採用情報

お問い合わせ

BLOG

  1. HOME
  2. BLOG
  3. 電子認証局サービス BLOG
  4. クライアント認証ソリューション
  5. 【Microsoft Entra CBA】発行者とシリアル番号/サブジェクトを用いてクライアント認証してみた

電子認証局サービス BLOG

クライアント認証ソリューション

2024 年 05 月 23 日

【Microsoft Entra CBA】発行者とシリアル番号/サブジェクトを用いてクライアント認証してみた

以前、「Azure Active Directory で証明書ベースの認証を行ってみた 」や 「正式リリースされた Azure AD CBA で動作確認してみた 」で、Microsoft Entra CBA (旧 Azure AD CBA)の動作検証を行った結果、「サイバートラスト デバイス ID」の証明書を問題なくクライアント証明書としてご利用いただけることをお伝えしました。

Microsoft Entra CBA:Microsoft Entra 証明書ベースの認証の概要

今回は、先日 Microsoft Entra 証明書ベース認証 (CBA) の機能強化で追加された、IssuerAndSerialNumber ( 発行者とシリアル番号 ) と IssuerAndSubject ( 発行者とサブジェクト ) による認証について、動作検証を実施しました。

本記事ではその内容についてお話しします。

検証内容

デバイス ID 証明書に含まれる発行者(Issuer)の値と、シリアル番号(SerialNumber)もしくはサブジェクト(Subject)の値を Microsoft Entra ID のユーザーアカウントの認可情報として登録を行い、条件を満たした証明書をインストールしたユーザーだけが認証可能であることを確認しました。

事前準備

正式リリースされた Azure AD CBA で動作確認してみた 」と同じ手順で認証局証明書を登録および Microsoft Entra CBA の有効化や構成の設定をおこないます。

設定

1. 「ユーザー名バインド」の「ポリシー規則の追加」で以下を設定

  1. 証明書フィールド :「発行者とシリアル番号」もしくは「発行者とサブジェクト」
  2. ユーザー属性 :「CertficiateUserIds」

<発行者とシリアル番号の例>

2. 証明書ユーザー ID の編集

デバイス ID 証明書に含まれる発行者(Issuer)の値と、シリアル番号(SerialNumber)もしくはサブジェクト(Subject)の値を Microsoft Entra ID のユーザーアカウントの認可情報として紐づけました。

以下は、第四世代認証局(Cybertrust DeviceiD Public CA G4)から発行したデバイス ID 証明書を、シリアル番号を用いて紐づけた例です。

X509:<I>C=JP,O="Cybertrust Japan Co.,Ltd.",CN=Cybertrust DeviceiD Public CA G4<SR>54000040

<I>  :認証局証明書の情報
<SR> :シリアル番号
※シリアル番号はバイト配列の逆順で入力が必要です。
例 12345678 -> 78563412
<S> :デバイス ID 証明書のサブジェクトの情報
※カンマは区切り文字のため、カンマを含む値はダブルクォーテーション("")でテキストを囲む必要があります

以上で、この設定した証明書情報を持つ証明書を持っている場合にのみ、Microsoft Entra CBA でログインすることが可能となりました。

なお、「サイバートラスト デバイス ID」の証明書を使用する場合、UPN を認可情報として使用するため、従来は「UPN オプション」と「デバイス ID Premium オプション」を必須としていましたが、追加された本機能では不要となります。

その一方で、本手順の場合は新たに Microsoft Entra ID のユーザーアカウントの認可情報として登録が必要となりますので、お客様の運用状況に応じていずれかの方法をご選択いただければと思います。

まとめて登録するには?

今回ご紹介した方法の場合、証明書情報を紐づけたい Microsoft Entra ID のユーザーアカウントに対して一つずつ行う必要があり、対象のアカウントが多い場合、1つ1つ手作業で行うのはとても大変です。

そこで、当社では Microsoft 社の「Microsoft.Graph.Authentication」、「Microsoft.Graph.Users」モジュールを用いて、認可情報の登録や削除、変更を行うためのツール「Microsoft Entra ID 認可情報 登録ツール」を作成し、PowerShell でまとめて実行できるようにしました。

本ツールや設定手順につきましては、「サイバートラスト デバイス ID」のご契約者様専用の WEB サイト「サイバートラスト デバイス ID 運用ポータル」にて公開しております。
「サイバートラスト デバイス ID」は、 無償で 1 ヶ月間、10 台までの機器で評価いただけるトライアルキット を提供しており、トライアルのお申し込み完了時点から本ポータルをご覧いただけますので、ご興味がありましたら、是非ともお申し込みください。

< 前の記事へ
医師の2024年問題!~スマートフォンを活用した医療現場における業務効率化とは?~
次の記事へ >
改正地方自治法成立!地方公共団体におけるサイバーセキュリティ強化が急務!
最新 BLOG 記事
不登校の児童・生徒が過去最多!オンライン授業の必要性
不登校の児童・生徒が過去最多!オンライン授業の必要性
2024 年 11 月 18 日
【Meta Quest】Meta Quest 3 でクライアント認証をしてみた
【Meta Quest】Meta Quest 3 でクライアント認証をしてみた
2024 年 10 月 30 日
最新版「建設現場における情報セキュリティガイドライン」に見る不正アクセスの解決策とは?
最新版「建設現場における情報セキュリティガイドライン」に見る不正アクセスの解決策とは?
2024 年 10 月 18 日
マイナ免許証の登場による本人確認への影響
マイナ免許証の登場による本人確認への影響
2024 年 10 月 08 日
ランサムウェア「Akira」による攻撃が続く!いますぐに行うべき対策とは?
ランサムウェア「Akira」による攻撃が続く!いますぐに行うべき対策とは?
2024 年 09 月 20 日
Chromebook の不正アクセス対策とは?~ GIGA スクールの端末で必要なセキュリティ対策【後編】 ~
Chromebook の不正アクセス対策とは?~ GIGA スクールの端末で必要なセキュリティ対策【後編】 ~
2024 年 09 月 19 日
カテゴリ
CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime