SAML認証ログインによる管理者アカウントの作成

SAML認証を使用すると、管理者は、SAMLプロトコルを使用する中央のサードパーティIDプロバイダを介してSmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。にログインします。IDプロバイダは、管理者を認証する機能など、管理者に関する情報を保持します。Check Pointでは、Okta、Ping Identity、AzureのIDプロバイダをサポートしています。

使用事例

Azureのアカウントを持つ管理者は、SmartConsoleで作業できれば効率的です。各管理者が、Azure用とSmartConsole用の2つの異なる管理者名とパスワードを使用すると、多くの問題が発生します：

• 管理者は、（他の企業パスワードに加えて）別のパスワードと有効期限ポリシーを扱わなければならない。

• Azure用とSmartConsole用の2つの異なるパスワードを覚えておく必要がある（他の企業パスワードに加えて）。

• 管理者のメンテナンスが必要になる。例えば、管理者が退社する際、登録しているすべてのアプリケーションから削除する必要がある。Identity Providerを使用する場合は、Identity Providerデータベースから管理者を削除するだけです。

つまり、各管理者はAzureとSmartConsoleの両方で1つのパスワードを使用することが望ましいと言えます。IDプロバイダを使用すると、管理者はAzureに対して一度認証を行うだけで、SmartConsoleに接続したときにSmartConsoleがすでに管理者を認識しているため、改めてパスワードを入力する必要がありません。管理者もSecurity Management Server 単一の管理ドメイン内でCheck Point環境のオブジェクトとポリシーを管理するために、Check Pointソフトウェアを実行するCheck Point専用サーバ（同義語：Single-Domain Security Management Server）。にパスワードを知られることはありません。

SAML 認証プロセスフロー：

1. 管理者がSmartConsoleにログインしようとします。

2. SmartConsoleは、管理者をブラウザに戻し、Security Management Serverで事前に設定されたURLにリダイレクトします。

3. Security Management Serverにより、SAMLリクエストでブラウザからIDプロバイダにリダイレクトされます。

4. IDプロバイダが管理者を認証します。

5. IDプロバイダはSAMLアサーションを生成し、ブラウザを介してSecurity Management Serverに送り返します。

6. Security Management ServerでSAMLアサーションを検証します。

7. 管理者が認証されている場合、Security Management Serverは、認証に必要なデータをブラウザからSmartConsoleにリダイレクトします。

8. SmartConsoleは、この認証データでSecurity Management Serverへのセッションを開きます。

SAML認証ログイン

1. IDプロバイダで、SmartConsoleアプリケーションを作成し、その設定を行います。

   手順については、IDプロバイダのマニュアルを参照してください。

   注： クライアントがIDプロバイダのWebサイトに接続でき、それをブロックするポリシールール 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。がないことを確認します。 IDプロバイダのSmartConsoleアプリケーション統合には、「username」の属性マッピングが必要であり、「sign assertion and response」オプションが選択されている必要があります。 IDプロバイダは複数のURLに応答を返すことができます。Management High Availability環境では、必要な数の返信URLを入力します。 IDプロバイダが応答を送信するとき、応答には応答が返されるIPアドレスを含める必要があります。 必要な宛先が応答に含まれていない場合、その応答は排除されます。 返信URLに "Default "を使用しないでください：

2. SmartConsoleで、Identity Providerオブジェクトを作成し、その設定を行います。

   1. オブジェクトエクスプローラで、New > More > User/Identity > Identity Providerをクリックします。

      New Identity Providerウィンドウが開きます。

   2. これらのプロパティをIDプロバイダオブジェクトに設定します：

      • 名前（例：Azure）。

      • Use Identity Provider for- Managing administrator accessを選択します。IDプロバイダを通してSmartConsoleの認証を行います。

        注 - Security Gateway and logsでSAML認証を使用するには、以下を参照してください。R82 Identity Awareness Administration Guide。

      • Data Required by the SAML Identity Provider- SmartConsoleは環境に応じてIdentifier (Entity ID)、Reply URLsを作成します。

        SmartConsoleが示した識別子（エンティティID）と返信URLを取得し、IDプロバイダで作成したSmartConsoleアプリケーションのプロパティの該当する場所に入力します。

        URLの代わりにドメイン名を使用するには

        注 - NAT背後にあるSecurity Management ServerとMulti-Domain Server ドメイン管理サーバと呼ばれる仮想Security Management Serverをホストする、Check Pointソフトウェアが動作するCheck Point専用サーバ（同義語：マルチドメインセキュリティ管理サーバ、略語：MDS）。の場合は、以下の手順に従います。

        Management High Availability環境では、各管理サーバで以下の手順を実行する必要があります。

        1. 管理サーバのコマンドラインに接続します。

        2. エキスパートモード CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にログインします。

        3. 現在の$CPDIR/tmp/.CPprofile.shファイルをバックアップします。

           cp -v$CPDIR/tmp/.CPprofile.sh{,_BKP}

        4. $CPDIR/tmp/.CPprofile.shファイルを編集します。

           vi $CPDIR/tmp/.CPprofile.sh

        5. ファイルの一番下に次の行を追加します：

           SAML_IP_OR_NAME=<Your Domain Name>;export SAML_IP_OR_NAME

           例:

           SAML_IP_OR_NAME=example.com;export SAML_IP_OR_NAME

        6. 変更内容をファイルに保存し、エディタを終了します。

        7. Check Pointのサービスを再起動します（この操作でSmartConsoleクライアントは切断されます）：

           • Security Management Serverで、以下を実行：cpstop ; cpstart

           • マルチドメインサーバで次を実行します:mdsstop ; mdsstart

        8. SmartConsoleで管理サーバに接続します。

        9. Identity Provider Web サイトを開きます。

        10. Reply URLsで、IPアドレスをドメイン名に置き換えます。

      • Data received from the SAML Identity Provider:

        • Import metadata file- IDプロバイダはこのファイルを作成します。メタデータファイルには、IDプロバイダと管理サーバ間の信頼確立に必要なすべての情報が含まれます。

        • IDプロバイダにメタデータファイルがない場合は、IDプロバイダのこの情報を手動で入力します：

          • Identifier (Entity ID)- IDプロバイダの一意の識別子。

          • Login (URL)- これはSAMLリクエストがポストされるIDプロバイダ側のエンドポイントです。

          • Certificate file- 管理サーバはIDプロバイダから証明書ファイルを受け取り、IDプロバイダのシグネチャを検証します。証明書は管理サーバに保存され、応答が投稿されるたびに使用されます。

   3. クリックOK。

   4. SmartConsoleセッションを公開する。

3. SmartConsoleで、Manage & Settingsビュー > Permissions & Administrators > Advanced > IDプロバイダ > Identity Provider for Managing Administrator Access > 作成したIdentity Providerオブジェクトを選択します。

   注 Security Management Serverでは、1つのIDプロバイダしか使用できません。 Multi-Domain Security Management Server： ドメインに使用できるIDプロバイダは1つだけです。 Multi-Domain ServerにIDプロバイダを構成し、ドメインにIDプロバイダを構成しない場合、 ドメイン管理サーバではMulti-Domain Serverに構成されたIDプロバイダを使用します。 ドメインにIDプロバイダを割り当てることができるのは、スーパーユーザのみです。 ドメインのIDプロバイダでドメインにアクセスするには、SmartConsoleを開き、ドメインのIPアドレスに接続します。 ドメインのIDプロバイダは、ドメインの権限プロファイル ドメインと管理者に割り当てられたSmartConsoleのアクセス許可の定義済みグループです。この機能を使用すると、1つの定義で多くの管理者に複雑なアクセス許可を設定できます。を持つ管理者またはグループのみを認証できます。

4. IDプロバイダと認証する管理者（または管理者のグループ）を作成します。

   前提条件：必要な権限プロファイルが設定されていることを確認します。参照: 管理者への権限プロファイルの割り当て。

   1. 左側のナビゲーションパネルでManage & Settingsをクリックします。。

   2. Permissions & Administratorsを展開 > Administrators をクリックします。

   3. 上部のツールバーから、アイコン (New) をクリック > New Administratorをクリックします。

      New Administratorウィンドウが開き、Generalページが表示されます。

   4. 一番上のフィールドに、該当するオブジェクト名を入力します。

      オブジェクト名は、IDプロバイダのusername属性で定義されている名前と同じにします。

   5. オプション：コメントを入力します。

   6. Authentication Methodフィールドで、Identity Providerを選択します。

   7. オプション：この管理者の証明書を作成します：

      1. Certificate Informationフィールドで、Createをクリックします。

      2. Passwordフィールドでパスワードを入力します。

         パスワードは、証明書ファイル内の機密データを保護するために必要です。

      3. Confirmフィールドで同じパスワードを入力します。

      4. クリックOK。

      5. Save Asウィンドウが開くのを待ちます。

      6. File nameフィールドでユーザ名を必ず入力します。

      7. Save as typeフィールドで、Certificate Files (*p12)を選択します。

         証明書ファイルは PKCS #12 形式で、拡張子は.p12です。

      8. SmartConsoleコンピュータの安全な場所にアクセスします。

      9. クリックSave。

      注： 証明書ファイルを保存したら、管理者にこのファイルとパスワードを渡します。 管理者は、SmartConsoleでSecurity Management Serverにログインする際に、この証明書で認証を行うことができます。 この証明書はいつでも失効させることができます。証明書を選択し、Revokeをクリックします。

   8. Permission Profileフィールドで、該当するプロファイルを選択します。

   9. オプション：Additional Infoページで次を設定します：

      • Phone Number

      • Contact Details

      • Email

   10. クリックOK。

   11. SmartConsoleセッションを公開する。

   注： ID プロバイダのインタフェースで、SAML 属性を構成する： groupsというオプションの属性を定義します。 ID プロバイダの要件に従って属性を構成します。 管理者グループを構成する場合は、以下の設定を行います。 Name- 管理者グループオブジェクトの名前を入力します。任意の名前を選択できます。 Group ID/name- IDプロバイダで定義されているグループ属性と同一にします。 Expirationの日付は、IDプロバイダのデータベースで定義されているため、グレイアウトされます。

