iOSの派生資格情報

派生資格情報によって、モバイルデバイスに強力なユーザー認証が得られます。資格情報は、スマートカードから派生したもので、カードの代わりにモバイルデバイスの中に存在します。スマートカードは、Personal Identity Verification(PIV)カードです。

派生資格情報は、UPNなどのユーザー識別子を含む登録証明書です。XenMobileは、資格情報プロバイダーから取得した資格情報を、デバイスのセキュアなボールトに保管します。

XenMobileでは、iOSデバイスの登録と認証に派生資格情報を使用できます。派生資格情報用に構成された場合、XenMobileではiOSデバイスの登録招待状や他の登録モードはサポートされません。派生資格情報用に設定されたサーバーには、Androidデバイスを登録しないことをお勧めします。

要件

  • 以下の派生資格情報ソリューションの1つです。
    • Intercede 3.14以降。Intercedeの要件については、https://www.intercede.com/solutions-derived-credentialsを参照してください。 Citrixは、XenMobileがIntercede派生資格情報ソリューションをサポートすることを確認しました。Apple App Storeのアプリ名は、MyID for Citrix です。

      ユーザーは、XenMobileに登録する 前にMyID for Citrix をデバイスにインストールしてください。

    • その他の派生資格情報ソリューション

      その他の資格情報ソリューションのほとんどは、おそらくXenMobileと互換性がありますが、実稼働させる前に統合テストをしてください。

  • XenMobile Server 10.6(最小バージョン)
    • Enterprise(XME)モードの構成
    • 資格情報プロバイダーサーバーに証明書を発行する証明機関のルート証明書を持つ必要があります。その設定によって、XenMobileは登録中にデジタル署名済みの証明書を受信することができます。証明書の追加について詳しくは、「証明書と認証」を参照してください。
    • ユーザーのメールドメインがLDAPドメインと異なる場合は、メールドメインを、[設定]>[LDAP]ドメインエイリアス 設定に含めます。たとえば、メールアドレスのドメインがmyID.comで、LDAPドメイン名がsample.comの場合は、ドメインエイリアスsample.com, myID.comに設定します。
    • XenMobileは共有デバイスで派生資格情報の使用をサポートしていません。
  • ユーザーID証明書
    • サブジェクトの別名フィールドのユーザー名は、SujectAltName拡張のotherNameフィールド、rfc822Nameフィールド、またはdNSNameフィールドの形式である必要があります。その他のフィールドはサポートされていません。サブジェクトの別名について詳しくは、RFC、https://www.ietf.org/rfc/rfc5280.txtを参照してください。
    • メールまたはCNのサブジェクトフィールド内のユーザIDはサポートされていません。
  • 証明書認証または証明書+セキュリティトークン認証用に構成されたNetScaler Gateway

    PKI構成の詳細については、「PKIエンティティ」を参照してください。

  • Secure Hub 10.8.15(最小バージョン)
  • Secure Mail 10.8.20(最小バージョン)
    • Apple App Storeのすべてのアプリに署名するには、同じデベロッパー証明書を使用します。

アーキテクチャ

登録の場合は、XenMobile Serverは、以下の図に示す通り、前の「要件」セクションで説明したコンポーネントに接続します。

派生資格情報登録のアーキテクチャ図

  • デバイス登録中に、Secure Hubは派生資格情報アプリから証明書を取得します。
  • 派生資格情報アプリは、登録中に資格情報管理サーバーと通信します。
  • 資格情報管理サーバーとサードパーティPKIプロバイダーについては、同一のサーバーを使用することも、別のサーバーを使用することもできます。
  • XenMobile ServerはサードパーティPKIサーバーに接続して、証明書を取得します。

登録後、コンポーネントは以下の図に示すように接続しています。

派生資格情報登録後のアーキテクチャ図

以下のセクションでは、XenMobileを派生資格情報プロバイダーと構成する方法、派生資格情報を登録のために有効にする方法、および派生資格情報を使用するデバイスを管理する方法について説明します。

派生資格情報の有効化

デフォルト設定では、XenMobileコンソールには、 [設定]>[派生資格情報] のページがありません。派生資格情報のインターフェイスを有効にするには:[設定]>[サーバープロパティ] の順に移動し、サーバー属性 [derived.credentials.enable] を追加してプロパティを true に設定します。

[サーバープロパティ]構成画面の画像

派生資格情報の構成

以下の手順は、XenMobileとの統合を計画している派生資格情報プロバイダー向けの実用的な構成があることを前提としています。次にXenMobileを構成すると、サーバーとの通信が可能になります。また、XenMobileに追加済みの派生資格情報のCA証明書を選択するか、CA証明書をインポートします。

