Firebox の MFA を構成する

Fireware v12.7 以降を実行している Fireboxes には、AuthPoint を認証サーバーとして追加することができます。これにより、以下に対する AuthPoint MFA の構成が容易になります。

  • Mobile VPN with SSL
  • Mobile VPN with IKEv2
  • Firebox Web UI
  • Firebox 認証ポータル

Firebox で AuthPoint を認証サーバーとして有効化するには、AuthPoint に Firebox リソースを追加する必要があります。AuthPoint で Firebox リソースを構成すると、Firebox の AuthPoint 認証サーバーが有効になります。

Firebox に MFA を追加するために Firebox リソースを構成すると、AuthPoint はエンド ユーザーの IP アドレスを受け取るので、ユーザーが VPN クライアントで認証するとネットワーク ロケーションのポリシー オブジェクトが適用されます。

Firebox リソースで MS-CHAPv2 が有効になっている場合でも、Gateway 構成に Firebox リソースを追加する必要はありません。このシナリオでは、Firebox は NPS でユーザーのパスワードを検証し、AuthPoint は MFA でユーザーを認証します。

AuthPoint 認証サーバーで Azure Active Directory ユーザーを認証するためには、Firebox で Fireware v12.7.1 以降を実行している必要があります。

開始する前に

Firebox で AuthPoint を認証サーバーとして追加する前に、デバイスをローカル管理の Firebox として WatchGuard Cloud に登録、接続していることを確認します。AuthPoint 統合は、クラウド管理の Fireboxes ではサポートされていません。

Firebox を WatchGuard Cloud に登録して接続する方法の詳細については、次を参照してください: ローカル管理の Firebox を WatchGuard Cloud に追加する

認証ワークフロー

AuthPoint を Mobile VPN with SSL、Mobile VPN with IKEv2、Firebox 認証ポータル、、または Fireware Web UI ユーザーの認証サーバーとして構成すると、以下の状況が発生します。

  1. Firebox は、ユーザー認証の要求を AuthPoint に直接転送します。
  2. AuthPoint で、多要素認証 (MFA) の調整が行われます。
    • ローカル ユーザー — AuthPoint は最初の要素 (パスワード) と 2 番目の要素 (プッシュまたはワンタイム パスワード) を検証します。
    • LDAP ユーザー — Active Directory に接続して最初の要素 (パスワード) を検証するよう、AuthPoint から Firebox に指示が行われます。AuthPoint で 2 番目の要素 (プッシュまたはワンタイム パスワード) の検証が行われます。
    • Azure Active Directory ユーザー — 最初の要素 (パスワード) を検証するよう、AuthPoint から Azure Active Directory に連絡が行きます。AuthPoint で 2 番目の要素 (プッシュまたはワンタイム パスワード) の検証が行われます。
  3. Firebox は、ユーザーに次の認証オプションを選択するよう促します。
    • ユーザーがプッシュ オプションを選択した場合、AuthPoint からユーザーの電話にプッシュ要求が送られます。
    • ユーザーがワンタイム パスワードを選択した場合、Firebox はユーザーにワンタイム パスワード (OTP) を指定するよう促します。

