ジオフェンス ポリシー オブジェクト

適用対象: AuthPoint 多要素認証、AuthPoint Total Identity Security

ジオフェンス ポリシー オブジェクトにより、国のリストを指定して、それらの国でユーザーが認証を受けた場合にのみ適用される認証ポリシーを構成することができます。場所ごとに異なる MFA 要件を適用する場合、または特定の国における認証をブロックする場合に、このポリシーを用います。

ジオフェンスを認証ポリシーに追加すると、ジオフェンス ポリシー オブジェクトで指定されている国からのユーザー認証にのみポリシーが適用されます。ジオフェンスが含まれているアクセスを許可するポリシーのみが設定されているユーザーの場合は、指定国以外では認証を行ってもリソースにアクセスすることができません (認証が拒否されるわけではなく、適用されるポリシーがないため)。

ジオフェンス ポリシー オブジェクトによる認証をサポートするには、以下のバージョンの AuthPoint エージェントをインストールする必要があります。

  • AuthPoint Agent for Windows v2.7.1 以降
  • AuthPoint Agent for RD Web v1.4.2 以降
  • AuthPoint Agent for ADFS v1.2.0 以降

RD Web と ADFS には、位置データを使った認証をサポートするという追加要件があります。詳細については、RD Web 用ジオフェンス および ADFS 用ジオフェンス セクションを参照してください。

以下のリソースでは、ジオフェンスはサポートされていません。

  • AuthPoint Agent for macOS
  • RADIUS

RADIUS 認証の場合は、ジオフェンス ポリシー オブジェクトが含まれているポリシーは適用されません。これは、AuthPoint で、エンド ユーザーの IP アドレスまたは発信元 IP アドレスを特定することができないためです。

ジオフェンス ポリシー オブジェクトの位置データ

ユーザーが認証されると、位置データにより、ユーザーが認証を受けたエリアが特定されます。ジオフェンス ポリシー オブジェクトを構成する際は、精度の低い位置データを許可するように選択できます。精度の低いデータの場合、特定されるユーザー ロケーションの半径が大きくなります。たとえば、高精度の位置データであれば、ユーザーの実際の位置を 10 メートル範囲以内で特定できる可能性がありますが、精度の低い位置データの場合は、特定できる範囲が実際の位置から 1 キロ四方に及ぶ場合があります。

ブラウザ ベースの認証の場合は、ユーザーが認証されると、ユーザーの場所を共有することを求めるプロンプトがブラウザに表示されます。ユーザーがこれを受け入れると、ユーザー ロケーションの地理座標がブラウザから AuthPoint に送信されます。AuthPoint でこの座標が国に関連付けられ、この情報に基づき、認証に適用されるポリシーが決定されます。これは、高精度の位置データとなります。

ユーザーがロケーションの共有を受け入れなかった場合は、IP アドレスに基づき位置が判断されます。AuthPoint では、IP アドレスに基づく位置データは精度が低いと見なされます。

以下のリソースでは、ブラウザ ベースの位置データが使用されます。

  • IdP ポータル
  • SAML
  • RD Web
  • ADFS

AuthPoint では、以下の認証の種類においてのみ、IP アドレスに基づく位置データがサポートされています。

  • RDP 接続
  • Firebox リソース
  • Windows 仮想マシン (VM)

AuthPoint Agent for Windows では、Windows API 経由でユーザー ロケーションが取得されます。エージェントが Windows VM にインストールされている場合は、位置データは常に IP アドレスに基づきます (精度が低い)。

場合によっては、地理位置情報ポリシー オブジェクトがプライベート IP アドレス範囲からの認証に影響を与えることがあります。これは、IP に基づく地理位置情報はパブリック IP アドレスに対してのみ機能するためです。たとえば、地理位置情報ポリシー オブジェクトにある国からの認証のみを許可するポリシーを構成し、ユーザーがプライベート IP アドレスから認証した場合、認証に適用されるポリシーが他にない場合、そのユーザーは認証できません。

ジオフェンス ポリシー オブジェクトを構成する

ジオフェンス ポリシー オブジェクトを構成するには、AuthPoint Management UI で以下の手順を実行します。

  1. AuthPoint のナビゲーション メニューから ポリシー オブジェクト を選択します。

Screen shot that shows the Policy Objects page.

  1. ポリシー オブジェクトを追加する をクリックします。
    ポリシー オブジェクトを追加する ページが表示されます。

Screen shot of the Type drop-down list on the Add Policy Object page.

