ナビゲーションをスキップする
  1. BlackBerry Docs
  2. Cylance Endpoint Security
  3. セットアップ
  4. Cylance Endpoint Security セットアップガイド
  5. ユーザーとデバイスの追加
  6. 認証方法の追加

認証方法の追加

認証ポリシーに追加できるように、認証方法を追加します。認証では、認証方式を 1 つ定義するのが一般的です。たとえば、パスワード(
Cylance
 コンソールパスワードなど)や、
Active Directory
Okta
Ping Identity
 のような、サードパーティに接続して行う認証などが挙げられます。認証方法を認証ポリシーに追加して、管理者が
Cylance
 コンソールにサインインするために完了する必要がある認証のタイプと、ユーザーが
Cylance Endpoint Security
 アプリまたはエージェント(
CylancePROTECT Mobile
 アプリ、
CylanceGATEWAY
 など)をアクティブ化するために完了する必要がある認証のタイプを指定します。1 つの認証ポリシーに複数の認証方法を組み合わせて設定することで、複数ステップの認証を実現できます。たとえば、エンタープライズ認証とワンタイムパスワードのプロンプトを組み合わせたポリシーを設定すると、仕事用または
Cylance
 コンソールパスワードと、ワンタイムパスワードの両方による認証をユーザーに要求できます。
  1. メニューバーで
    [設定] > [認証]
    をクリックします。
  2. [認証方法を追加]
    をクリックします。
  3. [認証方法のタイプ]
    ドロップダウンリストで、次のいずれかの認証方法を選択します。
    項目
    説明
    Entra
     (SAML)
    プライマリサインインページでユーザーに
    Entra
     資格情報を入力させて、
    Cylance
     コンソールへの IDP 開始アクセスを有効にする場合は、このオプションを選択します。
    Entra
     (SAML)の設定手順の詳細については、以下を参照してください。
    SSO コールバック URL は、認証方法を保存すると生成され、https://login.eid.blackberry.com/_/resume/saml20/<
    hash
    > の形式になります。
    次の手順に従います。
    1. 認証方法の名前を入力します。
    2. ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、
      [検証が必要]
      をオンにします。コードは、テナント内のユーザーに紐づけられているメールアドレスに送信されます。
    3. [ログイン要求 URL]
      フィールドに、ID プロバイダーのアプリ登録シングルサインオン設定で指定されているログイン URL を入力します。たとえば
      Entra
       ポータルでは、[エンタープライズアプリケーション] > <
      Name of the newly created application
      > >
      application name
       設定セクション > [ログイン URL]に移動します。
    4. [IDP 署名証明書]
      フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。
      証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。
    5. [SP エンティティ ID]
      フィールドに、
      Entra
       ポータルの SAML 設定から記録した
      ID(エンティティ ID)
      を入力します。必須フィールドです。[SP エンティティ ID]の値は、IDP コンソールで記録した ID(エンティティ ID)の値と一致する必要があります。
    6. [詳細設定の表示]
      を有効にして、[
      メールクレーム
      ]フィールドに、
      Entra
       ポータルで記録したクレーム名の値を貼り付けます(例:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress)。
    7. 他のオプション設定を指定します。
    8. [保存]
      をクリックします。
    9. 追加した認証方法を開きます。
      SSO コールバック URL
       を記録します。この URL は、
      Entra
       ポータル > [基本 SAML 設定]> [返信 URL] フィールド(アサーションコンシューマ URL)で必要です。
    カスタム(SAML)
    プライマリサインインページでユーザーにカスタム資格情報を入力させて、
    Cylance
     コンソールへの IDP 開始アクセスを有効にする場合は、このオプションを選択します。
    カスタム(SAML)の設定手順の詳細については、以下を参照してください。
    SSO コールバック URL は、認証方法を保存すると生成され、https://login.eid.blackberry.com/_/resume/saml20/<
    hash
    > の形式になります。
    1. 認証方法の名前を入力します。
    2. ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、
      [検証が必要]
      をオンにします。
    3. [ログイン要求 URL]
      フィールドに、ID プロバイダーのシングルサインオン URL を入力します。
    4. [IDP 署名証明書]
      フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。
      証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。
    5. [SP エンティティ ID]
      フィールドに、カスタム IDP ポータルで記録した対象者 URI(SP エンティティ ID)を入力します。必須フィールドです。[SP エンティティ ID]の値は、IDP コンソールで記録した対象者 URI(SP エンティティ ID)の値と一致する必要があります。
    6. [名前 ID 形式]
      フィールドで、IDP から要求する名前識別子形式を指定します(例:urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress)。
    7. [メールクレーム]
      フィールドに「
      NameID
      」と入力します。この値は、IDP コンソールで指定した NameID 形式と一致する必要があります。メールアドレスにより、正しいユーザーが管理コンソールにサインインしていることが確認されます。
    8. 他のオプション設定を指定します。
    9. [保存]
      をクリックします。
    10. 追加した認証方法を開きます。
      シングルサインオン URL
       を記録します。この URL はカスタム IDP に追加されます。
    Cylance 管理者パスワード
    ユーザーに自分の
    Cylance
     コンソールの資格情報を入力させる場合は、このオプションを選択します。次の手順に従います。
    1. 認証方法の名前を入力します。
    2. [保存]
      をクリックします。
    認証を拒否
    認証ポリシーを使用して、ユーザーやユーザーグループが
    Cylance
     コンソールなどのサービスにアクセスできないようにする場合は、このオプションを選択します。ポリシー例外やアプリケーション例外を新たに追加すると、ユーザーのサブセットへのアクセスを許可できるようになります。
    1. 認証方法の名前を入力します。
    2. [保存]
      をクリックします。
    Duo
     MFA
    ユーザーに
    Duo
     多要素認証を使用して認証させる場合は、このオプションを選択します。
    Duo
     を認証方法として追加する前に、認証 API アプリケーションを作成する必要があります。手順については、
    Duo
     の情報を参照してください
    次の手順に従います。
    1. 認証方法の名前を入力します。
    2. [Duo MFA の設定]
      セクションで、API のホスト名、インテグレーションキー、およびシークレットキーを入力します。この情報は、組織の
      Duo
       アカウントの[アプリケーション]タブで確認できます。詳細については、Duo のマニュアルを参照してください。
    エンタープライズ
    ユーザーに
    Active Directory
    、LDAP、または
    my
    Account
     の資格情報を使用して認証させる場合は、このオプションを選択します。ユーザーが使用する資格情報は、コンソールのユーザーアカウントのソースとなるアカウントタイプによって異なります。次の手順に従います。
    1. 認証方法の名前を入力します。
    2. [保存]
      をクリックします。
    FIDO
    ユーザーに
    FIDO2
     デバイスを登録してもらい、ID を確認できるようにする場合は、このオプションを選択します。サポートされるデバイスタイプには、スマートフォン、USB セキュリティキー、
    Windows Hello
     があります。
    1. 認証方法の名前を入力します。
    2. [保存]
      をクリックします。
    FIDO
     が第 1 認証要素の場合は、ユーザーがデバイスの初回登録を行うときに、サインインで使用するメールアドレスにワンタイムパスワードが送信されます。
    FIDO
    がポリシーの第 2 認証要素として使用される場合は、ユーザーがデバイスの初回登録を行うときでもワンタイムパスワードは要求されません。
    ユーザーアカウントから登録済みデバイスを削除する方法については、管理関連の資料の「ユーザーアカウントから登録済みの
    FIDO
     デバイスを削除する    」を参照してください。
    統合されたディレクトリ(
    Active Directory
    /
    Entra ID
    /LDAP)
    ユーザーに
    Active Directory
     パスワードを入力させる場合は、このオプションを選択します。このオプションを選択する場合は、
    Cylance Endpoint Security
     テナントが会社のディレクトリのインスタンスと接続している必要があります。詳細については、「会社のディレクトリへのリンク」を参照してください。次の手順に従います。
    1. 認証方法の名前を入力します。
    2. [保存]
      をクリックします。
    IPアドレス
    IP アドレスに基づいてユーザーのアクセスを制限する場合は、このオプションを選択します。IP アドレス認証を複数作成すると、異なるグループのアクセスを管理できるようになりますが、1 つのポリシーには、1 つの IP アドレス認証しか割り当てることができません。
    コンソールの IP アドレス制限を追加または削除する手順については、「Cylance コンソールの IP アドレス制限認証方法の追加」を参照してください。
    1. 認証方法の名前を入力します。
    2. [IP アドレス範囲]
      フィールドで、IP アドレス、IP 範囲、CIDR を 1 つ以上指定します。エントリはカンマで区切ります。例:IP 範囲:192.168.0.100-192.168.1.255 または CIDR:192.168.0.10/24
