CAC/PIV カード認証

Dispatcher Phoenix Webは、ユーザーログインでのPIV認証の使用をサポートしています。Dispatcher Phoenix Webは、CAC/PIVカードのクライアント証明書のサブジェクトの別名(SAN)フィールドから取得したユニバーサルプリンシパル名(UPN)を使用して、LDAPディレクトリーでユーザーを検索し、見つかった情報に基づいてアクセスを許可、または拒否します。

重要! ユーザーが適切にログインできるようにするには、PIV認証を有効にする前に、Dispatcher Phoenixに対して次のオプションが構成されていることを確認してください。

• Dispatcher PhoenixのLDAPを有効にする。

• Dispatcher PhoenixのLDAP設定を構成してテストする。

注意! Dispatcher Phoenixでは、実稼働環境にインストールする信頼証明書は、公的に信頼されている証明機関(CA)によって署名されることをお勧めします。自己署名証明書は、内部テストにのみ使用されることが想定されています。

Dispatcher Phoenix WebでPIV認証を有効にする

Dispatcher Phoenix Webは、顧客のPIV認証をサポートしています。PIV認証を有効にして設定するには、次の手順を実行します。

1. IISマネージャーで、「接続」パネルの「サイト」フォルダー以下の [DPWebPortal] を選択します。

2. 「操作」パネルで、「サイトの編集」セクションの下の [バインド…] を選択します。

   

3. [追加] を選択して、新しいバインドを追加します。

   

4. 次の操作を実行します。

   • 「種類」ドロップダウンで [https] を選択します
   • 使用するポートを入力します (44353など)。
   • [SSL証明書] ドロップダウンを選択し、使用する署名済みSSL証明書を選択します。
   

   重要! Dispatcher Phoenixサーバーに、証明機関(CA)によって署名されたSSLルートレベルのCA証明書があることを確認してください。

5. [OK] ボタンを選択します。

   注: 以下の手順は、CAC/PIV環境を構成する場合にのみ必要です。それ以外の場合は、 [次のセクション](#Windows ファイアウォールを更新してDispatcher Phoenix Webへの受信接続を許可する) でセットアップを続行します。

6. IISマネージャーで、「接続」パネルの[サイト]フォルダーの下にある DPWebPortalCAC を選択します。

   

7. 「操作」パネルの「サイトの編集」セクションで、 [バインド…] を選択します。

   

8. 次の操作を実行します。

   • 「種類」ドロップダウン メニューから https を選択します。

     重要! Dispatcher Phoenixサーバーに、証明機関(CA)によって署名されたSSLルートレベルのCA証明書があることを確認します。

   • 使用するポート (44355など) を入力します。

   • 下部にある [SSL証明書] ドロップダウンを選択し、信頼できる証明機関から署名されたSSL証明書を選択します。

   • [TLS 1.3 over TCPを無効にする] チェックボックスをオンにします。これは、Windows環境でのクライアント証明書認証に必要です。

   重要! Windows Server 2022またはWindows 11環境でこれらの設定を構成する場合、クライアント証明書の認証にはこの手順が必要です。

   

9. [OK] ボタンを選択します。

Windows ファイアウォールを更新してDispatcher Phoenix Webへの受信接続を許可する

1. Windows検索バーを使用して ファイアウォール を検索します。 Windows Defender ファイアウォール を開きます。

   

2. 左側のパネルで、 [詳細設定] を選択します。

3. 左側のパネルで、 [受信の規則] を選択します。

   

4. 右側の[操作]パネルで、 [新しい規則] を選択します。

   

5. [ポート] オプションを選択します。次に、 [次へ] ボタンを選択します。

6. [TCP] が選択されていることを確認します。次に、 [特定のローカル ポート] オプションを選択します。次に、Dispatcher Phoenix Web HTTPSバインディング用に構成したポートをコンマで区切って入力します。

   

7. [次へ] ボタンを選択します。

8. [接続を許可する] を選択します。次に、 [次へ] ボタンを選択します。

   

9. [ドメイン]、[プライベート]、[パブリック] オプションを選択します。次に、 [次へ] ボタンを選択します。

   

10. 新しい受信規則の名前を入力します。次に、 [完了] ボタンを選択します。

    

Dispatcher Phoenix WebでのCAC/PIV認証の設定

1. HIDカードユーザーからのCAC/PIVルートSSL証明書が利用可能であることを確認します。証明書ファイルをDispatcher Phoenixサーバーのデスクトップにコピーします。

2. Windowsの「検索」バーで「コンピューター証明書の管理」を検索し、証明書マネージャーを開きます。

   

