PKI 証明書とクライアント証明書

クライアントとサービス間の通信をセキュリティーで保護する一般的な方法の 1 つとして、クライアント証明書認証を使用することが挙げられます。この用語は、クライアントとサーバーのワークフローを広く網羅しています。たとえば、Web ページを要求するユーザーや、サーバー間通信で API に接続するバックエンドシステムなどに使用できます。 PKI 証明書は、Web 通信の暗号化、コードとアプリケーションの署名、リモートシステムへのユーザーの認証、または PGP (Pretty Good Privacy) などのパターンを介した個人間通信に使用できます。

クライアント証明書は、通常、企業の IT 組織によって維持または管理されている証明機関からユーザーに対して生成されます。これらは、オペレーティングシステムストア、別のデバイス、または USB キーやスマート ID カードなどの他のストレージメカニズムに格納されます。複数の異なるコンピューターに接続して、ユーザーが異なる場所から認証できるようにすることができます。

ArcGIS サービスに対するクライアント認証

ArcGIS システムでは、クライアント証明書の最も一般的な用途は、ユーザーが認証プロバイダーに認証を行うことです。このワークフローの 2 つの主要な実装パターンについて、以下で説明します。

Web 層認証

ArcGIS Enterprise では、Web 層認証とは、Web サーバーが ArcGIS Web Adaptor のインストールをホストして認証を確立するパターンを指します。このパターンの一般的なフローには、次のものが含まれます。

ユーザーが初めて ArcGIS Enterprise (ArcGIS Server や Portal for ArcGIS コンポーネントなど) にアクセスすると、Web サーバーはユーザーリクエストに対してクライアント証明書の提供を求めるチャレンジで応答します。
ユーザーは、Web サーバーのトラストストアに対して検証される証明書を提供するよう選択できます。検証されると、ArcGIS Web Adaptor はユーザーのユーザー名をコンポーネントに送信し、セッションが確立されます。

注意:

このプロセスでは、クライアント証明書を ArcGIS Enterprise に送信したり、ArcGIS Enterprise がクライアント証明書を信頼したりする必要はありません。 ArcGIS コンポーネントとのパスワードの交換や検証は行われません。クライアント証明書の認証プロセスの暗黙的な信頼によって、ユーザーにアクセスが許可されます。

「Windows Active Directory とクライアント証明書認証を使用したアクセスの保護」をご参照ください
「LDAP とクライアント証明書認証を使用したアクセスの保護」をご参照ください

SAML または OIDC ベースの IdP

このパターンは、最新の認証方法が導入されるにつれて、ますます人気が高まっています。これは、クライアント証明書を使用して、SAML または OIDC ベースの IdP (ID プロバイダー) に対してユーザーを認証するプロセスです。このパターンでは、ArcGIS Enterprise または ArcGIS Online とのクライアント証明書認証の操作は行われません。このパターンでのワークフローは次のとおりです。

ユーザーが ArcGIS にログインしようとすると、IdP への SAML または OIDC ベースのログインプロセスを開始するよう求められます。
ユーザーの IdP (通常は個別に管理およびホストされるシステム) では、スマートカードや OS 管理証明書によるクライアント証明書認証、ユーザー名やパスワードによる認証など、さまざまな認証パターンを許可するよう選択できます。
ユーザーが IdP で正常に認証されると、SAML アサーションまたは OIDC クレームを通じて ArcGIS とのセッションが開始され、セッションの有効期限が切れるまでクライアント証明書は再度リクエストされません。

PKI によるサービス間認証

クライアント証明書ベースの認証のもう 1 つのパターンは、Web ブラウザーなどのソフトウェアを介した個々のユーザーのセッションではなく、サーバー側のコンポーネント、Web サービス、またはその他のプロセスから送信されるリクエストに関するものです。このプロセスは、次のようなさまざまなワークフローで行われます。

ArcGIS Server 印刷サービスは、マップまたはフィーチャサービスの PKI で保護されたエンドポイントへの接続を試行します。
クラウド管理の API サービスは、バックエンドまたはオンプレミスサービスに対して認証を行い、クライアント証明書の認証が必要です。

これらのシナリオでは、サービスがバックエンドシステムへの認証に使用するクライアント証明書を提供するために、構成を適用する必要があります。さまざまな形式を使用したり、さまざまな方法で構成することができます。

その他の検討事項と推奨事項

ArcGIS Maps SDK を使用して構築されたネイティブアプリケーションおよびモバイルアプリケーションからの PKI 認証は、モバイルデバイスでクライアント証明書を使用および保存するため、特別な注意が必要になることがあります。
PKI 認証の実装と、ユーザーによる PKI 認証の操作方法は、個々のユーザーのオペレーティングシステム、ブラウザー、および設定の構成によって大きく異なる場合があります。
PKI 関連の問題やエラーのトラブルシューティングには、専門的なスキルと、ネットワークまたは IT 環境内の PKI システム全体で意図された設計の理解が必要です。コンプライアンスを遵守し、適切に使用するには、サイバーセキュリティーの専門家や IT 専門家と協力することが重要です。
クライアント証明書には、Web サーバーの SSL/TLS 証明書と同じ有効性、トラストチェーン、および属性に関する検討事項があります。ユーザーが予期しない中断を経験しないように、慎重に監視、更新、管理する必要があります。