適用対象: AuthPoint 多要素認証、AuthPoint Total Identity Security
AuthPoint では、Active Directory、Azure Active Directory、または Lightweight Directory Access Protocol (LDAP) データベースからユーザーを同期することができます。これは、既にネットワーク上で定義したユーザーを AuthPoint に追加するための簡単な方法です。
外部のユーザー データベースからユーザーを同期するには、外部アイデンティティ を追加し、単数か複数のクエリを作成する必要があります。外部アイデンティティは、外部のユーザー データベースに接続してユーザー アカウント情報を取得したりパスワードを検証します。
外部アイデンティティには、2 つの種類があります。
LDAP
Active Directory または LDAP データベースからユーザーを同期するには、Lightweight Directory Access Protocol (LDAP) 外部アイデンティティ タイプを使用します。
LDAP 外部アイデンティティを Gateway の構成に追加し、AuthPoint Gateway を企業ネットワークのインターネットへのアクセスが可能な LDAP サーバーの接続可能な場所にインストールする必要があります。Gateway は WatchGuard Cloud と Active Directory または LDAP データベース間の通信を可能にします。
Azure AD
Azure AD からユーザーを同期するには、Azure AD 外部アイデンティティを使用します。このタイプの外部アイデンティティには、AuthPoint Gateway は必要ありません。
外部アイデンティティごとに、どのユーザーを同期するかを指定する必要があります。ユーザーを同期する方法は 2 つあります。
- グループ同期 — ユーザーの同期元のグループを選択すると、AuthPoint によってクエリが作成されます。
- 高度なクエリ — 独自のクエリを作成してどのグループやユーザーを同期するかを指定します。
グループ同期または高度なクエリを追加すると、AuthPoint は次の 同期間隔 に外部ユーザー データベースと同期し、検出されたユーザーごとに AuthPoint ユーザー アカウントを作成します。クエリの結果に、使用可能なライセンスよりも多いユーザーがいる場合、同期はライセンスによってサポートされる数のユーザーしか作成しません。
外部ユーザー データベースで定義された名 (名前) やユーザー名、電子メール アドレスを持っていないユーザーは同期に含まれません。
AuthPoint には、同期しているユーザーのパスワードは保存されません。同期されたユーザーが認証されると、AuthPoint は検証のために LDAP 認証情報をドメイン コントローラに送信します。ドメイン コントローラで認証情報が検証されると、AuthPoint は、認証ポリシーで指定された他の認証オプションを管理します。
ユーザーを検索するクエリを (手動またはグループ同期で) 作成する際、AuthPoint に同期されたユーザーのモバイル トークンを作成させ、モバイル トークンをアクティブ化するための電子メールを同期されたユーザーに送信させるかどうかを選択します。AuthPoint はこれを既定で行います。ほとんどの場合、ユーザーにトークンを割り当て、ユーザーにトークン アクティベーション用の電子メールを送信することをお薦めします。ユーザー アカウントが AuthPoint で認証するためにはトークンが必要です。認証にハードウェア トークンを使用するユーザーや、基本認証により MFA をバイパスするサービス アカウントには、これを行わない選択が可能です。
トークンが自動的に作成されなかったユーザーにトークンを割り当て、トークンのアクティベーション用電子メールをそのユーザーに送信するには、トークン アクティベーション用電子メールを再送信する必要があります。詳細については、次を参照してください:アクティベーション メールを再送信する。
検疫済みユーザー
LDAP データベースのユーザー アカウントを移動または削除すると、リンクされた AuthPoint ユーザー アカウントのステータスが 検疫 済みになります。ユーザー リストでは、検疫済みユーザー アカウントには、ユーザー名の横に黄色のアイコンが示されます。
外部アイデンティティが削除されたり、他のドメイン情報が変更された場合にも、AuthPoint ユーザー アカウントが検疫済みになることがあります。
検疫済みユーザー アカウントは、復元するか LDAP データベースの元の場所に移動するまでは認証できません。詳細については、次を参照してください:検疫済みユーザー。
Active Directory または LDAP からユーザーを同期する