認証ドメインを Firebox に追加する

適用対象: クラウド管理の Firebox

Firebox に認証ドメインを追加すると、ファイアウォール ポリシー、エイリアス、モバイル VPN の設定で、認証サーバーのユーザーやグループを指定することができます。

Active Directory または RADIUS 認証ドメインを Firebox に追加するには、まず WatchGuard Cloud アカウントの 共有構成設定に認証ドメインを追加する必要があります。詳細については、次を参照してください:WatchGuard Cloud の認証ドメイン

WatchGuard Cloud 認証ドメインを追加する

認証ドメインを Firebox 構成に追加するには、以下の手順を実行します。

  1. 構成 > デバイス の順に選択します。
  2. Firebox を選択します。
    選択された Firebox のステータスと設定が表示されます。
  3. デバイス構成 を選択します。
  4. 認証ドメイン タイルをクリックします。
    認証ドメイン ページが開きます。

Screen shot of the Authentication Domains page

  1. 認証ドメインを追加する をクリックします。
    認証ドメインを追加する ページが開きます。
  2. WatchGuard Cloud Directory を選択します。
    認証ドメインを追加する ページが開きます。

Screen shot of the Add Authentication Domain page

  1. 既存の認証ドメインを選択する ドロップダウン リストで、認証ドメインを選択します。

WatchGuard Cloud アカウントに新しい認証ドメインを追加するか、ドメイン サーバー設定を編集するには、構成 > 認証ドメイン ページに移動します。詳細については、次を参照してください:WatchGuard Cloud の認証ドメイン

  1. 種類 ドロップダウン リストから、認証サーバーの種類を選択します。
  2. プライマリ サーバー ドロップダウン リストから、認証に使用するプライマリ サーバー アドレスを選択します。
  3. バックアップ サーバー ドロップダウン リストから、バックアップ サーバーを選択します。
  4. 保存 をクリックします。

SAML 認証ドメインを追加する

Security Assertion Markup Language (SAML) 認証ドメインを使用してクラウド管理の Firebox でユーザーを認証することができます。SAML を使用すると、アイデンティティ プロバイダ (IdP) とサービス プロバイダ (SP) の間でデータを交換することができます。

ユーザーを認証するために SAML 認証ドメインを Firebox に追加できる場合は、まず WatchGuard Cloud アカウントの 共有構成設定に認証ドメインを追加しません。Firebox の SAML 構成で、Firebox を SP として、およびサードパーティサービスを IdP として構成します。

IdP は、SAML 2.0 通信に関する WatchGuard の要件を満たしていなければなりません。SAML 要件の詳細については、アイデンティティ プロバイダに関する SAML 要件 を参照してください。

SAML 認証には Fireware v12.11 以降が必要で、既定では無効になっています。

以下での認証に SAML を使用することができます:

  • 認証ポータル
  • Mobile VPN with SSL

Fireware v12.11 では SAML 認証のサポートが拡張されており、Firebox 認証が含まれています。Windows 用の Mobile VPN with SSL v12.11 クライアントおよび macOS 用の Mobile VPN with SSL v12.11.2 クライアントは SAML 認証をサポートしています。Mobile VPN with SSL の SAML 認証には、IdP とやり取りできる組み込み Web ブラウザとの統合に対応しているクライアントの更新が必要となるため、Mobile VPN with SSL クライアントの下位バージョンおよびサードパーティの OpenVPN クライアントはサポートされていません。

ファイアウォール ポリシーで SAML 認証ユーザーまたはグループを構成したもののその後 Mobile VPN with SSL または認証ポータルの SAML 認証を有効化した場合、またはファイアウォール ポリシーと Mobile VPN with SSL または認証ポータルで SAML 認証ユーザーまたはグループを構成したものの、後に Mobile VPN with SSL または認証ポータルの SAML 認証を無効化した場合、SP メタデータが変更され、SAML 認証は機能しなくなります。更新した SP メタデータを IdP 管理者に提供する必要があります。

SAML 認証ドメインをクラウド管理の Firebox 構成に追加するには、WatchGuard Cloud から以下の手順を実行します。

  1. 構成 > デバイス の順に選択します。
  2. クラウド管理の Firebox を選択します。
    選択された Firebox のステータスと設定が表示されます。
  3. デバイス構成 を選択します。
  4. 認証 > ドメイン タイルの順にクリックします。
    認証ドメイン ページが開きます。

