1. Splashtop Foxpass
  2. サードパーティの統合

パスワード委任

更新

サードパーティへの認証の委任

 

Foxpass は、Foxpass に保存されたパスワードと照合する代わりに、認証をサード パーティに委任できます。認証を委任すると、統合をメインのディレクトリ ソースに結び付けることで統合を保護し、ユーザーの混乱を減らします。認証を委任する場合、Foxpass は基本的に統合とディレクトリ間のプロキシとして機能します。ディレクトリと統合によっては、MFA をオンのままにすることもできます。

注: Foxpass を介して認証するユーザーは、Foxpass 内でプロビジョニングする必要があります。サードパーティのディレクトリを介してユーザーを自動的にプロビジョニングする場合は、ディレクトリ同期を確認してください。

Okta / Foxpass パスワード委任

ここでは、Foxpass をセットアップしてパスワード検証を Okta に委任する方法について説明します。

 
 
1. 新しい Okta ユーザーを作成する

「管理者」、「ディレクトリ」、「ユーザーの追加」の下にあります。

「Foxpass」という名前のユーザーを追加します

人物を追加02.png
人物を追加
ユーザー「Foxpass」を追加.png
ユーザー「Foxpass」を追加
2.そのユーザーを管理者にする

「管理者」、「セキュリティ」、「管理者」の順に進みます。「Foxpass」ユーザー に読み取り専用の管理者 権限を付与します。Foxpass からのリクエストに対して 2FA を維持したい場合は、代わりにユーザーに グループ管理者 権限を与えてください。

 
 
3. そのユーザーの API キーを取得する

ステップ 1 で作成した Foxpass ユーザーとして Okta にログインします。 http://developer.okta.com/docs/api/getting_started/getting_a_token の手順を使用して API キーを生成します。

APIトークンの作成.png
APIトークンの作成

4.そのAPIキーをFoxpassに入れます

Foxpass の「認証設定」ページに移動します。「パスワード認証委任」までスクロールします。それを有効にして、Okta を選択します。

「オクタ」を選択してください.png
「Okta」を選択してください

Okta サイトの URL と上で生成した API キーを入力します。
Okta サイトのホスト名と API キーを入力します.png
Okta サイトのホスト名と API キーを入力します


5. 2要素免除を追加

Okta の 2 要素は、Foxpass の LDAP インターフェイスと互換性があります。Foxpass のクラウド RADIUS インターフェースを使用する予定がある場合、2FA の使用はお勧めしません。これは、ユーザーが少なくとも 1 時間ごと、場合によってはユーザーが新しいアクセス ポイントに接続するたびに 2FA を確認するように求められるためです。LDAP に関しては、Foxpass をアプリケーションに統合する方法によっては、MFA をバイパスすることが望ましい場合があります。

Okta の MFA を無効にするには、送信 IP アドレスを Okta の「ゾーン内」に追加する必要があります。

まず、管理インターフェイスのセキュリティ ヘッダーの下にある [ネットワーク] ページに移動します。アウトバウンド IP アドレスを含めるゾーンを作成します (以下)。

35.168.179.228
18.206.75.69
52.55.180.22
35.153.120.184

IPゾーンの追加.png
IPゾーンの追加

次に、[セキュリティ] ヘッダーの下の [認証] セクションに移動し、[サインオン] タブを選択します。ここで、以前に使用した IP ゾーンの 2 要素ポリシーに除外を追加します。これを行うには、MFA ルールを選択し、「IF User's IP is: Not In Zone」を設定し、Foxpass の IP を追加したゾーンを選択します。それでは、準備万端です!

免除の追加.png
免除の追加

 
6.ThreatInsight の除外を追加

上記の手順 5 で作成したゾーンを「除外ゾーン」として含めます。以下のスクリーンショットの例を参照してください。

Threatinsight の除外を追加する.png
Threatinsight の除外を追加する

 

OneLogin / Foxpass パスワード委任

これは、パスワード検証を OneLogin に委任するように Foxpass をセットアップする方法を説明しています。

 
 
1.「認証のみ」の API クレデンシャル ペアを作成する

次の手順に従って、「認証のみ」の API 資格情報ペアを作成します:
https://developers.onelogin.com/api-docs/1/getting-started/working-with-api-credentials

