AuthPoint 認証ポリシーについて

適用対象： AuthPoint 多要素認証、AuthPoint Total Identity Security 本トピックは、AuthPoint 多要素認証ライセンスまたは AuthPoint Total Identity Security ライセンスが割り当てられているアカウントに適用されます。

認証ポリシーを構成して、AuthPoint ユーザーが認証できるリソースおよびそれらのユーザーが使用できる認証方法 (プッシュ、QR Code、OTP) を指定します。認証ポリシーの作成時には、以下を指定します。

• ポリシーにより認証が許可されるか拒否されるかどうか。
• 必要な認証方法。
• ポリシーが適用されるリソース。
• ポリシーが適用されるユーザー グループ。
• 認証に適用されるポリシー オブジェクト。

特定のリソースに対して認証ポリシーが設定されているグループのメンバーでないユーザーは、そのリソースにログインするために認証することができません。

認証ポリシーの主要コンポーネントは以下のとおりです。

リソース

リソースとは、Salesforce や Microsoft 365、VPN、Firebox のような、ユーザーが接続するアプリケーションやサービスのことです。リソースを追加すると、そのリソースに接続するのに必要とされる情報を提供することになります。

グループ

グループは、ユーザーがどのリソースにアクセスできるかを定義します。AuthPoint でユーザーをグループに追加した後、そのグループを、ユーザーが認証できるリソースを指定する 認証ポリシー に追加します。

ポリシー オブジェクト

ポリシー オブジェクトとは、ネットワーク ロケーションなど、個別に構成可能なポリシーの構成要素です。ポリシー オブジェクトを構成してから、認証ポリシーに追加します。認証ポリシーにポリシー オブジェクトを追加すると、そのポリシーは、認証とポリシー オブジェクトの条件に合致するユーザー認証にのみ適用されます。たとえば、ポリシーに特定のネットワーク ロケーションを追加すると、そのポリシーは、そのネットワーク ロケーションから行われるユーザー認証にのみ適用されます。

ネットワーク ロケーションのポリシー オブジェクトを使用すると、IP アドレスのリストを構成することができます。これにより、ユーザーがこれらの IP アドレスから認証を受けた場合にのみ適用される、特定の認証ポリシーを構成することができます。

ジオフェンス ポリシー オブジェクトを使用すると国のリストを指定することができます。これにより、ユーザーは、指定された国から認証を受けた場合にのみ適用される認証ポリシーを構成することができます。

ジオキネティクス ポリシー オブジェクトにより、ユーザーの現在地と最後に認証が正常に行われた場所を比較するポリシー オブジェクトを作成することができます。AuthPoint では、認証発生の距離と時間に基づいて、前回の認証の地点からユーザーがその時間内で移動できないと考えられる場所での認証が自動的に拒否されます。

タイム スケジュール ポリシー オブジェクトを使用すると、認証ポリシーをユーザー認証に適用する日時を指定することができます。

要件および推薦事項

ポリシーを構成する際は、次の要件および推奨事項に必ず従うようにしてください。

• 認証ポリシーを構成するには、1 つ以上のグループがある必要があります。
• RADIUS 認証と基本認証 (ECP 拡張クライアントまたはプロキシ) の場合、AuthPoint はエンド ユーザーの IP アドレスや発信元の IP アドレスを知らないため、ネットワーク ロケーションやジオフェンスを含むポリシーは適用されません。
• ポリシー オブジェクトを含むポリシーは、すべてのポリシー オブジェクトの条件に合致したユーザー認証にのみ適用されます。ポリシー オブジェクトを含むポリシーのみを持つユーザーは、ポリシー オブジェクトの条件が認証に適用されない場合、そのリソースへアクセスすることはできません。これは、認証が拒否されたためではなく、適用するポリシーを持っていないためです。
  • ネットワーク ロケーション ネットワーク ロケーションのポリシー オブジェクトは、ユーザーが構成する IP アドレスのリストです。 を指定したポリシーは、そのネットワーク ロケーションから発信されたユーザー認証にのみ適用されます。ネットワーク ロケーションを含むポリシーのみを持つユーザーは、そのネットワーク ロケーションではない場所で認証されると、そのリソースへアクセスすることはできません。
  • ジオフェンス ジオフェンス ポリシー オブジェクトは国のリストを指定します。ポリシーは、指定された国からのユーザー認証にのみ適用されます。 ジオフェンスが含まれているポリシーは、ジオフェンス ポリシー オブジェクトで指定された国からのユーザー認証にのみ適用されます。ジオフェンスが含まれているポリシーのみが設定されているユーザーの場合は、指定国以外では認証を受けてもリソースにアクセスすることができません。
  • タイム スケジュール タイム スケジュール ポリシー オブジェクトは、認証ポリシーをユーザー認証に適用する日時を指定します。 が設定されたポリシーは、指定したタイム スケジュールの間に行われたユーザー認証にのみ適用されます。タイム スケジュールを含むポリシーのみを持つユーザーが、そのタイム スケジュールの時間外に認証を行っても、リソースにアクセスすることはできません。
  • ジオキネティクス ジオキネティクス ポリシー オブジェクトにより、ユーザーの現在地と最後に認証が正常に行われた場所を比較するポリシー オブジェクトを作成することができます。AuthPoint では、認証発生の距離と時間に基づいて、前回の認証の地点からユーザーがその時間内で移動できないと考えられる場所での認証が自動的に拒否されます。 ジオキネティクスが設定されたポリシーは、認証の条件には影響しません。