そのCA証明書のオンライン証明書状態プロトコル(OCSP)サポートをアクティブにすることができます。OCSPについて詳しくは、「PKIエンティティ」の「任意CA」を参照してください。

  1. XenMobileコンソールで、[設定]>[iOSの派生資格情報] の順に選択します。

    派生資格情報構成画面の画像

  2. [プロバイダー] の下で:

    • 派生資格情報のプロバイダーを選択します。Citrixでは、XenMobileが Intercede をサポートすることを確認しています。プロバイダーに [その他] を選択した場合は、サーバーを実稼働させる前に統合テストをします。

    • アプリケーションURL (iOS): プロバイダーとして [Intercede] を選択する場合は、XenMobileにより [アプリケーションURL] が入力されます。プロバイダーとして [その他] を選択する場合は、派生資格情報プロバイダーからアプリケーションURLが取得されます。

      デバイスがプロバイダーに接続できない場合は、そのプロバイダーでアプリケーションURLを確認してください。アプリケーションURLを変更する必要がある場合があります。

    • オプションのパラメーター: 派生資格情報プロバイダーの中には、接続のパラメーターを指定する必要があるものもあります。たとえば、ベンダーがバックエンドサーバーのURLを指定することを要求する場合もあります。[追加] をクリックしてパラメーターを設定します。

  3. 派生資格情報の証明書の指定:証明書が既にXenMobileにアップロードされている場合は、[発行者 CA] からこの証明書を選択します。それ以外の場合は、[インポート] をクリックして証明書を追加します。[証明書のインポート] ダイアログボックスが開きます。

  4. [証明書のインポート] ダイアログボックスで、[参照] をクリックし、証明書を選択します。次に、 [参照] をクリックし、秘密キーファイルを選択します。

    派生資格情報構成画面の画像

  5. プロバイダーとして [Intercede] を選択する場合、XenMobileにより、[ユーザー識別子のフィールド][ユーザー識別子の種類] が入力されます。Intercedeの場合、[ユーザー識別子のフィールド]サブジェクトの別名 で、 [ユーザー識別子の種類]userPrincipalName です。その他の派生資格情報プロバイダーの情報については、そのプロバイダーに連絡し、設定を構成してください。

  6. 証明書失効のチェックにOCSPレスポンダーを使用することもできます。デフォルトでは、OCSPチェックはオフになっています。CA証明書のOCSPサポートをアクティブ化するには

    • [OCSPチェック][オン] に設定します。

    派生資格情報構成画面の画像

    • [OCSPのカスタムURLを使用] のオプションを選択します。デフォルトでは、XenMobileはOCSP URLを証明書([失効の証明書定義を使用] オプション)から抽出します。レスポンダーURLを指定するには、[カスタムを使用] をクリックしてURLを入力します。
    • レスポンダーCA[レスポンダーCA] から証明書を選択します。または、[インポート] をクリックし、次に [証明書のインポート] ダイアログボックスを使用して証明書を検索します。
  7. [保存] をクリックします。[派生資格情報] ダイアログボックスが表示されます。

    派生資格情報構成画面の画像

    • 派生資格情報構成を有効にするには、[保存] をクリックします。派生資格情報を使用するには、登録設定も構成する必要があります。

    • 派生資格情報構成を有効にして、そのまま [設定]>[登録] に進むには、[保存して登録に移動] をクリックします。

  8. 派生資格情報を登録のために有効にするには、[設定]>[登録] ページの [詳細な登録] の下にある 派生資格情報 (iOS のみ)] を選択して [有効化] をクリックします。

    登録構成画面の画像

  9. 確認ダイアログボックスが開きます。派生資格情報を有効にするには、チェックボックスを選択し、[有効化] をクリックします。

    登録構成画面の画像

  10. 派生資格情報登録のためにオプションを編集するには、[設定]>[登録] の順に選択し、 [派生資格情報 (iOS のみ)] を選択して、[編集] をクリックします。

派生資格情報を有効にした後:デバイス登録 レポートで、[登録モード] カラムに derived_credentials が表示されます。

派生資格情報を使用する場合の登録手順については、「派生資格情報を使用するiOSデバイス」を参照してください。

重要:

上記の手順を完了したら、XenMobile Serverを再起動する必要がある場合があります。

Secure Mail用にXenMobile Serverを構成する

Secure Mailが派生資格情報で正しく動作するようにするには、LDAP属性のクライアントプロパティを追加します。

クライアントプロパティ」の記事に記載された手順に従って、クライアントプロパティを追加します。次の情報を使用します:

  • キー: SEND_LDAP_ATTRIBUTES
  • 値: userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname},displayName=${user.displayName},mail=${user.mail}

[クライアントプロパティ]構成画面の画像

注:

派生資格情報を使用した登録手順の例については、「派生資格情報を使用したデバイスの登録」を参照してください。