メインコンテンツへスキップ
AD/LDAP Connector では、ユーザーは自分のマシンまたはデバイスにインストールされた証明書を使用して認証することもできます。

クライアント証明書を有効にする

  1. Auth0 Dashboard > 認証 > Enterprise > Active Directory/LDAP に移動し、設定する接続を選択します。
  2. 設定で クライアント SSL 証明書認証を使用する オプションを有効にします。
  3. IP 範囲 フィールドに IP アドレスの範囲を指定します。指定した IP 範囲からアクセスするユーザーにのみ、クライアント証明書を使用した認証が求められます。それ以外の IP 範囲からアクセスするユーザーには、username とパスワードのログインフォームが表示されます。

証明書を設定する

Auth0 で AD/LDAP 接続を設定したら、次に AD/LDAP Connector で証明書を設定する必要があります。クライアント証明書をサポートするには、次のものが必要です。
  • エンドユーザーと Connector のやり取りは HTTPS 経由で行う必要があるため、Front Facing URL 用の SSL 証明書。
  • 1 つ以上の CA 証明書。
  • クライアント証明書を使用して認証する各ユーザーに対して、CA によって署名されたクライアント証明書。
  1. 証明書を AD/LDAP Connector にアップロードする前に、X.509 証明書を Base64 形式に変換します。Windows Server では、Base64 または Certutil を使用します。詳細については、Base64decode の Base64 Decode または Microsoft ドキュメントの Certutil.exe を参照してください。
  2. SSL 証明書と CA 証明書を AD/LDAP Connector にアップロードします。
    クライアント証明書のセットアップ画面を使用した AD/LDAP Connector 認証の設定
  3. テストするには、Windows SDK の一部である Windows の makecert.exe を使用して、自己署名 CA 証明書とクライアント証明書を生成します。 
    SET ClientCertificateName=jon
    SET RootCertificateName=FabrikamRootCA
    "C:\Program Files (x86)\Microsoft SDKs\Windows\v7.1A\Bin\makecert.exe" -sky exchange -r -n "CN=%RootCertificateName%" -pe -a sha1 -len 2048 -ss My "%RootCertificateName%.cer"
    "C:\Program Files (x86)\Microsoft SDKs\Windows\v7.1A\Bin\makecert.exe" -n "CN=%ClientCertificateName%" -pe -sky exchange -m 96 -ss My -in "%RootCertificateName%" -is my -a sha1
    クライアント証明書のサブジェクトは、CN=AD_USERNAME の形式である必要があります。たとえば、CN=jon です。
アプリケーションで、ユーザーが AD/LDAP 接続を使用してサインインフローを開始すると、 
auth.signin({
       popup: true,
       connection: 'FabrikamAD',
       scope: 'openid name email'
     }, onLoginSuccess, onLoginFailed);
ユーザーのIPアドレスが設定済みのIP範囲内にある場合、クライアント証明書で認証するよう求められます。
クライアント証明書を使用した AD/LDAP Connector 認証の設定 クライアント証明書の選択
証明書を選択すると、AD/LDAP Connector がその証明書を検証し、ユーザーはログインされます。
クライアント証明書を使用した AD/LDAP Connector 認証の設定 ログイン済みのユーザー