ユーザ認識の使用

［ユーザ認識］ページでは、ブレードをオン/オフに切り替えたり、設定ウィザードを使い、ユーザ認識の取得、ログ記録、設定目的のソースを設定することが出来ます。

Check Pointアプライアンスのユーザ認識では、IPアドレス ベースのログではなく、ユーザ ベースのログを確認でき、さらに個々のユーザやグループに対するアクセス制御を実施できます。

ユーザ認識を使用するためには、ユーザとユーザ グループの情報を取得する認識メソッドを設定する必要があります。ゲートウェイでユーザのアイデンティティを取得したら、ユーザ ベースのルールは［アクセス ポリシー］のネットワーク トラフィックで実施できます。

ユーザ認識では、認識するソースとして以下を使用できます。

• [[[Undefined variable Other_Vars.tp_ADfull]]]クエリ - AD（[[[Undefined variable Other_Vars.tp_ADfull]]]）サーバに対するシームレスなクエリでユーザ情報を取得。

• ブラウザベースの認証 - ローカル定義のユーザの認証、または別の認識メソッドのバックアップとして、ポータルを使って認証可能。

ADクエリ

セキュリティ ポリシーをインストールする際、Check Pointアプライアンスは、ADドメイン コントローラからセキュリティ イベント ログを受信するための登録を行います。これには、ADサーバの管理者権限が必要です。AD認証情報を使ってユーザが認証を行うと、イベント ログが生成されてセキュリティ ゲートウェイに送られます。Check Pointアプライアンスは、このADセキュリティ イベント ログに基づいてユーザを識別します。

ブラウザベースの認証

ブラウザベースの認証では、ネットワーク リソースやインターネットにアクセスするユーザの認証にWebインタフェースを使用します。保護されたリソースにアクセスするユーザは、まずWebページにログインする必要があります。この方法は、ローカルで定義されたユーザや他の方法で識別できなかったユーザを識別するために使用します。すべてのトラフィックでブラウザベースの認証を使用するよう設定することもできますが、この場合、エンドユーザは認証をシームレスに受けることができなくなるため、一般的には、エンドユーザが特定のネットワーク リソースやインターネットにアクセスする場合にのみこの方法を使用します。これにより、認証時のエンドユーザの手間を軽減することができます。HTTPベースでないトラフィックについても、ブラウザベースの認証で認証されていないユーザによる特定のリソースやインターネットへのアクセスをブロックするよう設定できます。

ユーザ認識のオン/オフを切り替えるには

［オン］または［オフ］オプションを選択します。

注 - ブレードがクラウド サービスで管理されていると、ロック アイコンが表示されます。オン/オフの切り替えはできません。ポリシー設定を変更した場合、その変更は一時的なものになります。ローカルで行った変更は、次回ゲートウェイとクラウド サービスで同期する際に上書きされます。

ユーザ認識設定ウィザードを使用して、ブレードを有効にして設定します。設定ウィザードでは、ユーザ識別情報のソースに関する基本的な設定を行うことができます。初期設定を行った後、［ポリシー設定］にある[[[Undefined variable Other_Vars.tp_ADfull]]]クエリまたはブラウザベースの認証チェックボックスをオンにして［設定］をクリックすることで、詳細な設定を行えます。

ウィザードを使用してユーザ認識を設定するには

1. ［設定ウィザード］リンクをクリックします。

   ユーザ認識ウィザードが開きます。

2. 上で説明したユーザ識別方法を1つ以上選択し、［次へ］をクリックします。

[[[Undefined variable Other_Vars.tp_ADfull]]]クエリの場合

[[[Undefined variable Other_Vars.tp_ADfull]]]サーバが定義済みである場合は、［既存の[[[Undefined variable Other_Vars.tp_ADfull]]]サーバを使用］をクリックします。

