認証方法の追加
認証ポリシーに追加できるように、認証方法を追加します。認証では、認証方式を 1 つ定義するのが一般的です。たとえば、パスワード(
Cylance
コンソールパスワードなど)や、Active
Directory
、Okta
、Ping Identity
のような、サードパーティに接続して行う認証などが挙げられます。認証方法を認証ポリシーに追加して、管理者が Cylance
コンソールにサインインするために完了する必要がある認証のタイプと、ユーザーが Cylance Endpoint Security
アプリまたはエージェント(CylancePROTECT Mobile
アプリ、CylanceGATEWAY
など)をアクティブ化するために完了する必要がある認証のタイプを指定します。1 つの認証ポリシーに複数の認証方法を組み合わせて設定することで、複数ステップの認証を実現できます。たとえば、エンタープライズ認証とワンタイムパスワードのプロンプトを組み合わせたポリシーを設定すると、仕事用または Cylance
コンソールパスワードと、ワンタイムパスワードの両方による認証をユーザーに要求できます。SAML 認証を追加する場合、IDP に対する署名証明書のコピーをダウンロードします。
- メニューバーで[設定] > [認証]をクリックします。
- [認証方法を追加]をクリックします。
- [認証方法のタイプ]ドロップダウンリストで、次のいずれかの認証方法を選択します。項目説明Entra(SAML)ユーザーに自分のEntra資格情報の入力を要求する場合は、このオプションを選択します。次の手順に従います。
- 認証方法の名前を入力します。
- ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、[検証が必要]をオンにします。コードは、テナント内のユーザーに紐づけられているメールアドレスに送信されます。
- [ログイン要求 URL]フィールドに、ID プロバイダーのアプリ登録シングルサインオン設定で指定されているログイン URL を入力します。たとえば、EntraPortal で、[エンタープライズアプリケーション] > [CylancePROTECT アプリケーション] > [プロパティ] > [シングルサインオン設定] > [ログイン URL]に移動します。
- [IDP 署名証明書]フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。
- [SP エンティティ ID]フィールドに、Entraの SAML 設定で使用するID(エンティティ ID)を入力します。これは必須フィールドです。また、入力する値はEntraの ID(エンティティ ID)と一致する必要があります。
- 他のオプション設定を指定します。
- [保存]をクリックします。
カスタム(SAML)ユーザーにカスタムの資格情報の入力を要求する場合は、このオプションを選択します。次の手順に従います。- 認証方法の名前を入力します。
- ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、[検証が必要]をオンにします。
- [ログイン要求 URL]フィールドに、ID プロバイダーのシングルサインオン URL を入力します。
- [IDP 署名証明書]フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。
- 他のオプション設定を指定します。
- [保存]をクリックします。
Cylance 管理者パスワードユーザーに自分のCylanceコンソールの資格情報を入力させる場合は、このオプションを選択します。次の手順に従います。- 認証方法の名前を入力します。
- [保存]をクリックします。
認証を拒否認証ポリシーを使用して、ユーザーやユーザーグループがCylanceコンソールなどのサービスにアクセスできないようにする場合は、このオプションを選択します。ポリシー例外やアプリケーション例外を新たに追加すると、ユーザーのサブセットへのアクセスを許可できるようになります。- 認証方法の名前を入力します。
- [保存]をクリックします。
DuoMFAユーザーにDuo多要素認証を使用して認証させる場合は、このオプションを選択します。Duoを認証方法として追加する前に、認証 API アプリケーションを作成する必要があります。手順については、Duoの情報を参照してください。次の手順に従います。- 認証方法の名前を入力します。
- [Duo MFA の設定]セクションで、API のホスト名、インテグレーションキー、およびシークレットキーを入力します。この情報は、組織のDuoアカウントの[アプリケーション]タブで確認できます。詳細については、Duo のマニュアルを参照してください。
エンタープライズユーザーにActive Directory、LDAP、またはの資格情報を使用して認証させる場合は、このオプションを選択します。ユーザーが使用する資格情報は、コンソールのユーザーアカウントのソースとなるアカウントタイプによって異なります。次の手順に従います。myAccount- 認証方法の名前を入力します。
- [保存]をクリックします。
FIDOユーザーにFIDO2デバイスを登録してもらい、ID を確認できるようにする場合は、このオプションを選択します。サポートされるデバイスタイプには、スマートフォン、USB セキュリティキー、Windows Helloがあります。- 認証方法の名前を入力します。
- [保存]をクリックします。
FIDOが第 1 認証要素の場合は、ユーザーがデバイスの初回登録を行うときに、サインインで使用するメールアドレスにワンタイムパスワードが送信されます。FIDOがポリシーの第 2 認証要素として使用される場合は、ユーザーがデバイスの初回登録を行うときでもワンタイムパスワードは要求されません。ユーザーアカウントから登録済みデバイスを削除する方法については、管理関連の資料の「ユーザーアカウントから登録済みのFIDOデバイスを削除する」を参照してください。統合されたディレクトリ(Active Directory/Entra ID/LDAP)ユーザーにActive Directoryパスワードを入力させる場合は、このオプションを選択します。このオプションを選択する場合は、Cylance Endpoint Securityテナントが会社のディレクトリのインスタンスと接続している必要があります。詳細については、「会社のディレクトリへのリンク」を参照してください。次の手順に従います。- 認証方法の名前を入力します。