認証ワークフローは、以下のように Fireware の機能によって異なります。

  1. ユーザーが Mobile VPN with SSL クライアントから Firebox への VPN 接続を開始します。
  2. Firebox から AuthPoint に要求が転送されます。
  3. AuthPoint で、ユーザーがローカルにいることと、有効な MFA ポリシーがあることの確認が行われます。
    • プッシュの場合:
      1. AuthPoint はユーザーの携帯電話にプッシュ通知を送信します。
      2. ユーザーはプッシュ通知を受け取り、承認します。
      3. AuthPoint はプッシュが承認されたことを受け取り、Firebox に通知します。
      4. Firebox はその承認を受け取り、VPN へのユーザー接続を許可します。
    • OTP の場合:
      1. AuthPoint で OTP の検証が行われます。
      2. Firebox はその承認を受け取り、VPN へのユーザー接続を許可します。
  1. ユーザーが Mobile VPN with SSL クライアントから Firebox への VPN 接続を開始します。
  2. Firebox から AuthPoint に要求が転送されます。
  3. AuthPoint で、ユーザーが Active Directory ユーザーであることの確認が行われます。
  4. AuthPoint は、Active Directory サーバーによってユーザーを検証する必要があることを Firebox に伝えます。
  5. Firebox から Active Directory サーバーに、ユーザー認証情報が送信されます (LDAP バインド要求)。
  6. Active Directory でユーザー認証情報の検証を行った後、Firebox に応答します。
  7. Firebox から AuthPoint に MFA 要求が送信されます。
  8. AuthPoint は、ユーザーが有効な MFA ポリシーを持っていることを確認します。
    • プッシュの場合:
      1. AuthPoint はユーザーの携帯電話にプッシュ通知を送信します。
      2. ユーザーはプッシュ通知を受け取り、承認します。
      3. AuthPoint はプッシュが承認されたことを受け取り、Firebox に通知します。
      4. Firebox はその承認を受け取り、VPN へのユーザー接続を許可します。
    • OTP の場合:
      1. AuthPoint で OTP の検証が行われます。
      2. Firebox はその承認を受け取り、VPN へのユーザー接続を許可します。
  1. ユーザーが Mobile VPN with SSL クライアントから Firebox への VPN 接続を開始します。
  2. Firebox から AuthPoint に要求が転送されます。
  3. AuthPoint で、ユーザーが Azure Active Directory ユーザーであることの確認が行われます。
  4. 最初の要素 (パスワード) を検証するよう、AuthPoint から Azure Active Directory に連絡が行きます。
  5. AuthPoint は、ユーザーが有効な MFA ポリシーを持っていることを確認し、ユーザーを認証します。
    • プッシュの場合:
      1. AuthPoint はユーザーの携帯電話にプッシュ通知を送信します。
      2. ユーザーはプッシュ通知を受け取り、承認します。
      3. AuthPoint はプッシュが承認されたことを受け取り、Firebox に通知します。
      4. Firebox はその承認を受け取り、VPN へのユーザー接続を許可します。
    • OTP の場合:
      1. AuthPoint で OTP の検証が行われます。
      2. Firebox はその承認を受け取り、VPN へのユーザー接続を許可します。
  1. ユーザーが Mobile VPN with IKEv2 クライアントから Firebox への VPN 接続を開始します。
  2. Firebox から AuthPoint に要求が転送されます。
  3. AuthPoint で、ユーザーがローカルにいることと、有効な MFA ポリシーがあることの確認が行われます。
  4. AuthPoint がユーザーを認証します。
    • プッシュの場合:
      1. AuthPoint はユーザーの携帯電話にプッシュ通知を送信します。
      2. ユーザーはプッシュ通知を受け取り、承認します。
      3. AuthPoint はプッシュが承認されたことを受け取り、Firebox に通知します。
      4. Firebox はその承認を受け取り、VPN へのユーザー接続を許可します。
    • OTP の場合:
      1. AuthPoint で OTP の検証が行われます。
      2. Firebox はその承認を受け取り、VPN へのユーザー接続を許可します。
