8.7. Device¶
DeviceではFRAポータルの以下の管理機能を提供します。
8.7.1. 管理者パスワード変更¶
警告
- 管理者パスワード変更の操作は、Fsecコンソールから実施してください。
- Deviceタブをクリックし管理者をクリックします。管理者アカウントにカーソルを合わせ管理者アカウントをクリックします。
- 管理者のパスワード設定が表示されます。現在のパスワードと新しいパスワードを入力しOKをクリックします。
8.7.2. 認証プロファイル作成(SAML)¶
注釈
- SAML用のサーバープロファイルは事前に弊社側で作成します。作成にあたりIdpメタデータファイルが必要となるため事前に送付してください。
- SAML用の認証プロファイルを使用しID Federationと連携する場合は 5.3. SAML認証連携の設定をする を参照してください。
- FRAサービスにおいてSAML認証連携をする場合、連携先サービスがAzureADの場合、SAML連携時に使うユーザ属性でソースを「変換」にして認証をすることはできません。
- ユーザ属性のソースは「属性」を指定して任意の値を設定してください。
- Deviceタブをクリックし認証プロファイルクリックします。追加にカーソルを合わせクリックします。
- 認証プロファイルの作成画面が表示されます。認証タブの以下の項目を入力します。
1.名前:任意の名前を入力します。名前は必須項目です。
2.タイプ:SAMLを選択します。
3.Idpサーバープロファイル:作成済みのSAML用のサーバープロファイルを選択します(※)。
4.ユーザー名属性:初期構築時はusernameが設定されています。環境に合わせたユーザー名属性に変更します。
注釈
- SAML用のサーバープロファイルは事前に弊社側で作成します。作成にあたりldpメタデータファイルが必要となるため事前に送付してください。
- 詳細タブをクリックし許可リストの追加にカーソルを合わせクリックします。
- 追加を押した後、許可対象のユーザーを選択します。
- 許可対象のユーザーが許可リストに追加された事を確認しOKをクリックします。
8.7.3. 認証プロファイル作成(LDAP)¶
- Deviceタブをクリックし認証プロファイルクリックします。追加にカーソルを合わせクリックします。
- 認証プロファイルの作成画面が表示されます。認証タブの以下の項目を入力します。
1.名前:任意の名前を入力します。名前は必須項目です。
2.タイプ:LDAPを選択します。
3.サーバープロファイル:作成済みのLDAP用のサーバープロファイルを選択します。
4.ユーザードメイン:環境に合わせたユーザードメインに変更します。
- 詳細タブをクリックし許可リストの追加にカーソルを合わせクリックします。
- 追加を押した後、許可対象のユーザーを選択します。
- 許可対象のユーザーが許可リストに追加された事を確認しOKをクリックします。
8.7.4. ユーザーID(グループマッピング)作成¶
- DeviceタブをクリックしユーザーIDをクリックします。グループマッピングタブをクリックし追加をクリックします。
- 名前に任意の名前を入力します。サーバープロファイルに作成済みのLDAPサーバープロファイルを選択します。ドメインに対象のドメイン名を入力しOKをクリックします。
8.7.5. 認証シーケンス作成¶
- Deviceタブをクリックし認証シーケンスをクリックします。追加にカーソルを合わせクリックします。
- 名前に任意の名前を入力し追加をクリックします。
- 対象の認証プロファイルを選択した後、OKをクリックします。
注釈
- ドメインを使用して認証プロファイルを決定しますのチェックを入れておくと、認証プロファイルで指定されているドメインのLDAPサーバへ認証を行います。
- 認証シーケンスを複数設定した場合は一番上に設定されたものから順番に評価します。
- LDAP連携でマルチドメインに対応したい場合は認証シーケンスを複数作成する必要があります。
- 認証プロファイルは最大10個まで作成可能です。
