ブラウザPKI(証明書)について教えてください

お問い合わせ内容

OneLoginで利用できるブラウザPKI 証明書の仕組みと設定手順を教えてください。

ご回答

OneLoginのブラウザPKI 証明書は、ユーザーが利用するパスワードとワンタイムパスワードに加えて、強力な認証要素として利用できる機能になります。

ブラウザPKI証明書による認証の仕組み

ブラウザPKI証明書はOneLoginによって各ユーザー毎に発行され、ユーザーのブラウザにインストールされます。

ログイン時の検証

ユーザーがユーザー名とパスワードでOneLoginにログインを行うと、OneLoginはユーザーのブラウザにインストールされているブラウザPKI証明書がOneLoginのユーザーレコードに登録されているものと一致するか検証をします。

セキュリティポリシー

ブラウザPKI証明書で認証する必要があるユーザーを制御します。すべてのユーザー、グループ、または個々のユーザーに対してセキュリティポリシーを適用できます。

ブラウザPKI証明書の自己インストールが有効な場合

証明書を必要とするユーザーは、認証後に証明書をインストールするように求められます。その場合、すべてのアプリケーションにサインインする前に証明書をインストールする必要があります。

ブラウザPKI証明書の発行およびインストール

ブラウザPKI証明書は、必要に応じてOneLoginにより発行されます。

ユーザーがブラウザPKI証明書を使用できるようにするには、証明書が必要なユーザーセキュリティポリシーにブラウザPKI証明書を追加する必要があります。

管理者は、ユーザーのブラウザに証明書を手動でインストールするか、次回OneLoginログイン時に証明書をインストールするかを選択できます。

ブラウザPKI証明書を利用するポリシーの構成方法:

  1. Settings > Policies を選択し、更新するユーザーポリシーを選択するか、"New User Policy"を押して、新しいポリシーを作成します。
  2. MFAタブに移動し、" PKI Certificate Required"を選択します。
 
2017-11-21_11h02_51.png

ユーザーがPKI証明書を自身でインストールできるようにするには、"Allow self-installation"を選択します。
証明書を必要とするユーザーは、認証後に証明書をインストールするように求められます。その場合は、すべてのアプリケーションにサインインする前に、証明書をインストールする必要があります。

ブラウザPKI証明書の有効期限

PKI証明書の期限は1、2、5年で切れるように設定できます。

"Users > All Users"に移動し、ユーザーを選択し"More Actions"を押して、"Download PKI Cert"を押して、ブラウザPKI証明書を取得できます。

PKI証明書の取扱いについて注意点

ブラウザPKI証明書は、USBキーなどの物理的な認証トークンと同様に注意して処理する必要があります。
PKI証明書をインストールしたユーザーに対して、インストール後にPKI証明書をローカルドライブから削除するように指示してください。

ブラウザの互換性について

OneLoginのPKI証明書は、Chrome、Firefox、Safari、Internet Explorerをサポートしています。
Windowsと Mac OSは証明書管理がOSに組み込まれていますが、Linuxのブラウザは証明書をご自身で処理する必要があります。

2017-11-21_11h20_27.png

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください