Service Provider のユーザー継承

適用対象: AuthPoint 多要素認証、AuthPoint Total Identity Security

このページでは、Service Provider がユーザー継承要求を送信する方法について説明します。アカウントが Service Provider によって管理されている場合は、次を参照してください。管理対象アカウントのユーザー継承

ユーザー継承を使用することで、Service Provider は、Service Provider アカウントから AuthPoint ユーザーを継承するよう管理対象アカウントに要求することができます。管理対象アカウントがこの要求を承認すると、指定された Service Provider のユーザーが管理対象アカウントに追加され、そのアカウントのリソースの認証を受けることができるようになります。これにより、Service Provider は顧客のアカウント管理を容易に行うことができます。顧客に代わって AuthPoint サービスを管理する場合や、管理しているアカウントの保護されたリソースのトラブルシューティングのためにアクセスする必要がある場合に、このような方法を取ることができます。

委任されたアカウントにユーザー継承要求を送信することはできません。

この方法では、管理対象アカウントに以下の種類のユーザー アカウントを継承するよう要求することができます。

  • ローカルの AuthPoint ユーザー
  • LDAP ユーザーおよび Active Directory ユーザー
  • Azure Active Directory ユーザー

管理対象アカウントでは、外部のユーザー データベースから同期されたユーザーを継承するために外部アイデンティティや Gateway を構成する必要はありません。外部ユーザー データベースから同期する継承されたユーザーは、Firebox が Service Provider の LDAP データベースに接続できる場合にのみ Firebox リソースに対し認証することができます。これは、Firebox リソースの認証フローが RADIUS リソースの認証フローとは異なるためです。Firebox リソースでは、Firebox が LDAP ユーザー認証情報を Active Directory サーバーに送信してパスワードを検証します。RADIUS リソースでは、AuthPoint は Gateway を通じて Active Directory サーバーに接続し、パスワードを検証します。RADIUS リソース (および RADIUS リソースとして構成されている Firebox) は、Service Provider の LDAP データベースに接続できる必要はありません。

詳細については、RADIUS クライアントで MFA を構成する および Firebox の MFA を構成する ヘルプ トピックの認証ワークフロー セクションを参照してください。

継承されたユーザーが Logon App がインストールされているコンピュータに認証するにはインターネット接続が必要です。

継承されたユーザーは、管理対象アカウントの AuthPoint ユーザー ライセンスは使用しません。

ユーザー継承プロセスの概要

ユーザー継承プロセスの概要は以下のとおりです。

  1. Service Provider が 1 つまたは複数の管理対象アカウントにユーザー継承要求を送信します。
  2. 管理対象アカウントの管理ユーザーが、ユーザー継承要求を承認します。管理ユーザーは、継承されたユーザーを追加する AuthPoint グループを選択する必要があります。
  3. AuthPoint により、継承されたユーザーが管理対象アカウントに追加されます。継承されたユーザーは、そのユーザー グループの認証ポリシーに基づいて、管理対象アカウントのリソースに対して認証することができます。
  4. Service Provider アカウントの管理ユーザーや管理対象アカウントの管理ユーザーは、どちらも、いつでもユーザー継承を終了することができます。

要件

ユーザー継承を設定する際は、以下のルールに注意してください。

  • Service Provider は、委任されたアカウントにユーザー継承要求を送信することはできません。
  • Service Provider は、継承されたユーザーと同じユーザー名または電子メール アドレスを持つユーザー アカウントが既に存在するアカウントに、継承されたユーザーを追加することはできません。
  • Service Provider は、アクティブな AuthPoint ライセンスを持つ管理対象アカウントにのみ、ユーザー継承要求を送信することができます。
  • Service Provider は、少なくとも 1 人の AuthPoint ユーザーを独自の Subscriber アカウントに割り当てる必要があります。Subscriber アカウントに AuthPoint ユーザーがいない場合、ユーザー継承要求を送信できるアカウントのリストに管理対象アカウントが表示されないことがあります。
  • 管理対象アカウントにより、継承されたユーザーと同じユーザー名または電子メール アドレスを持つ新しいユーザーが追加された場合、AuthPoint によって継承されたユーザーが削除されます。
  • 継承した LDAP ユーザーの場合、AuthPoint は LDAP ユーザーの認証情報を Service Provider の外部ユーザー データベースに送信し、検証を行います。管理対象アカウントで Agent for Windows、RD Web、または ADFS が使用されている場合、AuthPoint は 2 番目の要素のみを検証します。
  • 継承された LDAP ユーザーは、Gateway または Firebox が Service Provider の LDAP データベースに接続できる場合にのみ RADIUS および Firebox リソースに対し認証できます。
  • 継承されたユーザーを Service Provider アカウントで削除すると、そのユーザーが継承されているすべての管理対象アカウントから継承されたユーザーが AuthPoint によって削除されます。
  • Service Provider アカウントで継承されたユーザーまたはそのトークンをブロックした場合、そのユーザーを継承したすべての管理対象アカウントでも、AuthPoint によってそのユーザーまたはトークンがブロックされます。
  • 管理対象アカウントの管理ユーザーが、継承されたユーザーや継承されたユーザーのトークンをブロックすることはできません。

