適用対象: クラウド管理の Firebox
クラウド管理の Firebox では、Mobile VPN で以下のユーザー認証方法がサポートされています。
Firebox 認証 (Firebox-DB)
この方法では、組み込みの認証サーバーを使用して Mobile VPN ユーザーの認証が行われます。この方法を使用するには、Firebox 認証設定でユーザーとグループを追加する必要があります。
RADIUS
この方法では、RADIUS サーバーを使用して Mobile VPN ユーザーの認証が行われます。この方法を使用するには、RADIUS 認証ドメインを WatchGuard Cloud と Firebox に追加してから、認証を受けるユーザーとグループを追加します。
Active Directory
この方法では、Firebox で Active Directory サーバーを使用して Mobile VPN with SSL ユーザーが認証されます。この方法を使用するには、Active Directory 認証ドメインを WatchGuard Cloud と Firebox に追加してから、認証を受けるユーザーとグループを追加します。
Mobile VPN with IKEv2 では、RADIUS サーバー経由の Active Directory 認証のみがサポートされています。VPN が Active Directory の認証を通過できるよう、RADIUS 認証を構成する必要があります。
AuthPoint
この方法では、Firebox で、WatchGuard 多要素認証 (MFA) サービスである AuthPoint を使用して Mobile VPN ユーザーが認証されます。
クラウド管理の Firebox における Mobile VPN ユーザー認証に AuthPoint を使用する場合は、まず AuthPoint リソースとして Firebox を追加する必要があります。これには、Fireware v12.7 以降が必要となります。
SAML
この方法を使用すると、Security Assertion Markup Language (SAML) 認証ドメインを使用して Firebox でユーザーを認証することができます。SAML を使用すると、アイデンティティ プロバイダ (IdP) と Service Provider (SP) の間でデータを交換することができます。
Firebox の SAML 構成で、Firebox を SP として、およびサードパーティサービスを IdP として構成します。
Firebox 認証を構成する
Firebox-DB ユーザーを Mobile VPN with IKEv2 または Mobile VPN with SSL 構成に追加する前に、これを Firebox 認証データベース (Firebox DB) に追加する必要があります。詳細については、次を参照してください:Firebox データベースのユーザー認証を構成する。
RADIUS 認証を構成する
RADIUS サーバーでユーザーが認証されるように Mobile VPN with IKEv2 または Mobile VPN with SSL を構成するには、以下の手順を実行する必要があります。
WatchGuard Cloud で認証ドメインを構成するには、以下の手順を実行します。
- WatchGuard Cloud の共有構成で、RADIUS サーバーの認証ドメインを追加します。詳細については、次を参照してください:認証ドメインを WatchGuard Cloud に追加する。
- 認証ドメインに、RADIUS サーバーに存在するユーザーとグループを追加します。詳細については、次を参照してください:ユーザー、グループ、およびデバイスを認証ドメインに追加する。
Firebox の認証設定を構成するには、以下の手順を実行します。
- Firebox の認証設定に、認証ドメインを追加します。詳細については、次を参照してください:認証ドメインを Firebox に追加する。
- Firebox Mobile VPN with IKEv2 または Mobile VPN with SSL 構成で、認証ドメインを追加し、Mobile VPN 経由で接続するユーザーとグループを追加します。詳細については、次を参照してください:クラウド管理の Firebox で Mobile VPN with IKEv2 を構成する および クラウド管理の Firebox で Mobile VPN with SSL を構成する。
Active Directory 認証を構成する
Active Directory サーバーでユーザーが認証されるように Mobile VPN with SSL を構成するには、以下の手順を完了する必要があります。
WatchGuard Cloud で認証ドメインを構成するには、以下の手順を実行します。
- WatchGuard Cloud の共有構成で、Active Directory サーバーの認証ドメインを追加します。詳細については、次を参照してください:認証ドメインを WatchGuard Cloud に追加する。
- 認証ドメインで、Active Directory サーバーに存在するユーザーとグループを追加します。詳細については、次を参照してください:ユーザー、グループ、およびデバイスを認証ドメインに追加する。
Firebox の認証設定を構成するには、以下の手順を実行します。
- Firebox の認証設定に、認証ドメインを追加します。詳細については、次を参照してください:認証ドメインを Firebox に追加する。
- Mobile VPN with SSL の構成で、認証ドメインを追加し、Mobile VPN で接続するユーザーとグループを追加します。詳細については、次を参照してください:クラウド管理の Firebox で Mobile VPN with IKEv2 を構成する および クラウド管理の Firebox で Mobile VPN with SSL を構成する。
AuthPoint 認証を構成する
AuthPoint でユーザーが認証されるように Mobile VPN with IKEv2 または Mobile VPN with SSL を構成するには、以下の手順を実行する必要があります。
AuthPoint を構成するには、以下の手順を実行します。
- AuthPoint でユーザーとグループを追加します。詳細については、次を参照してください:ユーザー アカウントを追加する および AuthPoint グループを追加する。
- クラウド管理の Firebox を AuthPoint の Firebox リソースとして追加します。詳細については、次を参照してください:Firebox の MFA を構成する。
- Firebox リソースの認証ポリシーを 1 つまたは複数追加します。詳細については、次を参照してください:AuthPoint 認証ポリシーについて。
Firebox の認証設定を構成するには、以下の手順を実行します。
- Firebox Mobile VPN with IKEv2 または Mobile VPN with SSL 構成の 認証ドメインを追加する ページで、AuthPoint を選択します。
- Mobile VPN 経由で接続する AuthPoint ユーザーとグループを選択または追加します。詳細については、次を参照してください:クラウド管理の Firebox で Mobile VPN with IKEv2 を構成する および クラウド管理の Firebox で Mobile VPN with SSL を構成する。
SAML 認証を構成する
SAML ドメインでユーザーを認証するように Mobile VPN with SSL クライアントを構成するには、WatchGuard Cloud から以下の手順を実行する必要があります。
- SAML 認証ドメインを追加する 詳細については、次を参照してください:認証ドメインを Firebox に追加する。
- ユーザーとグループをアイデンティティ プロバイダ アカウントに追加します。たとえば、Azure Active Directory をアイデンティティ プロバイダとして使用する場合、ユーザーは Azure Active Directory の認証情報と Mobile VPN with SSL クライアントを使用して Firebox にログインすることができます。
- Mobile VPN with SSL クライアントを、SAML 認証ドメインおよび Mobile VPN を通じて接続するユーザーとグループで構成します。詳細については、次を参照してください:クラウド管理の Firebox で Mobile VPN with SSL を構成する。
ユーザー グループ
クラウド管理の Firebox の Mobile VPN with IKEv2 構成には、既定のユーザー グループとして IKEv2-Users が 1 つ存在します。このグループは、そのグループのユーザーによる、任意の認証ドメインからの認証を許可します。Mobile VPN with IKEv2 の構成に追加するすべてのユーザーとグループは、IKEv2-Users グループにも追加されます。
クラウド管理の Firebox の Mobile VPN with SSL 構成には、既定のユーザー グループとして SSLVPN-Users が 1 つ存在します。このグループは、そのグループのユーザーによる、任意の認証ドメインからの認証を許可します。Mobile VPN with SSL の構成に追加するすべてのユーザーとグループは、SSLVPN-Users グループにも追加されます。