管理者ログイン-2要素認証(パスワード認証+ワンタイムパスワード認証)
目的
- SingleIDのユーザで、Check Point Quantum Sparkへ管理者権限でログインします。
- 接続する際の認証方式は、2要素認証(パスワード認証+ワンタイムパスワード認証)です。
- SingleIDの標準RADIUSサーバを利用します。
- ユーザ/グループによるアクセス制限をします。
考慮事項
RADIUS連携時のCheckPointのVPN接続で、使用できるパスワードの文字数は最大16文字です。そのため、2要素認証(パスワード認証+ワンタイムパスワード認証)をVPN接続で使用する場合には、10文字以上のパスワードが設定されたユーザではログインできません。
Info
- ワンタイムパスワードで使用するトークンの長さ:6文字
- パスワードとワンタイムパスワードトーンの区切り文字:1文字
設定方法
SingleIDのグループの作成
- SingleID 管理者ポータル>グループ画面へ移動します。
- グループ追加をクリックします。グループ追加画面がポップアップします。
- グループ名を入力し、登録ボタンをクリックします。
SingleIDのユーザの作成
- SingleID 管理者ポータル>ユーザ画面へ移動します。
- 登録ボタンをクリックします。ユーザ登録画面がポップアップします。
- ユーザ登録画面の基本情報を入力します。グループタブをクリックします。
- メンバーとなるグループを選択し、登録ボタンをクリックします。
SingleIDのRADIUSサイトの登録
- SingleID 管理者ポータル>認証>RADIUS>簡易設定画面へ移動します。
- カタログ表示ボタンをクリックします。
- カタログからCheck Point Quantum Sparkの登録ボタンをクリックします。Check Point Quantum Spark画面がポップアップします。
-
基本情報タブに、以下を設定します。
設定項目 設定内容 有効/無効 有効 サーバ 標準 サーバ番号 適切なサーバ番号を選択します。選択するサーバの番号により、RADIUSサーバのポート番号が異なります。SingleID 管理者ポータル>認証>RADIUS>基本情報画面の標準RADIUSサーバ>RADIUSポート番号にサーバの番号と通信ポート番号の対応が記載されています。 IP or ホスト名 Check Point Quantum Spark側のグローバルIPアドレスです。インターネットに出ていくときの送信元のIPアドレスです。 シークレット 任意の文字列を設定します。 -
管理アクセスの認証タブへ移動します。
-
許可したいユーザおよび許可したいグループをダブルクリックし、許可へ移動させます。
Info
- 2要素認証(OTP)のみ許可を有効にすると、2要素認証(OTP)以外の認証方式のアクセスを拒否します。
-
必要に応じて権限を設定します。権限の詳細については、Check Point Quantum Sparkの管理者ガイドをご確認ください。
- スーパー管理者
- 読み取り専用管理者
- ネットワーキング管理者
- モバイル管理者
-
登録ボタンをクリックします。
Check Point Quantum SparkのRADIUSサーバの設定
- Check Point Quantum Spark GUI>デバイス>管理者画面へ移動します。
- RADIUSの設定をクリックします。RADIUSサーバの設定画面がポップアップします。
-
以下を設定します。
設定項目 設定内容 IPv4アドレス SingleID 管理者ポータル>認証>RADIUS>基本情報画面の標準RADIUSサーバ>IPアドレスのプライマリです。 ポート SingleIDのRADIUSサイトの登録の手順4のサーバ番号に対応したポート番号です。 共有秘密キー SingleIDのRADIUSサイトの登録の手順4のシークレットに設定した文字列です。 -
適用ボタンをクリックします。
Check Point Quantum Sparkの管理者ログインの認証の設定
- Check Point Quantum Spark GUI>デバイス>管理者画面へ移動します。
- 権限の編集をクリックします。RADIUS認証画面がポップアップします。
-
以下を設定し、適用ボタンをクリックします。
設定項目 設定内容 管理者のRADIUS認証を有効にする RADIUSサーバで定義されたロールを使用 選択
動作確認方法
管理者ログインの認証(パスワード認証+ワンタイムパスワード認証)
ソフトウェアトークンのインストール
ソフトウェアトークンとして、以下のiPhoneおよびAndroidのモバイルアプリが利用できます。どちらかのアプリをスマートフォンまたはタブレットへインストールします。
- FreeOTP
- Google Authenticator
SingleIDへソフトウェアトークンの登録
Warning
SingleIDへソフトウェアトークンの登録を行っていないユーザは、ワンタイムパスワードは無効となり、パスワードでの認証となります。
- SingleIDのユーザポータルへログインします。
- SingleID ユーザポータル>オーセンティケーター画面へ移動します。
-
QRコードが表示されていることを確認します。
-
スマートフォンまたはタブレットへインストールしたソフトウェアトークンアプリを起動します。(ここでは、Google Authenticatorを利用します。)
-
+をクリックし、新規アカウントを追加します。
-
QRコードをスキャンをクリックし、ユーザポータルに表示されているQRコードを読み取ります。
-
アカウントを追加をクリックし、アカウントを追加します。
-
表示されている数字をSingleID ユーザポータル>オーセンティケーター画面のワンタイムコードへ入力し、保存ボタンをクリックし、オーセンティケーターを登録します。
Info
ソフトウェアトークンの6桁の数字の表示は、30秒ごとに変わります。変わる前に、オーセンティケーターの登録を完了させる必要があります。登録する途中で、ソフトウェアトークンの数字が変わってしまった場合には、変わった数字を登録します。