API認証情報の作成.png
API認証情報の作成

「クライアント ID」と「クライアント シークレット」をコピーします。

IDとシークレットをコピーする.png
IDとシークレットをコピーする
 
2.そのAPIキーをFoxpassに入れます

Foxpass 認証設定ページ に移動します。「パスワード認証委任」までスクロールします。 有効にして、 OneLogin /1 を選択します。

OneLoginを選択.png
OneLoginを選択します

前の手順でコピーした API 資格情報を入力し、使用する米国 (US) または欧州 (EU) のエンドポイントを選択します。

API認証情報を入力してください.png
API認証情報を入力してください

これで、すべての認証要求が OneLogin に送信され、ユーザーはサービスを通じてパスワードを管理できるようになりました。

📘  注: 現在、OneLogin MFA の実施を確認していません。

ユーザーが正しい OneLogin パスワードを提供すると、MFA 設定に関係なく、Foxpass での認証が許可されます。

Google IMAP / Foxpass パスワード委任

ここでは、Foxpass を設定して、IMAP 経由で Google にパスワード検証を委任する方法について説明します。

🚧  このエンドポイントは Google によって廃止されました

こちらの手順に従って、Google の LDAP エンドポイント経由で認証を委任してください 。

Googleは、未発表の日付で、WorkspaceおよびCloud Identityユーザーに対するこのエンドポイントへのアクセスを無効にします。

 
 
Google を代理認証タイプとして設定する

Foxpass の [認証設定] ページに移動します。「パスワード認証委任」まで下にスクロールします。ドロップダウン メニューから [Google] を選択し、[保存] をクリックします。安全性の低いアプリへのアクセスを有効にしており、2FA がオフになっ ていることを確認してください。 特定のユーザーまたは一連のユーザーに対して 2FA を有効にする必要がある場合は、委任された認証からそれらを除外し、代わりに Foxpass パスワードを使用できます。

📘  ノート

Google の IMAP エンドポイントの制限により、ユーザーは Google の 2FA をオンにして代理認証を有効にすることはできません。Google LDAP / Foxpass パスワード 委任(認証中に 2FA をバイパスする) を使用するか、2FA をオンのままにし、別の Foxpass パスワードを保持することをお勧めします。以下で説明するパスワード同期機能を使用することもできます。

 
 
2019年10月30日更新

2019 年 10 月 30 日の時点で、Foxpass を使用した Google パスワード委任の動作が少し異なります。 Google のブログ投稿 で詳しく説明されているように、Google は、管理者が組織全体で IMAP エンドポイント (安全性の低いアプリに使用される) を有効にする機能を削除します。代わりに、ユーザーは自分のアカウントで IMAP (または安全性の低いアプリ) を個別に有効にする必要があります。現在この機能を有効にしているユーザーは引き続き有効にできますが、そのユーザーが一定期間操作を行わないと、Google はその機能を無効にすることがあります。Google を Foxpass の認証メカニズムとして利用するには、いくつかのオプションがあります。

  1. このリンクを使用して、新しいユーザーに安全性の低いアプリを個別に有効にしてもらいます
  2. Foxpass インテグレーションにアクセスするには、ユーザーにアプリ パスワードを使用してもらいます。これは、安全性の低いアプリが有効になっている場合、またはアカウントで MFA が有効になっている場合にのみ使用できます。ユーザーは、の手順に従ってアプリ パスワードを作成できます
  3. 代理認証メカニズムを切り替えて、Google の LDAP エンドポイントを使用します。これは、安全性の低いアプリが無効になっており、MFA が有効になっている場合でも使用できます。その方法については、Google LDAP / Foxpass パスワード 委任を参照してください。注: これには追加の Google ライセンスが必要になる場合があります。
  4. ユーザーに Foxpass でパスワードを設定してもらい、パスワードの変更を Google にプッシュするように Foxpass を構成します (詳細は後述)。
 
 
Foxpass パスワードを Google にプッシュする

この機能を有効にすると、Foxpassのパスワードの変更がGに反映されるため、ユーザーはすべてのサービスで1つのパスワードを使用できるようになります。Google のすべてのログインは、2FA をオンにした状態で引き続き機能します。

パスワード同期を設定するには、Foxpass の [認証設定] ページに移動します。[パスワードを Google にプッシュ] まで下にスクロールします。ドロップダウンから「はい」オプションを選択し、ボタンをクリックして Foxpass にユーザーのパスワードを設定する権限を与えます。

 

Google LDAP / Foxpass パスワード委任

このページでは、Foxpass をセットアップして、認証を Google の LDAP に委任し、Google の MFA をバイパスする方法について説明します。

 
 
