DigiCert ONE Login プロファイルを作成する
DigiCert Trust Assistant の証明書プロファイルを作成する一般的な手順については、「Create a certificate profile with DigiCert Trust Assistant」を参照してください。このページでは、認証方法として、DigiCert ONE Login を選択したプロファイルで使用可能な特定の選択オプションについて説明します。
方法の選択では次のオプションが使用可能です。
証明書の自動登録/更新: DigiCert Trust Assistant を通じて証明書の自動発行と自動更新を行うかどうかを制御します。違いは次のとおりです。
有効化されている場合
DigiCert Trust Assistant を通じて証明書の自動発行と自動更新を行います。
DigiCert Trust Assistant アプリケーションウィンドウから手動で登録または更新できます。
フィールドの値の証明書ソースはユーザー情報と固定値のみに制限され、自動化フローで必須のユーザー操作が限定されます。
トークン要件に基づき、PIN/パスワードの入力を求められます。
無効化されている場合
DigiCert Trust Assistant を通じた証明書の自動発行と自動更新は行われません。
DigiCert Trust Assistant アプリケーションウィンドウから手動で登録または更新できます。
証明書のフィールドの値のソースとして、ユーザーによる入力も許可されます。
ID プロバイダ(IdP)メタデータに基づくユーザーアクセスを制限する: 承認済みユーザーグループを設定するにはこのオプションを選択します。設定された属性を含むユーザーのみがこのプロファイルにアクセスできるようになります。
たとえば、グループをキー、営業を値として指定すると、グループが営業の属性を含むユーザーのみがこのプロファイルから証明書を発行できます。[OR]を選択すると、キーの値の設定をさらに追加して、許可されたユーザーグループの対象を拡張できます。つまり、グループをキーとして、マーケティングを値として追加すると、営業とマーケティングのいずれかのグループの属性を含むユーザーが許可されます。IdP から取得したユーザー属性がどのように DigiCert ONE に転送されるかについては、「IdP attribute mapping」を参照してください。
ユーザー情報をフィールドソースとして使用する
DigiCert ONE Login で設定されたプロファイルでは、組織の ID プロバイダから転送されたユーザー情報を使用して、発行済みの証明書に印刷できます。
[サブジェクト DN および SAN フィールド]セクションでは、サブジェクト DN とサブジェクトの別名(SAN)を追加できます。[ユーザー情報]を選択すると、フィールドに使用する特定のユーザー情報属性を選択できます。
たとえば、メールアドレスを[サブジェクト DN]フィールドに追加し、メールアドレスを[ユーザー情報属性]として選択した場合、発行済み証明書には組織の ID プロバイダで使用されているユーザーのメールアドレス.が表示されます。
[ユーザー情報属性]として次の項目を選択できます。
名前
メールアドレス
姓
名
電話番号
カスタム
事前定義されたリストにないその他のユーザー属性を設定するには、[カスタム]を選択します。IdP から取得したユーザー属性がどのように DigiCert ONE に転送されるかについては、「IdP attribute mapping」を参照してください。
複数マシン間で複製証明書を許可する
[フロー]セクションで[複製証明書の許可]を選択すると、1 つのプロファイルから複数のマシンに対して証明書を発行できるようになり、1 つのシートのみが消費されます。このオプションを選択すると、異なるマシン間で同じサブジェクト DN の証明書を発行できます。このオプションを無効にすると、プロファイルごとに 1 台のマシンにのみ証明書を発行できます。