SAML 認証ログインによる管理者アカウントの作成

SAML 認証を使用すると、管理者は SAML プロトコルを使用する中央のサードパーティ ID プロバイダを介して SmartConsole にログインします。ID プロバイダは、管理者を認証する機能など、管理者に関する情報を保持する。Check Pointは、以下のIDプロバイダをサポートしています：Okta、Ping Identity、Azure。

使用事例

Azureにアカウントを持つ管理者は、SmartConsoleで作業したい。各管理者が、Azure用とSmartConsole用の2つの異なる管理者名とパスワードを使用すると、多くの問題が発生します：

管理者は、（他の企業パスワードに加えて）異なるパスワードと有効期限ポリシーを扱わなければならない。
管理者は、Azure用とSmartConsole用の2種類のパスワードを覚えておく必要があります（他の企業パスワードに加えて）。
管理者のメンテナンスが必要になる。例えば、管理者が退社する場合、その管理者が登録しているすべてのアプリケーションから削除する必要があります。Identity Provider を使用する場合は、Identity Provider データベースから管理者を削除するだけでよい。

そのため、各管理者はAzureとSmartConsoleの両方で1つのパスワードを使用することが望ましい。Identityプロバイダを使用すると、管理者はAzureに対して一度認証を行うだけで、SmartConsoleに接続したときにSmartConsoleがすでに管理者を認識しているため、改めてパスワードを入力する必要がありません。こうすることで、管理者もSecurity Management Serverにパスワードを知られることはない。

SAML 認証プロセスフロー：

管理者がSmartConsoleにログインしようとします。
SmartConsoleは、管理者をブラウザに戻し、Security Management Serverで事前に設定されたURLにリダイレクトします。
Security Management Serverは、SAML 要求でブラウザを ID プロバイダにリダイレクトする。
ID プロバイダが管理者を認証する。
ID プロバイダは SAML アサーションを生成し、ブラウザを介してSecurity Management Serverに送り返す。
Security Management Serverは、SAML アサーションを検証する。
管理者が認証されている場合、Security Management Serverは、認証に必要なデータをブラウザからSmartConsoleにリダイレクトします。
SmartConsoleは、この認証データでSecurity Management Serverへのセッションを開きます。

SAML認証ログイン

注- デフォルトでは、SmartConsole ログイン用の SAML 認証は、管理サーバ上の Gaia Portal が TCP ポート 443 で動作する必要があります。詳細は、sk182032を参照してください。

アイデンティティ・プロバイダで、SmartConsoleアプリケーションを作成し、その設定を行います。

手順については、ID プロバイダのマニュアルを参照してください。

注：

クライアントが ID プロバイダの Web サイトに接続でき、それをブロックするポリシールールがないことを確認する。
アイデンティティ・プロバイダの SmartConsole アプリケーション統合には、「username」の属性マッピングが必要であり、「sign assertion and response」オプションが選択されている必要があります。
ID プロバイダは複数の URL に応答を返すことができる。Management High Availability環境では、必要な数の返信URLを入力します。

ID プロバイダが応答を送信するとき、応答には応答が返される IP アドレスを含める必要がある。

必要な宛先が応答に含まれていない場合、その応答は排除される。

返信URLに "Default "を使用しないようにしてください：

SmartConsoleで、Identity Providerオブジェクトを作成し、設定します。

オブジェクトエクスプローラで、New >More >User/Identity > Identity Provider をクリックする。

New Identity Providerウィンドウが開きます。

これらのプロパティを ID プロバイダオブジェクトに設定する：

名前（例：Azure）。
Use Identity Provider for-Managing administrator access を選択する。Identity Provider を通して SmartConsole の認証を行います。

注-Security Gateway and logs で SAML 認証を使用するには、以下を参照してください。R81.20 Identity Awareness Administration Guide。

Data Required by the SAML Identity Provider- SmartConsoleは、環境に応じてIdentifier (Entity ID) 、Reply URLs 。

SmartConsole が示した識別子（エンティティ ID）と返信 URL を取得し、Identity Provider で作成した SmartConsole アプリケーションのプロパティの該当する場所に入力します。