Google セキュア LDAP を使用する理由

通常のGoogle IMAP / Foxpass パスワード委任では、Google の MFA で構成されたアカウントのパスワードを確認できません。ただし、Google の LDAP エンドポイントを使用してパスワードをチェックし、MFA をバイパスすることで、この制限を回避できます。

委任された認証ソースとして Google の LDAP を使用することで、Google の LDAP をプロキシとして機能することにより、RADIUS および非 TLS ベースのシステムに公開できます。

注: Google の LDAP を使用するには、Google Workspace Business Plus のいずれかに対するライセンスが必要です。Enterprise Standard または Plus;Education Fundamentals、Standard、Teaching and Learning Upgrade、または Plus。または Cloud Identity Premium。

 
 
Google Workspace Enterprise Plus または Cloud Identity Premium を設定する

以下のリンクを使用して、Google Workspace Enterprise Plus、Cloud Identity Premium、G Suite for Education、または G Suite for Education にサインアップしてください:
Google Workspace Enterprise Plus - https://support.google.com/a/answer/7284269
Cloud Identity Premium - https://cloud.google.com/identity/
G Suite Enterprise for Education - https://support.google.com/a/answer/7370133
G Suite for Education - https://edu.google.com/products /gsuite-for-edation/

これらのドキュメント に示されているように、セキュア LDAP を使用するには、Google Workspace Enterprise Plus、Cloud Identity Premium、G Suite Enterprise for Education、または G Suite for Education が必要です。

次に、Foxpass を使用するユーザーに Enterprise または Cloud Identity ライセンスを割り当てます。ライセンスを割り当てる方法について詳しくは、
https ://support.google.com/a/answer/1727173 をご覧ください。

 
 
Foxpass クライアントの作成と構成

Google は、それに接続する各 LDAP クライアントを個別に登録する必要があります。Google で Foxpass の特定のエントリを作成する必要があります。このプロセスに関する Google からの一般的な手順は、
https ://support.google.com/cloudidentity/topic/9173976?ref_topic=9048334 にあります。

admin.google.com で Google 管理者アカウントに移動し、[アプリ] を選択します。次に、[アプリ] メニューから [LDAP] を選択します。

_______01_20230203.png

アプリメニュー

 

「クライアントを追加」をクリックします。次に、クライアントに適切な名前を付けます。

_______02_20230203.png

クライアントの命名

 

次に、Foxpass 接続のアクセス許可を設定します。代理認証の場合、Foxpass は、Foxpass を使用するすべてのユーザーの資格情報の検証を必要とします。すべてのユーザーまたは Foxpass で使用する特定の OU を選択します。ユーザー情報の読み取り権限とグループ情報の読み取り権限は必要ありません。

_______03_20230203.png

権限設定

 

次に、Google から証明書とキーをダウンロードして解凍します。.crt と .key ファイルが必要です。これらは後で Foxpass にアップロードします。

_______04_20230203.png

証明書のダウンロード

 

最後に、ステータスをオンに設定し、Google コンソールに設定を保存して、Foxpass 統合を有効にします。

_______05_20230203.png

クライアントの詳細

_______06_20230203.png
 
ステータスページ
 
Google セキュア LDAP を代理認証タイプとして設定する

Foxpass の [認証設定] ページに移動します。「パスワード認証委任」パネルに移動します。ドロップダウン メニューから [Google セキュア LDAP] を選択します。次に、前のセクションから証明書とキーをアップロードし、[保存] をクリックします。

 

_______07_20230203.png

Foxpass 認証設定コンソール

 

それでは、Google パスワードを使用して、Foxpass で構成されたシステムの 1 つにサインインしてみてください。これで準備完了です!

 
 
一般的な問題とデバッグ

認証に問題がある場合は、ログをチェックして、内部で発生しているエラーを確認する必要があります。

Google のログを確認する方法については、https: //support.google.com/a/answer/9394001 を参照してください。
RADIUS および LDAP の Foxpass ログは、
https ://console.foxpass.com/settings/radiuslogs/
https://console.foxpass.com/settings/ldaplogs/
を参照してください。





一般的なエラー コード:

エラーコード 考えられる問題
INSUFFICIENT_ACCESS - ユーザー パスワードが正しく
ありません - ユーザーに Enterprise または Cloud Identity Premium ライセンスがありません
- Google で LDAP クライアントが無効になっています
サーバーダウン - 証明書とキーの組み合わせが正しくない

Google で変更を加えましたが、何も起こりません
。10 分ほど待ってから、もう一度お試しください。Google の更新には時間がかかります。

問題がここに記載されていない場合
: 一般的なエラー メッセージに関する Google のガイドをお読みください:
https://support.google.com/cloudidentity/answer/9167101?hl=en&ref_topic=9048334

