認証局を構成する

認証局(CA)は、デジタル証明書の管理および発行を行う信頼できるエンティティです。デジタル証明書は公開鍵の所有権を示し、デバイスのオンラインIDを表します。

管理対象デバイスを必要とするアプリのサインオン・ポリシーをOktaが評価する際、Oktaではクライアント証明書がインストールされているかどうかを確認することで、各デバイスの管理ステータスを識別します。Oktaでは、証明書を使用してデジタル署名を作成し、サーバー上で検証することによって、証明書がインストールされていることを証明します。CAを構成すると、デバイスにクライアント証明書を発行して、この操作をサポートできるようになります。OktaをCAとして構成することも、独自のCAを提供することも可能です。

注

CAとしてのOktaは、Okta Identity Engineでのみ使用できます。

オプション1:OktaをCAとして構成する

OktaをCAとして構成することで、時間を節約し、証明書の発行方法を合理化して、独自の公開鍵インフラストラクチャ(PKI)の複雑で高コストなデプロイと保守を避けることができます。

注

Oktaは、発行されたものの、成功した認証で90日以内に使用されなかったデバイス証明書を取り消します。

注

提示される手順は、Oktaがテストした構成に基づいています。

OktaをCAとして構成するには、モバイル・デバイス管理(MDM)ソリューションでSimple Certificate Enrollment Protocol(SCEP)プロファイルを作成してから、OktaでSCEP URLを生成します。Oktaでは、SCEPチャレンジを生成するために次の方法を提供しています。

オプション2:独自のCAを提供する

環境に次のいずれかがある場合、独自のCAを提供できます。

  • MDMソリューションと統合されたPKI
  • 既存のActive Directory証明書サービス(ADCS)インフラストラクチャ
注

独自のCAを提供する場合、Oktaは証明書の失効をサポートします。Oktaは、証明書失効リスト(CRL)で失効した証明書または保留中の証明書を確認し、それらの証明書による管理シグナルの送信をブロックします。Oktaは、HTTPプロトコルまたはHTTPSプロトコルを使用するCRLエンドポイントと、管理者がアップロードしたものと同じ中間証明書によって署名されたCRLのみをサポートします。クライアント証明書には、証明書配布ポイントのURI(Uniform Resource Identifier)も含める必要があります。これらの条件が満たされると、OktaはCRLをダウンロードして、CRLにあるすべての証明書を取り消します。証明書失効タスクは、1日に数回実行されるバックグラウンド・プロセスで実行されます。証明書が失効としてマークされている場合、クライアントはその証明書を使用して管理ステータスを設定することはできません。システム・ログのイベントを確認して、証明書がいつ取り消されるかについての詳細を確認してください。

Device Trust向けに独自の認証局を提供するを参照してください。