  1. ユーザーが Mobile VPN with IKEv2 クライアントから Firebox への VPN 接続を開始します。
  2. Firebox から AuthPoint に要求が転送されます。
  3. AuthPoint で、ユーザーが Active Directory ユーザーであることの確認が行われます。
  4. AuthPoint は、NPS サーバーによってユーザーを検証する必要があることを Firebox に伝えます。
  5. Firebox から NPS サーバーに、ユーザー認証情報が送信されます (RADIUS プロトコル)。IKEv2 クライアントからログインする Active Directory ユーザーには NPS が必須です。
  6. NPS サーバーが Firebox に応答します。
  7. Firebox から AuthPoint に MFA 要求が送信されます。
  8. AuthPoint は、ユーザーが有効な MFA ポリシーを持っていることを確認します。
  9. AuthPoint はユーザーの携帯電話にプッシュ通知を送信します。
  10. ユーザーはプッシュ通知を受け取り、承認します。
  11. AuthPoint はプッシュが承認されたことを受け取り、Firebox に通知します。
  12. Firebox はその承認を受け取り、VPN へのユーザー接続を許可します。
  1. ユーザーが Mobile VPN with IKEv2 クライアントから Firebox への VPN 接続を開始します。
  2. Firebox から AuthPoint に要求が転送されます。
  3. AuthPoint で、ユーザーが Azure Active Directory ユーザーであることの確認が行われます。
  4. AuthPoint は、NPS サーバーによってユーザーを検証する必要があることを Firebox に伝えます。
  5. Firebox から NPS サーバーに、ユーザー認証情報が送信されます (RADIUS プロトコル)。IKEv2 クライアントからログインする Azure Active Directory ユーザーには NPS が必須です。
  6. NPS サーバーが Firebox に応答します。
  7. Firebox から AuthPoint に MFA 要求が送信されます。
  8. AuthPoint は、ユーザーが有効な MFA ポリシーを持っていることを確認します。
  9. AuthPoint はユーザーの携帯電話にプッシュ通知を送信します。
  10. ユーザーはプッシュ通知を受け取り、承認します。
  11. AuthPoint はプッシュが承認されたことを受け取り、Firebox に通知します。
  12. Firebox はその承認を受け取り、VPN へのユーザー接続を許可します。
  1. ユーザーがポート 4100 で Firebox 認証ポータルに接続します。
  2. ユーザーが認証情報を入力し、AuthPoint 認証ドメインを選択します。
  3. Firebox から AuthPoint に要求が転送されます。
  4. AuthPoint で、ユーザーがローカルにいることと、有効な多要素認証 (MFA) ポリシーがあることの確認が行われます。
  5. ユーザーには、利用可能な認証方法を示す認証ページが表示されます。
  6. ユーザーが認証方法を選択します。
  7. Firebox から AuthPoint に MFA 要求が送信されます。
    • プッシュの場合:
      1. AuthPoint はユーザーの携帯電話にプッシュ通知を送信します。
      2. ユーザーはプッシュ通知を受け取り、承認します。
      3. AuthPoint はプッシュが承認されたことを受け取り、Firebox に通知します。
      4. Firebox はその承認を受け取り、ユーザーによるログインを許可します。
    • OTP の場合:
      1. AuthPoint で OTP の検証が行われます。
      2. Firebox はその承認を受け取り、ユーザーによるログインを許可します。
  1. ユーザーがポート 4100 で Firebox 認証ポータルに接続します。
  2. ユーザーが認証情報を入力し、AuthPoint 認証ドメインを選択します。
  3. Firebox から AuthPoint に要求が転送されます。
  4. AuthPoint で、ユーザーが Active Directory ユーザーであることと、そのユーザーが有効な MFA ポリシーを持っていることの確認が行われます。
  5. AuthPoint は、Active Directory サーバーによってユーザーを検証する必要があることを Firebox に対して伝えます。
  6. Firebox から Active Directory サーバーに、ユーザーの認証情報が送信されます (LDAP バインド要求)。
  7. Active Directory でユーザー認証情報の検証を行った後、Firebox に応答します。
  8. ユーザーには、利用可能な認証方法を示す認証ページが表示されます。
  9. ユーザーが認証方法を選択します。
  10. Firebox から AuthPoint に MFA 要求が送信されます。
