カスタム認証設定を認証方法リストに移行する

既存の SAML 認証を[設定]の認証方法リストに移行して、ユーザーおよびグループまたはテナントの認証ポリシーに追加されるようにすることができます。認証方法を移行する場合、シングルサインオン URL を Aurora Endpoint Security で使用される URL に更新する必要があります。また、外部 IDP 設定の NameID クレームを更新して、ユーザーのメールアドレスではなく永続的で不変な値が返されるようにするか、フェデレーション ID のクレームとして使用できるクレームを ID プロバイダーで作成する必要があります。

設定を移行する前に、フェイルセーフとして、Endpoint Defense コンソールパスワードだけを必要とする認証ポリシーを 1 つ作成し、それを 1 人の管理者に割り当てておくとよいでしょう。

注: カスタム認証設定を移行する場合、外部 ID プロバイダーで、Cylance Endpoint Security ログイン要求 URL として https://idp.blackberry.com/_/resume を追加する必要があります。外部 SAML 設定はシングルサインオンまたはアサーションコンシューマサービス返信 URL のリストをサポートしているため、既存の設定では、新しい URL は 2 番目のオプションとしてリストに追加するか、元の URL を置き換えることができます。 

SAML 認証の詳細については、「SAML 認証の追加に関する考慮事項」を参照してください。

IDP の署名証明書のコピーをダウンロードします。
  1. 管理コンソールのメニューバーで、[設定] > [アプリケーション]をクリックします。
  2. [カスタム認証]セクションで以下の操作を実行します。
    1. 次の情報をテキストファイルにコピーします。
      • プロバイダー名
      • ログインURL
    2. [パスワードログインを許可]チェックボックスをオンにします。詳細については、「カスタム認証の設定」を参照してください。
  3. メニューバーで、[設定] > [認証]をクリックします。
  4. [認証方法]タブで、[認証方法を追加]をクリックします。
  5. [認証方法のタイプ]リストで、手順 2 でコピーしたプロバイダーに対応する SAML 認証(Entra または Okta など)をクリックするか、カスタム SAML をクリックします。
  6. [全般情報]セクションで、認証方法の名前を入力します。
  7. [SAML 構成]セクションで、ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、[検証が必要]をオンにします。
  8. [ログイン要求 URL]フィールドに、ID プロバイダーのシングルサインオン URL を入力します。
  9. [IDP 署名証明書]フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。
    証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。
  10. 以下の操作のいずれかを実行します。

    タスク

    手順

    外部 ID プロバイダーの NameID とメールクレームの値を更新します。
    1. 外部 ID プロバイダーにサインインします。
    2. Aurora Endpoint Security のシングルサインオン URL を https://idp.blackberry.com/_/resume に更新します。この URL は、既存の login.<地域>.cylance.com URL に追加できます。
    3. NameID クレームを編集して、ユーザーのメールアドレスではなく、フェデレーション ID のクレームで使用できる永続的で不変な値(objectGUID や UUID など)が返されるようにします。手順については、ID プロバイダーのドキュメントを参照してください。
    4. ユーザーのメールアドレスを返す新しいメールクレームを作成します。

    外部 ID プロバイダーで新しいクレームを作成し、認証方法の設定に追加します。
    1. 外部 ID プロバイダーにサインインします。
    2. Aurora Endpoint Security のシングルサインオン URL を https://idp.blackberry.com/_/resume に更新します。この URL は、既存の login.<地域>.cylance.com URL に追加できます。
    3. ユーザーの永続的で不変な ID を返す新しいクレームを作成します。手順については、ID プロバイダーのドキュメントを参照してください。
    4. Endpoint Defense 管理コンソールの[メールのクレーム]フィールドに、「nameID」と入力します。nameID 値では小文字の「n」を使用する必要があります。
    5. [フェデレーション ID のクレーム]フィールドに、外部 ID プロバイダーで作成した新しいクレームの名前を入力します。
  11. [保存]をクリックします。
  • 認証用のユーザーポリシーの追加
  • 認証ポリシーで SAML 認証を使用してログインする際に問題が発生した場合は、IDP から SAML 応答のサンプルをダウンロードし、クレーム名を検証できます。