適用対象: AuthPoint 多要素認証、AuthPoint Total Identity Security
AuthPoint は WatchGuard の Identity Security および多要素認証 (MFA) サービスです。AuthPoint では、ユーザーがコンピュータ、VPN、またはクラウド サービスやアプリケーションのような保護されたリソースにログインする際に、AuthPoint モバイル アプリまたはハードウェア トークンを使って認証するよう求めることができます。
AuthPoint はログインする前に認証することをユーザーに求めるため、クラウド アプリケーションおよびサービス内のデータは保護されています。
AuthPoint は最新の MFA 手法を使って信頼済みリソースを不正アクセスから保護します。特定のユーザー グループやアプリケーションに異なる認証方法を選択することができます。
- プッシュ通知 — ログインすると、AuthPoint はユーザーが認証したモバイル デバイスにプッシュ通知を送信してログインを認証するか、それを拒否して他人によるアクセスの試みを防止します
- QR Code — ログインすると、AuthPoint モバイル アプリを使って QR Code をスキャンし、受け取った認証コードを使って認証することができます (AuthPoint は、AuthPoint モバイル アプリでしか解読できないセキュアな QR Code を使用します)
- ワンタイム パスワード (OTP) — OTP は、認証を行うのに使用する AuthPoint アプリで使用できる一意の仮パスワードです
ユーザーは携帯電話に AuthPoint モバイル アプリをインストールします。その後任意のオンライン サービスや VPN にログインする際には、上記のいずれかの方法を使って認証する必要があります。
AuthPoint には以下の製品が含まれます:
AuthPoint 多要素認証
AuthPoint 多要素認証は、アイデンティティや資産、アカウント、情報を不正アクセスから保護するために必要なセキュリティを提供します。AuthPoint では、ユーザーは、保護されたリソースにログインする際に認証を行う必要があります。
AuthPoint Total Identity Security
AuthPoint Total Identity Security により、アイデンティティ、資産、アカウント、情報を不正アクセスから保護するために必要となるセキュリティが提供されます。これは、エンドユーザー認証情報のダーク Web の監視を使用して、AuthPoint 多要素認証の機能を拡張します。
本書では、AuthPoint は一般的に両方の製品を指します。
Firebox やサードパーティのアプリケーションやサービスを使った多要素認証の設定方法の詳細については、 次を参照してください: AuthPoint 統合ガイド。AuthPoint MFA をテストするには、AuthPoint クイック スタートを参照してください。
AuthPoint のコンポーネント
AuthPoint には複数のコンポーネントがあります。
AuthPoint Management UI
WatchGuard Cloud の AuthPoint management UI は、ユーザー、ユーザー グループ、認証ポリシー、リソース、および外部アイデンティティを設定し管理する場所です。リソースは、AuthPoint で使用するために定義するアプリケーションです。外部アイデンティティは、ユーザー データベースに接続することで、ユーザー アカウント情報を取得し、パスワードを検証します。
AuthPoint モバイル アプリ
認証には AuthPoint モバイル アプリが必要です。AuthPoint モバイル アプリを使用して、トークンの表示や管理、プッシュ通知の承認、OTP の取得および QR Code のスキャン、保存した認証情報の表示や管理を行うことができます。トークン セキュリティを有効にして、PIN または生体認証 ID でトークンを保護することもできます。
AuthPoint のブラウザ拡張機能
AuthPoint のブラウザ拡張機能は、AuthPoint Total Identity Security によるパスワード管理に使用されます。AuthPoint ブラウザ拡張機能を使用することで、パーソナル パスワード ボールトで認証情報を保存し管理することができます。
AuthPoint Gateway
AuthPoint Gateway は、AuthPoint が RADIUS クライアントや LDAP データベースと通信できるようにネットワークにインストールする、軽量のソフトウェア アプリケーションです。Gateway は RADIUS サーバーとして動作し、RADIUS 認証に必要とされるほか、LDAP ユーザーが SAML リソースで認証を行うのに必要です。
AuthPoint Gateway のインストーラは、AuthPoint management UI の ダウンロード ページで入手できます。
Logon App
Logon App はユーザーがコンピュータやサーバーにログオンする際に求められる認証に使用されます。これには RDP と RD Gateway の保護が含まれます。Logon App には、コンピュータまたはサーバー上にインストールするエージェントと、AuthPoint で構成するリソースの 2 つの部分があります。
Logon App Agent for Windows および Agent for macOS は、AuthPoint management UI のダウンロードページで入手できます。
Agent for ADFS
AuthPoint ADFS エージェントを使用すると、多要素認証 (MFA) を ADFS に追加してセキュリティを強化することができます。MFA for ADFS の MFA を構成するには、AuthPoint Gateway がインストールされている必要があります。
ADFS エージェントのインストーラは、AuthPoint management UI の ダウンロード ページで入手できます。
Agent for RD Web
AuthPoint Agent for RD Web は、RD Web アクセスに多要素認証の保護を追加します。AuthPoint Agent for RD Web には、インストールするエージェントと、AuthPoint で構成するリソースの 2 つの部分があります。
RD Web エージェントのインストーラは、AuthPoint management UI の ダウンロード ページで入手できます。
AuthPoint ライセンス
