サポートされている PKI スマート カードが、サポートされている PKI スマート カード リーダーに挿入されると、PRISMAsync Print Server はカードを読み取り、証明書の認証を開始します。
PKI スマート カードの設定に応じて、PRISMAsync Print Server で、入力した PIN またはパスワードが確認されるかどうかが決まります。
PKI スマート カードには、複数のスマート カード証明書とプライベートキーを保存できます。PKI スマート カードに複数のスマート カード証明書が保存されている場合、ログイン ウィンドウには、ユーザー名を選択するためのドロップダウン リストが表示されます。
以下の図では、ログイン プロセス中の PKI スマート カードの検証手順を示しています。
PKI スマート カードの認証PRISMAsync Print Server は、時間が有効な PKI スマート カードのみを承認します。
PRISMAsync Print Sever PKI スマート カードの設定に応じて、PRISMAsync Print Server でスマート カード証明書パス全体の失効状態が確認されるかどうかが決まります。ルート証明書の失効状態は確認されません。
PRISMAsync Print Server は、証明書パス全体が信頼できる PKI スマート カードのみを承認します。
PRISMAsync Print Server は、PKI スマート カード使用のために発行されたスマート カード証明書のみを承認します。
PRISMAsync Print Sever PKI スマート カードの設定に応じて、PRISMAsync Print Server で、入力した PIN またはパスワードが確認されるかどうかが決まります。複数のユーザーがいる場合、ログイン ウィンドウには、ユーザー名を選択するためのドロップダウン リストが表示されます。PRISMAsync Print Server は、スマート カードの PIN またはパスワードが正しいときのみ、ユーザー認証を続行します。
すべての確認手順が成功すると、ユーザー認証プロセスが開始します。
スマート カード証明書は、Certification Authority (CA) によって発行されます。この CA は、他の (中間) CA またはルート CA です。ルート CA 証明書はルート CA 自体に発行されます。ルート CA 証明書は証明書チェーンのエンドポイントであり、信頼点を確立します。このようにして、CA 間の関係性が作られます。
スマート カード証明書は、信頼された CA によって確認された場合、信頼できます。PRISMAsync Print Server は、CA 証明書を信頼された証明書のリストに保存します。
証明書チェーンは、チェーン内の証明書の確認が行われる方法を決定します。PRISMAsync Print Server は、ユーザーがスマート カードでログインするとすぐにスマート カード証明書チェーンを確認します。
例:
PKI スマート カード証明書の認証PRISMAsync Print Server はスマート カード証明書の発行元フィールドを読み取り、発行元が信頼された証明書のリストに含まれているかどうかを確認します。発行元がリストに含まれている場合、PRISMAsync Print Server は CA のパブリック キーを使用して、スマート カード証明書の署名を確認します。
CA 証明書はルート CA によって発行されます。したがって、この CA 証明書は中間証明書です。ここで、PRISMAsync はルート CA がリストに含まれているかどうかを確認します。ルート CA がリストに含まれている場合、PRISMAsync Print Server はルート CA のパブリック キーを使用して、CA 証明書の署名を確認します。
ルート CA 証明書はルート CA 自体に発行されます。ルート CA 証明書の署名は、ルート CA のパブリック キーで確認できます。
すべてのスマート カード CA の信頼性が証明されると、PRISMAsync Print Serverはスマート カード証明書が信頼されると見なされます。
一般的に、PKI スマート カード ユーザーの LDAP ユーザー アカウントは、LDAP ディレクトリ サーバー上にあります。これらのユーザー アカウントをサポートするには、PRISMAsync ドメインと、必要な PRISMAsync ドメイン ユーザー グループを設定します。PKI スマート カード ユーザーは、他のドメイン ユーザーと同じく、設定された PRISMAsync ドメイン ユーザー グループからアクセス権限を取得します。
ユーザーが PKI スマート カードを挿入すると、PRISMAsync Print Server はスマート カード証明書から UPN (Universal Principal Name) を読み取ります。UPN は、スマート カードのユーザー アカウントが保存されている LDAP ドメインを参照します。
PRISMAsync Print Server で設定されていない LDAP ドメインを参照する UPN (Universal Principal Name) を PRISMAsync Print Server が処理する方法を設定できます。
PRISMAsync Print Server の基準と設定可能な動作を、以下の図で説明しています。
ユーザー グループの設定PKI スマート カードが有効な場合、PRISMAsync Print Server はスマート カード ドメインが既知かどうかを確認します。
ドメインが既知である場合、PRISMAsync Print Server はユーザー アカウントが 1 つ以上の PRISMAsync ドメイン ユーザー グループに属するかどうかを確認します。
1 つ以上の PRISMAsync ドメイン ユーザー グループが見つかった場合、ユーザーは承認されます。
PRISMAsync ドメイン ユーザー グループが見つからなかった場合、ユーザーは承認されません。
ドメインが不明な場合、PRISMAsync Print Server は PKI スマート カードの設定を確認します。
[すべてのドメインのスマート カードを許可] チェック ボックスがオンになっていて、[不明なドメインのスマート カードのグループ] リストでユーザー グループが選択されていると、ユーザーは承認されます。
スマート カードの設定PRISMAsync Print Server は、ユーザー グループのアクセス権限を使用して、ユーザーが必要なオプションとタスクにアクセスできるかどうかを確認します。