証明書プロバイダの管理

オンラインで編集

証明書ベースの ID は、 X.509 準拠のデジタル証明書などの追加のセキュリティー層に外部証明書プロバイダーを接続しながら、正確な洞察へのアクセスを提供します。 接続されたアプリケーションにアクセスするときに、 IBM® Verify でデジタル証明書を使用して認証を行います。 管理者は、認証およびコンプライアンスの目的でこのデジタル署名を使用して ID を検証できます。 さらに、証明書は、共通アクセス (CAC) カードまたは個人 ID 検証 (PIV) カードで機能する場合があります。

始める前に

  • このタスクを完了するには管理者権限が必要です。
  • 管理者として IBM Verify 管理コンソールにログインします。
  • 証明書プロバイダーを使用できるようにするには、テナントにバニティー・ホスト名が必要です。 バニティホスト名の取得を参照してください。
  • サポート・ルートを介して、ルート証明書と中間証明書を提供する必要があります。
    • テナントが作成され、バニティホスト名が適切に設定されている場合は、 サポート IBM チームにチケットを開いて IBM Verify ご連絡ください。証明書を提供する方法について通知いたします。
    • 証明書は X.509 PEM エンコード形式で保持する必要があります。
    • 以下に例を示します。
    # Trust chain intermediate certificate
-----BEGIN CERTIFICATE-----
MIIEaTCCA1GgAwIBAgILBAAAAAABRE7wQkcwDQYJKoZIhvcNAQELBQAwVzELMAkG
C33JiJ1Pi/D4nGyMVTXbv/Kz6vvjVudKRtkTIso21ZvBqOOWQ5PyDLzm+ebomchj
SHh/VzZpGhkdWtHUfcKc1H/hgBKueuqI6lfYygoKOhJJomIZeg0k9zfrtHOSewUj
...
dHBzOi8vd3d3Lmdsb2JhbHNpZ24uY29tL3JlcG9zaXRvcnkvMDMGA1UdHwQsMCow
KKAmoCSGImh0dHA6Ly9jcmwuZ2xvYmFsc2lnbi5uZXQvcm9vdC5jcmwwPQYIKwYB
K1pp74P1S8SqtCr4fKGxhZSM9AyHDPSsQPhZSZg=
-----END CERTIFICATE-----

# Trust chain root certificate
-----BEGIN CERTIFICATE-----
MIIDdTCCAl2gAwIBAgILBAAAAAABFUtaw5QwDQYJKoZIhvcNAQEFBQAwVzELMAkG
YWxTaWduIG52LXNhMRAwDgYDVQQLEwdSb290IENBMRswGQYDVQQDExJHbG9iYWxT
aWduIFJvb3QgQ0EwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDaDuaZ
...
jc6j40+Kfvvxi4Mla+pIH/EqsLmVEQS98GPR4mdmzxzdzxtIK+6NiY6arymAZavp
38NflNUVyRRBnMRddWQVDf9VMOyGj/8N7yy5Y0b2qvzfvGn9LhJIZJrglfCm7ymP
HMUfpIBvFSDJ3gyICh3WZlXi/EjJKSZp4A==
-----END CERTIFICATE-----
    注記: PEMエンコード形式の詳細については、 RFC 1421 を参照してください
  • テナントのバニティー・ホスト名を使用して証明書チェーンが正しく構成されたことの確認を受け取ります。 確認を受け取ったら、発行されたクライアント証明書を、ユーザー・ランチパッドだけでなく、SAML 認証および OIDC 認証にも使用できます。
注: クライアント証明書認証を機能させるには、パブリックにアクセス可能な CRL 配布または OCSP エンドポイント (クライアント証明書に保存されている) が必要です。

このタスクについて

Verify は、複雑なタスクを実行するいくつかの機能へのアクセスをサポートします。 独自の基本サービス・プロバイダーや、カスタム・サービス・プロバイダーの開発に一般的に使用されるその他のアプリケーション・インターフェースなど。 X.509 デジタル署名証明書には、多くの利点があります。 2 つの重要な点は、 certificate revocation listscertification path validation algorithm が最終的にトラスト・アンカーに到達することです。

注記: デジタル署名証明書 X.509 に関する詳細については、 証明書を X.509 参照してください。 より詳細な検討については、 RFC 5280 を参照のこと。