 

Office 365 / Foxpass パスワード委任

これは、Office 365 にパスワード検証を委任するように Foxpass をセットアップする方法を説明しています。

 
 
Office 365 を委任された認証の種類として設定します

Foxpass の [認証設定] ページに移動します。「パスワード認証委任」まで下にスクロールします。ドロップダウン メニューから [ Office 365 via OAuth ] を選択し、[保存] をクリックします。2FA をオフにするか、MFA 構成で Foxpass IP を信頼済みとしてマークする必要があります。特定のユーザーまたは一連のユーザーに対して 2FA を有効にする必要がある場合は、委任された認証からそれらを除外し、代わりに Foxpass パスワードを使用できます。

O365 を代理認証として設定する.png
Office 365 を代理認証として設定する

Azure 条件付きアクセス ポリシーを使用する場合は、以下の高度な手順を使用してください。

🚧  注: Office 365 via OAuth オプションを選択します

Office 365 の IMAP エンドポイントは廃止されました。詳しくは こちら をご覧ください。

 
 
基本的な手順: MFA の信頼できる IP の設定

Office 365 の認証エンドポイントの制限により、ユーザーは Office 365 の MFA をオンにして委任認証を有効にすることはできません。MFA を有効にし、Foxpass IP を信頼できるものとしてマークすることをお勧めします。Foxpass の IP を信頼済みとしてマークすると、MFA をバイパスしながらユーザー名とパスワードを確認できます。Office 365 の信頼できる IP について詳しくは、
https ://docs.microsoft.com/en-us/azure/multi-factor-authentication/multi-factor-authentication-whats-next#trusted-ips をご覧ください。

IP を信頼済みとしてマークするには、 https://aad.portal.azure.com/ の Azure Active Directory ポータルに移動します。次に、[ 名前付きの場所] セクションに移動します。MFA の信頼できる IP を構成するためのリンクが表示されます。

_______08_20230203.png

MFA の信頼できる IP リンクを構成する

 

フィールドに Foxpass の IP を入力できるようになりました。ユーザーにアプリケーション固有のパスワードを使用させたい場合は、ここでその設定を有効にすることもできます。

_______09_20230203.png

MFA 設定

Foxpassの IP アドレスは次のとおりです
35.168.179.228/32
18.206.75.69/32
52.55.180.22/32
35.153.120.184/32

 
高度な手順: Azure 条件付きアクセス ポリシー

Azure 条件付きアクセス ポリシーを有効にしている場合は、Foxpass のサーバーからの要求が許可されていることを確認してください。Foxpass の名前付きの場所を設定するか、ポリシーをさらに構成する必要がある場合があります。

まず、組織の Azure Active Directory 管理センター に移動します。左側のメニューから[ すべてのサービス ] を選択し、[ Azure AD Named Locations ] を見つけます。上記のIPアドレスで、Foxpassという名前の新しいIPレンジのロケーションを作成します。

_______10_20230203.png

Foxpass の指定された場所

 

名前付きの場所を作成したら、サインイン要求中に Foxpass を MFA から除外する必要があります。すべての信頼できる場所を除外することも、Foxpass のみを除外することもできます。

Conditional Access Policy に移動し、ポリシーを選択してから、条件 --> 場所 --> 構成 - はい、除外 --> すべての信頼できる場所または単に foxpass を選択します。

_______11_20230203.png

Foxpassを除外

 

更新された構成は必ず保存してください。その後、Foxpass からのすべての委任された認証要求は MFA をバイパスする必要があり、Office 365 はサインイン要求を許可します。

 
 
デバッグ: Azure のアクセス ログを確認する

ログインが失敗する理由が不明な場合があります。まず、Foxpass LDAP または RADIUS ログを確認します。ユーザーが "Office 365: LOGIN FAILED" のようなエラー メッセージで失敗している場合、Office 365 は不特定の理由でログインに失敗しています。特定の理由を見つけるには、 Azure Active Directory 管理センター にログインしてログを確認する必要があります。

Azure Active Directory 管理センター で、 [ ユーザー] セクションに移動し、 [アクティビティ] -> [サインイン] を選択し ます 。ユーザーが試行したサインインのリストが表示されます。

[ユーザー サインイン (非対話型)] セクションに移動し、Foxpass から対応する失敗したログインを選択します。[ 基本情報] セクションの [ 失敗の理由] には、ログインが失敗した理由が表示されます。[ 条件付きアクセス] セクションには、適用された条件付きアクセス ポリシーが表示されます。

