スマートカード認証のインストール手順構成

スマートカード オプションを使用して Control Room を構成し、ユーザーを認証します。

前提条件

タスクを実行するには、必要な権限と許可のある Control Room 管理者アカウントを持っている必要があります。

以下の手順で、スマートカード、X.509 証明書認証を使用できるように Cloud Control Room を設定します。

手順

  1. Control Room ロード バランサーを指すようにセカンダリ ホスト名を設定します。
    この処理では、Control Room がスマート カード認証用に設定されている場合に、認証要求に使用されるセカンダリ ホスト名を定義します。セカンダリ ホスト名は、Control Room ロード バランサー内で自動的に設定されます。プライマリ ホスト名とセカンダリ ホスト名の両方を、Control Room 環境で使用される DNS システム内で設定すする必要があります (プライマリ ホスト名とセカンダリ ホスト名の DNS エントリを追加します - Control Room 外部)。
  2. 信頼できる CA 証明書で Java キー ストアを取得する方法
    Control Room が、ユーザー ログインのユーザー証明書の認証に使用される認証局 (CA) 証明書をチェックする場所を設定します。
    注: この場所にある証明書は、ユーザー証明書を発行する CA のサーバー証明書です。
    オプションアクション
    次の場所を定期的にスキャンする

    この設定により、管理者は、CA 証明書を含むキーストア ファイルのパスを定義することができます。CA トラストストアを定期的に更新し、スキャンの頻度を設定する場合は、この設定を使用します。

    手動でキー ストアをアップロード

    この設定により、管理者は、CA 証明書を含むキーストア ファイルをロードできます。CA が既知で静的であり、キーストアがパスワードで保護されているかどうかを示す場合は、この設定を使用します。キーストアがパスワードで保護されている場合は、パスワードを入力し確認します。

  3. 失効チェック方法を選択します。
    失効チェックは、Control Room が、取り消された証明書に対する認証要求を拒否するように設定します。
    オプションアクション
    オンライン証明書ステータス プロトコル (OSCP) CA に OSCP が実装されている場合、この設定を使用します。
    証明書失効リスト 取り消された証明書の静的なリストを維持する場合は、この設定を使用します。
    失効チェックがありません この設定を使用すると、Control Room は失効チェックを行いません。
    注: これは、失効が通常使用される実稼働のデプロイには推奨されません。
  4. [選択した方法が失敗した場合、他の方法を使う]
    この設定は、設定された方法が失敗した場合、選択されていない失効チェック方法を試行します。
  5. [失効ステータスを特定できない場合でも、ユーザーに認証を許可する]
    この設定は、失効チェック方法のいずれかが失敗した場合に、ユーザーが認証できることを保証するために使用します。
  6. ユーザー名マッピングを設定します。
    ユーザー名マッピングは、ユーザー証明書のどの属性を Control Room ユーザー名に使用するかを指定します。ユーザー名は、ユーザーが Control Room にログインする前に Control Room に設定する必要があり、証明書から取得したユーザー名と一致する必要があります。
    1. ユーザー名の取得先:
      証明書の件名
      Control Room ユーザー名がユーザー証明書のサブジェクト フィールドの文字列と同じである場合は、この設定を使用します。
      ユニバーサル プリンシパル名
      Control Room ユーザー名がユーザー証明書の [ユニバーサル プリンシパル名] フィールドの文字列と同じである場合は、この設定を使用します。
    2. [正規表現を使用]
      ユーザー証明書の選択したフィールドから Control Room ユーザー名をフィルタリングする正規表現を入力します。Control Room ユーザー名が選択した証明書フィールド内のデータと同じである場合、これは必要ない場合があります。
  7. 名マッピングを設定します。
    名マッピングは、ユーザー証明書のどの属性を Control Room ユーザー名に使用するかを指定します。名は、ユーザーが Control Room にログインする前に Control Room に設定する必要があり、証明書から取得した名と一致する必要があります。
    1. 名の取得先:
      証明書の件名
      Control Room 名がユーザー証明書のサブジェクト フィールドの文字列と同じである場合は、この設定を使用します。
      ユニバーサル プリンシパル名
      Control Room ユーザー名がユーザー証明書の [ユニバーサル プリンシパル名] フィールドの文字列と同じである場合は、この設定を使用します。
    2. [正規表現を使用]
      ユーザー証明書の選択したフィールドから Control Room ユーザーの名をフィルタリングする正規表現を入力します。Control Room ユーザーの名が選択した証明書フィールド内のデータと同じである場合、これは必要ない場合があります。
  8. 姓マッピングを設定します。
    姓マッピングは、ユーザー証明書のどの属性を Control Room ユーザー名に使用するかを指定します。姓は、ユーザーが Control Room にログインする前に Control Room に設定する必要があり、証明書から取得した姓と一致する必要があります。
    1. [姓の取得先:]
      証明書の件名
      Control Room 姓がユーザー証明書のサブジェクト フィールドの文字列と同じである場合は、この設定を使用します。
      ユニバーサル プリンシパル名
      Control Room ユーザー名がユーザー証明書の [ユニバーサル プリンシパル名] フィールドの文字列と同じである場合は、この設定を使用します。
    2. [正規表現を使用]
      ユーザー証明書の選択したフィールドから Control Room ユーザーの姓をフィルタリングする正規表現を入力します。Control Room ユーザーの姓が選択した証明書フィールド内のデータと同じである場合、これは必要ない場合があります。
  9. E メール アドレス マッピングの設定
    E メール アドレス マッピングは、ユーザー証明書のどの属性を Control Room ユーザー名に使用するかを指定します。E メール アドレスは、ユーザーが Control Room にログインする前に Control Room に設定する必要があり、証明書から取得した姓と一致する必要があります。
    1. [姓の取得先:]
      証明書の件名
      Control Room E メール アドレスがユーザー証明書のサブジェクト フィールドの文字列と同じである場合は、この設定を使用します。
      ユニバーサル プリンシパル名
      Control Room ユーザー名がユーザー証明書の [ユニバーサル プリンシパル名] フィールドの文字列と同じである場合は、この設定を使用します。
    2. [正規表現を使用]
      ユーザー証明書の選択したフィールドから Control Room ユーザーの E メール アドレスをフィルタリングする正規表現を入力します。Control Room ユーザーの E メール アドレスが選択した証明書フィールド内のデータと同じである場合、これは必要ない場合があります。
  10. [次へ] をクリックします。