    3. [保存]
      をクリックします。
    ローカルアカウント
    ユーザーに自分の
    BlackBerry Online Account
    my
    Account
    )資格情報の入力を要求する場合は、このオプションを選択します。次の手順に従います。
    1. 認証方法の名前を入力します。
    2. [保存]
      をクリックします。
    Okta
     MFA
    ユーザーに
    Okta
     を使用して認証させる場合は、このオプションを選択します。次の手順に従います。
    1. 認証方法の名前を入力します。
    2. [Okta MFA の設定]
      セクションで、認証 API キーと認証ドメインを入力します。
    3. [保存]
      をクリックします。
    Okta
     (OIDC)
    ユーザーに
    Okta
     を使用して認証させる場合は、このオプションを選択します。次の手順に従います。
    1. Okta
       のドロップダウンリストで、
      [OIDC]
      を選択します。
    2. 認証方法の名前を入力します。
    3. [アイデンティティプロバイダクライアント]
      セクションで、OIDC 検出ドキュメントの URL、クライアント ID、およびプライベートキー JWKS を入力します。
    4. [保存]
      をクリックします。
    Okta
     (SAML)
    プライマリサインインページでユーザーに
    Okta
     資格情報を入力させて、
    Cylance
     コンソールへの IDP 開始アクセスを有効にする場合は、このオプションを選択します。
    Okta
     (SAML)の設定手順の詳細については、以下を参照してください。
    SSO コールバック URL は、認証方法を保存すると生成され、https://login.eid.blackberry.com/_/resume/saml20/<
    hash
    > の形式になります。
    1. Okta
       のドロップダウンリストで、
      [SAML]
      を選択します。
    2. 認証方法の名前を入力します。
    3. ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、
      [検証が必要]
      をオンにします。
    4. [ログイン要求 URL]
      フィールドに、ID プロバイダーのシングルサインオン URL を入力します。
    5. [IDP 署名証明書]
      フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。
      証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。
    6. [SP エンティティ ID]
      フィールドに、
      Okta
       ポータルで記録した対象者 URI(SP エンティティ ID)を入力します。必須フィールドです。[SP エンティティ ID]の値は、IDP コンソールで記録した対象者 URI(SP エンティティ ID)の値と一致する必要があります。
    7. [IDP エンティティ ID]
      フィールドに、
      Okta
       から記録した IdentityProvider 発行者を貼り付けます。
    8. [名前 ID 形式]
      フィールドで、
      Okta
       に指定した NameID 形式を選択します(例:urn:oasis:names:tc:SAML:2.0:nameid-format:persistent)。
    9. [メールクレーム]
      フィールドに「
      Email
      」と入力します。これは、Okta コンソールで設定した属性名と一致する必要があります。メールアドレスにより、正しいユーザーが管理コンソールにサインインしていることが確認されます。
    10. 他のオプション設定を指定します。
    11. [保存]
      をクリックします。
    12. 追加した認証方法を開きます。シングルサインオン URL を記録します。この URL は、
      Okta
       コンソール > [SAML 設定]画面の次のフィールドに追加されます。
      • シングルサインオン URL
      • 要求可能な SSO URL
    OneLogin
     (OIDC)
    ユーザーに
    OneLogin
     を使用して認証させる場合は、このオプションを選択します。次の手順に従います。
    1. OneLogin
       のドロップダウンリストで、
      [OIDC]
      を選択します。
    2. 認証方法の名前を入力します。
    3. ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、
      [検証が必要]
      をオンにします。
    4. [OneLogin の設定]
      セクションで、OIDC 検出ドキュメントの URL、クライアント ID、クライアントシークレット、および認証方法を入力します。
    5. [保存]
      をクリックします。
    OneLogin
     (SAML)
    プライマリサインインページでユーザーに
    OneLogin
     資格情報を入力させて、
    Cylance
     コンソールへの IDP 開始アクセスを有効にする場合は、このオプションを選択します。
    OneLogin
     (SAML)の設定手順の詳細については、以下を参照してください。
