ユーザ認識の使用

[ユーザ認識]ページでは、ブレードをオン/オフに切り替えたり、設定ウィザードを使い、ユーザ認識閉じた ログ記録と制御を目的としてユーザをIPアドレスに関連付けるよう設計されたCheck Point Software Bladeの1つ。の取得、ログ記録、設定目的のソースを設定できます。

Quantum Sparkアプライアンスのユーザ認識では、IPアドレス ベースのログではなく、ユーザ ベースのログを確認閉じた トラフィックやファイルをブロックし、UserCheckメッセージを表示するUserCheckルールアクション。ユーザはアクティビティの許可を承認できます。でき、さらに個々のユーザやグループ閉じた ユーザアカウントなど、属性を共有するオブジェクトの集合体。に対するアクセス制御を実施できます。

ワークフロー

  1. ユーザ認識Software Bladeをオンにします。

  2. [設定ウィザード]をクリックして、ブレードを有効化して設定します。

  3. ユーザやユーザグループ情報を取得するための識別方法を選択し、アイデンティティソースを設定します。

  4. 初期設定後、[ポリシー設定]セクションで[Active Directoryクエリ][ブラウザベースの認証]、またはIdentity Collectorのチェックボックスをオンにして、[設定]をクリックしてより詳細な設定を行うことができます。

  5. ゲートウェイでユーザのアイデンティティを取得したら、ユーザベースのルール閉じた ルールベースにおいて、通信セッションに対して指定されたアクションを実行するためのトラフィックパラメータやその他の条件セット。はアクセスポリシーのネットワークトラフィックで実施できます。

アイデンティティソース

ユーザ認識では、認識するソースとして以下を使用できます。

  • Active Directoryクエリ - ADサーバに対するシームレスなクエリでユーザ情報を取得。

    セキュリティ ポリシー閉じた ネットワークトラフィックを制御し、パケットインスペクションによりデータ保護やリソースへのアクセスに関する組織のガイドラインを実施するルールの集合体。をインストールする際、Quantum SparkアプライアンスはADドメイン コントローラからセキュリティ イベント ログを受信するための登録を行います。これには、ADサーバの管理者権限が必要です。AD認証情報を使ってユーザが認証を行うと、イベント ログが生成されてセキュリティ ゲートウェイに送られます。Quantum Sparkアプライアンスは、このADセキュリティ イベント ログに基づいてユーザを識別します。

  • ブラウザベースの認証 - ローカル定義のユーザの認証、または別の認識メソッドのバックアップとして、ポータルを使って認証可能。

    • ブラウザベースの認証では、ネットワーク リソースやインターネットにアクセスするユーザの認証にWebインタフェースを使用します。保護されたリソースにアクセスするユーザは、まずWebページにログインする必要があります。これにより、ローカルで定義されたユーザや他の方法で識別できなかったユーザを識別できるようになります。

    • すべてのトラフィックに対してブラウザベースの認証が表示されるように設定できます。この識別方法は、エンドユーザが自身を識別する際の手間を軽減するため、特定のネットワークリソースやインターネットにアクセスするときにのみ表示するよう設定するのが一般的です。

    • HTTPベースでないトラフィックについても、ブラウザベースの認証で認証されていないユーザによる特定のリソースやインターネットへのアクセスをブロックするよう設定できます。

  • Identity Collector - アイデンティティとそれに関連するIPアドレスについての情報を収集し、アイデンティティ確立のためにセキュリティゲートウェイ閉じた トラフィックを検査し、接続されたネットワークリソースに対してセキュリティポリシーを適用するために、Check Pointソフトウェアを実行するCheck Point専用サーバ。に送信します。

    - R81.10.Xでは、バージョンR81.10.05からこの機能が利用できます。

ユーザ認識の有効化

  1. [オン]または[オフ]オプションを選択します。

    - ブレードがクラウド サービスで管理されていると、ロック アイコンが表示されます。オン/オフの切り替えはできません。ポリシー設定を変更した場合、その変更は一時的なものになります。ローカルで行った変更は、次回ゲートウェイとクラウド サービスで同期する際に上書きされます。

  2. [設定ウィザード]リンクをクリックします。

    [ユーザ認識ウィザード]が開きます。

  3. ユーザ識別方法を1つ以上選択し、[次へ]をクリックします。

  4. 残りの手順に従い、[完了]をクリックします。

  5. 初期設定を行った後、[ポリシー設定]にある[Active Directoryクエリ]または[ブラウザベースの認証]チェックボックスをオンにして[設定]をクリックすることで、詳細な設定を行えます。

Active Directoryクエリ:

