サイバートラストデバイス ID F5 BIG-IP Edge Client 連携のご紹介 サイバートラスト株式会社
1. デバイス ID と BIG-IP Edge Client の適用シーン ios デバイスからの SSL VPN 接続で端末認証を行いたい サイバートラストデバイス ID OTA for iphone & ipad Android 搭載端末からの SSL VPN 接続で端末認証を行いたい サイバートラストデバイス ID OTA for Android BIG-IP Edge Client で 端末認証 を実現 本頁以降 サイバートラストデバイス ID Over-The-Air Enrollment for iphone and ipad は デバイス ID OTA for iphone & ipad サイバートラストデバイス ID Over-The-Air Enrollment for Android は デバイス ID OTA for Android とします 2
2. デバイス ID と BIG-IP Edge Client の連携で実現すること 会社が許可したデバイスのみを SSL VPN で社内ネットワークに接続 端末識別情報を確認 し 会社が許可したデバイスにのみ デバイス証明書 を登録 デバイス証明書により端末認証 F5 BIG-IP Edge Gateway/APM 3
3. 各スマートデバイスでの端末認証端末識別情報により端末を特定し 会社が許可した端末にのみ デバイス証明書を登録 SSL VPNでの端末認証を実現 ios デバイス Over-The-Air (OTA) で 会社が許可した iosデバイスの IMEI または を認証し 対象となる iosデバイスにインストールされている BIG-IP Edge Client にデバイス証明書を登録します また 同時に BIG-IP Edge Client のネットワーク設定を行います Android 搭載端末 Over-The-Air (OTA) で 会社が許可した Android 搭載端末の IMEI または 無線 LAN MACアドレス を認証し 対象となる Android 搭載端末の BIG-IP Edge Client にデバイス証明書を登録します また 同時に BIG-IP Edge Client のネットワーク設定を行います 4
4.1. BIG-IP Edge Client 展開フロー (ios) 1. BIG-IP Edge Client のインストール BIG-IP Edge Client のインストール App Store 2. BIG-IP Edge Client 設定情報の事前登録とデバイス証明書発行申請 管理画面より Edge Client 設定情報 ( 構成プロファイル ) のアップロード 証明書発行申請情報のアップロード 管理者 申請情報 : 証明書記載情報 メールアドレス 端末識別情報 (IMEI など ) その他 証明書発行通知メールの送付 3. デバイス証明書 /Edge Client 設定情報の登録 メールに記載されている手順通り URL にアクセス 管理者が指定した端末識別情報を持つ端末の場合のみデバイス証明書を登録 デバイス証明書 Edge Client 設定情報 ( 構成プロファイル ) の登録 5
4.2. BIG-IP Edge Client へのデバイス証明書登録 (ios) デバイス ID ルート認証局証明書のインストールメールの手順 1: に記載されている URL をタップして インストール デバイス証明書と BIG-IP Edge Client の設定のインストール インストール ボタンをタップ インストール ボタンをタップ パスコードを入力 待機 証明書登録パスワードを入力 完了 ボタンをタップ パスコード設定時 6
4.3. デバイス ID と BIG-IP Edge Client の連携メリット (ios) BIG-IP Edge Client で 端末認証 を実現 BIG-IP Edge Client のネットワーク設定を OTA で適用することで 設定ミスを防止し ヘルプデスクコストを抑制 オンデマンド VPN 設定も OTA で実現し ユーザの利便性を向上 端末の属性に応じて異なるネットワーク設定を適用できるため 柔軟なネットワーク設定が可能 7
4.4. BIG-IP Edge Client 展開フロー (Android OS) 1. デバイス証明書発行申請 管理画面より Edge Client 設定情報を付加した証明書発行申請情報のアップロード 管理者 申請情報 : 証明書記載情報 メールアドレス 端末識別情報 (IMEI など ) その他 2. デバイス ID アプリケーション /BIG-IP Edge Client のインストールと設定情報の登録 デバイス証明書登録 メールに記載されている URL にアクセス : デバイス ID アプリのインストール 証明書発行通知メールの送付 Google Play ストア メールに記載されている URL にアクセス :Edge Client のインストール メールに記載されている URL にアクセス 管理者が指定した端末識別情報を持つ端末の場合のみデバイス証明書を登録 デバイス証明書 Edge Client ネットワーク接続設定情報を登録 8