ユーザー継承要求を送信する

Service Provider アカウントを持っていて、1 つ以上の管理対象アカウントに AuthPoint ユーザーの 1 人を継承させたい場合は、その管理対象アカウントにユーザー継承要求を送ることができます。ユーザー継承要求を受け入れた各アカウントに、AuthPoint のユーザー アカウントが継承されます。

管理対象アカウントへ継承するユーザーごとに、個別にユーザー継承要求を送信する必要があります。

ユーザー継承要求の表示と確認は、AuthPoint management UI で行います。

ユーザー継承要求を送信するには、以下の手順を実行してください。

  1. WatchGuard Cloud にログインします。
  2. アカウント マネージャーから、Subscriber アカウントを選択します。
  3. ナビゲーション メニューから、構成 > AuthPoint を選択します。
    AuthPoint 概要ページが開きます。
  4. ユーザー継承 を選択します。
    ユーザー継承要求のページが開きます。

Screen shot that shows the User Inheritance Requests page.

  1. ユーザー継承要求を送信する をクリックします。
  2. 継承するユーザー ドロップダウン リストから、管理対象アカウントに継承する AuthPoint ユーザー アカウントを選択します。特定のユーザーを検索するには、氏名やユーザー名を入力します。
    追加のフィールドが表示されます。

Screen shot of the User Inheritance Requests page.

  1. アカウントのリストから、このユーザーを継承する管理対象アカウントを選択します。複数のアカウントを選択した場合は、要求を送信した後に各アカウントのユーザー継承を個別に管理する必要があります。

Screen shot of the User Inheritance Requests page.

  1. 要求を送信する をクリックします。

Screen shot of a pending user inheritance request.

AuthPoint から、選択した各アカウントにユーザー継承要求が送信されます。管理対象アカウントの管理ユーザーは、その要求を受け入れるか拒否するかを選択します。管理ユーザーは、ユーザー継承要求を受け入れた場合、継承されたユーザーを追加する AuthPoint グループを選択する必要があります。継承されたユーザーが所属するグループによって、そのユーザーにどのような認証ポリシーが適用されるか、また継承されたユーザーが管理対象アカウントのどのリソースに対して認証できるかが決まります。

継承されたユーザーは、既存のトークンを使用して認証を行います。

管理対象アカウントがユーザー継承要求を受け入れたり、拒否したりすると、AuthPoint から通知が届きます。ユーザー継承要求のステータスは、ユーザー継承要求 リストで確認することもできます。

  • 保留 — 管理対象アカウントがユーザー継承要求にまだ応答していません。
  • 拒否済み — ユーザー継承要求は拒否されたため、ユーザーは管理対象アカウントに継承されていません。
  • 承認済み — ユーザー継承要求が承認されたため、継承されたユーザーが管理対象アカウントに追加されました。

管理対象アカウントにより、保留中のユーザー継承要求を削除することもできます。削除されたユーザー継承要求や継承されたユーザーは、ユーザー継承要求 リストには表示されません。

ユーザー継承を終了する

ユーザー継承を終了し、継承されたユーザーを管理対象アカウントから削除するには、以下の手順を実行してください。

  1. AuthPoint management UI から ユーザー継承 を選択します。
    ユーザー継承要求のページが開きます。

Screen shot of the delete icon for a user inheritance request.

  1. ユーザー継承要求 リストで、ユーザー継承を終了するユーザーの横で メニュー アイコン をクリックし、削除 を選択します。ユーザーの複数の管理対象アカウントにユーザーが継承されている場合、リストにはアカウントごとの項目が含まれます。正しい管理対象アカウントのユーザー継承を削除するように注意してください。
    継承されたユーザーを削除するウィンドウが開きます。
  2. ユーザー継承を削除することを確認するには、はい をクリックします。

AuthPoint により、継承されたユーザーが管理対象アカウントから削除されます。AuthPoint により、継承されたユーザーがアカウントから削除されたことを知らせる通知が管理対象アカウントに送信されます。

関連トピック

管理対象アカウントのユーザー継承