デバイスの制限のセットアップフロー例(IIJ IDサービス CAを利用する場合)

IIJ IDサービス CAを利用したデバイスの制限のセットアップフロー例です。

クライアント証明書の発行をIIJ IDサービス CAが行ないます。IIJ ID サービスCAを利用することで、ユーザはセルフサービスでクライアント証明書を発行できます。

【参考】このセットアップフロー例は、以下の想定で設定します。

実際のセットアップについては、お客様の環境に合わせて変更してください。

ログイン画面でユーザがデバイスの登録を行える期間を設定します。ユーザにデバイスの登録を期間中に完了するよう案内し、期間が終了した時点でログイン画面でのデバイスの登録を禁止します。ログイン画面でのデバイスの登録を禁止することで、ユーザのID、及びパスワードを取得した攻撃者がデバイスを登録し、不正にログインすることを防止します。

1.デバイス証明書認証のセットアップ(ID管理者)
 1.1 IIJ IDサービス CAのセットアップ

1.2 ユーザのログイン条件を多要素認証にする

ログインポリシーを以下のように設定してください

  • 「クライアント証明書を利用し、ログイン可能なデバイスを制限する」を有効
  • 「ログイン時にデバイスの登録を許可する(IIJ IDサービス CA利用時のみ)」を有効
2.デバイスの登録(ユーザ)
 2.1 利用デバイスを登録する
3.ログインポリシーの変更(ID管理者)
 

3.1 ユーザのログイン条件を多要素認証にする

ログインポリシーを以下のように設定してください

  • 「クライアント証明書を利用し、ログイン可能なデバイスを制限する」を有効
  • 「ログイン時にデバイスの登録を許可する(IIJ IDサービス CA利用時のみ)」を無効