    • プッシュの場合:
      1. AuthPoint はユーザーの携帯電話にプッシュ通知を送信します。
      2. ユーザーはプッシュ通知を受け取り、承認します。
      3. AuthPoint はプッシュが承認されたことを受け取り、Firebox に通知します。
      4. Firebox はその承認を受け取り、ユーザーによるログインを許可します。
    • OTP の場合:
      1. AuthPoint で OTP の検証が行われます。
      2. Firebox はその承認を受け取り、ユーザーによるログインを許可します。
  1. ユーザーがポート 4100 で Firebox 認証ポータルに接続します。
  2. ユーザーが認証情報を入力し、AuthPoint 認証ドメインを選択します。
  3. Firebox から AuthPoint に要求が転送されます。
  4. AuthPoint で、ユーザーが Azure Active Directory ユーザーであることの確認が行われます。
  5. 最初の要素 (パスワード) を検証するよう、AuthPoint から Azure Active Directory に連絡が行きます。
  6. ユーザーには、利用可能な認証方法を示す認証ページが表示されます。
  7. ユーザーが認証方法を選択します。
  8. Firebox から AuthPoint に MFA 要求が送信されます。
    • プッシュの場合:
      1. AuthPoint はユーザーの携帯電話にプッシュ通知を送信します。
      2. ユーザーはプッシュ通知を受け取り、承認します。
      3. AuthPoint はプッシュが承認されたことを受け取り、Firebox に通知します。
      4. Firebox はその承認を受け取り、ユーザーによるログインを許可します。
    • OTP の場合:
      1. AuthPoint で OTP の検証が行われます。
      2. Firebox はその承認を受け取り、ユーザーによるログインを許可します。
  1. ユーザーが Firebox Web UI に接続します。
  2. ユーザーが認証情報を入力し、AuthPoint 認証ドメインを選択します。
  3. Firebox から AuthPoint に要求が転送されます。
  4. AuthPoint で、ユーザーがローカルにいることと、有効な多要素認証 (MFA) ポリシーがあることの確認が行われます。
  5. ユーザーに対して、利用可能な認証方法を示す認証ページが表示されます。
  6. ユーザーが認証方法を選択します。
  7. Firebox から AuthPoint に MFA 要求が送信されます。
    • プッシュの場合:
      1. AuthPoint はユーザーの携帯電話にプッシュ通知を送信します。
      2. ユーザーはプッシュ通知を受け取り、承認します。
      3. AuthPoint はプッシュが承認されたことを受け取り、Firebox に通知します。
      4. Firebox はその承認を受け取り、ユーザーによるログインを許可します。
    • OTP の場合:
      1. AuthPoint で OTP の検証が行われます。
      2. Firebox はその承認を受け取り、ユーザーによるログインを許可します。
  1. ユーザーが Firebox Web UI に接続します。
  2. ユーザーが認証情報を入力し、AuthPoint 認証ドメインを選択します。
  3. Firebox から AuthPoint に要求が転送されます。
  4. AuthPoint で、ユーザーが Active Directory ユーザーであることと、そのユーザーが有効な MFA ポリシーを持っていることの確認が行われます。
  5. AuthPoint は、Active Directory サーバーによってユーザーを検証する必要があることを Firebox に対して伝えます。
  6. Firebox から Active Directory サーバーに、ユーザー認証情報が送信されます (LDAP バインド要求)。
  7. Active Directory でユーザー認証情報の検証を行った後、Firebox に応答します。
  8. ユーザーには、利用可能な認証方法を示す認証ページが表示されます。
  9. ユーザーが認証方法を選択します。
  10. Firebox から AuthPoint に MFA 要求が送信されます。
    • プッシュの場合:
      1. AuthPoint はユーザーの携帯電話にプッシュ通知を送信します。
      2. ユーザーはプッシュ通知を受け取り、承認します。
      3. AuthPoint はプッシュが承認されたことを受け取り、Firebox に通知します。
      4. Firebox はその承認を受け取り、ユーザーによるログインを許可します。
    • OTP の場合:
      1. AuthPoint で OTP の検証が行われます。
      2. Firebox はその承認を受け取り、ユーザーによるログインを許可します。