4.5. 利用者側操作のステップ (Android OS) 端末利用者の操作ステップは次の通りとなります 当該ステップは端末利用者に送付される 証明書発行通知メール に手順が記載されています デバイス ID 専用 Android アプリケーションのインストール 証明書発行通知メール に記載されている手順 1 の URL をタップすることにより Google Play ストアに直接アクセスし デバイス ID 専用 Android アプリケーションのインストールが開始します サイバートラストデバイス ID OTA for Android : 4.2. Android アプリケーションのインストール を参照 BIG-IP Edge Client のインストール 証明書発行通知メール に記載されている手順 2 の URL をタップすることにより Google Play ストアに直接アクセスし BIG-IP Edge Client のインストールが開始します BIG-IP Edge Client へのデバイス証明書のインストールとネットワーク設定 証明書発行通知メール に記載されている手順 3 の URL をタップすることにより 当該ステップが開始します 4.6. デバイス証明書登録とネットワーク設定 (Android OS) を参照 認証情報ストレージへのデバイス証明書のインストール 同時に無線 LAN など Android 標準機能を利用する場合 証明書発行通知メール に記載されている手順 4 の URL をタップすることにより Android の認証情報ストレージへの証明書のインストールが開始します 必要に応じて利用します サイバートラストデバイス ID OTA for Android 資料 4.3.: デバイス ID OTA for Android の登録プロセス を参照 9
4.6. デバイス証明書登録とネットワーク設定 (Android OS) メールの手順 3: に記載されている URL をタップ PIN を入力し 証明書の取得 ボタンをタップ 内容を確認の上 同意する ボタンをタップ Allow ボタンをタップ 先ほど入力した PIN を入力し OK ボタンをタップ インストール完了メッセージが表示 BIG-IP Edge Client の画面 利用規約 ボタンをタップすると利用規約を閲覧できます 10
4.7. デバイス ID と Edge Client の連携メリット (Android OS) BIG-IP Edge Client で 端末認証 を実現 BIG-IP Edge Client のインストールを支援 BIG-IP Edge Client のネットワーク設定を OTA で一括適用することで 設定ミスを防止し ヘルプデスクコストを抑制 端末の属性に応じて異なるネットワーク設定を適用できるため 柔軟なネットワーク設定が可能 11
5. まとめ 会社が許可したスマートデバイスにのみデバイス証明書を登録し 安全な SSL VPN アクセス = 端末認証 を実現します ios デバイスでは デバイス証明書の登録と同時に BIG-IP Edge Client のネットワーク設定を OTA で一括自動適用します Android 搭載端末では デバイス証明書の登録と同時に BIG-IP Edge Client のインストール支援とネットワーク設定を OTA で一括適用します 最新の動作確認済み端末情報については お問い合わせください 12
参考資料 A.1 : OTA for iphone & ipad 用申請フォーマット 証明書一括発行申請データ CSV フォーマット デバイスID OTA for iphone & ipadの場合の指定項目証明書サブジェクトdn 内 CN <デバイス識別情報 > 証明書サブジェクトDN 内 OU1 < 部署名 サービス名などの指定が可能 > 証明書サブジェクトDN 内 OU2 < 部署名 サービス名などの指定が可能 > 未使用項目証明書発行通知メール送付先メールアドレス 必須 未使用項目 IMEI または UDID デバイス証明書登録用パスワード ( ユーザが入力する情報 ) OU の先頭に Profile を指定した場合 それに続いて指定された構成プロファイルを配信することが可能となります 13
参考資料 A.2 : OTA for Android 用申請フォーマット 証明書一括発行申請データ CSV フォーマット デバイスID OTA for Androidの場合の指定項目証明書サブジェクトDN 内 CN <デバイス識別情報 > 証明書サブジェクトDN 内 OU1 < 部署名 サービス名などの指定が可能 > 証明書サブジェクトDN 内 OU2 < 部署名 サービス名などの指定が可能 > 未使用項目証明書発行通知メール送付先メールアドレス IMEI または無線 LAN MACアドレス < 端末認証情報 > デバイス証明書登録用パスワード :cybertrust ( 固定 ) F5 Username F5 Password 必須 認証に F5 Username F5 Password を利用しない場合は サンプルファイルに記載の値を指定ください 14