認証ポリシーを構成して、AuthPoint ユーザーが認証できるリソースおよびそれらのユーザーが使用できる認証方法 (プッシュ、QR code、OTP) を指定します。認証ポリシーの作成時には、以下を指定します。
- ポリシーにより認証が許可されるか拒否されるかどうか。
- 必要な認証方法。
- ポリシーが適用されるリソース。
- ポリシーが適用されるユーザー グループ。
- 認証に適用されるポリシー オブジェクト。
特定のリソースに対して認証ポリシーが設定されているグループのメンバーでないユーザーは、そのリソースにログインするために認証することができません。
認証ポリシーの主要コンポーネントは以下のとおりです。
リソース
リソースとは、Salesforce や Office 365、VPN、Firebox のような、ユーザーが接続するアプリケーションやサービスのことです。リソースを追加すると、そのリソースに接続するのに必要とされる情報を提供することになります。
グループ
グループは、ユーザーがどのリソースにアクセスできるかを定義します。AuthPoint でユーザーをグループに追加した後、そのグループを、ユーザーが認証できるリソースを指定する認証ポリシーに追加します。
ポリシー オブジェクト
ポリシー オブジェクトとは、ネットワーク ロケーションなど、個別に構成可能なポリシーの構成要素です。ポリシー オブジェクトを構成してから、認証ポリシーに追加します。認証ポリシーにポリシー オブジェクトを追加すると、そのポリシーは、認証とポリシー オブジェクトの条件に合致するユーザー認証にのみ適用されます。たとえば、ポリシーに特定のネットワーク ロケーションを追加すると、そのポリシーは、そのネットワーク ロケーションから行われるユーザー認証にのみ適用されます。
ネットワーク ロケーションのポリシー オブジェクトを使用すると、IP アドレスのリストを構成することができます。これにより、ユーザーがこれらの IP アドレスから認証を受けた場合にのみ適用される、特定の認証ポリシーを構成することができます。
タイム スケジュール ポリシー オブジェクトを使用すると、認証ポリシーをユーザー認証に適用する日時を指定することができます。
要件および推薦事項
ポリシーを構成する際は、次の要件および推奨事項に必ず従うようにしてください。
- 認証ポリシーを構成するには、1 つ以上のグループがある必要があります。
- RADIUS 認証と基本認証 (ECP) の場合、AuthPoint はエンド ユーザーの IP アドレスや発信元の IP アドレスを知らないため、ネットワーク ロケーションを含むポリシーは適用されません。
- ポリシー オブジェクトを含むポリシーは、すべてのポリシー オブジェクトの条件に合致したユーザー認証にのみ適用されます。ポリシー オブジェクトを含むポリシーのみを持つユーザーは、ポリシー オブジェクトの条件が認証に適用されない場合、そのリソースへアクセスすることはできません。これは、認証が拒否されたためではなく、適用するポリシーを持っていないためです。
- ネットワーク ロケーションを指定したポリシーは、そのネットワーク ロケーションから発信されたユーザー認証にのみ適用されます。ネットワーク ロケーションを含むポリシーのみを持つユーザーは、そのネットワーク ロケーションではない場所で認証されると、そのリソースへアクセスすることはできません。
- タイム スケジュールが設定されたポリシーは、指定したタイム スケジュールの間に行われたユーザー認証にのみ適用されます。タイム スケジュールを含むポリシーのみを持つユーザーが、そのタイム スケジュールの時間外に認証を行っても、リソースにアクセスすることはできません。
- ポリシー オブジェクト を構成する場合は、そのポリシー オブジェクトが含まれない、同じグループやリソースを対象とした 2 つ目のポリシーも作成することをお勧めします。ポリシー オブジェクトを含むポリシーに、より高い優先度を割り当てます。
- ポリシーでプッシュ認証と OTP 認証を有効にすると、そのポリシーに関連付けられている RADIUS リソースでは、プッシュ通知を使用してユーザーを認証します。
- MS-CHAPv2 RADIUS リソースを使用するポリシーでは、プッシュ認証を有効にする必要があります。
- RADIUS リソースでは、QR code 認証はサポートされていません。
認証ポリシーを追加する
認証ポリシーを構成するには、AuthPoint management UI で以下の手順を実行します。
- 認証ポリシー を選択します。
- ポリシーを追加する をクリックします。
- ポリシーの名前を入力します。
- 認証オプションを選択する ドロップダウン リストでオプションを選択して、このポリシーで MFA を要求するか、認証を拒否するかを指定します。
- 認証オプション — このポリシーに関連付けられているグループのユーザーが、このポリシーに関連付けられているリソースに対して認証を行う際に、MFA を要求します。
- 認証を許可しない — このポリシーに関連付けられているグループのユーザーが、このポリシーに関連付けられているリソースに対して認証を試みた際に、認証を拒否します
-
このポリシーに対して MFA を要求するには、ユーザーが認証時に選択できる各認証オプションのチェックボックスを選択します。認証方法の詳細については、次を参照してください:認証について。
ポリシーでプッシュ認証と OTP 認証を有効にすると、そのポリシーに関連付けられている RADIUS リソースでは、プッシュ通知を使用してユーザーを認証します。
QR code 認証は RADIUS リソースではサポートされていません。
- Office 365 リソースを含むポリシーで、Office 365 ドメインに含まれているが、MFA を使用できないマシンやリソース (プリンターなど) の認証を必要とする場合は、基本認証 チェックボックスを選択します。基本認証は、強化クライアントまたはプロキシ (ECP) とも呼ばれます。
- グループ リストから、このポリシーを適用するグループを選択します。グループは、複数選択することができます。このポリシーをすべてのグループに適用するように構成するには、すべてのグループ を選択します。
- リソース リストから、このポリシーを適用するリソースを選択します。このポリシーをすべてのリソースに適用させるように構成するには、すべてのリソース を選択します。
- このポリシーに適用させるポリシー オブジェクトを選択します。このポリシー オブジェクトの詳細については、次を参照してください: ポリシー オブジェクトについて。
RADIUS 認証と基本認証 (ECP) の場合、AuthPoint はエンド ユーザーの IP アドレスや発信元の IP アドレスを知らないため、ネットワーク ロケーションを含むポリシーは適用されません。
このポリシー オブジェクトを構成する際は、このポリシー オブジェクトが含まれていない、同じグループやリソースを対象とした 2 つ目のポリシーも作成することをお勧めします。ポリシー オブジェクトを含むポリシーに、より高い優先度を割り当てます。詳細については、次を参照してください:ポリシーの優先付けについて。
- 保存 をクリックします。
ポリシーが作成され、ポリシー リストの最後に追加されます。新しいポリシーを作成したら、ポリシーの順序を確認することをお勧めします。AuthPoint では、新しく追加されたポリシーは常にポリシー リストの最後に追加されます。
