OneLoginのDevice Trust(クライアント証明書認証)をWindows 10やmacOSのFirefoxブラウザでご利用いただくためには、Firefoxブラウザへ秘密鍵を含む証明書ファイルを事前にインポートする必要がございます。
# Firefoxは証明書管理がOSとは独立している
Windows 10の場合は既に証明書ストアに、macOSの場合は既にKeychainへ証明書を格納した方もいらっしゃるかと思いますが、FirefoxはOS標準の証明書ストアを利用していないため、必ずFirefoxアプリを通じて証明書をインポートする作業が必要となります。
# Firefoxへの証明書インポート手順
Windows 10、macOSなどOSを問わず下記手順でFirefoxへOneLoginのDevice Trust証明書をインポートできます。ここではmacOSを例にしてご案内いたします。
事前にOneLoginからDevice Trust証明書をダウンロードしてください
- Firefoxを起動します
- アプリケーション右上の 三 マークをクリックして 設定 を開きます
- メニューから プライバシーとセキュリティ をクリックします
- 設定ページを一番下までスクロールして 証明書 セクション > 証明書を表示 をクリックします
- 証明書マネージャー が開くので、あなたの証明書 タブの 読み込む... をクリックします
- ダウンロードフォルダなどからOneLoginから取得した自分のクライアント証明書を選択します
*拡張子が .p12 の証明書ファイルです
- OneLoginから証明書をダウンロードする際に設定した証明書のパスフレーズを入力します
*自社のIT管理者からクライアント証明書を受け取った場合は管理者にお問い合わせください
- クライアント証明書の格納が完了すると下記のとおり一覧に表示されます
*自分のメールアドレスを含む下記のような証明書であるかよくご確認くださいコモンネーム: {email}|OneLoginDeviceTrust
以上でFirefoxへの証明書インポートは完了です
# FirefoxでDevice Trustによるクライアント証明書認証を行う
OneLoginのログイン画面を開いて、自分のユーザー名とパスワードを入力したあと証明書が要求されます。証明書要求が行われると、初回は上記のような画面が表示されます。インポートした自分の証明書を選択するとログインが完了します。
このとき ☑ 今後も同様に処理する にチェックを入れると次回以降はキャッシュをリセットしない限り証明書選択画面は表示されなくなり、自動的にOneLoginログイン時に証明書が自動提示されます。
# トラブルシュート
1. タイムアウトにご注意ください
OneLoginログイン時にDevice Trustをご利用いただく際はタイムアウトにご注意ください。証明書要求の画面が表示されてから十数秒程度放置するとOneLoginは証明書認証を終了して認証失敗の記録を行います。この場合はログインが完了できませんので、再度ユーザー名の入力から行ってください。
要求が表示されたら適切な証明書を選択次第すぐに OK をクリックしましょう
2. 誤った証明書を選択してしまいログインできなくなった
Firefoxに複数のDevice Trust証明書を格納していた場合などに誤って違うユーザー向けの証明書を選択してしまったり、あるいは再発行した証明書をインポートしたのに古い証明書を削除していなくて古い証明書でログインしてしまった場合など、何度OneLoginにログインしようとしても「アクセス拒否」が表示されてしまうことがあります。
これはFirefoxブラウザがOneLoginに提示すべき証明書を選択・記憶してしまっているためなので、Firefoxのキャッシュをクリアすることで解消されます。キャッシュをクリアしたら、再度正しい証明書をご選択ください。なお、証明書の入れ替えを行った場合は間違えないよう古い証明書を削除することをおすすめいたします。
■ Firefoxでキャッシュを削除する
3. その他のエラー
1,2のトラブルシュートで解消しなかった場合は、社内のOneLogin管理者・IT管理者にお問い合わせください。ペンティオからOneLoginをご契約頂いている企業のOneLogin管理者の方は下記記事をご参考にエラー原因をお調べください。