| Interstage Application Server シングル・サインオン運用ガイド |
|
目次
索引
|
| 第2章 機能 | > 2.1 認証方式 | > 2.1.1 利用者による認証方式 |
証明書を使用するコンピュータに登録しておけば、そのコンピュータからは証明書の提示のみで、認証が行われます。使用するコンピュータが特定される場合には、証明書認証が便利です。ICカードを使用した証明書認証を行う運用では、第三者に不正に使用されるという危険性も防ぐことができます。
この認証方式では、提示された証明書から利用者が一意に特定できることで認証されたとみなします。より厳密に認証を行うために、SSOリポジトリに格納されている証明書と利用者が提示した証明書が一致した場合に認証されたとみなす運用も可能です。
Interstage シングル・サインオンでは証明書認証の場合、提示された証明書の所有者名(Subject)や所有者別名(Subject Alternative Name extension)エクステンションに格納されている情報を参照して認証を行います。そのため、証明書には以下の“Interstage シングル・サインオンが参照する証明書の情報”のいずれかが格納されている必要があります。
証明書の所有者や所有者別名の情報は、複数指定できます。認証に使用する情報の優先度は、リポジトリサーバの定義ファイルの"certificate-mapping-attribute"の設定により決定されます。
なお、リポジトリサーバの定義ファイルの"certificate-mapping-attribute"の設定については、“リポジトリサーバの定義ファイルの設定”の“基本設定”を参照してください。
Interstage シングル・サインオンが参照する証明書の情報
以下に、各Webブラウザの証明書認証時に表示される証明書選択画面を示します。Webブラウザに複数の証明書が登録されている場合は、どの証明書をWWWサーバに提示するかをこの画面より選択します。Webブラウザに登録している証明書が1つだけの場合は、証明書選択画面を表示せずに登録されている証明書を自動で使用することもできます。証明書選択画面の表示については、“証明書選択画面について”を参照してください。
Microsoft(R) Internet Explorer 6.0の証明書選択画面
Netscape Communicator 4.75の証明書選択画面
Netscape Communicator、またはNetscapeの場合には証明書選択画面の後に以下の画面が表示されます。
「パスワード、またはピン」は、証明書を使用するユーザを確認するための情報です。正しいパスワード、またはピンを入力すると、選択した証明書がWWWサーバに提示されます。
Interstage シングル・サインオンでは、以下で発行された証明書をサポートしています。
Systemwalker PkiMGRについては、Systemwalker PkiMGRのマニュアルを参照してください。
日本ベリサイン株式会社、日本認証サービス株式会社の証明書の発行については、それぞれ、日本ベリサイン株式会社、日本認証サービス株式会社にお問い合わせください。
取得した証明書をWebブラウザに登録する方法については、“セキュリティシステム運用ガイド”を参照してください。
証明書認証で使用する証明書は、認証サーバで有効性を確認することができます。有効性の確認は、認証サーバに登録されているCRL(Certificate Revocation List)によって行われます。CRLは、失効された証明書のリストです。CRLに記載されている証明書が提示された場合には認証は失敗します。
|
目次
索引
|