クライアント認証オプションのご利用方法
クライアント認証は、クライアント証明書をインストールしている端末でのみトラスト・ログインにログインできる認証強化機能です。
メンバー一人に対して1枚の証明書が発行され、複数の端末へインストールする場合はファイルをコピーしてご利用いただきます。
証明書をコピーして他の端末にインストールする
※ トラスト・ログインのクライアント認証オプションへのお申し込みが必要です。
※ 本オプションで取得いただけるクライアント証明書は、トラスト・ログインにログインする際の認証強化を目的とするものとして提供しております。
※ デバイス証明書オプションと併用した場合は、デバイス証明書オプションの方が優先されます。クライアント認証オプションの証明書ではログインできなくなりますのでご注意ください。
「クライアント認証」で発行する証明書のサブジェクト
トラスト・ログイン認証用プライベート証明書のサブジェクトは以下の通りです。
CN=[メンバーメールアドレス]
OU=Certificate for TrustLogin
OU=[企業ID]
O=For user authentication
C=JP
クライアント認証の基本設定
-
「管理ページ」にログインし、「設定 > オプション機能 > クライアント認証 の右にある設定」を開きます。
- 「クライアント認証 設定」の一覧にある「トラスト・ログイン クライアント認証」をクリックします。
- ログイン可能な端末の設定は以下の通り行います。
「編集」ボタンで「証明書のダウンロードを許可する」「クライアント証明書がないとログインできないようにする」のオン/オフを切り替えられます。(緑がオンの状態)
※操作者を本オプションに割り当てた状態で「クライアント証明書がないとログインできないようにする」を「オン」にするとすぐに強制ログアウトされ、クライアント認証なしではログインできなくなります。必ずクライアント証明書を取得してから「オン」に変更するようにしてください。
※本動作は、割り当て時点の設定で各ユーザに適用されます。
設定変更後も、割当時の動作となります。
②クライアント証明書がないとログインできないようにする ① 証明書のダウンロードを許可する メンバーが証明書をダウンロードしたかどうか ログイン可能な端末 オン オン ダウンロード済 クライアント証明書がインストールされたデバイスのみ 未ダウンロード クライアント証明書がインストールされたデバイスのみ(管理者による取得が必要) オフ ー クライアント証明書がインストールされたデバイスのみ(管理者による取得が必要) オフ オン ダウンロード済 クライアント証明書がインストールされたデバイスのみ 未ダウンロード どのデバイスからもログインできる オフ ー どのデバイスからもログインできる
[1]クライアント認証オプションを利用するメンバーの割り当て
- 「クライアント認証 設定」の一覧にある「トラスト・ログイン クライアント認証」をクリックします。
- 右上にある「メンバー追加」または「グループを追加」から、クライアント認証を利用するメンバーをアサインします。
※「クライアント証明書がないとログインできないようにする」を「オン」にした状態で、操作者を「メンバーを追加」「グループを追加」でオプションに割り当てると強制ログアウトされ、クライアント認証なしではログインできなくなります。この操作は別の管理者に対応をご依頼ください。
[メンバーを追加する場合]
- 「メンバー追加」をクリックします。
- 追加するメンバーにチェックを入れ、「登録」を押します。
[グループを追加する場合] ※あらかじめグループを作成しておく必要があります。
- 「グループを追加」をクリックします。
- 割り当てをしたいグループを選択し、「登録」を押します。
[2]クライアント証明書の発行、配布
1)管理者が証明書をダウンロードする場合
証明書の発行
- 「トラスト・ログイン クライアント認証」画面にある「証明書未発行メンバー」をクリックします。
- 証明書を発行したいメンバーにチェックを入れ、「証明書ダウンロード」をクリックします。
※ 一度に最大1000件まで証明書のダウンロードが可能です。(通常は100件で30分、1000件で4時間程度かかります。)
-
ダウンロードした際の圧縮ファイル用のパスワードを設定し、「ダウンロード」をクリックします。
※パスワードは 記号・数字・英小文字・英大文字を含む12~50文字 で設定してください。
- 証明書の準備ができましたら、管理者のメールアドレス宛に下記のシステムメールが届きます。
記載されているダウンロードURLより証明書を取得してください。証明書はzipファイル内のp12ファイル(PKCS12形式)となります。
※ 証明書の発行件数によりメールが届くまでお時間がかかる場合がございます。同メンバーに対して重複して発行を行わないようご注意ください。
件名:「クライアント証明書 準備完了のお知らせ」
- ダウンロードURLよりダウンロードしたzipファイル内の password.txt というテキストファイルを開く際に先ほど設定した圧縮ファイル用のパスワードを入力します。