Screen shot of the Authentication Domains page

  1. 認証ドメインを追加する をクリックします。
  2. SAML アイデンティティ プロバイダ を選択します。
    SAML Service Provider (SP) 設定 ページが開きます。

Screen shot of the Add Authentication Domain page

  1. IdP 名 テキスト ボックスに、IdP の名前を入力します。
    この名前は認証サーバー名として Firebox のログイン ページに表示されます。
  2. ホスト名 テキスト ボックスに、Firebox の外部インターフェイスに解読し、変換する FQDN を入力します。
  3. この時点では IdP メタデータ URL テキスト ボックスを空欄のままにしておきます。次のセクションでこれらの手順を完了しないと、IdP 管理者から IdP メタデータ URL を取得することができません。

Firebox は同時に複数の IdP アプリケーションをサポートすることができません。各 IdP アプリケーションには固有の IdP メタデータ URL があります。

グループ属性名 テキスト ボックスは既定の memberOf になります。IdP 管理者が異なる名前を使用する場合は、その名前を入力できます。

  1. 保存 をクリックします。
    WatchGuard Cloud は認証ドメイン URL と証明書情報を生成します。

Screenshot of SAML configuration dialog box.

SAML 構成を保存すると、WatchGuard Cloud は、追加の SAML 構成と証明書情報を含むページを自動的に生成します。この情報を IdP 管理者に提供する必要があります。すると管理者は、会社のアカウント設定を IdP Web サイトで構成できるようになります。

WatchGuard Cloud が作成する Fireware SAML クライアント証明書は、クラウド管理のデバイスの デバイス証明書 に表示されます。詳細については、次を参照してください:デバイス証明書について

オプション 1 または 2 のいずれかの説明に従います。

IdP がメタデータ URL を使用できるようになる前に、クラウド管理の Firebox に SAML 構成を配備する必要があります。

オプション 1 — 自動構成

お使いの IdP が SP から SAML メタデータを受け入れられる場合は、オプション 1 セクションにあるメタデータ URL を IdP 管理者に提供します。

オプション 2 — 手動構成

お使いの IdP が SP から SAML メタデータを受け入れられない場合は、オプション 2 セクションにある URL と証明書を IdP 管理者に提供します。

SAML アイデンティティ プロバイダー設定を構成する

SAML 構成に戻り、IdP から提供された情報を使用して構成を完了する必要があります。

SAML 構成を完了するには、WatchGuard Cloud で以下の手順を実行します。

  1. 構成 > デバイス の順に選択します。
  2. Firebox を選択します。
    選択された Firebox のステータスと設定が表示されます。
  3. デバイス構成 を選択します。
  4. 認証ドメイン タイルをクリックします。
    認証ドメイン ページが開きます。
  5. SAML ドメインを選択します。
    SAML 構成情報が開きます。
  6. IdP メタデータ URL テキスト ボックスで、IdP によって提供されたメタデータ URL を入力します。
  7. (任意) グループ属性名を変更するには、新しいグループ属性名を入力します。ヒント!

  1. 保存 をクリックします。
  2. 変更を配備します。

SAML Service Provider 認証ドメインを編集する

SAML 構成を編集する際には、IdP 管理者に提供する SAML 構成情報を再生成する必要があります。

SAML 構成を更新するには、WatchGuard Cloud で以下の手順を実行します。

  1. 構成 > デバイス の順に選択します。
  2. Firebox を選択します。
    選択された Firebox のステータスと設定が表示されます。
  3. デバイス構成 を選択します。
  4. 認証ドメイン タイルをクリックします。
    認証ドメイン ページが開きます。

Screen shot of the Authentication Domains page

  1. SAML ドメインを選択します。
    SAML 設定 ページが開きます。

Screenshot of SAML configuration dialog box.

  1. 必要な変更を行います。

SAML 設定でホスト名への編集を保存すると、オプション 1 およびオプション 2 の情報が更新され、変更が表示されます。

  1. 証明書を再生成する をクリックします。
  2. 保存 をクリックします。
  3. オプション 1 または 2 のいずれかの説明に従います。

認証ドメインのユーザーとグループ

ユーザーが認証する際は、Firebox 認証ページに接続し、ドメインを選択して、ユーザー名とパスワードを指定します。詳細については、次を参照してください:Firebox 認証ポータルに接続する

認証ドメインを追加したら、ポリシーやエイリアスでドメイン ユーザーとグループを指定することができます。詳細については、次を参照してください:

関連トピック

Firebox で RADIUS 認証を構成する