スマートカード認証
(この機能は、Enterprise Editionでのみサポートされています。)
概要
Password Manager Proは資格情報のコンテナとして機能するため、ソフトウェアに対してアクセスを許可するために強固な認証機能が必要となります。PMPは様々な認証オプションを提供しているので、ユーザーはそれぞれの環境に適した認証方式を選択することができます。PMPのローカル認証は除いて、Active DirectoryやLDAPを利用した外部認証を活用する方法も提供しています。
また、より安全性を高めるために、スマートカード認証を用意しています。これは、PMPにアクセスするためにはスマートカードとPINの両方が必要となるため、より強固な高い安全性を確保できます。
スマートカード認証は主要認証として実行されるので、2段階認証とは別のものです。
既にスマートカード認証システムの環境がある場合、他の1段階認証(Active Directory、LDAP、RADIUSなど)を使用せず、PMPをスマートカードでユーザー認証できるよう設定することができます。
スマートカード認証の仕組み
ユーザーがPMPのWebインタフェースにアクセスしようとする際、スマートカードを提示し正しいPINを入力した場合にのみ、ログインが許可され、次の手順に進むことができます。PMPのWebインタフェースのスマートカード処理は、SSL通信で行われます。そのため、ユーザーがアクセスできるようにX.509証明書を提出する必要があります。
ユーザーはスマートカード、あるいはローカル証明書ストアから証明書を提供することが選択でき、その証明書を使用してPMPはユーザーを認証します。
ユーザーは証明書の提供を拒否することもでき、その場合Password Manager Proは通常のログインページを表示して認証を促します。
スマートカード認証のワークフロー
- ユーザーがPMPサーバーへの接続を試みます。
- PMPサーバーはクライアント(Webインタフェース)へサーバーの証明書を提供します。
- クライアントはブラウザの証明書認証局を使用してサーバー証明書を検証します。
- 上記の処理に成功した場合、クライアントはユーザーのスマートカード証明書をサーバーに送信します。
- サーバーはクライアント証明書をサーバーの信頼ストアで検証し、廃止ステータスをOCSPサーバーで確認します(可能な場合にのみ。)。最後に、ユーザー証明書がActive Directory、LDAP、もしくはPMPユーザーストアにある証明書と同一であることを確認します。
- 上記の処理が成功すると、PMPサーバーはユーザーに対してWebインタフェースへのアクセスを許可します。
スマートカード認証の有効化
手順の概要
- 内部認証局(独自の認証局)のCAルートをインポート:X.509ユーザー証明書をPassword Manager Proのユーザーに発行するCA(Certificate Authority)です。サードパーティCAで署名された証明書を使用する場合、このステップは行わずに次のステップへ進んでください。
- スマートカード証明書とPMPユーザー ストアのユーザー情報をマッピング
- ユーザー証明書の状態チェックを設定
- 認証用のユーザー証明書検証
- PMP上でのスマートカード認証の有効化
- PMPサーバーとWebブラウザの再起動
ステップ1 - CAルートをインポート
独自の認証局で作成した証明書を使用する場合、CAのルートを指定する必要があります。サードパーティCAで署名された証明書を使用する場合、このステップは行わずに次のステップへ進んでください。
CAルートをインポートするには;
- [管理] >> [スマートカード / PKI / 証明書]を開きます。
- ステップ ①の[いますぐインポート]ボタンをクリックします。
- CAルートのパスを指定します。
- PMPサーバーを再起動します。
上記の手順を実行すると、CAルートがPMPに記録されます。今後、指定したCAによって署名されたすべての証明書が自動的に取得されます。
ステップ 2 - スマートカード証明書とPMPユーザーストア間のユーザー情報をマッピング
スマートカードの証明書とPMPユーザーのデータベース間のマッピングを選択します。ユーザーの一意性を識別するためのスマートカード証明書の属性が、PMPユーザー データベース上の値と一致する必要があります。
マッピングには次の2つの作業が必要です;
- 証明書のどの属性を比較対象とするか指定する。
- PMPユーザー ストアのどの属性とマッチングさせるか指定する。
証明書の属性を指定する
- PMPでは、スマートカード証明書の属性のうち任意のものをユーザーの一意性を識別する情報として使用することができます。SAN.OtherName、 SAN.RFC822Name、 SAN.DirName、 SAN.DNSName、 SAN.URI、 Common Nameより、任意の属性を選択できます。認証処理中、PMPはこの属性の値を読み取り、PMPユーザー ストアの属性と比較します。
- [証明書属性]のドロップダウンから、属性を選択します。
マッチングするPMPユーザー名を指定
