証明書管理機能

Gléasは、証明書の要求・発行・失効・有効期限切れまでのライフサイクルを管理します。証明書の状態(有効、失効、期限切れ、停止中)や日付(作成日、終了日、失効日)など、複数の条件で証明書を検索し、一覧表示・一括操作できます。

アカウント管理

Gléasは、ユーザやコンピュータ、サーバなど、証明書発行の対象を「アカウント」として管理します。アカウントをグループに所属させることで、組織や役割、属性を与えられます。アカウントが所属できるグループの数は無制限です。複雑な組織構造にも対応できます。

ユーザアカウントはCSVによって一括作成することもできます。さまざまな条件でアカウントを抽出し、一括処理を実行できます。

テンプレート

Gléasは、証明書発行プロファイルを「テンプレート」で管理します。アカウントが所属するグループにテンプレートを設定することで、グループに参加するアカウントに発行できる証明書の枚数や、有効期限、サブジェクトなどを設定できます。

テンプレートを組み合わせることで、アカウントが所属するグループに合わせた証明書が発行されます。テンプレートの初期設定は、導入時のコンサルティングによって設定されます。また、管理者によるテンプレートの変更や追加が可能です。

アカウント・グループ・テンプレートの考え方

デバイス管理

Gléasの管理画面で、認証デバイスへの電子証明書のインポートができます。また、USBトークンやICカードなどの認証デバイスのシリアルと名前を管理できます。

認証デバイスに証明書を格納した履歴や、認証デバイスを利用したユーザーの履歴を管理できます。認証デバイスでの鍵生成や証明書要求作成もサポートしています。

メール通知

Gléasは、電子証明書を発行すると、アカウントに紐付けられたメールアドレスに、証明書発行をメールで通知する機能があります。

メールテンプレートは任意に変更可能です。ユーザの姓名やアカウント名を差し込むこともできます。また、証明書の有効期限が近づいた際に、管理者やユーザへアラートメールを自動送信する設定ができます。

管理画面のセキュリティ

Gléasへ管理者としてログインする際は、管理者用のUSBトークンに埋め込まれた電子証明書とパスワードによる二要素で認証されます。

管理者の操作履歴は全て記録されています。操作履歴は削除することができません。管理者が複数いる場合は、管理者ごとに操作履歴が記録されます。

またGléasは、いつ、どのアカウントが、どの端末に証明書をインポートしたのかログをとっています。セキュリティ監査への対応や、操作ミス発生時の原因究明などに活用できます。

セルフサービス

セルフサービスオプションを使うと、Gléasのユーザ用ウェブページで、ユーザ自身によるGléasへのアカウントの登録申請や証明書発行/失効申請ができます。

ユーザからGléasにアカウント登録の申請があった場合、Gléasは連携するActive Directory(AD) / LDAPへIDを問い合わせます。AD / LDAPに該当のIDが存在すれば、Gléas内にアカウントが作成され、ユーザは証明書の発行申請をすることができます。

証明書発行申請時に、AD / LDAPに登録されたメールアドレス宛にワンタイムURLを送付する認証を付加することもできます。

セルフサービス機能

Gléasはユーザ用ウェブページを複数持つことができます。セルフサービスオプションは、ユーザ用ウェブページごとに設定ができます。またユーザグループごとに使用するユーザ用ウェブページを指定できます。

そのため、特定のグループにだけセルフサービスオプションを許可するような運用が可能です。大学や研究機関など、証明書を利用するユーザやデバイスの追加/削除が頻繁に行われたり、学生と教職員で証明書発行の運用を分けるようなケースで採用されています。

セルフサービス:グループごとに運用を分ける

事例

マルチテナント

マルチテナント機能

Gléasは、1つの認証局を全体管理者と複数のテナント管理者で共同で運用することができます。全体管理者とテナント管理者はそれぞれ権限が異なります。Gléasの管理画面は、ログイン時に管理者トークンに埋め込まれた電子証明書で認証をおこなっています。

全体管理者は証明書のテンプレートやグループに関する操作をおこないます。各テナントに発行可能な証明書数を割り振ります。各テナント管理者はアカウント操作と証明書の発行・失効などの操作をおこないます。

アカウント登録と証明書発行申請をおこなえる管理者、証明書発行申請を承認/否認する管理者、といったようにテナント管理者の中でも権限に差をつけるような運用もできます。

事例

モバイルデバイス管理

モバイルデバイス管理(MDM)は、iPhoneやiPadを管理するため、構成プロファイル、無線(OTA)登録、Appleプッシュ通知サービスなど、iOSテクノロジーを基に構築されています。

GléasのMDMは、管理下のiOSデバイスに対して、下記の操作をリモートで実行できます。

Gléasから発行された電子証明書を含む構成プロファイルのインストール
電子証明書の更新
インストールされているアプリ情報の収集
アプリケーション配布
リモートワイプ
デバイスロック
パスコードリセット

BYOD(社員の個人所有)のiOSデバイスから、メール、クラウドサービス、無線LAN、ファイルサーバなどへのアクセスのためクライアント証明書を含む構成プロファイルをインストールしていた社員が退職する場合、管理者は構成プロファイルをリモートワイプすることで、当該iOSデバイスをシステムから遮断できます。

事例

HSM対応

GléasはHSM(ハードウェア・セキュリティ・モジュール)に対応しています。耐タンパー装置であるHSMで認証局の鍵の生成・保護をおこなうことで、高いセキュリティレベルを備える認証局運用が可能となり、セキュリティリスクを極限まで低減できます。

対応製品

nCipher nShieldシリーズ