URLの代わりにドメイン名を使用するには

注- NATの後ろにあるSecurity Management Serverとマルチドメインサーバの場合は、以下の手順に従わなければならない。

Management High Availability環境では、各管理サーバで以下の手順を実行する必要があります。

管理サーバのコマンドラインに接続します。
エキスパートモードにログインします。

CPDIR/tmp/.CPprofile.shファイルを編集する：

vi $CPDIR/tmp/.CPprofile.sh

ファイルの一番下に次の行を追加する：

SAML_IP_OR_NAME=<Your Domain Name>;export SAML_IP_OR_NAME

例:

SAML_IP_OR_NAME=example.com;export SAML_IP_OR_NAME

変更内容をファイルに保存し、エディタを終了します。
Check Pointのサービスを再起動します（この操作により、SmartConsole クライアントは切断されます）：
- Security Management Serverで、以下を実行する：cpstop ; cpstart
- マルチドメインサーバで次を実行します:mdsstop ; mdsstart
SmartConsoleで管理サーバに接続します。
Identity Provider Web サイトを開く。
Reply URLs で、IPアドレスをドメイン名に置き換える。

Data received from the SAML Identity Provider:
- Import metadata file- ID プロバイダはこのファイルを作成する。メタデータファイルには、Identity Provider と管理サーバ間の信頼確立に必要なすべての情報が含まれる。
- ID プロバイダにメタデータファイルがない場合は、ID プロバイダのこの情報を手入力する：
  - Identifier (Entity ID)- ID プロバイダの一意の識別子。
  - Login (URL)- これは、SAML 要求がポストされる ID プロバイダ側のエンドポイントである。
  - Certificate file- 管理サーバは ID プロバイダから証明書ファイルを受け取り、ID プロバイダの署名を検証する。証明書は管理サーバに保存され、応答が投稿されるたびに使用される。

クリックOK。
SmartConsoleセッションを公開する。

SmartConsole で、[Manage & Settings] ビュー >Permissions & Administrators >Advanced > Identity Provider >Identity Provider for Managing Administrator Access > 作成した Identity Provider オブジェクトを選択します。

注：

Security Management Serverでは、1 つの ID プロバイダしか使用できません。
マルチドメイン・Security Management Server：
- ドメインに使用できる ID プロバイダは 1 つだけである。
- マルチドメインサーバに ID プロバイダを構成し、ドメインに ID プロバイダを構成しない場合、ドメイン管理サーバはマルチドメインサーバに構成された ID プロバイダを使用する。
- ドメインに ID プロバイダを割り当てることができるのは、スーパーユーザのみである。
- ドメインの ID プロバイダでドメインにアクセスするには、SmartConsole を開き、ドメインの IP アドレスに接続する。
- ドメインの ID プロバイダは、ドメインの権限プロファイルを持つ管理者またはグループのみを認証できる。

ID プロバイダと認証する管理者（または管理者のグループ）を作成する。

SmartConsoleで、Manage & Settings >Permissions & Administrators > Administratorsに進みます。
アイコンをクリックし、ドロップダウンリストからNew Administrator またはNew Identity Provider Administrator Group を選択する。

管理者の場合は、これらの設定を行う：

Name- 管理者名は、Identity Provider の username 属性で定義されている名前と同じでなければならない。
Authentication Method- Identity Provider を選択する。
Permissions- 必要な権限プロファイルを割り当てる。

管理者グループの場合は、以下の設定を行う：

Name- 管理者グループオブジェクトの名前を入力します。任意の名前を選択できる。
Group ID/name- ID プロバイダで定義されているグループ属性と同一でなければならない。
Permission- 必要な権限プロファイルを割り当てる。

注-ID プロバイダのインタフェースで、SAML 属性を構成する：

groups "というオプションの属性を定義する。
ID プロバイダの要件に従って属性を構成する。

Identity Provider を使用して SmartConsole にログインするには、2 つの方法があります。

SmartConsoleのログインウィンドウからログインする

SmartConsoleを開きます。
最初のドロップダウンメニューから、Identity Provider を選択する。

Security Management Serverは、管理者がSecurity Management Serverのデータベースに存在するかどうかを確認する。
- 管理者が存在する場合、SmartConsoleは管理者をログインさせます。
- 管理者が存在しない場合、Security Management Serverは、管理者がSecurity Management Serverデータベースの管理者グループに属しているかどうかを確認する。
  