Active Directoryサーバが定義済みである場合は、[既存のActive Directoryサーバを使用]をクリックします。

  1. Active Directoryクエリを選択して設定をクリックします。

    Active Directoryクエリ ウィンドウが開きます。

  2. 新しいActive Directoryサーバの定義を選択します。

  3. 以下を入力します。

  4. 特定のブランチからユーザ グループ閉じた 関連する責任を持つユーザの指定されたグループ。を選択するには、特定のブランチからのユーザ グループのみ使用チェックボックスをオンにします。

    [追加]をクリックし、[ADブランチ]フィールドにブランチのパスを入力します。

  5. 適用をクリックします

新しいADドメインを[ユーザ&オブジェクト]>[認証サーバ]ページで追加することもできます。

ブラウザベースの認証

  1. ポータルが使用できない場合に、認証されていないユーザによるアクセスをブロックするには、[Captive Portalが利用できない場合は認識できないユーザをブロック]をオンにします。

    この設定オプションを選択した場合、HTTP以外の通信でアクセスしているユーザは、先にブラウザベースの認証でログインするよう要求されます。

  2. 識別されていないユーザをCaptive Portalにリダイレクトする条件として、[すべてのトラフィック]または[特定の宛先]を選択します。

    ユーザの識別がシームレスではなくなるため、通常[すべてのトラフィック]は使用しません。

  3. 特定の宛先で、[インターネット]または[選択したネットワーク オブジェクト]を選択します。

    [選択したネットワーク オブジェクト]を選択した場合は、リストからオブジェクトを選択するか新しいオブジェクトを作成します。

  4. [完了]をクリックします。

  1. ポリシー設定で、[ブラウザベースの認証]を選択して[設定]をクリックします。

  2. 必要に応じて、[認識]タブでウィザードでの設定内容を編集します。

  3. [カスタム]タブで以下の該当するオプションを設定します。

    • [次の条件に対するユーザの承諾を求める] - ユーザが規約条件に必ず同意するように設定します。テキスト ボックスに、ユーザに表示する条件を入力します。

    • [アップロード] - 会社のロゴをアップロードできます。[参照]でロゴ ファイルを指定し、[適用]をクリックします。ロゴは、[表示ロゴ]セクションに表示されます。

    • [デフォルトを使用] - デフォルトのロゴを使用します。

  4. [詳細]タブで以下の設定を行います。

    • [ポータル アドレス] - デフォルト設定(Quantum Sparkアプライアンス上のCaptive Portalで使用するアドレス)のままにするか、別のポータル アドレスを入力します。

    • [セッション タイムアウト] - 認証されたユーザによるネットワーク リソースやインターネットへのアクセスに対し、再度認証を要求するまでの時間を設定します。

    • [未登録ゲストのログインを有効にする] - 未登録のゲストを、IPアドレスではなくユーザ名でログで識別します。

      未登録ユーザは、パートナーや契約者など、ADで管理していないユーザのことです。ゲストとしてアクセスするには、企業名、メール アドレス、電話番号(任意)、名前を入力する必要があります。

      [セッション タイムアウト]を設定します。ここで設定する時間は、ゲストがネットワークのリソースにアクセスできる時間の長さ(分)です。デフォルトのタイムアウトは180分です。

      ゲストのアクセスはログ記録されます。[ログ&モニタリング]タブの[ユーザ]カラムに、ゲストの名前が表示されます。その他の詳細は、完全なログのエントリに表示されます。

      ゲストのアクセスはログ記録されます。[ログ&モニタリング]タブの[ユーザ]カラムに、ゲストの名前が表示されます。その他の詳細は、完全なログのエントリに表示されます。

    • [ユーザがポータルウィンドウを閉じたらクイックキャッシュタイムアウトを実施] - ポータルを閉じた場合、ユーザは5~10分以内にログアウトされます。

  5. 適用をクリックします

Identity Collector

- R81.10.Xでは、バージョンR81.10.05からこの機能が利用できます。

Quantum Spark Locally Managedアプライアンスは、R81.10.05以降のバージョンでIdentity Collectorをアイデンティティソースとしてサポートします。

  1. [ポリシー設定]セクションで、Identity Collectorを選択し、[設定]をクリックします。

    [認証済みクライアント]ウィンドウが開きます。

  2. 各クライアントについて、以下の情報を入力します。

    • [IPv4アドレス] - クライアントのIPアドレス

    • [秘密キー] - パスワード

      • オプション - [表示]をクリックすると、秘密キーが表示されます。

  3. 適用をクリックします

Identity Collectorの設定の詳細については、 Identity Awareness Clients Administration Guide を参照してください。

- このページには、[アクセス ポリシー]>[ユーザ認識ブレード コントロール]または[ユーザ&オブジェクト]>[ユーザ認識]からアクセスできます。