  1. 種類 ドロップダウン リストから、ジオフェンス を選択します。
    追加のフィールドが表示されます。
  2. 名前 テキスト ボックスに、このジオフェンス ポリシー オブジェクトを特定する名前を入力します。これは、ジオフェンスを認証ポリシーに追加する際に、このジオフェンスを識別するのに役立ちます。
  3. リストから、このジオフェンスに追加する 1 つ以上の国を選択します。テキストを入力すれば選択可能なオプションを絞り込むことができます。
  4. このジオフェンスを精度の低い位置データを用いたユーザー認証に適用したい場合は、精度の低い位置データを許可する チェックボックスを選択します。このオプションは、AuthPoint が位置データの検証に使用するエラーの許容範囲を拡げます。たとえば、カナダからのユーザー認証にのみ適用されるジオフェンスを構成するものの、許可する位置データの精度が低い場合、AuthPoint は米国の国境を若干越えたユーザーからの認証を受け入れる可能性があります。

    RDP 接続、Firebox リソース、Windows 仮想マシン (VM)、および IP アドレスに基づく位置データによる認証には、精度の低い位置データが必要です。

    FireCloud には精度の低い位置データが必要です。AuthPoint を FireCloud のアイデンティティ プロバイダとして構成する場合は、このオプションを選択する必要があります。

Screenshot that shows the geofence fields on the Add Policy Object page.

  1. 保存 をクリックします。
  2. このジオフェンスを適用先の認証ポリシーに追加します。詳細については、次を参照してください:認証ポリシーを追加する

    ユーザーがジオフェンスの国外にいる場合にも適用されるよう、そのジオフェンスが含まれていない、同じグループやリソースを対象とした 2 つ目のポリシーも作成することをお勧めします。ジオフェンスが設定されているポリシーが、ジオフェンスが設定されていないポリシーよりも優先度が高いことを確認してください。詳細については、次を参照してください:ポリシーの優先順位について

ADFS 用ジオフェンス

カスタム WG ADFS テーマを使用する場合、AuthPoint Agent for ADFS ではジオフェンス ポリシー オブジェクトのみがサポートされています。既定の ADFS テーマを使用することはできません。

$('document').ready(function () {

document.cookie = 'WatchGuardGeolocation=;Max-Age=0';

if (navigator.geolocation) {

var options = { enableHighAccuracy : true };

navigator.geolocation.watchPosition(function(position) {

var geolocation = { latitude: position.coords.latitude, longitude: position.coords.longitude, accuracy: position.coords.accuracy };

var geolocationJson = JSON.stringify(geolocation);

var geolocationEncoded = encodeURIComponent(geolocationJson);

document.cookie = 'WatchGuardGeolocation=' + geolocationEncoded + ';secure;';

}, function(error) { }, options);

}

}

RD Web 用ジオフェンス

RD Web のジオフェンス ポリシー オブジェクトをサポートするには、RD Web アクセス サーバーの webscripts-domain.js ファイルを編集し、ユーザー ロケーションが Cookie として RD Web サーバーに保存されるようにクライアントを構成する必要があります。これにより、ユーザーの認証時に RD Web からユーザーの座標が AuthPoint に送信されるようになります。

これは、RD Web 用ジオキネティクスをサポートするためにも必要です。ジオキネティクス ポリシー オブジェクトをサポートするためにこれらの手順をすでに完了している場合は、ジオフェンスに対してそれらを再度実行する必要はありません。

  1. RD Web アクセス サーバーにログインします。
  2. Windows ファイル エクスプローラーを開き、C:\Windows\Web\RDWeb\Pages に移動します。
  3. テキスト エディタで webscripts-domain.js ファイルを開きます。
  4. onLoginPageLoad 関数の最後に、ブラウザから座標を取得して Cookie に保存するための次のスクリプトを追加します:

    document.cookie = 'WatchGuardGeolocation=;max-age=0';

    if (navigator.geolocation) {

    var options = { enableHighAccuracy : true };

    navigator.geolocation.watchPosition(function(position) {

    var geolocation = { latitude: position.coords.latitude, longitude: position.coords.longitude, accuracy: position.coords.accuracy };

    var geolocationJson = JSON.stringify(geolocation);

    var geolocationEncoded = encodeURIComponent(geolocationJson);

    document.cookie = 'WatchGuardGeolocation=' + geolocationEncoded + ';secure;samesite=none;path=/';

    }, function(error) { }, options);

    }

関連トピック

AuthPoint 認証ポリシーについて

ポリシー オブジェクトについて

タイム スケジュール ポリシー オブジェクト