  このようなグループに管理者が存在する場合、SmartConsoleは管理者にログインし、Security Management Serverは管理者にグループの権限を割り当てます。
管理サーバのIPアドレスまたはホスト名を入力します。
Login with SSOをクリックします。

注：

管理者が管理者アカウントを持ち、かつ管理者グループに属している場合、Security Management Serverは管理者に管理者アカウントの権限を割り当てる。
管理者が複数の管理者グループに属している場合、Security Management Serverは、Security Management Serverデータベースのアルファベット順で最初に来る管理者グループの権限を管理者に割り当てます。
Security Management Serverセッションがアクティブな間に、Identity Providerで管理者オブジェクトを切断または編集しても、管理者セッションは切断されない。

ベストプラクティス- ID プロバイダが利用できない場合に備えて、ID プロバイダを通じて認証されない管理者を少なくとも 1 人使用することを推奨する。

SmartConsole設定ファイルによるログイン

CLIの構文：

SAML ログイン用の構成ファイルを使用して SmartConsole を起動するには、Windows コマンドプロンプトで次のコマンドを使用します：

SmartConsole.exe -p "Full Path to the Configuration File"

例:

cd /d "C:\Program Files (x86)\CheckPoint\SmartConsole\R81.20\"

SmartConsole.exe -p "D:\MySAML_Configuration.xml"

必要な設定ファイル：

これは必要な設定ファイル（プレーンテキストのXML）です：

コピー

<?xml version="1.0" encoding="utf-8"?>
<RemoteLaunchParemeters xmlns:xsi="http:/www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http:/www.w3.org/2001/XMLSchema">
  <ServerIP>IP Address of the Management Server</ServerIP>
  <DomainName>Name of the Domain Management Server</DomainName>
  <ReadOnly>False</ReadOnly>
  <CloudDemoMode>False</CloudDemoMode>
  <IsSamlLogin>1</IsSamlLogin>
</RemoteLaunchParemeters>

パラメーター

パラメータ	説明
`<ServerIP>`	管理サーバのIPアドレスを指定します。
`<DomainName>`	マルチドメインSecurity Management Serverに接続する際のドメイン管理サーバオブジェクトの名前を指定します。
`<ReadOnly>`	SmartConsoleを読み取り専用モードで開くかどうかを指定します。有効な値： `False`- SmartConsoleを書き込みモードで開きます。 `True`- SmartConsoleを読み取り専用モードで開きます。
`<CloudDemoMode>`	デモモードを有効にするかどうかを指定する。有効な値： `False`- SmartConsoleを通常モードで開きます。 `True`- SmartConsoleをデモモードで開きます。
`<IsSamlLogin>`	SAML ログインを有効にするかどうかを指定します。有効な値： `1`- SAML ログインを有効にします。 `0`- SAML ログインを無効にします。

IPアドレス172.30.44.55のSecurity Management Serverの設定ファイルの例：

コピー

<?xml version="1.0" encoding="utf-8"?>
<RemoteLaunchParemeters xmlns:xsi="http:/www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http:/www.w3.org/2001/XMLSchema">
  <ServerIP>172.30.44.55</ServerIP>
  <ReadOnly>False</ReadOnly>
  <CloudDemoMode>False</CloudDemoMode>
  <IsSamlLogin>1</IsSamlLogin>
</RemoteLaunchParemeters>

SAML 認証を構成した後、さらに、証明書ファイルによる認証を構成できます。管理者は、SAML ID プロバイダまたは証明書ファイルを使用して、SmartConsole を認証できます。

SmartConsoleで証明書ファイルを作成します。管理者は、証明書を使用して、SmartConsoleに2つの方法でログインできます：

Certificate File 、SmartConsoleにログインします。証明書ファイルを使用するには、管理者がパスワードを提供する必要がある。
Microsoft Windows SmartConsoleコンピュータのWindows証明書ストアに証明書ファイルをインポートできます。管理者は、この保存された証明書を使用して、CAPI証明書オプションを使用してSmartConsoleにログインできます。管理者がログインする際にパスワードを入力する必要はない。

管理者は、他の管理者に証明書を渡して、自分の管理者アカウントなしでSmartConsoleにログインさせることもできます。