5. IDプロバイダを使用してSmartConsoleにログインする方法は2つあります。

   SmartConsoleのログインウィンドウからログイン

   1. SmartConsoleを開きます。

   2. 最初のドロップダウンメニューから、Identity Providerを選択します。

      Security Management Serverで、管理者がSecurity Management Serverのデータベースに存在するかどうかを確認します。

      • 管理者が存在する場合、SmartConsoleは管理者をログインさせます。

      • 管理者が存在しない場合、Security Management Serverで、管理者がSecurity Management Serverデータベースの管理者グループに属しているかどうかを確認します。

        このようなグループに管理者が存在する場合、SmartConsoleは管理者にログインし、Security Management Serverは管理者にグループの権限を割り当てます。

   3. 管理サーバのIPアドレスまたはホスト名を入力します。

   4. Login with SSOをクリックします。

   注： 管理者が管理者アカウントを持ち、かつ管理者グループに属している場合、Security Management Serverは管理者に管理者アカウントの権限を割り当てます。 管理者が複数の管理者グループに属している場合、Security Management Serverは、Security Management Serverデータベースのアルファベット順で最初に来る管理者グループの権限を管理者に割り当てます。 Security Management Serverセッションがアクティブな間に、IDプロバイダで管理者オブジェクトを切断または編集しても、管理者セッションは切断されません。

   ベストプラクティス - IDプロバイダが利用できない場合に備えて、IDプロバイダを通 じて認証されない管理者を最低1人使用することを推奨します。

   SmartConsole設定ファイルによるログイン

   CLI構文：

   SAMLログイン用の構成ファイルを使用してSmartConsoleを起動するには、Windows コマンドプロンプトで次のコマンドを使用します：

   SmartConsole.exe -p "Full Path to the Configuration File"

   例:

   cd /d "C:\Program Files (x86)\CheckPoint\SmartConsole\R82\"

   SmartConsole.exe -p "D:\MySAML_Configuration.xml"

   必要な設定ファイル：

   これは必要な設定ファイル（プレーンテキストのXML）です：

   コピー

   <?xml version="1.0" encoding="utf-8"?>
   <RemoteLaunchParemeters xmlns:xsi="http:/www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http:/www.w3.org/2001/XMLSchema">
     <ServerIP>IP Address of the Management Server</ServerIP>
     <DomainName>Name of the Domain Management Server</DomainName>
     <ReadOnly>False</ReadOnly>
     <CloudDemoMode>False</CloudDemoMode>
     <IsSamlLogin>1</IsSamlLogin>
   </RemoteLaunchParemeters>

   パラメータ：

   パラメータ	説明
   <ServerIP>	管理サーバのIPアドレスを指定します。
   <DomainName>	Multi-Domain Security Management Serverに接続する際のDomain Management Serverオブジェクトの名前を指定します。
   <ReadOnly>	SmartConsoleを読み取り専用モードで開くかどうかを指定します。 有効な値： False- SmartConsoleを書き込みモードで開きます。 True- SmartConsoleを読み取り専用モードで開きます。
   <CloudDemoMode>	デモモードを有効にするかどうかを指定します。 有効な値： False- SmartConsoleを通常モードで開きます。 True- SmartConsoleをデモモードで開きます。
   <IsSamlLogin>	SAMLログインを有効にするかどうかを指定します。 有効な値： 1- SAMLログインを有効にします。 0- SAMLログインを無効にします。

   IPアドレス172.30.44.55のSecurity Management Serverの設定ファイルの例：

   コピー

   <?xml version="1.0" encoding="utf-8"?>
   <RemoteLaunchParemeters xmlns:xsi="http:/www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http:/www.w3.org/2001/XMLSchema">
     <ServerIP>172.30.44.55</ServerIP>
     <ReadOnly>False</ReadOnly>
     <CloudDemoMode>False</CloudDemoMode>
     <IsSamlLogin>1</IsSamlLogin>
   </RemoteLaunchParemeters>

SAML認証を設定した後、さらに、証明書ファイルによる認証を設定できます。管理者は、SAML IDプロバイダまたは証明書ファイルを使用して、SmartConsoleを認証できます。

SmartConsoleで証明書ファイルを作成します。管理者は証明書を使用して、SmartConsoleに2つの方法でログインできます：

• SmartConsoleにCertificate Fileオプションでログインします。証明書ファイルを使用するには、管理者がパスワードを提供する必要があります。

• Microsoft Windows SmartConsoleコンピュータのWindows証明書ストアに証明書ファイルをインポートできます。管理者は、この保存された証明書を使用して、CAPI証明書オプションを使用してSmartConsoleにログインできます。管理者がログインする際にパスワードを入力する必要はありません。

管理者は、他の管理者に証明書を渡して、自分の管理者アカウントなしでSmartConsoleにログインさせることもできます。