手順

  1. 認証 > 証明書プロバイダー を選択
  2. 「証明書プロバイダーの追加」を選択します。
  3. 「一般設定 (General settings)」を指定します。
    1. 証明書プロバイダーに分かりやすい名前を付け、ID プロバイダーを設定します。
    2. ユーザーの認証に使用する ID プロバイダーを選択します。 一般的に使用される ID プロバイダーは、以下のとおりです。
      • Cloud Directory
      • IBMid
      注: 証明書プロバイダーの作成後に ID プロバイダーを変更することはできません。
    3. ユーザー・アカウントをプロビジョンするには、 「JITP (ジャストインタイム・プロビジョニング)」 チェック・ボックスを選択します。
  4. 「次へ」をクリックします。
  5. ユーザー・プロパティーを構成します。 ユーザーを認証し、ユーザー・プロファイルを作成するために、証明書から送信されるユーザー属性を指定する。
    1. オプション: 証明書属性を選択します。
      注: ユーザーは複数の行を追加できます。
    2. IBM Security Verify 属性を選択します。 この選択は、管理者が選択または作成した過去の属性に基づいています。
      注:

      既存の属性から 1 つのオプションを選択できます。 デフォルトでは、属性は以下のとおりです。

      None - Do not map

      None - Do not mapを選択した場合は、以下を構成できません。

      • Transformation value
      • Store attribute in user profile
    3. メニューから 「変換値」 を選択します。
    4. 「ユーザー・プロファイルに属性を保管」 メニューからオプションを選択します。
      • 常時 - ログインのたびに属性を保管または更新します。
      • ユーザー作成時のみ - アカウント作成時に属性を 1 回保管します。
      • 使用不可 -属性を保管または更新しません。
      最初の user attributesを構成した後、 「属性マッピングの追加」 をクリックして、さらにマッピングを追加します。
      注: 任意の数の属性マッピングを追加できます。
    5. 「固有ユーザー ID」を選択します。 この ID は、 Verify アイデンティティー・プロバイダー内の既存のユーザーにリンクするために使用される証明書属性です。
    6. 「要求ルール」 オプションでカスタム・ルールを作成して、属性値を計算します。
      サンプル・ルールの例を以下に示します。
      requestContext.subjectAlternativeNameEmail.size() != 0 ? requestContext.subjectAlternativeNameEmail[0].split('@')[0] : requestContext.subjectCN[0].split('.')[0]
      要求ルールをテストして、意図したとおりに動作することを確認してください。 結果に対して 「テストの実行」 をクリックします。 これは、サンプル入力に基づく戻り値です。
  6. 証明書チェーンの場合、以下のステップを実行して、発行元の中間認証局またはルート認証局のサブジェクト鍵 ID を指定します。
    1. 以下の Openssl コマンドを使用して、即時認証局の Subject Key Identifier を見つけます。
      openssl x509 -inform pem -in $input-filename -text -noout
    2. ラベル「X.509v3 extensions」のセクションをクリックし、「X.509v3 Subject Key Identifier」を選択します。 指定した値をコピーしてボックスに入力します。
      注: 証明書プロバイダーの作成後にこの値を変更することはできません。
  7. 構成をテストします。 選択します。 「次へ」。 インターフェースは、 テナント認証URL を提供します。 URLをコピーして、 IBM Verify に接続してみてください。
    注: IBM Verify テナントで使用する前に、証明書プロバイダーを有効にする必要があります。
  8. 「セットアップの完了」をクリックします。 プロンプトにより、構成に関連する一部の情報を管理または更新するためのグローバル設定にリダイレクトされます。
  9. オプション: 作成した証明書プロバイダーの一覧を表示するには、[証明書プロバイダー] をクリックします。
    1. 使用する証明書プロバイダーを enable または 削除 するには、 「オプションのリスト (List of options)」 をクリックします。

トラブルシューティング

構成が機能しない場合は、以下の理由が考えられます。

X.509 証明書プロバイダのオンボーディングのためのすべての手順が完了し、テスト構成ページで URL をテストしても証明書のプロンプトが表示されない場合:

  • バニティー・ホスト名が使用されていることを確認してください。
  • サポート経路を介して証明書チェーンが IBM Verify に提供されていることを確認してください。

X.509 のオンボーディングのすべてのステップが完了しているにもかかわらず、テスト構成ページのURL にアクセスした際に証明書のプロンプトが表示されず、認証が機能しない場合:

  • 証明書プロバイダーが有効になっていることを確認してください。
  • JITP が有効になっている場合は、指定された ID プロバイダーでユーザーが作成されていることを確認してください。
  • JITP が無効になっている場合は、指定された ID プロバイダーにユーザーが存在することを確認してください。

X.509 証明書プロバイダーのオンボード後に uniqueUserIdentifier 属性が変更された場合、初めて証明書を使用して認証を行う新しい認証とユーザーにのみ適用されます。

JITP が有効になっている場合は、特定の ID プロバイダーで初めて作成されたユーザー用。

デフォルトでは、 X.509 証明書プロバイダーは無効になっています。管理者は、テスト構成を試行する前に有効にする必要があります。