管理者ログイン-2要素認証（パスワード認証＋ワンタイムパスワード認証）

目的

• SingleIDのユーザで、Check Point Quantum Sparkへ管理者権限でログインします。
• 接続する際の認証方式は、2要素認証（パスワード認証＋ワンタイムパスワード認証）です。
• SingleIDの拡張RADIUSサーバを利用します。
• ユーザ/グループによるアクセス制限をします。

考慮事項

RADIUS連携時のCheckPointのVPN接続で、使用できるパスワードの文字数は最大16文字です。そのため、2要素認証（パスワード認証＋ワンタイムパスワード認証）をVPN接続で使用する場合には、10文字以上のパスワードが設定されたユーザではログインできません。

Info

• ワンタイムパスワードで使用するトークンの長さ：6文字
• パスワードとワンタイムパスワードトーンの区切り文字：1文字

設定方法

SingleIDのグループの作成

1. SingleID 管理者ポータル＞グループ画面へ移動します。
2. グループ追加をクリックします。グループ追加画面がポップアップします。
3. グループ名を入力し、登録ボタンをクリックします。

SingleIDのユーザの作成

1. SingleID 管理者ポータル＞ユーザ画面へ移動します。
2. 登録ボタンをクリックします。ユーザ登録画面がポップアップします。
3. ユーザ登録画面の基本情報を入力します。グループタブをクリックします。
4. メンバーとなるグループを選択し、登録ボタンをクリックします。

SingleIDの拡張RADIUSサーバの登録

1. SingleID 管理者ポータル＞認証＞RADIUS＞基本設定画面へ移動します。

2. 拡張RADIUSサーバ＞RADIUSポート番号の登録ボタンをクリックします。拡張RADIUSサーバの登録画面がポップアップします。

   設定項目	設定内容
   使用するプロトコル	UDP
   シークレット	任意の文字列を設定します。英大文字、英小文字、数字、記号を組み合わせて、最低でも14文字以上の複雑な文字列を設定することをお勧めします。

3. 登録ボタンをクリックします。

Check Point Quantum SparkのRADIUSサーバの設定

1. Check Point Quantum Spark GUI＞デバイス＞管理者画面へ移動します。
2. RADIUSの設定をクリックします。RADIUSサーバの設定画面がポップアップします。

3. 以下を設定します。

   設定項目	設定内容
   IPv4アドレス	SingleID 管理者ポータル＞認証＞RADIUS＞基本情報画面の拡張RADIUSサーバ＞IPアドレスのプライマリです。
   ポート	SingleID 管理者ポータル＞認証＞RADIUS＞基本情報画面の拡張RADIUSサーバ＞RADIUSポート番号のポート番号です。
   共有秘密キー	SingleIDの拡張RADIUSサーバの登録の手順2のシークレットに設定した文字列です。

4. 適用ボタンをクリックします。

Check Point Quantum Sparkの管理者ログインの認証の設定

1. Check Point Quantum Spark GUI＞デバイス＞管理者画面へ移動します。
2. 権限の編集をクリックします。RADIUS認証画面がポップアップします。

3. 以下を設定し、適用ボタンをクリックします。

   設定項目	設定内容
   管理者のRADIUS認証を有効にする
   RADIUSサーバで定義されたロールを使用	選択

サイト識別する属性の確認方法

YAMAHA RTXが送信するNAS-IP-Address属性およびNAS-Identifier属性の属性値を確認します。

1. 動作確認方法に従って、認証を試みます。
2. 認証が失敗します。
3. SingleID 管理者ポータル＞ログ＞RADIUS認証ログ画面へ移動します。
4. 認証失敗したログのNAS-IPまたはNAS-IDの項目を確認します。NAS-IPが、NAS-IP-Address属性の属性値です。NAS-IDが、NAS-Identifier属性の属性値です。

SingleIDのRADIUSサイトの登録

1. SingleID 管理者ポータル＞認証＞RADIUS＞簡易設定画面へ移動します。
2. カタログ表示ボタンをクリックします。
3. カタログからCheck Point Quantum Sparkの登録ボタンをクリックします。Check Point Quantum Spark画面がポップアップします。

4. 基本情報タブに、以下を設定します。

   設定項目	設定内容
   有効/無効	有効
   サーバ	拡張
   サーバ番号	SingleIDの拡張RADIUSサーバの登録で登録したサーバ番号を選択します。
   サイト識別する属性	サイト識別する属性の確認方法で確認できた属性を選択します。
   属性値	サイト識別する属性の確認方法で確認できた属性の属性値を設定します。

5. 管理アクセスの認証タブへ移動します。

6. 許可したいユーザおよび許可したいグループをダブルクリックし、許可へ移動させます。

   Info

   • ２要素認証（OTP）のみ許可を有効にすると、２要素認証（OTP）以外の認証方式のアクセスを拒否します。

   • 必要に応じて権限を設定します。権限の詳細については、Check Point Quantum Sparkの管理者ガイドをご確認ください。

     • スーパー管理者
     • 読み取り専用管理者
     • ネットワーキング管理者
     • モバイル管理者

7. 登録ボタンをクリックします。

動作確認方法

管理者ログインの認証（パスワード認証＋ワンタイムパスワード認証）

ソフトウェアトークンのインストール

ソフトウェアトークンとして、以下のiPhoneおよびAndroidのモバイルアプリが利用できます。どちらかのアプリをスマートフォンまたはタブレットへインストールします。

• FreeOTP
• Google Authenticator

SingleIDへソフトウェアトークンの登録

Warning

SingleIDへソフトウェアトークンの登録を行っていないユーザは、ワンタイムパスワードは無効となり、パスワードでの認証となります。

1. SingleIDのユーザポータルへログインします。
2. SingleID ユーザポータル＞オーセンティケーター画面へ移動します。

3. QRコードが表示されていることを確認します。

   

4. スマートフォンまたはタブレットへインストールしたソフトウェアトークンアプリを起動します。（ここでは、Google Authenticatorを利用します。）

5. ＋をクリックし、新規アカウントを追加します。

   

6. QRコードをスキャンをクリックし、ユーザポータルに表示されているQRコードを読み取ります。

   

7. アカウントを追加をクリックし、アカウントを追加します。

   

8. 表示されている数字をSingleID ユーザポータル＞オーセンティケーター画面のワンタイムコードへ入力し、保存ボタンをクリックし、オーセンティケーターを登録します。

   

   Info

   ソフトウェアトークンの6桁の数字の表示は、30秒ごとに変わります。変わる前に、オーセンティケーターの登録を完了させる必要があります。登録する途中で、ソフトウェアトークンの数字が変わってしまった場合には、変わった数字を登録します。

Check Point Quantum Spark GUIへログイン

1. Check Point Quantum Spark GUI https://Check PointのIP:4434/ へアクセスします。

2. ログインを試み、ログインが成功することを確認します。なお、パスワードの形式は、ユーザのパスワードとソフトウェアトークンに表示されたワンタイムパスワードを:（コロン）でつなげた文字列を入力します。（例：password:123456）