boxer を展開している場合は、次の手順に従う必要があります。

  1. 証明書ベースの認証用に Purebred を有効にします。

    a. [Boxer の割り当て] 画面で、[E メール設定] > [認証] > [高度な設定] の順に選択します。

    b. 認証タイプを [証明書] に設定します。

    c. [Purebred] を派生資格情報として選択します。

  2. S/MIME 証明書用に Purebred を有効にします。

    a. [E メール設定] > [S/MIME] の順に選択し、証明書ソースを [派生資格情報] として追加します。

    b. [Purebred] を発行者名として選択します。

**注:**iOS では、Purebred 登録アプリケーションの代わりに Workspace ONE PIV-D Manager を派生資格情報証明書用にサポートします。管理者は、Workspace ONE UEM console を使用して、VMware PIV-D Manager アプリケーションに証明書をプッシュする必要があります。

Purebred 登録アプリケーションの確認

Android では、サイドローディングを使用してアプリケーションをインストールできるので、承認されていないアプリケーションを Purebred のように見せかけてデバイスにインストールすることが容易に行えます。このようなセキュリティ リスクを軽減させるために、Purebred 公開署名キーを使用して Purebred 登録アプリケーションを認証するように Workspace ONE Boxer を構成できます。それには、Workspace ONE UEM console で AppPurebredPublicKey KVP を有効にする必要があります。Purebred は Play ストア アプリケーションではないので、このキーを有効にすることで、署名キーをそのキーで簡単に上書きできます。

DISA Purebred を使用した Android Boxer の加入

ユーザーは、Purebred 登録アプリケーションにアクセスするように Workspace ONE Boxer を構成し、Purebred を使用してデバイスにインストールされた各証明書へのアクセスを許可する必要があります。Purebred 登録アプリケーションは、派生資格情報証明書をデバイスのトラスト ストアに直接インストールします。

デバイスが Purebred 登録アプリケーションに登録されており、すべての証明書がデバイスにインストールされていることを確認してください。

  1. Boxer アプリケーションを起動したら、OK をタップして、Boxer が Purebred 登録アプリケーションにアクセスしてすべての証明書関連データを取得できるようにします。タップすると、Boxer で必要な証明書のリストが表示されます。

  2. 各証明書について、[アクセスを許可] をタップします。リストされているすべての証明書へのアクセスを許可する必要があります。

    リストされているすべての証明書へのアクセスを許可すると、Android ベースのダイアログ ボックスが表示されて、事前選択された証明書が表示されます。事前選択された証明書がない場合は、次のいずれかが発生していることを意味します。

    • 証明書が Android デバイスのトラスト ストアにありません。
    • 証明書名が不整合です。
    • OEM (Original Equipment Manufacturer) によって証明書のエイリアスが切り詰められています。このシナリオは Samsung デバイスで一般的に発生し、証明書エイリアスの長さが 50 文字に切り詰められて、デバイスのトラスト ストアに保存されます。
    • Knox コンテナが有効になっていて、証明書がコンテナにインストールされる場合、Knox は証明書の名前に Knox を追加します。
  3. 証明書の詳細を表示するには、証明書を表示 をタップします。

  4. 認証に使用する証明書を選択するには、[次へ] をタップします。S/MIME に Purebred を使用するように管理者が Boxer を構成している場合は、証明書へのアクセスを許可するだけでよく、すべての証明書を許可した後は画面が自動的に閉じます。

  5. 事前選択された証明書を使用しない場合は、認証証明書の選択 画面で、アカウントを認証する別の証明書を選択できます。

  6. Boxer の残りのオンボーディング プロセスを続けるには、[次へ] をタップします。

    注:

    • 誤った証明書を選択した場合は、[認証証明書の選択] 画面に戻り、エラー処理プロセスを使用して正しい証明書に調整できます。ただし、Boxer で先進認証が構成されている場合は、戻る をタップして、適切な証明書を選択できます。
    • 証明書へのアクセスが Android によって失効されることがあります。この失効は、次の理由により発生することがあります。
      • デバイスのトラスト ストアに証明書がありません。
      • 削除された証明書を再インストールしました。
      • Android が権限を失効させています。
        Boxer アプリケーションがデバイスのトラスト ストア内の証明書にアクセスできない場合は、Boxer アプリケーションから通知されます。通知をタップすることで、証明書へのアクセス権を Boxer に付与できます。
check-circle-line exclamation-circle-line close-line
Scroll to top icon