これらのログを使用すると、問題をデバッグし、ユーザーのブロックを解除するのに役立ちます。

 

LDAP / Foxpass パスワード委任

Foxpass 認証を、インターネットからアクセスできる任意の LDAP サーバーに委任します

 

コンソールの 認証設定ページ に移動します。

「パスワード認証委任」セクションで、ドロップダウンから LDAP を選択します。
認証を LDAP に委任する.png
認証を LDAP に委任する

URI を LDAP サーバーの URI に設定します。例: ldaps://ldap.example.com

ログイン形式を、特定のユーザーとしてバインドするために必要なバインド文字列に設定します。文字列「{username}」は、現在のユーザーの Foxpass ユーザー名に置き換えられます。例: uid={username},dc=example,dc=com

URIとログイン形式を入力してください.png
URIとログイン形式を入力してください

Jumpcloud で認証を確認する

LDAP URI を次のように設定します: ldaps://ldap.jumpcloud.com
ログイン形式を次のように設定します: uid={username},o=YOURJUMPCLOUDID,ou=Users,dc=jumpcloud,dc=com

 
 
IP アドレス許可リスト

当社の IP アドレスのみを許可することをお勧めします。これらのリクエストは、次の IP アドレスのいずれかから送信されます。

35.168.179.228
18.206.75.69
52.55.180.22
35.153.120.184

 
カスタム バックエンド / Foxpass パスワード委任

インターネットからアクセスできる任意のサーバーに Foxpass 認証を委任します

 

コンソールの 認証設定ページ に移動します。

[パスワード認証委任] セクションで、ドロップダウンから [カスタム バックエンド] を選択します。

URL を認証サーバーの URL に設定します。例: https://www.example.com/auth
「保存」をクリックします。

[カスタム バックエンド] を選択し、URI を入力します。.png
[カスタム バックエンド] を選択し、URI を入力します。

Foxpass は、パラメーターとして提供されたユーザーのユーザー名、電子メール、およびパスワードを使用して、そのエンドポイントに POST 要求を行います。

サーバーが 200 を返した場合、ユーザーはアクセスを許可されます。サーバーが 401 を返した場合、ユーザーは入場を拒否されます。その他のステータス コードは予期しないエラーとして扱われ、ユーザーはエントリを拒否されます。

example request format
curl -X POST -d 'username=aren&email=aren@foxpass.com&password=aren1' https://www.example.com/auth

 

これらのリクエストは、次の IP アドレスのいずれかから送信されます。

35.168.179.228
18.206.75.69
52.55.180.22
35.153.120.184

 
安全性の低い Google Apps を有効にする

Google Workspace での委任認証の設定に必要です

 

認証を Google に委任するには、Google アカウントで、Google が安全性の低いアプリと定義するものへのアクセスを許可する必要があります。Foxpass は、パスワードの委任中に Google の IMAP プロトコルに接続するため、Google はこれらのアプリの 1 つと見なしています。Google では、IMAP プロトコルを使用してアクセスするアプリは安全性が低いと考えています。これは、パスワードが保存される可能性があるためです。ただし、Foxpass は Google のパスワードを Google に直接渡すだけで保存しないため、セキュリティ リスクは軽減されます。「安全性の低いアプリ」の設定について詳しくは、 こちら をご覧ください。

さらに、代理認証を機能させるには、2 要素認証をオフにする必要があります。ユーザーが 2 要素認証を有効にする必要がある場合、または認証を Google Apps に委任してはならない場合は、Foxpass の「委任免除リスト」に追加できます。

📘  Google LDAP のお客様への注意事項

Google アカウントが Google LDAP インターフェイスにアクセスできる場合は、その代理認証方法を使用する必要があります。これにより、Foxpass に追加のアクセス許可は必要なく、2 要素認証を有効にしておくことができます。

個々のユーザーがセキュリティ レベルを選択できるように Google Apps が設定されている場合、ユーザーは ここ でアクセス レベルを設定できます。

安全性の低いアプリを有効にするには、Google Apps 管理者に次の手順を行ってもらいます:

_______12_20230203.png

  • 「基本設定」をクリック
_______13_20230203.png

  • 「安全性の低いアプリの設定に移動 >>」をクリックします。
_______14_20230203.png

  • 「安全性の低いアプリへのアクセスをすべてのユーザーに強制する」を選択します
_______15_20230203.png
 

このセクションの記事

  
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています