クライアント証明書

クライアント証明書は、認証局(CA)によって発行されるデジタル証明書の一種です。モバイルデバイス管理(MDM)ソフトウェアは、CAとしてOktaを使用するか、顧客独自のCAを使用して(Oktaの「独自のCAを提供する」を参照)、デバイスにクライアント証明書を発行します。

Oktaではクライアント証明書をどのように使用しますか?

Oktaでは、クライアント証明書を使用して、デスクトップデバイス(macOSとWindowsのみ)が管理対象かどうかを判断します。

デバイスがOkta FastPassで正常に認証されると、Oktaはクライアント証明書を(ユーザーではなく)デバイスにバインドします。そして、クライアント証明書を使用してデジタル署名を作成し、サーバーで検証することにより、証明書のインストールを証明します。Oktaサーバーは、Okta FastPassプロトコルの管理証明を使用して、認証ポリシーの管理対象条件を満たします。

クライアント証明書のバインディングはどのように機能しますか?

クライアント証明書が安全にデプロイされていることを証明するため、Okta Universal Directoryから削除されたクライアント証明書や複数のデバイスで使用されたクライアント証明書をデバイスで再利用することはできません。これを実現するために:

  • クライアント証明書は、Okta FastPass認証が成功するとデバイスにバインドされます。

  • クライアント証明書は、ユーザーではなくデバイスにバインドされます。

  • 1つのクライアント証明書を複数のデバイスからデプロイしたり使用したりすることはできません。

CAはクライアント証明書のバインディングにどのように影響しますか?

クライアント証明書のバインディングルールは、クライアント証明書を発行する認証局(CA)によって異なります。

  • OktaをCAとして使用する:

    • Okta CAはクライアント証明書のライフサイクルを管理します。したがって、Oktaでは証明書ステータスの検証を実行するために証明書失効リスト(CRL)に依存する必要はありません。

    • クライアント証明書は、正常なOkta FastPassフローで使用されない場合、発行から91日目に取り消されます。この90日の間に、クライアント証明書をデプロイし、クライアント証明書を使用して認証ポリシー(管理証明)を有効にします。

    • 取り消されたクライアント証明書は再利用できません。

  • 独自のCAを提供する:

    • クライアント証明書は外部CAによって発行されるため、OktaではOkta FastPassで管理証明シグナルを処理する前にCRLを使用して証明書のステータスを確認します。これが機能するために、OktaではCAとクライアント証明書にCRL機能拡張が含まれている必要があります。

    • 管理証明の評価中にクライアント証明書がCRLでアクティブでないと識別された場合、Oktaはデバイスを非管理対象としてマークします。

    • CAとしてのOktaと同様に、クライアント証明書は、デバイスがOkta FastPassを使用して初めて正常に認証されたときにデバイスにバインドされます。

    • Windowsの場合、クライアント証明書はマシンストアではなく、現在のユーザーの証明書ストアにあります。ローカルのマシン証明書ストアを使用せざるを得ない場合は、ユーザーが秘密鍵にアクセスするために昇格が必要ないことを確認してください。

    macOSの場合は、クライアント証明書をデプロイするための適切なレベルを選択します。

    • デバイスのすべてのユーザーが確実に管理されるようにするには、[Computer Level(コンピューターレベル)]を選択します。

    • デバイスのMDMマネージドユーザーのみを管理対象として識別したい場合は、[User Level(ユーザーレベル)]を選択します。

    すべてのアプリケーションでクライアント証明書が利用できることを確認します。「管理対象デバイス向けに独自の認証局を使用する」「Appleデバイス向けのSCEP MDMペイロード設定」を参照してください。

デバイスのライフサイクルステータスは証明書のバインディングにどのように影響しますか?

デバイスのライフサイクルのステータスに応じて、クライアント証明書は有効、一時停止、または取り消しになります。

この画像は、デバイスのライフサイクルのステータスに基づいたクライアント証明書の状態を示しています。

セキュリティ上の理由から、クライアント証明書はデバイスのライフサイクル全体を通してデバイスに関連付けられます。ほかのデバイスには使用できません。

次の表で、デバイスのライフサイクルの各段階でのクライアント証明書の状態について説明します。

デバイスのライフサイクルのステータス

クライアント証明書の状態

説明
Active(アクティブ) 有効 クライアント証明書は、Okta FastPass認証が成功するとデバイスにバインドされます。クライアント証明書が有効であるため、デバイスユーザーは「managed(管理対象)」として扱われます。
Suspended(一時停止) 有効 クライアント証明書は有効ですが、ユーザー認証は認証ポリシーの「managed(管理対象)」条件を満たすための管理証明を提供できません。
無効化 Suspended(一時停止) クライアント証明書は有効ですが、ユーザー認証は認証ポリシーの「managed(管理対象)」条件を満たすための管理証明を提供できません。
Deleted(削除済み) 取り消し済み デバイスがOkta Universal Directoryから削除されると、そのデバイスに関連付けられていたクライアント証明書が取り消されるため、どのデバイスからも管理証明を提供するために使用できなくなります。今後同じデバイスを使用するには、そのデバイスからクライアント証明書を削除して、新しいクライアント証明書を再デプロイします。

関連項目

デバイスライフサイクル

管理証明に関するよくある質問

Jamf ProでmacOSの静的SCEPチャレンジを使用するCAとしてOktaを構成する

Workspace ONEでWindowsの静的SCEPチャレンジを使用するCAとしてOktaを構成する

Jamf ProでmacOSの動的SCEPチャレンジを使用するCAとしてOktaを構成する

MEM(旧Intune)でWindowsの委任SCEPチャレンジを使用するCAとしてOktaを構成する

MEM(旧Intune)でmacOSの委任SCEPチャレンジを使用するCAとしてOktaを構成する