証明書の属性を指定したら、次にPMPユーザー ストア上のどの属性とマッピングさせるかを指定する必要があります。つまり、PMPユーザー ストアからユーザーの一意性を識別する属性を指定します。ユーザーがどのように(手動で追加されたのか、もしくはActive DirectoryやLDAPからインポートされたのか)追加されたかによって対応方法が異なってきます。
手動で追加されたユーザー
PMPに手動で追加されたユーザーの場合、証明書の属性と比較できる唯一の属性はおそらくPMP上のユーザー名となります。この場合、テキストボックスの値は既定値の "username" のままにしておきます。
Active Directory/LDAPからインポートされたユーザー
Active Directory/LDAPからインポートされたユーザーの場合、通常は属性 "userPrincipalName"がユーザーの一意性識別に使用されます。環境によっては distinguishedName をユーザーの一意性識別に利用できる場合もあります。必要に応じ、使用する属性を指定します。
最後に、設定を保存します。
ステップ 3 - ユーザー証明書の状態チェックを設定
認証処理中、PMPは証明書に含まれる情報を使用して、証明書失効の状態をOCSPサーバーに確認します。OCSP情報を持たない証明書の場合、あらかじめ設定された情報を使用します。PMPのインストール先フォルダの confディレクトリにある"システム プロパティ ファイル(system_properties.conf)"を開き、プロパティ ocsp.check の値を false に変更することで、本チェック機能を無効化することができます。
また、OCSPを介した認証を行うには、インターネットへのアクセスが必要です。ネットワーク環境によっては、インターネットへのアクセスにプロキシ サーバーを経由する必要がある場合があります。プロキシ サーバーの設定が済んでいない場合、プロキシサーバー設定においてサーバーを指定します。
[いますぐ設定]をクリックし、OCSPサーバーの設定(OCSPサーバー名、ポート番号など)と、必要であればプロキシ サーバーの設定も入力します。
[保存]をクリックします。
ステップ 4 - 認証情報の検証に使用するユーザー証明書の比較
認証処理の次のステップは、ユーザーが提示した証明書とPMPシステム/AD/LDAPなどに保存された証明書の比較です。手動で追加されたユーザーの場合、PMPのデータベースに保存されたX.509証明書とユーザーが提供した証明書を比較します。
- 具体的手順として、[管理] >> [セットアップ] >> [パスワード変更] から行います。
- [ユーザー証明書]を選択し、X.509フォーマットのSSL証明書のパスを指定します。
ステップ 5 - スマートカード認証の有効化
設定完了後、スマートカード認証を有効にします。スマートカード認証を有効化する前に、AD/LDAP認証が無効になっていることを確認してください。
[有効化]をクリックし、スマートカード認証を有効化します。
ステップ 6 - PMPサーバーとWebブラウザの再起動
設定を反映するため、PMPサーバーとWebブラウザを再起動します。スマートカード認証を有効化/無効化する時は必ず、PMPサーバーとWebブラウザを再起動し、変更を反映させます。
- スマートカード認証を有効化すると、この変更はグローバルに反映されます。つまり、スマートカード認証はすべてのユーザーに対して適用されます。ただし、スマートカード認証を適用できないユーザーには、ローカル認証の画面が表示されます。スマートカード認証が適用できるユーザーには、スマートカード認証の画面が表示されます。
- スマートカード認証が有効になると、AD/LDAP認証はすべてのユーザーに対して中断されます。そのため、AD/LDAP認証とスマートカード認証の併用はできません。
スマートカード認証のワークフロー
- ユーザーがPMPのWebインタフェースを開こうとします。
- スマートカード証明書上のユーザーを識別する一意の属性と、PMPユーザー ストア上のユーザー情報の属性が比較されます。
- それから、手動で追加されたユーザーの場合、PMPデータベースに保存されたユーザー証明書(X.509証明書)とユーザーが提示した証明書が比較されます。ユーザーがAD/DAPからインポートされた場合、AD/LDAPから証明書を取得し比較されます。
- 比較の結果がマッチすると、ユーザーはPMPにアクセスできます。
高可用性設定におけるスマートカード認証
高可用性が設定された環境で、プライマリ サーバーでスマートカード認証を有効化した場合、同様の設定をセカンダリ サーバーでも行います。
手順;
- PMPプライマリ サーバーを停止します。
- PMPセカンダリ サーバーに接続します。
- [管理] >> [認証] >> [スマートカード/PKI/証明書]を開きます。
- UI画面が開くので、ステップ①とステップ⑤を実行します(詳細は上記の [スマートカード認証の有効化] を参照してください)。
- 上記手順が完了したら、セカンダリ サーバーを再起動します。
トラブルシューティングの秘訣
- 認証処理中にクライアント証明書を選択する画面が表示されない場合、ブラウザを再起動してから再試行してください。