• ポリシー オブジェクト ポリシー オブジェクトとは、ネットワーク ロケーションなど、個別に構成可能なポリシーの構成要素です。を構成する場合、ポリシー オブジェクトが含まれていない、同じグループやリソースを対象とした 2 つ目のポリシーも作成することをお勧めします。ポリシー オブジェクトを含むポリシーに、より高い優先度を割り当てます。

  ジオキネティクス ポリシー オブジェクトは、認証が完了した後に適用されるため、他のポリシー オブジェクトとはしくみが異なります。ジオキネティクスにより認証条件に影響が及ぶことはありません。そのため、ジオキネティクス ポリシー オブジェクトを認証ポリシーに追加する場合も、ジオキネティクス ポリシー オブジェクトなしで 2 つ目のポリシーを作成する必要はありません。

• ユーザーがインターネットに接続されていなくても認証できるように、Logon App の認証ポリシーに QR Code か OTP 認証オプションを含めることをお勧めします。
• Logon App リソースのみがオフライン認証をサポートしています。
• ポリシーでプッシュ認証と OTP 認証を有効にすると、そのポリシーに関連付けられている RADIUS リソースでは、プッシュ通知を使用してユーザーを認証します。
• MS-CHAPv2 RADIUS リソースを使用するポリシーでは、プッシュ認証を有効にする必要があります。
• RADIUS リソースでは、QR Code 認証はサポートされていません。

認証ポリシーを追加する

認証ポリシーを構成するには、AuthPoint management UI で以下の手順を実行します。

1. 認証ポリシー を選択します。
2. ポリシーを追加する をクリックします。

3. ポリシーの名前を入力します。
4. 認証オプションを選択する ドロップダウン リストでオプションを選択して、このポリシーで MFA を要求するか、認証を拒否するかを指定します。
   • 認証オプション — このポリシーに関連付けられているグループのユーザーが、このポリシーに関連付けられているリソースに対して認証を行う際に、MFA を要求します。
   • 認証を許可しない — このポリシーに関連付けられているグループのユーザーが、このポリシーに関連付けられているリソースに対して認証を試みた際に、認証を拒否します

5. このポリシーに対して MFA を要求するには、ユーザーが認証時に選択できる各認証オプションのチェックボックスを選択します。認証方法の詳細については、次を参照してください：認証について。

   ポリシーでプッシュ認証と OTP 認証を有効にすると、そのポリシーに関連付けられている RADIUS リソースでは、プッシュ通知を使用してユーザーを認証します。

   QR Code 認証は RADIUS リソースではサポートされていません。

   認証ポリシーでパスワードのみが必要とされる (MFA が必要とされない) 場合、ジオキネティクス ポリシー オブジェクトは Logon App、RD Web、および ADFS リソースには適用されません。

6. Microsoft 365 リソースを含むポリシーについては、Microsoft 365 ドメインに含まれていても、MFA を使用できないマシンやリソース (プリンターなど) の認証を必要とする場合、基本認証 チェックボックスを選択します。基本認証は、強化クライアントまたはプロキシ (ECP) とも呼ばれます。
7. グループ リストから、このポリシーを適用するグループを選択します。グループは、複数選択することができます。このポリシーをすべてのグループに適用するように構成するには、すべてのグループ を選択します。
8. リソース リストから、このポリシーを適用するリソースを選択します。このポリシーをすべてのリソースに適用させるように構成するには、すべてのリソース を選択します。

9. このポリシーに適用させるポリシー オブジェクトを選択します。認証ポリシーにポリシー オブジェクトを追加すると、そのポリシーは、認証とポリシー オブジェクトの条件に合致するユーザー認証にのみ適用されます。たとえば、ポリシーに特定のネットワーク ロケーションを追加すると、そのポリシーは、そのネットワーク ロケーションから行われるユーザー認証にのみ適用されます。このポリシー オブジェクトの詳細については、次を参照してください：ポリシー オブジェクトについて。

   RADIUS 認証と基本認証 (ECP) の場合、AuthPoint はエンド ユーザーの IP アドレスや発信元の IP アドレスを知らないため、ネットワーク ロケーションまたはジオフェンスを含むポリシーは適用されません。

   このポリシー オブジェクトを構成する際は、このポリシー オブジェクトが含まれていない、同じグループやリソースを対象とした 2 つ目のポリシーも作成することをお勧めします。ポリシー オブジェクトを含むポリシーに、より高い優先度を割り当てます。詳細については、次を参照してください：ポリシーの優先順位について。

10. 保存 をクリックします。
    ポリシーが作成され、ポリシー リストの最後に追加されます。

    新しいポリシーを作成したら、ポリシーの順序を確認することをお勧めします。AuthPoint では、新しく追加されたポリシーは常にポリシー リストの最後に追加されます。

関連トピック

ポリシーの優先順位について

ポリシー オブジェクトについて