スマートカード認証
ADSelfService Plusではスマートカード認証をサポートしており、Webポータル ログインの複数認証要素の1つとして、スマートカード認証をサポートしています。ADSelfService Plusがユーザーのマシンの証明書ファイルとActive Directory(AD)の証明書ファイルを比較したのち、ユーザーは認証されます。
前提条件
- 管理タブ → 製品設定 → 接続をクリックします。HTTPSのラジオボタンを選択し、ポート番号を入力します。保存をクリックします。
- 認証局(CA)からCAルート証明書を取得します。この証明書は、スマートカード認証を設定時に必要になるため、安全に保管してください。WindowsサーバーをCAとして使用している場合は、http://
/certsrv/ から証明書ファイルをダウンロードします。
※URLのを証明書サーバー名に置き換えます。
重要
- スマートカード認証は、ADSelfService Plusのwebポータルログイン時にご利用いただけます。
- スマートカード認証を有効化している場合、ロードバランサー(負荷分散)機能を有効化することはできません。
- リバースプロキシ機能が有効な場合、スマートカード認証を有効化することはできません。
- このブラウザを信用するオプションはスマートカード認証でサポートしておりません。
手順
- ADSelfService Plusへ管理者としてログインします。
- 設定 → マルチファクター認証 → スマートカード認証をクリックします。
- CAルート証明をインポートフィールドにて、ブラウザから対象のルート証明書ファイル(X.509 certificate)をインポートします。(CAからルート証明書を取得するには、前提条件の2点目をご確認ください。)
- 証明書のマッピング属性のドロップダウンにて、マッピングする証明書の任意の一意の属性を選択します。
- 証明書の一意の属性がADの一意の属性にマップされていることを確認します。両方の属性が同じ値である必要があります。
- スマートカード証明書の任意の属性を選択できます。使用可能な属性は、SAN.OtherName、SAN.RFC822Name、SAN.DirName、SAN.DNSName、SAN.URI、emailaddress、DN、および CommonName です。表示されたテキスト ボックスに属性名を入力し、[+] アイコンをクリックして、環境内でユーザーを一意に識別するために使用される他の属性を追加することもできます。
- ADのマッピング属性のドロップダウンにて、指定した証明書属性と一致させる必要があるLDAP属性を選択します。ADでユーザーを一意に識別する特定のLDAP属性(sAMAccountNameなど)を指定する必要があります。
- 認証中、ADSelfService Plusは、この値と証明書のマッピング属性で指定した証明書属性を比較し、ユーザーの身元を確認します。
- 保存をクリックします。
- 変更を反映させるため、ADSelfService Plusを再起動します。