【OneLogin × デバイス ID】デバイス ID 証明書を保持したクライアント端末で証明書認証をしてみた

以前、クラウド型 ID 管理サービス（IDaaS）である「OneLogin」で「サイバートラスト デバイス ID」を使用可能であるか、動作確認を行いました。

今回は、「OneLogin」の多要素認証（MFA）でクライアント証明書を用いた認証を行い、デバイス証明書を保持した端末だけが「OneLogin」にアクセスを可能とする認証設定を行った時の話をご紹介します。

事前準備

「OneLogin」で設定を行う前に以下の準備を行いました。

• 「サイバートラスト デバイス ID」の証明書をアクセスする端末へ配付
• サードパーティの証明書を使用可能にするために、「サイバートラスト デバイス ID」の中間CA証明書※と認証局証明書をあらかじめダウンロードし、サービス事業者経由で OneLogin のサーバへの登録を依頼

※「サイバートラスト デバイス ID」の中間CA証明書は、お客様毎に認証局を提供する「デバイス ID Premium オプション」をお申込みいただくことで利用可能です。

多要素認証（MFA）の設定

「OneLogin」のポータルサイトにログインし、以下のポリシー設定を行いました。

1. 信頼されたデバイスであることを必須とするため、[Device Trust Required]にチェック
2. 「サイバートラスト デバイス ID」を使用したいので、サードパーティの証明書を使用可能とする[3rd Party Certificates Enabled]にチェック
3. 事前準備で「OneLogin」のサーバに登録済みの中間 CA 証明書を選択できるようになるので、[Select Certificates for Validation] でその証明書を選択

その後、実際に使用する中間CA証明書のデータをインポートしました。

たったこれだけの設定で、ID/パスワードに加えて、証明書認証が必須とすることができました。

デバイスからアクセス

それでは、「サイバートラスト デバイス ID」の証明書を保持したデバイスだけがアクセス可能となったのか確認するため、実際に「OneLogin」 のポータルサイトにアクセスしてみます。

なお、今回は Microsoft Edge を使用しました。

まずは通常と同様にユーザー名とパスワードを入力します。

その後、認証用の証明書の選択画面が表示されます。

この選択画面は認証に使用可能な証明書が端末にインストールされている場合にだけ表示されます。使用可能な証明書がない場合にはこの画面は表示されず、ログインできません。

この後、画面の指示に従ってブラウザの拡張機能をインストールした後に、無事ログイン完了となりました。

最後に

今回ご紹介した「サイバートラスト デバイス ID」と「OneLogin」の連携により、厳格な端末認証を実現することができます。

加えて、多要素認証（MFA）でクライアント証明書を用いた認証を行うことで、悪意のある第三者からの不正アクセスを防ぐことが可能です。

「サイバートラスト デバイス ID」は、無償で 1 ヶ月間、10 台までの機器で評価いただけるトライアルキットを提供しており、トライアルのお申し込み完了時点から本ポータルをご覧いただけますので、ご興味がありましたら、是非ともお申し込みください。