X.509 認証の作動の概要。
X.509 ログイン動作
クライアント システムが Address Manager への HTTPS 接続を確立するときに、Address Manager はクライアントに X.509 証明書を要求します。ユーザは、X.509 認証に使用できるクライアント証明書を 1 つ以上持っている場合、通常は Web ブラウザで証明書を 1 つ選択するように求められます (正確な動作はユーザのオペレーティング システムやブラウザに依存します)。
ユーザが証明書を持っていない場合、またはユーザが (通常は証明書選択プロセスのキャンセルにより) 証明書の提供を選択しない場合、標準の Address Manager ログイン ページが表示され、X.509 認証は適用されません。
ユーザが証明書を選択した場合、証明書はブラウザから Address Manager に送信され、そこで証明書の整合性が検証されます。Address Manager Address Manager では、構成済みの Online Certificate Status Protocol (OCSP) レスポンダでの通信により、証明書が失効していないか検証されます。証明書がこれらのテストに失敗した場合、ユーザによるアクセスは却下されます。証明書がこれらのテストに合格した場合、ユーザの証明書は有効と見なされますが、まだログインしていない状態です。
証明書に一致するユーザがすでに Address Manager に存在している場合、そのユーザがログインされます。ユーザのログイン名は、クライアント証明書の件名属性に含まれる最後の CN (Common Name: 一般名) 要素から取得されます。これは、X.509 DN (Distinguished Name: 識別名) 形式になっていると予想されます。例えば、クライアント証明書の件名が CN=John Smith、CN=Users、DC=example、DC=corp の場合、ユーザのログイン名は John Smith になります。
ユーザが存在せず、1 つ以上の LDAP グループが Address Manager で構成されている場合、関連付けられた LDAP グループにユーザ名と一致する名前を持つメンバがいるかどうかが調べられます。ユーザがこれらの LDAP グループのうち 1 つ以上のグループのメンバであることが確認された場合、そのユーザが作成され、Address Manager で LDAP グループに関連付けられます。
ユーザが存在せず、LDAP グループが構成されていない場合、またはユーザが構成済みの LDAP グループに属していない場合、ユーザによるアクセスは却下されます。
X.509 ログアウト動作
X.509 認証済みユーザが Address Manager からログアウトすると、Web ブラウザを閉じて完全にログアウトする必要があるというメッセージが表示されます。Web ブラウザの動作によって、このような操作が必要になります。ユーザがブラウザを閉じない場合、Address Manager にアクセスしようとすると、ブラウザの証明書キャッシングにより自動ログインが発生する可能性があります。
存在しないユーザの作成
X.509 認証が有効な場合、Address Manager にログインするときの Address Manager の LDAP ユーザの自動作成は禁止されます。X.509 認証を使用してユーザが Address Manager にログインできるようにするためには、まず手動でユーザを追加する必要があります。