バニティー・ホスト名の取得

オンラインで編集

IBM® Verifyユーザーが貴組織のID関連フローを利用する際に、ブランドを反映した体験を提供したい場合は、テナント用に独自ホスト名を購入することができます。 ログイン、登録、プロフィール管理などの操作画面をカスタマイズできます。

始める前に

注: バニティホスト名の購入については、担当の営業担当者にお問い合わせください。 設定を行うには、まずそのバニティホスト名を購入する必要があります。

バニティホスト名を設定するには、ユーザーと IBM がいくつかの設定手順を完了する必要があります。 手続きを開始するには、プロジェクト事務局 IBM から提供される に IBM Vanityホスト名証明書発行申請書 記入する必要があります。

また、以下の点についても確認してください。

  • Vanityのホスト名構文とオプションを理解し、組織の証明書運用方針に基づいて、組織に最適なものを選択してください。
  • 前提条件を理解する。
  • テナントおよびバニティホスト名の購入については、 IBM® の担当者にお問い合わせください。
  • ドメインの検証を行うため、組織内のDNS管理者やウェブサイト管理者と適切に連携できるようにしてください。
  • お客様は、バニティホスト名のドメインを所有している必要があります。 acme.comsso.acme.comバニティホスト名が である場合、貴組織はドメイン を所有している必要があります。
  • バニティホスト名は一意である必要があり、すでに存在してはなりません。 これは賃借人に適用され、…… IBM Verify のみに使用しなければなりません。

このタスクについて

バニティホスト名は、テナント用に設定された IBM Verify カスタムホスト名です。 デフォルトのテナントホスト名には「 IBM 」が含まれています。 バニティホスト名を使用することで、お客様はホスト名をカスタマイズし、 URL に「 IBM 」と表示されないようにすることができます。 login.acme.comacme.verify.ibm.comたとえば、Verifyテナントのホスト名は である場合がありますが、ユーザーには代わりに のような独自ドメインのホスト名を表示させたい場合があるでしょう。

vanityホスト名の構文
組織がテナントを IBM Verify 初めて受け取る際、そのテナントの URL は以下の構文に従います。 <tenant identifier>.<domain> ここで、
  • <tenant identifier> 指定されたテナント識別子です。 <acme>例としては、次のようなものがあります。
  • <verify.ibm.com><domain> デフォルトでは ですが、独自のホスト名にカスタマイズすることも可能です。
  • IBM Verifyacme.verify.ibm.comこの例における完全なホスト名は です。これは、ユーザーがログインする際に表示される URL であり、によって有効化されたその他のID関連の操作もこれに含まれます。
Verify各仮想ホスト名には、ユーザーとサーバー間の SSL ネゴシエーションを可能にするために証明書が必要です。
  • 証明書は、「信頼された」認証局によって署名されなければなりません。 自己署名式であってはなりません。
  • 次のセクションでは、バニティホスト名に対する証明書のプロビジョニングについて説明します。
  • 証明書のプロビジョニングが完了した後、 IBM は、カスタムホスト名を完全にプロビジョニングするために追加の手順を実行します。 これらの追加の手続きには、約5営業日かかります。
証明書の設定オプション
各証明書には「共通名」(CN)が設定されている必要があります。 また、「Subject Alternative Names」(SAN)を持つこともあります。 この証明書は、CNまたはSANとして指定されているすべてのホスト名を対象としています。
注: CNおよびSANのいずれにおいても、 *.sso.acme.com ワイルドカード(例:*)はサポートされていません。
証明書フォームに「共通名」のみを指定する場合、個別のホスト名ごとに個別の証明書が必要となります。
3つのVerifyテナントがカスタムホスト名を必要とする場合、指定されたのが「Common Name」のみである場合、各カスタムホスト名には個別の証明書が発行されるため、組織は各カスタムホスト名ごとに費用を負担することになります。 この例では、3つの独自ホスト名を購入する必要があります。
CN = sso.acme.com

CN = sso-qa.acme.com

CN = sso-dev.acme.com
sso.acme.com注: ユーザーが などのカスタムホスト名を通じて Verify 認証を行う場合、ユーザーには使用されているカスタムホスト名のみが表示されます。 ユーザーには、同じく有効なバニティホスト名である と sso-dev.acme.com が表示 sso-qa.acme.com されません。 攻撃者は、すべての独自ホスト名を容易に特定することはできない。 彼らは、自分が使っているものしか見ることができない。