- 認証シーケンスはLDAP認証とローカルDB認証の組み合わせ設定が可能です。 LDAP認証とローカルDB認証を組み合わせた場合、ローカルDB認証は認証プロファイル指定時、一番下に設定してください。
8.7.6. SSL復号例外の設定¶
- DeviceタブをクリックしSSL復号例外をクリックします。追加にカーソルを合わせクリックします。
- 例外対象にしたいホスト情報をホスト名に入力しOKをクリックします。
注釈
- 例外対象の設定はワイルドカード(*)を使用する事も可能です。
- 例外対象に設定可能な登録上限数は事前定義済みの設定も含めて1024個までです。
8.7.7. ログ設定(HIPマッチ/Global Protect)¶
- Deviceタブをクリックしログ設定をクリックします。HIPマッチまたはGlobal Protectの追加をクリックします。
- ログ設定の作成画面が表示されます。以下の項目を入力しOKをクリックします。
1.名前:任意の名前を入力します。名前は必須項目です。
2.内容:ログ設定のの説明を記載します。省略可能です。
3.転送方式(Syslog):追加をクリックしSyslogサーバープロファイル選択します。Syslogサーバープロファイルの作成はサーバープロファイル(Syslog)を参照してください。
8.7.8. サーバープロファイル(Syslog)¶
- DeviceタブをクリックしサーバープロファイルのSyslogをクリックします。追加にカーソルを合わせクリックします。
- Syslogサーバープロファイルの設定画面が表示されます。名前を入力し追加をクリックします。以下の項目を入力しOKをクリックします。
1.名前:任意の名前を入力します。名前は必須項目です。
2.Syslogサーバー:SyslogサーバーのIPアドレスを指定します。Syslogサーバーは必須項目です。
3.転送:ログの転送方式を指定します。TCPまたはUDPを指定します。
4.ポート:ログ転送時のポート番号を指定します。デフォルトは514番です。
5.フォーマット:BSD(デフォルト)を指定します。
6.ファシリティ:LOG_USER(デフォルト)を指定します。
8.7.9. サーバープロファイル(LDAP)¶
- DeviceタブをクリックしサーバープロファイルのLDAPをクリックします。追加にカーソルを合わせクリックします。
- LDAPサーバープロファイルの設定画面が表示されます。以下の項目を入力しOKをクリックします。
1.プロファイル名:任意のプロファイル名を入力します。プロファイル名は必須項目です。
2.サーバリスト:名前には任意の名前を入力します。LDAPサーバーにLDAPサーバーのアドレス情報を入力します。ポートにはLDAPサーバーと通信可能なポート番号を入力します。
3.タイプ:ドロップダウンリストからサーバータイプを選択します。
4.ベースDN:ユーザーまたはグループ情報の検索を絞り込むためのLDAPサーバーのルートコンテクストを指定します。
5.バインドDN:LDAPサーバーのログイン名を指定します。
6.パスワード/パスワード再入力:バインドアカウントのパスワードを指定します。エージェントは暗号化したパスワードを設定ファイルに保存します。
7.バインドのタイムアウト:LDAPサーバーに接続する際の時間制限を指定します。
8.検索のタイムアウト:LDAPサーバーのディレクトリ検索を実行する時の時間制限を指定します。
9.再試行間隔:FRAがLDAPサーバーへの接続施行に失敗してから次に接続を試みるまでの間隔を秒単位で指定します。
10.SSL/TLSで保護された接続を要求:LDAPS認証で動作したい場合はこのチェックを有効にします(デフォルトでは有効)。
11.SSLセッションのサーバー証明書の確認:こちらの項目はチェックを付けないでください(デフォルトではチェックが外れている状態)
注釈
- LDAPサーバー複数台利用する場合、バインドのタイムアウト、検索のタイムアウトのタイムアウトの推奨値は5秒です。
- LDAPSではなくLDAPで認証連携を行いたい場合はSSL/TLSで保護された接続を要求のチェックを外してください。デフォルトはチェックが入った状態です。