スマートカード/PKI/証明書認証
(エンタープライズエディションでのみ利用可能な機能)

Password Manager Proは機密パスワードの保管場所となるため、ソフトウェアへのアクセス権を付与するための強い認証メカニズムが必須です。Password Manager Proには各種の認証オプションがあり、ユーザーは、各環境により適したものを選択することができます。Password Manager Proのローカル認証以外に、Active Directory/LDAP等の外部アイデンティティストアの認証が利用できます。

セキュリティ強化のため、Password Manager Proはスマートカード認証を提供しています。それによりユーザーは、Password Manager Proにアクセスするために、スマートカードを所有し、個人識別番号(PIN)を認識している必要もあるため、認証をより強化できます。

Password Manager Proでのスマートカード認識は、プライマリ認証として機能し、二要素認証と混同しないことが必要です。

お使いの環境にスマートカード認証システムがある場合、Password Manager Proで、スマートカードでユーザーを認証するように設定し、AD、LDAPまたはローカル認証等、他の一段階目の認証をバイパスすることができます。

1.認証メカニズムはPassword Manager Proでどのように機能しますか?

ユーザーがPassword Manager ProのWebインターフェイスにアクセスしようとする場合、スマートカードを提示してPINを入力し、スマートカード認証を完了した後にのみ先に進むことができます。Password Manager ProのWebインターフェイスは、SSL通信でスマートカード技術を補完します。そのため、ユーザーはアクセスを可能とするためにX.509証明書を指定するよう求められます。

ユーザーは、スマートカードまたはローカル証明書ストアからの証明書を選択できます。Password Manager Proは、その証明書でユーザー認証を実行します。ユーザーは証明書の提供を拒否することもできます。その場合Password Manager Proは、認証のため通常のログインページにユーザーを誘導します。

スマートカード認証ワークフロー

    1. ユーザーは、Password Manager Proサーバーへの接続を試行します。
    2. Password Manager Proサーバーは、クライアントに証明書を提示します。(Webインターフェイス)
    3. クライアントは、ブラウザ認証局とサーバーの証明書を検証します。
    4. 上記のプロセスが正常に完了すると、クライアントはサーバーにユーザーのスマートカード証明書を送信します。
    5. サーバーは、trustStoreでクライアント証明書を検証し、続いて、OCSPサーバー(ある場合)で、失効状況を確認します。最後に、ユーザー証明書がAD/LDAPまたはPassword Manager Proユーザーストアのものと同じか確認します。
    6. 上記のプロセスも正常に完了後、Password Manager Proサーバーは、ユーザーにWebインターフェイスへのアクセス権を付与します。
smartcardauthentication

2.スマートカード認証の有効化

手順の概要

  • 内部証明書(自己証明書)の場合はCAのルートをインポートします。これは、X.509ユーザー証明書を、Password Manager Proのユーザーに発行する認証局です。サードパーティCAが署名した証明書を使用している場合は、この手順をスキップできます。
  • スマートカード証明書とPassword Manager Proユーザーストア間のユーザー情報をマッピングします。
  • ユーザー証明書のステータスチェックの設定を行います。
  • 認証用のユーザー証明書の検証を行います。
  • Password Manager Proでスマートカード認証を有効化します。
  • Password Manager ProサーバーとWebブラウザを再起動します。

手順1 - CAのルートのインポート

すでに利用可能な内部証明書(自己証明書)を使用している場合、CAのルートの指定が必要です。サードパーティCAが署名した証明書を使用している場合は、この手順をスキップできます。

CAのルートをインポートする手順は以下の通りです。

    1. [管理]>[認証]>[スマートカード/PKI/証明書]の順に移動します。
      2. admin-page
    2. 開いたUIで、手順①の[今すぐインポート]ボタンをクリックします
    3. CAのルートのパスを指定します。
    4. Password Manager Proサーバーを再起動します。
      5. smart-card-authentication3

上記を実行すると、CAのルートがPassword Manager Proに記録されます。今後、そのCAによって署名されたすべての証明書が自動的に取得されます。

手順2 - スマートカード証明書とPassword Manager Proユーザーストア間のユーザー情報のマッピング

次の手順では、スマートカード証明書とPassword Manager Proユーザーデータベースの間のマッピングを選択します。すなわち、ユーザーを一意に識別するためのスマートカード証明書の属性が、Password Manager Proユーザーデータベースの対応する値と一致する必要があります。

このマッピングには手順が2つあります。

    1. 証明書のどの属性を取り上げて比較するかを指定します。
    2. Password Manager Proユーザーストアの対応する一致属性を指定します。

証明書属性を指定します

  • Password Manager Proは、環境内のユーザーを一意に識別するスマートカード証明書の属性を柔軟に指定できます。SAN.OtherName、SAN.RFC822Name、SAN.DirName、SAN.DNSName、SAN.URI、CommonNameの中から任意の属性を選択できます。認証中、Password Manager Proは、この属性に対応する値を読み取り、Password Manager Proユーザーストア内の属性と比較します。
  • 証明書属性ドロップダウンから、希望する属性を選択します。

注記:ご使用の環境で、ユーザーを一意に識別するために別の属性を使用している場合、Password Manager Proサポートに連絡してその属性を追加してください。

一致するPassword Manager Proのユーザー名を指定します

証明書属性を指定した後、Password Manager Proユーザーストアでマッピング属性を指定する必要があります。すなわち、Password Manager Proユーザーストアでユーザーを一意に識別する特定の属性を指定する必要があります。これは、Password Manager Proにどのようにユーザーを追加したか(手動で追加したか、またはActive Directory/LDAPからインポートしたか)によって異なります。

手動で追加したユーザー

Password Manager Proに手動で追加されたユーザーの場合、Password Manager Proのユーザー名がおそらく、証明書内の対応する属性と比較するために使用できる唯一の属性です。そのため、このテキストフィールドはデフォルト値"username"のままにします。

Active Directory/LDAPからインポートされたユーザー

  • Active Directory/LDAPからインポートされたユーザーの場合、通常、ユーザーを一意に識別するために、属性'userPrincipalName'を使用します。ご使用の環境で、'distinguishedName'等のその他の属性で、ユーザーを一意に識別することができる可能性があります。そのため、適切な属性を指定します。
  • 最後に、設定を保存します。
smart-card-authentication4

手順3 - ユーザー証明書の状態チェックを設定

認証中に、Password Manager Proは、証明書失効の状態をオンライン証明書ステータスプロトコル(OCSP)サーバーと照合し、証明書自体で詳細を確認します。OCSP情報を持たない証明書の場合、ここでの設定で入力する情報が使用されます。このチェック機能は、Password Manager Proのconfディレクトリにある'System Properties'ファイルで、プロパティocsp.checkをfalseに変更することで無効化できます。

OCSPによる認証にはインターネットへのアクセスが必要です。企業ネットワークのセットアップでは、インターネットにアクセスするためにプロキシサーバーを経由する必要がある場合があります。まだ指定していない場合は、[プロキシサーバー設定]を指定できます。

smart-card-authentication5
  1. [今すぐ設定]ボタンをクリックします。.
  2. 開いたポップアップフォームで、OCSPサーバー名やサーバーポート等のOCSPサーバー詳細を入力します。
    smart-card-authentication6
    smart-card-authentication7
  3. [保存]をクリックします。

手順4 - 認証の検証用にユーザー証明書を比較

認証プロセスにおける次の手順として、ユーザーが提供したユーザー証明書と、システムまたはActive Directory/LDAPに保存された証明書を比較します。手動で追加したユーザーの場合は、Password Manager Proデータベースに保存されたX.509証明書と、ユーザーが提供した証明書を比較します。

smart-card-authentication9

注記:ADまたはLDAPがお使いの環境にない場合、スマートカード認証に使用するx.509形式のSSL証明書を、手動でPassword Manager Proに入れる必要があります。

  1. [管理]>[セットアップ]>[パスワード変更]の順に移動します。
    admin-page
  2. 開いたポップアップフォームの[ユーザー証明書]で、x.509形式のSSL証明書のパスを指定します。
  3. [保存]をクリックします。
    smart-card-authentication10

手順5 - スマートカード認証の有効化

設定を実行した後、スマートカード認証を有効化する必要があります。これを有効化する前に、AD/LDAP認証が無効化されているか確認する必要があります。[有効化]をクリックして、スマートカード認証を有効化します。

smart-card-authentication11

手順6 - Password Manager ProサーバーとWebブラウザを再起動

上記の手順を完了した後、Password Manager ProサーバーとWebサーバーを一度再起動して、設定を有効にします。Password Manager Proでスマートカード認証を有効化または無効化するときは必ず、サーバーとブラウザを再起動して変更を有効にする必要があります。

重要情報:

  • スマートカード認証を有効化すると、グルーバルで有効になります。すなわち、スマートカード認証がすべてのユーザーに適用されます。ただし、スマートカード認証が適用されないユーザーは、自動的に、ローカル認証を使用するように求められます。
  • スマートカード認証を有効化すると、ADやLDAP認証はすべてのユーザーに対して一時停止された状態になります。そのため、AD、LDAPたスマートカードから選択する必要があります。

3.Password Manager Proでのスマートカード認証 - ワークフロー

  • ユーザーがPassword Manager ProのWebインターフェイスにアクセスを試みます。
  • スマートカード証明書でユーザーを一意に識別する属性を、Password Manager Proユーザーストアの対応する属性と比較します。
  • 次に、ユーザーが手動で追加された場合にPassword Manager Proデータベースに保存されたX.509証明書をユーザーが提示した証明書と比較します。Active Directory/LDAPからインポートされたユーザーの場合、証明書はAD/LDAPから取り込まれ比較されます。
  • 完全に一致した場合、ユーザーはアクセスを許可されます。

4.高可用性を構成した場合のスマートカード認証

高可用性を構成し、プライマリでスマートカード認証を有効にした場合、セカンダリサーバーでも同じ構成を行う必要があります。

手順は以下の通りです。

  1. Password Manager Proプライマリサーバーを停止します。
  2. Password Manager Proセカンダリサーバーに接続します。
  3. [管理]>[認証]>[スマートカード/PKI/証明書]の順に進みます。
  4. 開いたUIで、手順①と手順⑤のみを実行します(詳細は、上記のセクション「スマートカード認証の有効化」を参照してください)。
  5. 上記の手順を完了後、セカンダリを再起動します。

トラブルシューティングのヒント

  • 認証中にクライアント証明書を選択するよう求めるポップアップが表示されない場合は、ブラウザを再起動して再試行してください