証明書による認証は、vRealize Automation 管理コンソールのディレクトリ管理機能で有効にし、構成します。

始める前に

  • ユーザーから提示された証明書に署名した CA からルート証明書と中間証明書を入手します。

  • (オプション)証明書認証のための有効な証明書ポリシーのオブジェクト識別子 (OID) のリスト。

  • 失効チェックのための、証明書失効リストのファイルの場所および OCSP サーバの URL。

  • (オプション)OCSP応答署名証明書ファイルの場所。

  • 認証の前に同意書を表示する必要がある場合は、同意書の内容。

手順

  1. テナント管理者として、管理 > ディレクトリ管理 > コネクタ の順に移動します。
  2. [コネクタ] ページで、構成されているコネクタのワーカー リンクを選択します。
  3. 認証アダプタ をクリックしてから、CertificateAuthAdapter をクリックします。

    ID マネージャーのログイン ページにリダイレクトされます。

  4. 証明書認証アダプタのページで構成します。
    注:

    アスタリスクが付いている情報は、必ず入力する必要があります。

    オプション

    説明

    *名前

    名前は必須です。デフォルトの名前は、CertificateAuthAdapter です。この名前は変更できます。

    証明書アダプタを有効にする

    証明書認証を有効にするには、このチェック ボックスをオンにします。

    *ルートおよび中間 CA 証明書

    アップロードする証明書ファイルを選択します。DER または PEM としてエンコードされた複数のルート CA および中間 CA 証明書を選択できます。

    アップロードされた CA 証明書

    アップロードされた証明書ファイルは、フォームの [アップロードされた CA 証明書] セクションに表示されます。

    証明書に UPN が含まれていない場合はメールを使用する

    ユーザー プリンシパル名 (UPN) が証明書に存在しない場合に、サブジェクトの別名の拡張として emailAddress 属性を使用してユーザー アカウントを検証するには、このチェック ボックスをオンにします。

    承認された証明書ポリシー

    証明書ポリシー拡張で承認されたオブジェクト識別子のリストを作成します。

    証明書発行ポリシーのオブジェクト ID 番号 (OID) を入力します。別の値を追加 をクリックして、OID をさらに追加します。

    証明書の失効を有効にする

    証明書の失効チェックを有効にするには、このチェック ボックスをオンにします。証明書失効チェックにより、ユーザー証明書が失効したユーザーは認証されなくなります。

    証明書から CRL を使用する

    証明書を発行した CA が公開する証明書失効リスト (CRL) を使用して証明書のステータス(失効しているかどうか)を確認するには、このチェック ボックスをオンにします。

    CRL の場所

    CRL を取得するサーバのファイル パスまたはローカル ファイル パスを入力します。

    OCSP の失効を有効にする

    証明書検証プロトコルとして Online Certificate Status Protocol (OCSP) を使用して、証明書の失効ステータスを取得するには、このチェック ボックスをオンにします。

    OCSP の障害時に CRL を使用する

    CRL と OCSP の両方を構成した場合。このチェック ボックスを選択すると、OCSP チェックが使用できない場合に CRL を使用できます。

    OCSP Nonce を送信する

    応答時に、OCSP 要求の一意の ID を送信する場合は、このチェック ボックスをオンにします。

    OCSP の URL

    OCSP による失効を有効にした場合は、失効チェック用の OCSP サーバ アドレスを入力します。

    OCSP レスポンダの署名証明書

    レスポンダの OCSP 証明書のパスを入力します。たとえば、/path/to/file.cer のようになります。

    認証前に同意書を有効にする

    ユーザーが証明書認証を使用してマイ アプリ ポータルにログインする前に同意書ページを表示するには、このチェック ボックスをオンにします。

    同意書の内容

    同意書に表示するテキストをこのテキスト ボックスに入力します。

  5. 保存 をクリックします。

次のタスク

  • デフォルトのアクセス ポリシーに証明書認証方法を追加します。管理 > ディレクトリ管理 > ポリシー の順に移動して、デフォルト ポリシーの編集 をクリックし、デフォルト ポリシーを編集して証明書を追加して、デフォルト ポリシーの初期認証方法になるようにします。証明書は、ポリシー ルールに表示される認証方法の一番上に配置する必要があります。そうしないと、証明書による認証は失敗します。

  • 証明書認証を構成し、ロード バランサの背後でサービス アプライアンスがセットアップされている場合、ロード バランサで Directories Management コネクタ が SSL パススルーで構成されており、ロード バランサで SSL を終了するように構成されていないことを確認します。この構成では、コネクタとクライアント間で SSL ハンドシェイクを確実に実行し、コネクタに証明書を渡すことができます。