AuthPoint は、登録制セキュリティ サービスです。AuthPoint を使用するには、WatchGuard アカウントで AuthPoint ライセンスをアクティブ化する必要があります。AuthPoint ライセンスにより、多要素認証に AuthPoint を使用するよう構成できるユーザー数が決定されます。AuthPoint ライセンス キーをアクティブ化すると、ユーザー ライセンスが WatchGuard Cloud の AuthPoint アカウントに追加されます。
WatchGuard Cloud Service Provider であれば、AuthPoint ユーザー ライセンスを WatchGuard Cloud で管理しているアカウントに割り当てることができます。
Service Provider は AuthPoint 多要素認証と AuthPoint Total Identity Security ライセンスの両方をアクティブ化して、インベントリにユーザーを追加することができます。Subscriber アカウントは、1 つの AuthPoint 製品 (多要素認証または Total Identity Security) しか使用できません。
AuthPoint ユーザーの種類
ローカル AuthPoint ユーザーをディレクトリとドメイン サービスに追加する際に、ユーザーを MFA ユーザーとするか、MFA ユーザー以外とするかを選択します。
MFA ユーザー
MFA ユーザーは、認証に AuthPoint 多要素認証を使用するユーザー アカウントです。これは AuthPoint 多要素認証製品とは関係ありません。
MFA ユーザー以外
MFA ユーザー以外は、サービス アカウント ユーザーなど、パスワードでのみ認証を受けるユーザーです。MFA ユーザー以外は AuthPoint ユーザー ライセンスを使用しないため、MFA を必要とするリソースに対する認証はできません。この種類のユーザーが保護リソースに対する認証を行うことができるのは、MFAユーザー以外アカウントで、そのリソースに対しパスワードのみによる認証ポリシーが設定されている場合に限られます。
ユーザーを追加した後、アカウントの種類を変更する必要がある場合はユーザー アカウントを編集することができます。ユーザー アカウントを MFA から MFA 以外に変更すると、AuthPoint は、そのユーザーに属するトークンとパスワード ボールト (該当する場合) を削除します。このアクションは元に戻すことはできません。
AuthPoint Management UI
AuthPoint を設定して管理するには、WatchGuard Cloud の AuthPoint Management UI を使用します。WatchGuard Cloud に接続するには、cloud.watchguard.com に移動します。WatchGuard Web サイトの認証情報を使用してログインします。
AuthPoint を構成する
AuthPoint を構成するには、構成 > AuthPoint の順に選択します。Service Provider アカウントをお持ちの場合、特定のアカウントで AuthPoint を構成するには、アカウント マネージャー メニューからそのアカウントを選択する必要があります。
概要ページには、構成情報の概要が記載されたタイルが表示されます。
AuthPoint の設定を構成するには、タイルのタイトルをクリックするか、管理リンクをクリックします。
- リソース — ユーザーが接続するアプリケーションやサービスを構成します。
- グループ — ユーザー グループを構成し、そのグループのユーザーが認証できるリソースおよびそれらのユーザーが使用できる認証方法 (プッシュ、QR Code および OTP) を指定するアクセス ポリシーを追加します。
- ユーザー — AuthPoint ユーザーとトークンを管理します。ローカルの AuthPoint ユーザーを作成するか、外部の認証サーバーから LDAP ユーザーをインポートすることができます。1 人のユーザーを複数の AuthPoint グループに割り当てることはできません。
- 外部アイデンティティ — AuthPoint が Active Directory または LDAP データベースに接続してユーザー アカウント情報の取得やパスワードの検証に必要な情報を構成します。
- Gateway — AuthPoint が RADIUS クライアントや AuthPoint Agent for ADFS、Active Directory や LDAP データベースと通信できるようにネットワークにインストールする、軽量のソフトウェア アプリケーションである AuthPoint Gateway の設定を構成します。
- ハードウェア トークン — ハードウェア トークンをインポートし、これをユーザーに関連付けます。
AuthPoint 管理メニューの項目は、構成に最適な順序で表示されています。リソースからスタートして、構成が完了するまでリストの各項目を順に追って作業を進めていくことをお勧めします。
AuthPoint を監視する
AuthPoint のアクティビティとステータスを監視するには、AuthPoint ダッシュボードとレポートを使用します。
AuthPoint を監視するには、監視 > AuthPoint の順に選択します。Service Provider アカウントをお持ちの場合、特定のアカウントで AuthPoint を監視するには、アカウント マネージャーからそのアカウントを選択する必要があります。
AuthPoint Management UI セクションで、これらのダッシュボードとレポートを表示することができます。
- ユーザー アクティビティ — 各アクティブ ユーザーが認証を受けた回数、各非アクティブ ユーザーが最後に認証を受けた時間、およびブロックされたユーザーがいつ、どのようにブロックされたかを表示する棒グラフ。
- 認証 — 各ユーザーの成功および失敗した認証の試行を示す棒グラフ。各試行について、リストには認証日、使用されたトークン、認証方法、およびユーザーが認証した対象のリソースが表示されます。
- リソース アクティビティ — 各リソースで成功および失敗した認証の試行を示す棒グラフ。各試行について、リストには認証したユーザー、認証日、使用されたトークンおよび認証方法が表示されます。
- 拒否されたプッシュ通知 — ユーザーにより拒否されたプッシュ通知の回数を示す棒グラフ。
- アクティベーション アクティビティ — まだアクティブ化されていないユーザー トークンのリストを表示します。
- 同期アクティビティ — 外部アイデンティティを追加してある場合は、LDAP データベースの同期についての情報を表示します。
管理メニューからアクセスできる監査ログとアラートにより、トラブルシューティングに役立つ AuthPoint イベントに関する追加情報を得ることができます。