コンテンツにスキップ

管理者ログイン-2要素認証(パスワード認証+ワンタイムパスワード認証)

目的

  • SingleIDのユーザで、Check Point Quantum Sparkへ管理者権限でログインします。
  • 接続する際の認証方式は、2要素認証(パスワード認証+ワンタイムパスワード認証)です。
  • SingleIDの標準RADIUSサーバを利用します。
  • ユーザ/グループによるアクセス制限をします。

考慮事項

RADIUS連携時のCheckPointのVPN接続で、使用できるパスワードの文字数は最大16文字です。そのため、2要素認証(パスワード認証+ワンタイムパスワード認証)をVPN接続で使用する場合には、10文字以上のパスワードが設定されたユーザではログインできません。

Info

  • ワンタイムパスワードで使用するトークンの長さ:6文字
  • パスワードとワンタイムパスワードトーンの区切り文字:1文字

設定方法

SingleIDのグループの作成

  1. SingleID 管理者ポータル>グループ画面へ移動します。
  2. グループ追加をクリックします。グループ追加画面がポップアップします。
  3. グループ名を入力し、登録ボタンをクリックします。

SingleIDのユーザの作成

  1. SingleID 管理者ポータル>ユーザ画面へ移動します。
  2. 登録ボタンをクリックします。ユーザ登録画面がポップアップします。
  3. ユーザ登録画面の基本情報を入力します。グループタブをクリックします。
  4. メンバーとなるグループを選択し、登録ボタンをクリックします。

SingleIDのRADIUSサイトの登録

  1. SingleID 管理者ポータル>認証>RADIUS>簡易設定画面へ移動します。
  2. カタログ表示ボタンをクリックします。
  3. カタログからCheck Point Quantum Spark登録ボタンをクリックします。Check Point Quantum Spark画面がポップアップします。
  4. 基本情報タブに、以下を設定します。

    設定項目 設定内容
    有効/無効 有効
    サーバ 標準
    サーバ番号 適切なサーバ番号を選択します。選択するサーバの番号により、RADIUSサーバのポート番号が異なります。SingleID 管理者ポータル>認証>RADIUS>基本情報画面の標準RADIUSサーバ>RADIUSポート番号にサーバの番号と通信ポート番号の対応が記載されています。
    IP or ホスト名 Check Point Quantum Spark側のグローバルIPアドレスです。インターネットに出ていくときの送信元のIPアドレスです。
    シークレット 任意の文字列を設定します。
  5. 管理アクセスの認証タブへ移動します。

  6. 許可したいユーザおよび許可したいグループをダブルクリックし、許可へ移動させます。

    Info

    • 2要素認証(OTP)のみ許可有効にすると、2要素認証(OTP)以外の認証方式のアクセスを拒否します。
    • 必要に応じて権限を設定します。権限の詳細については、Check Point Quantum Sparkの管理者ガイドをご確認ください。

      • スーパー管理者
      • 読み取り専用管理者
      • ネットワーキング管理者
      • モバイル管理者
  7. 登録ボタンをクリックします。

Check Point Quantum SparkのRADIUSサーバの設定

  1. Check Point Quantum Spark GUI>デバイス>管理者画面へ移動します。
  2. RADIUSの設定をクリックします。RADIUSサーバの設定画面がポップアップします。
  3. 以下を設定します。

    設定項目 設定内容
    IPv4アドレス SingleID 管理者ポータル>認証>RADIUS>基本情報画面の標準RADIUSサーバ>IPアドレスプライマリです。
    ポート SingleIDのRADIUSサイトの登録の手順4のサーバ番号に対応したポート番号です。
    共有秘密キー SingleIDのRADIUSサイトの登録の手順4のシークレットに設定した文字列です。
  4. 適用ボタンをクリックします。

Check Point Quantum Sparkの管理者ログインの認証の設定

  1. Check Point Quantum Spark GUI>デバイス>管理者画面へ移動します。
  2. 権限の編集をクリックします。RADIUS認証画面がポップアップします。
  3. 以下を設定し、適用ボタンをクリックします。

    設定項目 設定内容
    管理者のRADIUS認証を有効にする
    RADIUSサーバで定義されたロールを使用 選択

動作確認方法

管理者ログインの認証(パスワード認証+ワンタイムパスワード認証)

ソフトウェアトークンのインストール

ソフトウェアトークンとして、以下のiPhoneおよびAndroidのモバイルアプリが利用できます。どちらかのアプリをスマートフォンまたはタブレットへインストールします。

  • FreeOTP
  • Google Authenticator

SingleIDへソフトウェアトークンの登録

Warning

SingleIDへソフトウェアトークンの登録を行っていないユーザは、ワンタイムパスワードは無効となり、パスワードでの認証となります。

  1. SingleIDのユーザポータルへログインします。
  2. SingleID ユーザポータル>オーセンティケーター画面へ移動します。
  3. QRコードが表示されていることを確認します。

    Screenshot

  4. スマートフォンまたはタブレットへインストールしたソフトウェアトークンアプリを起動します。(ここでは、Google Authenticatorを利用します。)

  5. をクリックし、新規アカウントを追加します。

    Screenshot

  6. QRコードをスキャンをクリックし、ユーザポータルに表示されているQRコードを読み取ります。

    Screenshot

  7. アカウントを追加をクリックし、アカウントを追加します。

    Screenshot

  8. 表示されている数字SingleID ユーザポータル>オーセンティケーター画面のワンタイムコードへ入力し、保存ボタンをクリックし、オーセンティケーターを登録します。

    Screenshot

    Info

    ソフトウェアトークンの6桁の数字の表示は、30秒ごとに変わります。変わる前に、オーセンティケーターの登録を完了させる必要があります。登録する途中で、ソフトウェアトークンの数字が変わってしまった場合には、変わった数字を登録します。

Check Point Quantum Spark GUIへログイン

  1. Check Point Quantum Spark GUI https://Check PointのIP:4434/ へアクセスします。
  2. ログインを試み、ログインが成功することを確認します。なお、パスワードの形式は、ユーザのパスワードソフトウェアトークンに表示されたワンタイムパスワードを:(コロン)でつなげた文字列を入力します。(例:password:123456)

    Screenshot