新しい[[[Undefined variable Other_Vars.tp_ADfull]]]ドメインを追加するには

1. [[[Undefined variable Other_Vars.tp_ADfull]]]クエリを選択して［設定］をクリックします。

   [[[Undefined variable Other_Vars.tp_ADfull]]]クエリ ウィンドウが開きます。

2. ［新しい[[[Undefined variable Other_Vars.tp_ADfull]]]サーバを定義する］を選択します。

3. 以下を入力します。

   • ドメイン

   • IPv4アドレス

   • ユーザ名

   • パスワード

   • ［ユーザDN］ - ［検索］をクリックして該当のユーザを表すオブジェクトのDNを自動検出するか、そのユーザのDNを入力します。

4. 特定のブランチからユーザ グループを選択するには、特定のブランチからのユーザ グループのみ使用チェックボックスをオンにします。[追加]をクリックし、[ADブランチ]フィールドにブランチのパスを入力します。

5. 適用をクリックします。

新しいADドメインを［ユーザ&オブジェクト］>［認証サーバ］ページで追加することもできます。

ブラウザベースの認証の場合

1. ポータルが使用できない場合に、認証されていないユーザによるアクセスをブロックするには、［Captive Portalが利用できない場合は認識できないユーザをブロック］をオンにします。この設定オプションを選択した場合、HTTP以外の通信でアクセスしているユーザは、先にブラウザベースの認証でログインするよう要求されます。

2. 識別されていないユーザをCaptive Portalにリダイレクトする条件として、［すべてのトラフィック］または［特定の宛先］を選択します。ユーザの識別がシームレスではなくなるため、通常［すべてのトラフィック］は使用しません。

3. 特定の宛先で、［インターネット］または［選択したネットワーク オブジェクト］を選択します。［選択したネットワーク オブジェクト］を選択した場合は、リストからオブジェクトを選択するか新しいオブジェクトを作成します。

4. ［完了］をクリックします。

ブラウザベースの認証の設定を編集しポータルをカスタマイズするには

1. ポリシー設定で、［ブラウザベースの認証］を選択して［設定］をクリックします。

2. 必要に応じて、［認識］タブでウィザードでの設定内容を編集します。

3. ［カスタム］タブで以下の該当するオプションを設定します。

   • ［次の条件に対するユーザの承諾を求める］ - ユーザが規約条件に必ず同意するように設定します。テキスト ボックスに、ユーザに表示する条件を入力します。

   • ［アップロード］ - 会社のロゴをアップロードできます。［参照］でロゴ ファイルを指定し、［適用］をクリックします。ロゴは、［表示ロゴ］セクションに表示されます。

   • ［デフォルトを使用］ - デフォルトのロゴを使用します。

4. ［詳細］タブで以下の設定を行います。

   • ［ポータル アドレス］ - デフォルト設定（Check Pointアプライアンス上のCaptive Portalで使用するアドレス）のままにするか、別のポータル アドレスを入力します。

   • ［セッション タイムアウト］ - 認証されたユーザによるネットワーク リソースやインターネットへのアクセスに対し、再度認証を要求するまでの時間を設定します。

   • ［未登録ゲストのログインを有効にする］ - 未登録のゲストを、IPアドレスではなくユーザ名でログで識別します。未登録ユーザは、パートナーや契約者など、ADで管理していないユーザのことです。ゲストとしてアクセスするには、企業名、メール アドレス、電話番号（任意）、名前を入力する必要があります。

     ［セッション タイムアウト］を設定します。ここで設定する時間は、ゲストがネットワークのリソースにアクセスできる時間の長さ（分）です。デフォルトのタイムアウトは180分です。

     ゲストのアクセスはログ記録されます。［ログ&モニタリング］タブの［ユーザ］カラムに、ゲストの名前が表示されます。その他の詳細は、完全なログのエントリに表示されます。

   • ［ユーザがポータル ウィンドウを閉じたらクイック キャッシュ タイムアウトを実施］ - ポータルのウィンドウが閉じられたときにユーザをログアウトするかどうかを設定します。

5. 適用をクリックします。

注 - このページには、［アクセス ポリシー］>［ユーザ認識ブレード コントロール］または［ユーザ&オブジェクト］>［ユーザ認識］からアクセスできます。