Fireware 12.6.x 以下の構成を変換する

このセクションは、手動で作成した AuthPoint RADIUS 認証サーバーを使用する構成にのみ該当します。すでに Firebox の RADIUS クライアント リソースと RADIUS サーバーを使用して Firebox の AuthPoint MFA を構成している場合は、このセクションの手順に従って AuthPoint 認証サーバーを使用するように構成を変更してください。

AuthPoint Gateway で RADIUS 認証サーバーを使用する、Fireware v12.7 以前に作成された構成は、Fireware v12.7 にアップグレードした後も引き続き機能します。

AuthPoint という名前の既存の認証サーバーがある場合、以下を行うと、その認証サーバーの名前が自動的に AuthPoint.1 に変更されます。

  • Firebox を Fireware v12.7 にアップグレードした場合。
  • WSM または Policy Manager v12.7 以降を使用して Fireware 12.6.x 以下を実行する Firebox を管理した場合。

既存の AuthPoint 認証サーバーの名前が、既定の認証サーバーではない名前に変更された場合、ユーザーはログインしてその認証サーバーを使用する際に、新しい認証サーバー名 (AuthPoint.1) を入力する必要があります。

AuthPoint 認証サーバーを使用するよう構成を変換するには、以下の手順を実行します。

  1. Firebox を Fireware v12.7 にアップグレードします。
  2. AuthPoint で以下を実行します。
      Firebox の
    1. Firebox リソースを追加 します。
    2. 新しい Firebox リソースの 認証ポリシーを構成する か、既存の認証ポリシーのいずれかに Firebox リソースを追加します。
  3. Fireware では、以下を実行します。
    • VPN の AuthPoint MFA を構成するには、AuthPoint を Mobile VPN with SSL 構成または Mobile VPN with IKEv2 構成のプライマリ認証サーバーとして追加します。
    • Firebox 認証ポータルの AuthPoint MFA を構成するには、AuthPoint をユーザーとグループの認証サーバーとして指定します。
  4. 新しい構成で MFA をテストします。
  5. 以前の構成を削除します。
    1. AuthPoint で、既存の RADIUS クライアント リソースを削除し、Gateway から RADIUS クライアント リソースを削除します。
    2. Fireware で、AuthPoint Gateway に対して構成した RADIUS サーバーを削除します。

Firebox リソースを構成する

Firebox リソースを追加するには、以下の手順を実行します。

  1. ナビゲーション メニューから リソース を選択します。
    リソース ページが開きます。

  1. リソースの種類の選択 ドロップダウン リストから、Firebox を選択します。リソースを追加する をクリックします。
    Firebox リソース ページが開きます。

Screenshot of the Firebox resource page.

  1. 名前 テキスト ボックスに、リソースの記述的な名前を入力します。
  2. Firebox ドロップダウン リストから、AuthPoint に接続する Firebox または FireCluster を選択します。このリストには、WatchGuard Cloud に追加したローカル管理の Fireboxes および FireCluster のみが表示されています。

Screenshot of the Firebox resource page.

  1. MS-CHAPv2 認証要求を許可するよう Firebox リソースを構成するには、MS-CHAPv2 の有効化 トグルをクリックします。
    追加のテキスト ボックスが表示されます。

    IKEv2 VPN クライアントを使用しているのがローカルの AuthPoint ユーザーのみの場合は、MS-CHAPv2 を有効にする必要はありません。

Screenshot of the Firebox resource page.

  1. NPS RADIUS サーバーの信頼済み IP または FQDN テキスト ボックスに、NPS RADIUS サーバーの IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力します。
  2. ポート テキスト ボックスに、NPS が通信に使用するポートを入力します。既定のポートは 1812 です。
  3. タイムアウトまでの残り時間 (秒) テキスト ボックスに、秒単位で値を入力します。タイムアウト値は、プッシュ認証の有効期限が切れるまでの時間です。
  4. 共有シークレット テキスト ボックスに、NPS および Firebox が通信に使用する共有シークレット キーを入力します。

Screenshot of the Firebox resource page.

  1. 保存 をクリックします。

AuthPoint で Firebox リソースを追加すると、Firebox の AuthPoint 認証サーバーが有効になります。MFA を追加するには、AuthPoint 認証サーバーを使用するよう Firebox を構成する必要があります。

関連情報:

AuthPoint 認証ポリシーについて

Firebox Mobile VPN with SSL と AuthPoint の統合

Active Directory ユーザー向けの Firebox Mobile VPN with IKEv2 と AuthPoint の統合

Azure Active Directory ユーザー向けの Firebox Mobile VPN with IKEv2 と AuthPoint の統合

Azure Active Directory ユーザー向けの Firebox Cloud Mobile VPN with IKEv2 と AuthPoint の統合

Firebox のユーザーおよびロールを管理する