証明書プロバイダー の管理

オンラインで編集

証明書ベースの認証は、外部の証明書プロバイダーと X.509 準拠のデジタル証明書などの追加のセキュリティ層を連携させながら、詳細な分析データへのアクセスを可能にします。 接続されたアプリケーションにアクセスする際、 IBM® Verify デジタル証明書を使用して認証を行います。 管理者は、認証およびコンプライアンスの目的で、このデジタル署名を使用して身元を確認することができます。 また、証明書は共通アクセスカード(CAC)や個人識別カード(PIV)でも利用可能である場合があります。

始める前に

  • このタスクを完了するには管理者権限が必要です。
  • IBM Verify 管理者として管理コンソールにログインしてください。
  • 証明書プロバイダーを使用するには、テナントに独自ホスト名が必要です。 「独自ホスト名の取得」 を参照してください。
  • サポート窓口を通じて、ルート証明書および中間証明書をご提供いただく必要があります:
    • テナントが作成され、カスタムホスト名が正しく設定されている場合は、 IBM サポートチームにチケットを送信してご連絡 IBM Verify ください。証明書の提供方法についてご案内いたします。
    • 証明書は、 X.509 PEM に記載されているエンコード形式で保存する必要があります。
    • 例を挙げると:
    # Trust chain intermediate certificate
-----BEGIN CERTIFICATE-----
MIIEaTCCA1GgAwIBAgILBAAAAAABRE7wQkcwDQYJKoZIhvcNAQELBQAwVzELMAkG
C33JiJ1Pi/D4nGyMVTXbv/Kz6vvjVudKRtkTIso21ZvBqOOWQ5PyDLzm+ebomchj
SHh/VzZpGhkdWtHUfcKc1H/hgBKueuqI6lfYygoKOhJJomIZeg0k9zfrtHOSewUj
...
dHBzOi8vd3d3Lmdsb2JhbHNpZ24uY29tL3JlcG9zaXRvcnkvMDMGA1UdHwQsMCow
KKAmoCSGImh0dHA6Ly9jcmwuZ2xvYmFsc2lnbi5uZXQvcm9vdC5jcmwwPQYIKwYB
K1pp74P1S8SqtCr4fKGxhZSM9AyHDPSsQPhZSZg=
-----END CERTIFICATE-----

# Trust chain root certificate
-----BEGIN CERTIFICATE-----
MIIDdTCCAl2gAwIBAgILBAAAAAABFUtaw5QwDQYJKoZIhvcNAQEFBQAwVzELMAkG
YWxTaWduIG52LXNhMRAwDgYDVQQLEwdSb290IENBMRswGQYDVQQDExJHbG9iYWxT
aWduIFJvb3QgQ0EwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDaDuaZ
...
jc6j40+Kfvvxi4Mla+pIH/EqsLmVEQS98GPR4mdmzxzdzxtIK+6NiY6arymAZavp
38NflNUVyRRBnMRddWQVDf9VMOyGj/8N7yy5Y0b2qvzfvGn9LhJIZJrglfCm7ymP
HMUfpIBvFSDJ3gyICh3WZlXi/EjJKSZp4A==
-----END CERTIFICATE-----
    注:PEM エンコード形式の詳細については、 RFC 1421 を参照してください
  • テナント上で、バニティホスト名を含む証明書チェーンが正しく設定されたことを確認してください。 確認メールを受け取った後、発行されたクライアント証明書を、 SAML やOIDC認証、およびユーザー用Launchpadでご利用いただけます。
注: クライアント証明書による認証を機能させるには、一般に公開されているCRL配布先またはOCSPエンドポイント(クライアント証明書に保存されているもの)が必要です。

このタスクについて

Verify 複雑なタスクを実行するためのさまざまな機能へのアクセスをサポートしています。 例えば、独自のベースサービスプロバイダーや、カスタムサービスプロバイダーの開発によく使用されるその他のアプリケーションインターフェースなど。 X.509 デジタル署名証明書には多くの利点があります。 重要な点は、そして certification path validation algorithm 最終的にトラストアンカーに到達することです certificate revocation lists

注:X.509 のデジタル署名証明書に関する詳細については、 「 X.509 証明書」 を参照してください。 より詳細な解説については、 RFC 5280 を参照してください。

手順

  1. 「認証 」>「 証明書プロバイダ」 を選択します
  2. 「証明書プロバイダーの追加」 を選択します。
  3. 一般設定 」を入力してください。
    1. 証明書プロバイダーに分かりやすい名前を付け、IDプロバイダーを設定してください。
    2. ユーザーの認証に使用するIDプロバイダーを選択してください。 一般的に使用されるIDプロバイダーは以下の通りです:
      • Cloud Directory
      • IBMid
      注: 証明書プロバイダーの作成後は、IDプロバイダーを変更することはできません。
    3. ユーザーアカウントをプロビジョニングするには、JITP(ジャスト・イン・タイム・プロビジョニング) のチェックボックスを選択してください。
  4. 「次へ」をクリックします。
  5. ユーザーのプロパティを設定します。 ユーザー認証およびユーザープロファイルの作成のために、証明書から送信されるユーザー属性を指定します。
    1. オプション: 証明書の属性を選択します。
    2. 「 IBM 」の「 Security Verify 」属性を選択します。 この選択は、管理者が選択または作成した過去の属性に基づいています。
      注:

      既存の属性から1つ選択できます。 この属性のデフォルト値は

      None - Do not map

      None - Do not mapを選択した場合、以下の設定を行うことはできません:

      • Transformation value
      • Store attribute in user profile
    3. メニューから 「変換」 を選択してください。
    4. ユーザープロファイルメニューの「ストア属性」からオプションを選択してください。
      • 常時 - ログインのたびに属性を保管または更新します。
      • ユーザー作成時のみ - アカウント作成時に属性を 1 回保管します。
      • 無効 - この属性を保存または更新することはできません。
      user attributes最初の設定が完了したら、 「属性マッピングの追加」 をクリックして、さらにマッピングを追加してください。
    5. 一意のユーザー識別子 」を選択してください。 この識別子は、IDプロバイダー Verify 内の既存のユーザーと関連付けるために使用される証明書属性です。
    6. リクエストルール 」オプションでカスタムルールを作成し、属性値を計算します。
      ルール例:
      requestContext.subjectAlternativeNameEmail.size() != 0 ? requestContext.subjectAlternativeNameEmail[0].split('@')[0] : requestContext.subjectCN[0].split('.')[0]
      要求ルールをテストして、意図したとおりに動作することを確認してください。 「テストを実行」 をクリックして結果を確認してください。 これは、サンプル入力に基づいた戻り値です。
  6. 証明書チェーンについては、以下の手順に従って、発行元の中間またはルート認証局のサブジェクトキー識別子を入力してください。
    1. 次の OpenSSL コマンドを使用して、直近の認証局の を Subject Key Identifier 特定してください:
      openssl x509 -inform pem -in $input-filename -text -noout
    2. 「 X.509v3 拡張機能」というラベルの付いたセクションをクリックし、「 X.509v3 Subject Key Identifier」を選択します。 指定された値をコピーして、ボックスに入力してください。
      注: この値は、証明書プロバイダーの作成後は変更できません。
  7. 構成をテストします。 選択。 次へ。 このインターフェースでは、テナント認証用の URL が提供されます。 URL をコピーし、お使いの IBM Verify. に接続してみてください。
    注: テナントでこの IBM Verify 証明書プロバイダーを使用するには、事前に有効にする必要があります。
  8. 「セットアップを完了」 をクリックしてください。 プロンプトが表示され、設定に関連する情報を管理または更新するためにグローバル設定画面に移動します。
  9. (任意): 証明書プロバイダー 」をクリックすると、作成済みの証明書プロバイダーの一覧が表示されます。
    1. 「オプションの一覧」 をクリックして enable 、使用する証明書プロバイダーを選択または削除できます。

トラブルシューティング

設定が機能しない場合は、以下の理由が考えられます:

X.509 証明書プロバイダーのオンボーディング手順をすべて完了したにもかかわらず、テスト設定ページで URL をテストした際に証明書のプロンプトが表示されない場合は:

  • 装飾用のホスト名が使用されていることを確認してください。
  • サポートルートを通じて、証明書チェーンが確実に提供されるように IBM Verify してください。

X.509 証明書プロバイダーのオンボーディング手順をすべて完了したにもかかわらず、テスト設定ページでテスト用URL( URL )にアクセスした際に証明書の確認画面が表示されず、認証が機能しない場合:

  • 証明書プロバイダーが有効になっていることを確認してください。
  • JITPが有効になっている場合は、指定されたIDプロバイダーにユーザーが作成されていることを確認してください。
  • JITPが無効になっている場合は、指定されたIDプロバイダーにそのユーザーが存在することを確認してください。

X.509 の証明書プロバイダーをオンボードした後に属性が変更された場合 uniqueUserIdentifier 、その変更は、新しい認証および初めて証明書を使用して認証を行うユーザーのみに適用されます。

JITPが有効になっている場合、特定のIDプロバイダーで初めて作成されたユーザーについては、

デフォルトでは、 X.509 証明書プロバイダーは無効になっています。管理者は、テスト構成を試す前に、これを有効にする必要があります。