3. 左側の「証明書 - ローカルコンピューター」領域で、 [信頼されたルート証明機関] を展開します。

4. [証明書] を右クリックし、 [インポート] を選択します。

   

5. 証明書のインポートウィザードが開きます。 [次へ] をクリックします。

   

6. [参照] ボタンを選択します。ブラウザーを使用して、デスクトップから ルートCA証明書 を選択します。次に、 [次へ] をクリックします。

7. [すべての証明書を次のストアに配置する] オプションを選択します。

   

8. [参照…]をクリックして [信頼されたルート証明機関] 選択します。

   

9. [次へ] ボタンを選択します。

10. Windowsファイルエクスプローラーを使用して C:\Program Files\Konica Minolta\Dispatcher Phoenix Web に移動します。

11. テキストエディターで[piv-auth.json]ファイルを開きます。

12. 次の変更を加えます。

    • 「enable」の値を「no」から「yes」に変更します。

    • 「signinMode」フィールドで、次のいずれかを実行します。

      • 値を [Dual] に設定すると、エンドユーザーはAD資格情報とCAC/PIVカードの両方を使用してDispatcher Phoenix Webにログインできるようになります。
      • 値を [Card] に設定すると、エンドユーザーはCAC/PIVカードのみを使用してログインできるようになります。また、「signinLabel」フィールドを編集して、CAC/PIVサインインボタンのラベルを変更することもできます。

    • 「host」の値をDispatcher PhoenixサーバーのIPアドレスに変更します。 IISで[DPWebPortalCAC]サイトに割り当てたポートと一致するように「ポート」の値を変更します。[DPWebPortalCac]サイトにアクセスするためにポートを指定する必要がない場合(例:DPWebPortalCacサイトが実際のホスト名で構成されている場合)は、値[0]を入力します。

    ファイルは次のようになります。

            {
                "pivAuth": {
    	    	    "enable": "yes",
    	    	    "signinMode": "dual",
    	        	"signinLabel": "Sign in with PIV / CAC Card",
    	        	"host": "10.10.220.40",
    	        	"port": 44355
    	        }
            }
    

13. ファイルを保存して閉じます。

14. IISマネージャーを起動します。

15. 左側の「接続」パネルでサーバー名を選択します。

16. 「管理」セクションで、 [構成エディター] をダブルクリックします。

    

17. ウィンドウの上部にあるセクションドロップダウンを開きます。次の図のように、system.webServer > security > access に移動します。

    

18. 右側の「操作」パネルで、セクションのドロップダウンを展開し、 [セクションのロック解除] を選択します。

19. ウィンドウの上部にあるセクションドロップダウンを再度開きます。次の図のように、 system.webServer > security > authentication > anonymousAuthentication に移動します。

    

20. 右側の「操作」パネルで、セクションのドロップダウンを展開し、 [セクションのロック解除] を選択します。

21. IISマネージャーの「接続」パネルのサイトフォルダーの下にある [DPWebPortalCAC] を選択します。

22. [SSL 設定] をダブルクリックします。

    

23. [SSLが必要] チェックボックスをオンにし、 クライアント証明書 [必要] オプションをオンにします。

    

24. 右側の「操作」パネルで [適用] を選択します。

25. IISマネージャーで、[接続]パネルの[サイト]フォルダーの下にある DPWebPortalCAC サイト を選択します。

26. 左側の「error-pages」フォルダーを選択します。次に、 [SSL設定] をダブルクリックします。

    

27. クライアント証明書 [無視] を選択し、 [SSLが必要] オプションの選択を解除します。

    

28. 右側の[操作]パネルパネルで [適用] を選択します。

29. 「接続」パネルのサイトフォルダーの下にある DPWebPortalCAC サイト を選択します。

30. [認証] をダブルクリックします。

31. [匿名認証] を選択します。次に、右側の[操作]パネルで [有効にする] を選択します。

    

32. 次に、 ルート IISサーバー を選択し、右側の[操作]パネルで [再起動] を選択します。

    

Dispatcher Phoenix Webを使用したCAC/PIV認証のテスト

セットアップと構成が成功したことを確認するには、httpsプロトコルとポート44353を使用してDispatcher Phoenix Webに移動します。たとえば、URLは「https://IPアドレス:44353」のようになります。「signinMode」を「dual」に設定すると、次の図に示すように、ユーザーは [ユーザー名] と [パスワード] または [CAC/PIVカードでサインイン] ボタンを使用してサインインできるようになります。

「signinMode」の値を「card」に設定した場合、次の図に示すように、 [CAC/PIVカードでサインイン] するオプションのみが選択可能になります。