    SSO コールバック URL は、認証方法を保存すると生成され、https://login.eid.blackberry.com/_/resume/saml20/<
    hash
    > の形式になります。
    1. 認証方法の名前を入力します。
    2. ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、
      [検証が必要]
      をオンにします。
    3. [ログイン要求 URL]
      フィールドに、ID プロバイダーのシングルサインオン URL を入力します。
    4. [IDP 署名証明書]
      フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。
      証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。
    5. [SP エンティティ ID]
      フィールドに、OneLogin コンソールで記録した ID(エンティティ ID)を入力します。必須フィールドです。[SP エンティティ ID]の値は、IDP コンソールで記録した ID(エンティティ ID)の値と一致する必要があります。
    6. 他のオプション設定を指定します。
    7. [保存]
      をクリックします。
    8. 追加した認証方法を開きます。シングルサインオン URL を記録します。この URL は、OneLogin コンソールの次のフィールドに追加されます。
      • ACS(コンシューマ)URL バリデータ*
      • ACS(コンシューマ)URL*
      • シングルログアウト URL
    ワンタイムパスワード
    ユーザーに、別のタイプの認証に加えてワンタイムパスワードの入力も要求する場合は、このオプションを選択します。
    このオプションを選択した場合、認証ポリシーに別の認証を追加して、ワンタイムパスワードよりも高い位置付けにする必要があります。
    管理者用ワンタイムパスワード認証を追加および削除する手順については、次を参照してください。
    次の手順に従います。
    1. 認証方法の名前を入力します。
    2. [ワンタイムパスワードの設定]
      セクションの最初のドロップダウンリストで、間隔を選択します。ウィンドウ内のあらゆるコードは、予期したコードから指定した更新間隔の数だけ前または後にある場合は有効です。更新間隔は 30 秒で、デフォルト設定は 1 です。
    3. [ワンタイムパスワードの設定]
       セクションの 2 つ目のドロップダウンリストでは、OTP アプリのセットアップをスキップして、コード入力なしで認証できる回数を指定します。
    Ping Identity
     (OIDC)
    Ping Identity
     を使用してユーザーに認証してもらう場合は、このオプションを選択します。手順は次のとおりです。
    1. [Ping]
      のドロップダウンリストで、
      [OIDC]
      を選択します。
    2. 認証方法の名前を入力します。
    3. [アイデンティティプロバイダクライアント]
      セクションで、OIDC 検出ドキュメントの URL、クライアント ID、およびプライベートキー JWKS を入力します。
    4. [ID トークンの署名アルゴリズム]
      のドロップダウンリストで、署名アルゴリズムを選択します。
    5. [保存]
      をクリックします。
    Ping Identity
     (SAML)
    プライマリサインインページでユーザーに
    Ping Identity
     資格情報を入力させて、
    Cylance
     コンソールへの IDP 開始アクセスを有効にする場合は、このオプションを選択します。
    Ping Identity
     (SAML)の設定手順の詳細については、以下を参照してください。
    SSO コールバック URL は、認証方法を追加すると生成され、https://login.eid.blackberry.com/_/resume/saml20/<
    hash
    > の形式になります。
    1. [Ping Identity]
      のドロップダウンリストで、
      [SAML]
      を選択します。
    2. 認証方法の名前を入力します。
    3. ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、
      [検証が必要]
      をオンにします。
    4. [ログイン要求 URL]
      フィールドに、ID プロバイダーのシングルサインオン URL を入力します。
    5. [IDP 署名証明書]
      フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。
      証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。
    6. [SP エンティティ ID]
      フィールドに、PingOne コンソールで記録したエンティティ ID を入力します。必須フィールドです。[SP エンティティ ID]の値は、IDP コンソールで記録したエンティティ ID の値と一致する必要があります。
    7. 他のオプション設定を指定します。
    8. [保存]
      をクリックします。
    9. 追加した認証方法を開きます。
      シングルサインオン
       URL を記録します。この URL は、次の PingOne コンソールの設定画面のフィールドに入力する必要があります。
      • アサーションコンシューマサービス(ACS)
      • アプリケーション URL
  4. [保存]
    をクリックします。