- [保存]をクリックします。
IPアドレスIP アドレスに基づいてユーザーのアクセスを制限する場合は、このオプションを選択します。IP アドレス認証を複数作成すると、異なるグループのアクセスを管理できるようになりますが、1 つのポリシーには、1 つの IP アドレス認証しか割り当てることができません。- 認証方法の名前を入力します。
- [IP アドレス範囲]フィールドで、IP アドレス、IP 範囲、CIDR を 1 つ以上指定します。エントリはカンマで区切ります。
- [保存]をクリックします。
ローカルアカウントユーザーに自分のBlackBerry Online Account()資格情報の入力を要求する場合は、このオプションを選択します。次の手順に従います。myAccount- 認証方法の名前を入力します。
- [保存]をクリックします。
OktaMFAユーザーにOktaを使用して認証させる場合は、このオプションを選択します。次の手順に従います。- 認証方法の名前を入力します。
- [Okta MFA の設定]セクションで、認証 API キーと認証ドメインを入力します。
- [保存]をクリックします。
Okta(OIDC)ユーザーにOktaを使用して認証させる場合は、このオプションを選択します。次の手順に従います。- Oktaのドロップダウンリストで、[OIDC]を選択します。
- 認証方法の名前を入力します。
- [アイデンティティプロバイダクライアント]セクションで、OIDC 検出ドキュメントの URL、クライアント ID、およびプライベートキー JWKS を入力します。
- [保存]をクリックします。
Okta(SAML)ユーザーに自分のOkta資格情報の入力を要求する場合は、このオプションを選択します。次の手順に従います。- Oktaのドロップダウンリストで、[SAML]を選択します。
- 認証方法の名前を入力します。
- ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、[検証が必要]をオンにします。
- [ログイン要求 URL]フィールドに、ID プロバイダーのシングルサインオン URL を入力します。
- [IDP 署名証明書]フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。
- 他のオプション設定を指定します。
- [保存]をクリックします。
OneLogin(OIDC)ユーザーにOneLoginを使用して認証させる場合は、このオプションを選択します。次の手順に従います。- OneLoginのドロップダウンリストで、[OIDC]を選択します。
- 認証方法の名前を入力します。
- ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、[検証が必要]をオンにします。
- [OneLogin の設定]セクションで、OIDC 検出ドキュメントの URL、クライアント ID、クライアントシークレット、および認証方法を入力します。
- [保存]をクリックします。
OneLogin(SAML)ユーザーに自分のOneLogin資格情報の入力を要求する場合は、このオプションを選択します。次の手順に従います。- 認証方法の名前を入力します。
- ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、[検証が必要]をオンにします。
- [ログイン要求 URL]フィールドに、ID プロバイダーのシングルサインオン URL を入力します。
- [IDP 署名証明書]フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。
- 他のオプション設定を指定します。
- [保存]をクリックします。
ワンタイムパスワードユーザーに、別のタイプの認証に加えてワンタイムパスワードの入力も要求する場合は、このオプションを選択します。次の手順に従います。このオプションを選択した場合、認証ポリシーに別の認証を追加して、ワンタイムパスワードよりも高い位置付けにする必要があります。- 認証方法の名前を入力します。
- [ワンタイムパスワードの設定]セクションの最初のドロップダウンリストで、間隔を選択します。ウィンドウ内のあらゆるコードは、予期したコードから指定した更新間隔の数だけ前または後にある場合は有効です。更新間隔は 30 秒で、デフォルト設定は 1 です。
- [ワンタイムパスワードの設定]セクションの 2 つ目のドロップダウンリストでは、OTP アプリのセットアップをスキップして、コード入力なしで認証できる回数を指定します。
Ping Identity(OIDC)Ping Identityを使用してユーザーに認証してもらう場合は、このオプションを選択します。手順は次のとおりです。- [Ping]のドロップダウンリストで、[OIDC]を選択します。
- 認証方法の名前を入力します。
- [アイデンティティプロバイダクライアント]セクションで、OIDC 検出ドキュメントの URL、クライアント ID、およびプライベートキー JWKS を入力します。
- [ID トークンの署名アルゴリズム]のドロップダウンリストで、署名アルゴリズムを選択します。
- [保存]をクリックします。
Ping Identity(SAML)ユーザーに自分のPing Identity資格情報の入力を要求する場合は、このオプションを選択します。次の手順に従います。- [Ping]のドロップダウンリストで、[SAML]を選択します。
- 認証方法の名前を入力します。
- ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、[検証が必要]をオンにします。
- [ログイン要求 URL]フィールドに、ID プロバイダーのシングルサインオン URL を入力します。
- [IDP 署名証明書]フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。
- 他のオプション設定を指定します。
- [保存]をクリックします。
- [保存]をクリックします。