証明書フォームの記入時に「共通名」に加えて「SAN名」が指定された場合、各SAN名は「共通名」と同じ証明書に付与されます。

3つのVerifyテナントが、「Common Name」と2つのSAN名を含むカスタムホスト名を必要とする場合、組織が支払うのは1つのカスタムホスト名の料金のみとなります。 この例では、1つの独自ホスト名を購入する必要があります。
CN = sso.acme.com
  SAN = sso-qa.acme.com
  SAN = sso-dev.acme.com
sso.acme.com注: ユーザーが などのカスタムホスト名を通じて Verify 認証を行うと、その証明書の対象となる他のカスタムホスト名も確認できるようになります。 sso-dev.acme.comこの場合、 sso-qa.acme.com および。 残念ながら、悪意のある攻撃者がこの情報を利用してしまう可能性があります。 これにより、有効なバニティホスト名をすべて見つけやすくなります。
「SAN」から「CN」に移行する場合は、プロセスを再開し、「CN」の料金体系に合わせて調整する必要があります。
証明書のプロビジョニングオプション
カスタムホスト名オプションを選択した後、組織は証明書を検証またはプロビジョニングするために、「 IBM によるプロビジョニング」または「サードパーティ製証明書」のいずれかを選択する必要があります。
IBM プロビジョニング済み
IBM 組織に代わって証明書を注文することができます。 IBM DigiCert を証明書プロバイダーとして使用し、 DigiCert が証明書に署名します。

証明書の検証タイプはOV(組織検証)であり、クライアントは当該証明書について DigiCert の検証プロセスを経る必要があります。 認証局として、Digicertは、申請されたドメインの正当な所有者が当該証明書を承認したことを独自に確認する必要があります。 この DigiCert の検証プロセスは独立したものであり、インタラクションの IBM Verify 範囲外で行われます。

このプロセスには、会社の住所の確認およびドメイン管理者の確認が含まれます。 DigiCert とのやり取りは、 DigiCert とお客様との間で直接行われます。

「 IBM 」オプションを選択した場合、手順は以下の通りです。
  1. DigiCert がドメイン認証のリクエストを送信する予定であることを、記載されている whois.com ドメイン管理者に通知してください。
  2. 検証結果を速やかに DigiCert へご返送ください。
  3. DigiCert その後、組織に所属する検証済みの電話番号を使用して、「 IBM Vanity Hostname Certificate Provisioning Form 」に記載された管理担当者との連絡を試みます。 検証は実際の通話で行われます。
    注:DigiCert が組織内の適切な連絡先を特定できるかどうかによって、複数回の試行が必要になる場合があります。
第三者証明書
サードパーティの証明書を使用する場合、組織は IBM が証明書署名要求(CSR)を生成した後、任意の認証局を利用することができます。
以下の手順は、そのプロセスフローを示しています。
  1. IBM CSRを生成します。
  2. IBM このCSRを貴組織に送信します。
  3. 貴組織はこのCSRを自組織のCAに送信します。 貴組織は、ご希望の検証タイプを選択することができます。
  4. CAは、署名済みの証明書を貴組織に返送します。
  5. 貴組織は、証明書(リーフ証明書+信頼チェーン:中間証明書およびルート証明書)を IBM 宛てに送信します

手順

  1. IBM Verify 証明書プロビジョニングフォーム 」をダウンロードし、必要事項を記入してください。
    必須項目はすべて入力してください。
  2. サポートチケットを作成する
    顧客名ケースを開く方法 アクセスし、件名を「Vanityホスト名の申請(対象:)」としてチケットを作成し、Vanityホスト名申請フォームをチケットに添付してください。
  3. 独自のホスト名を関連 IBM Verify するテナントを指すようにするCNAME DNSレコードを作成します。
    CNAME DNSレコードを作成できるのは、貴組織のみです。 例えば、sso.clienthostname.com CNAME <tenant>.verify.ibm.comなどです。
  4. CNAME DNSの設定が完了したら、事前に作成したサポートチケットを通じて IBM までご連絡ください。
    この仮のホスト名は、まだ使用できません。 IBM まだいくつかの処理を完了する必要があります。
  5. IBM 残りの設定を完了します。
    この手順が完了すると、 IBM から組織に通知が届き、カスタムホスト名の使用準備が整います。