- 証明書 保護パスワードが各メンバー毎に記載されていますので、クリップボードにコピーしてください。
[運用のヒント]
■ クライアント証明書の配布について 資産管理やMDMを指定せずメンバーが証明書ファイルをダウンロードする方法は 2)メンバーが証明書をインストールする場合 ※証明書ファイルをPCから別デバイスに転送する際は、安全な経路をお使いください。
特に証明書の保護パスワードは平文では送信しないようご注意ください。
|
証明書ファイルのインストール
- インストールする端末に、上記「1)管理者が証明書をダウンロードする場合」でダウンロードしたp12ファイル(PKCS12形式)を置きます。
※p12ファイルはコピーすることができます。複数端末でご利用を行う場合こちらのファイルを他の端末にお送りください。 - p12ファイルをダブルクリックすると、証明書のインポートウィザードが開きます。
- 証明書の保存場所が「現在のユーザー」になっているのを確認し、「次へ」をクリックします。
- インポートするファイルが指定のp12ファイルになっているのを確認し、「次へ」をクリックします。
- 秘密キーのパスワードを入力する項目に、password.txt に記載されていた証明書 保護パスワードを入力し、「次へ」をクリックします。
- ラジオボタンが「証明書の種類に基づいて、自動的に証明書ストアを選択する」にチェックされているのを確認し、「次へ」をクリックします。
- 「完了」をクリックします。
クライアント認証の有効化
対象メンバー全員の端末に証明書がインストールされたのを確認できましたら、「トラスト・ログイン クライアント認証」の設定画面にある「クライアント証明書がないとログインできないようにする」を有効化してください。以降のトラスト・ログインへのログイン時には、クライアント認証が必須となります。
2)メンバーが証明書をインストールする場合
証明書の発行(管理者)
「トラスト・ログイン クライアント認証」の設定で、「証明書のダウンロードを許可する」のトグルをオンにして有効化し保存します。
証明書ファイルのインストール(メンバー)
- ログイン後、マイページ右上の「プロフィール」を開きます。
- 「証明書ダウンロード」を押下します。
-
「証明書 保護パスワード」を入力する画面が表示されるので、ご自身でパスワードを設定してください。
※パスワードは記号・数字・英小文字・英大文字を含む12~50文字で設定してください。
- 「ダウンロード」をクリックします。証明書を取得するとトラスト・ログインにログインする際のクライアント認証が有効になります。
- ダウンロードしたp12ファイル(PKCS12形式)をダブルクリックすると、証明書のインポートウィザードが表示されます。
- 保存場所が「現在のユーザー」になっているのを確認し、「次へ」をクリックします。
- インポートするファイルが指定のp12ファイルになっているのを確認し、「次へ」をクリックします。
- 秘密キーのパスワードを入力する項目に、先ほど設定した証明書 保護パスワードを入力して、「次へ」をクリックします。
- ラジオボタンが「証明書の種類に基づいて、自動的に証明書ストアを選択する」にチェックされているのを確認し、「次へ」をクリックします。
9. 「完了」ボタンを押すと、証明書がインポートされます。
※証明書をインストールしたあとブラウザの再起動が必要です。
ブラウザ別 証明書ストアの確認方法証明書がインポートされているかを確認するため、ブラウザ別に証明書ストアの確認方法をご案内します。 [Google Chromeの場合] 設定 > プライバシーとセキュリティ > セキュリティ > 証明書の管理 から証明書ストアを確認できます。 [Microsoft Edgeの場合] 設定 > プライバシー、検索、サービス > セキュリティ > 証明書の管理 から証明書ストアを確認できます。
|
[3]クライアント認証の制限が行われたユーザーでログインする方法
- トラスト・ログインのログインフォームで、「企業ID」と「メールアドレス」を入力します。
- 「証明書の選択」ダイアログが表示されるので、インストールしたクライアント証明書を選択して、「OK」を押します。
※ 証明書が複数表示される場合は、証明書の件名がご自身のメールアドレス、発行元が「TrustLogin Client Authentication CA」となっている証明書をご選択ください。
(以前に発行された、発行元が「SKUID Client Authentication CA」となっている証明書は、期限が切れない限り継続してご利用いただけます。)
-
正しい証明書を選択すると、パスワード入力画面が表示されるので、通常通りログインしてください。
※ 正しい証明書を選択しなかった場合、「このクライアント証明書は管理者に許可されたものではありません。」とエラーが表示されます。証明書の選択を間違えた場合は、ブラウザの再起動が必要になります。
※ クライアント認証時、SAML認証併用時やブラウザ以外のデスクトップアプリやモバイルアプリなどではアプリ側の仕様によりご利用いただけない場合があります