Entra ID の証明書ベース認証
証明書ベースの認証は、Entra ID リソースへのアクセスに対する強力なセキュリティ代替手段を提供します。この記事では、証明書管理を効率化するために SCEPman を証明機関として利用してこの方法を構成する手順を説明します。
SCEPman CRL を有効にする
CRL の有効化Entra ID は証明書を検証するために CRL を必要とします。CRL を利用可能にするために、アプリサービスで次の環境変数を設定してください:
CRL をダウンロードできるように URL に使用されるカスタム文字列としてこれを設定します。
これは SCEPman が CRL を構築するためのソースです。これが に設定されていることを確認してください ストレージ
Entra ID のセットアップ
Entra セキュリティ センターで PKI を作成する
Entra ID で、次に移動します 保護 > セキュリティ センター > 公開鍵基盤, をクリックし PKI を作成 し、表示名を一致するものに選択します。
証明機関を追加
新しく作成した PKI に移動し、をクリックします 証明機関の追加 SCEPman インスタンスの CA 証明書をアップロードします。この証明書は、そのホームページの右側のメニューから取得できます (CA 証明書を取得).
証明書失効リストの URL には、次の形式の URL を入力できます:
https://scepman.contoso.com/crl/pem/{YourCrlRequestToken}必ず次の部分を含めてください /pem/ Entra がデフォルトの DER 形式を使用した場合に互換性の問題が発生する可能性があるため、URL にこのパスを含めてください。
これで、以下のような証明機関ができているはずです:
認証方法で CBA を有効にする
CA が配置されたら、次に進み、で証明書ベースの認証を有効にできます 保護 > 認証方法 > ポリシー
に移動し 証明書ベースの認証 ポリシーを有効にし、この方法の使用をすべてのユーザーまたは特定のグループのいずれかに許可します:
証明書ベースの認証を構成する
に切り替え 構成 タブに移動してオプションを確認します:
CRL 検証を要求する:✅
これはこの方法が提供するセキュリティの重要な部分です。CRL は Entra ID にどの証明書が失効しており認証に使用できないかを知らせます。
発行者ヒント :✅
発行者ヒントを有効にすると、認証時に構成された CA によって発行された証明書のみが表示されます。
認証バインディングの既定設定はそのままにして、先ほど作成した証明機関を許可するルールを作成してください:
認証強度:
これはこの CA を使用した認証の重みを定義します。を選択すると シングルファクタ認証、アクセスするアプリケーションによっては別の認証方法が必要になることがあります。
アフィニティバインディング:
アフィニティバインディングは、認証を許可するためにユーザー オブジェクト内の相関データと一致する必要がある証明書の必要な詳細を定義します。SCEPman は現在ユーザー オブジェクトに証明書情報を追加できないため、必要な情報を手動で構成しない限り、を設定することをお勧めします Low に設定することをお勧めします
認証強度とアフィニティバインディングの設定は、特定の使用ケースやこの認証方法で保護したいアカウントの種類に大きく依存します。高い特権を持つユーザーを保護したい場合は、高いアフィニティを得るためにユーザー アカウントに証明書情報を手動で追加することを検討してください。
使用法
構成が整うと、ユーザーはを選択できます 証明書またはスマートカードを使用する:
すると、認証に使用する証明書の選択が求められます。
高アフィニティバインディングのために証明書マッピングを手動で追加する
高アフィニティバインディングのみを使用して CBA を有効にしたい場合は、ユーザーの承認済み情報に証明書の詳細を手動で入力できます。
Entra ID のユーザーのプロパティに移動して編集し、次にを編集します 証明書ユーザー ID:
これらの ID の必要な形式は、認証方法のユーザー バインディングで構成されたフィールドによって異なります。形式の一覧は対応する次にあります Microsoft のドキュメント.
の例 SHA1PublicKey バインディング:
これは証明書のサムプリントを使用してユーザーの身元を強くマッピングする方法です。
最終更新
役に立ちましたか?