認証方法の追加

各認証では、認証方式を 1 つ定義します。たとえば、パスワード(Endpoint Defense コンソールパスワードなど)や、Active DirectoryOktaPing Identity のような、サードパーティに接続して行う認証などが挙げられます。それらを認証ポリシーに追加することで、Endpoint Defense コンソールにサインインするために管理者が完了する必要のある認証の種類を指定できます。1 つの認証ポリシーに複数の認証方法を組み合わせて設定することで、複数ステップの認証を実現できます。たとえば、エンタープライズ認証とワンタイムパスワードのプロンプトを組み合わせたポリシーを設定すると、仕事用または Endpoint Defense コンソールパスワードと、ワンタイムパスワードの両方による認証をユーザーに要求できます。
  • 重要: IDP SAML 認証方法の設定前に、「サインイン用の認証の設定」の適切な手順を確認し、Endpoint Defense コンソールに実行したことを確認します。必要な手順が完了していない場合、サードパーティの認証方法は Cylance Endpoint Security と通信できません。詳細については、以下のリソースを参照してください。
    • IDP を設定して認証を強化し、IDP によって Endpoint Defense コンソールにアクセスする手順については、「サインイン用の認証の設定」を参照してください。
  • SAML 認証を追加する場合は、
  1. メニューバーで、[設定] > [認証]をクリックします。
  2. [認証方法を追加]をクリックします。
  3. [認証方法のタイプ]リストで、以下の操作のいずれかを選択します。
    • Entra(SAML) — プライマリサインインページでユーザーに Entra 資格情報の入力させることで、Endpoint Defense コンソールへの IDP 開始アクセスを有効にします。
      注: SSO コールバック URL は、認証方法を保存すると生成され、https://login.eid.blackberry.com/_/resume/saml20/<hash> の形式になります。

      IDP 環境に別途コールバック URL を追加する必要があります。詳細については、「IDP 環境でのレガシー SSO コールバック URL のドメインの更新」を参照してください。

      以下の操作を実行します。
      1. 認証方法の名前を入力します。
      2. ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、[検証が必要]をクリックして、オンの位置にトグルします。

        コードは、テナント内のユーザーに紐づけられているメールアドレスに送信されます。

      3. [ログイン要求 URL]フィールドに、ID プロバイダーのアプリ登録シングルサインオン設定で指定されているログイン URL を入力します。たとえば、Entra ポータルでは、[エンタープライズアプリケーション] > <新しく作成したアプリケーションの名前> > アプリケーション名設定セクション > [ログイン URL]に移動します。
      4. [IDP 署名証明書]フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。

        証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。

      5. [SP エンティティ ID]フィールドに、Entra ポータルの SAML 設定から記録した ID(エンティティ ID)を入力します。必須フィールドです。[SP エンティティ ID]の値は、IDP コンソールで記録した ID(エンティティ ID)の値と一致する必要があります。
      6. [詳細設定の表示]を有効にしてから、[メールクレーム]フィールドに、Entra ポータルで記録したクレーム名の値を貼り付けます(例:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress)。
      7. 他のオプション設定を指定します。
      8. [保存]をクリックします。
      9. 追加した認証方法を開きます。SSO コールバック URL を記録します。この URL は、Entra ポータル > [基本 SAML 設定] > [返信 URL] フィールド(アサーションコンシューマ URL)で必要です。
    • カスタム(SAML) — プライマリサインインページでユーザーにカスタム資格情報を入力させることで、Endpoint Defense コンソールへの IDP 開始アクセスを有効にします。
      注: SSO コールバック URL は、認証方法を保存すると生成され、https://login.eid.blackberry.com/_/resume/saml20/<hash> の形式になります。

      IDP 環境に別途コールバック URL を追加する必要があります。詳細については、「IDP 環境でのレガシー SSO コールバック URL のドメインの更新」を参照してください。

      以下の操作を実行します。

      1. 認証方法の名前を入力します。
      2. ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、[検証が必要]をクリックして、オンの位置にトグルします。
      3. [ログイン要求 URL]フィールドに、ID プロバイダーのシングルサインオン URL を入力します。
      4. [IDP 署名証明書]フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。

        証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。

      5. [SP エンティティ ID]フィールドに、カスタム IDP ポータルで記録した対象者 URI(SP エンティティ ID)を入力します。必須フィールドです。[SP エンティティ ID]の値は、IDP コンソールで記録した対象者 URI(SP エンティティ ID)の値と一致する必要があります。
      6. [名前 ID 形式]フィールドで、IDP から要求する名前 ID 形式を指定します。例:urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
      7. [メールクレーム]フィールドに「NameID」と入力します。この値は、IDP コンソールで指定した NameID 形式と一致する必要があります。メールアドレスにより、正しいユーザーが管理コンソールにサインインしていることが確認されます。
      8. 他のオプション設定を指定します。
      9. [保存]をクリックします。
      10. 追加した認証方法を開きます。シングルサインオン URL を記録します。この URL はカスタム IDP に追加されます。
    • Aurora 管理者パスワード — ユーザーは、Endpoint Defense コンソール資格情報を入力する必要があります。
      以下の操作を実行します。
      1. 認証方法の名前を入力します。
      2. [保存]をクリックします。
    • 認証を拒否 — 認証ポリシーによって、ユーザーやユーザーグループが Endpoint Defense コンソールなどのサービスにアクセスできないようにします。ポリシー例外やアプリケーション例外を新たに追加すると、ユーザーのサブセットへのアクセスを許可できるようになります。
      以下の操作を実行します。
      1. 認証方法の名前を入力します。
      2. [保存]をクリックします。
    • Duo MFA — ユーザーは、Duo 多要素認証を使用して認証する必要があります。
      注:

      Duo は、従来の Duo プロンプトのサポートを終了しました。詳細については、Duo のナレッジベースを参照してください。この認証が追加されている場合は、コンソールに読み取り専用として表示されます。Duo 多要素認証の追加については、「Duo」を参照してください。

      Duo を認証方法として追加する前に、認証 API アプリケーションを作成する必要があります。手順については、Duo の情報を参照してください

      以下の操作を実行します。
      1. 認証方法の名前を入力します。
      2. [Duo MFA の設定]セクションで、API のホスト名、インテグレーションキー、およびシークレットキーを入力します。この情報は、組織の Duo アカウントの[アプリケーション]タブで確認できます。詳細については、Duo のマニュアルを参照してください。
    • Duo MFA ユニバーサル — ユーザーは、Duo 多要素認証を使用して認証する必要があります。

      Duo を認証方法として追加する前に、Web SDK アプリケーションを作成する必要があります。手順については、Duo のマニュアルを参照してください。

      以下の操作を実行します。
      1. 認証方法の名前を入力します。
      2. [Duo ユニバーサル MFA の設定]セクションで、API のホスト名、クライアント ID、クライアントシークレットを入力します。この情報は、組織の Duo アカウントの[アプリケーション]タブで確認できます。詳細については、Duo のマニュアルを参照してください。
    • エンタープライズ — ユーザーは、Active Directory、LDAP、または myAccount の資格情報を使用して認証する必要があります。ユーザーが使用する資格情報は、コンソールのユーザーアカウントのソースとなるアカウントタイプによって異なります。
      以下の操作を実行します。
      1. 認証方法の名前を入力します。
      2. [保存]をクリックします。
    • Okta MFA — ユーザーは、Okta を使用して認証する必要があります。
      以下の操作を実行します。
      1. 認証方法の名前を入力します。
      2. [Okta MFA の設定]セクションで、認証 API キーと認証ドメインを入力します。
      3. [保存]をクリックします。
    • [Okta] > [SAML] — プライマリサインインページでユーザーに Okta 資格情報を入力させることで、Endpoint Defense コンソールへの IDP 開始アクセスを有効にします。
      注: SSO コールバック URL は、認証方法を保存すると生成され、https://login.eid.blackberry.com/_/resume/saml20/<hash> の形式になります。

      IDP 環境に別途コールバック URL を追加する必要があります。詳細については、「IDP 環境でのレガシー SSO コールバック URL のドメインの更新」を参照してください。

      以下の操作を実行します。

      1. 認証方法の名前を入力します。
      2. ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、[検証が必要]をオンにします。
      3. [ログイン要求 URL]フィールドに、ID プロバイダーのシングルサインオン URL を入力します。
      4. [IDP 署名証明書]フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。

        証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。

      5. [SP エンティティ ID]フィールドに、Okta ポータルで記録した対象者 URI(SP エンティティ ID)を入力します。必須フィールドです。[SP エンティティ ID]の値は、IDP コンソールで記録した対象者 URI(SP エンティティ ID)の値と一致する必要があります。
      6. [IDP エンティティ ID]フィールドに、Okta から記録した IdentityProvider 発行者を貼り付けます。
      7. [名前 ID 形式]フィールドで、Okta に指定した NameID 形式を選択します(例:urn:oasis:names:tc:SAML:2.0:nameid-format:persistent)。
      8. [メールクレーム]フィールドに「Email」と入力します。これは、Okta コンソールで設定した属性名と一致する必要があります。メールアドレスにより、正しいユーザーが管理コンソールにサインインしていることが確認されます。
      9. 他のオプション設定を指定します。
      10. [保存]をクリックします。
      11. 追加した認証方法を開きます。シングルサインオン URL を記録します。この URL は、Okta コンソール > [SAML 設定]画面の以下のフィールドに追加されます。
        • シングルサインオン URL
        • 要求可能な SSO URL
    • [Okta] > [OIDC] — ユーザーは、Okta を使用して認証する必要があります。
      以下の操作を実行します。
      1. 認証方法の名前を入力します。
      2. [アイデンティティプロバイダクライアント]セクションで、OIDC 検出ドキュメントの URL、クライアント ID、およびプライベートキー JWKS を入力します。
      3. [保存]をクリックします。
    • ワンタイムパスワード — ユーザーに、別のタイプの認証に加えてワンタイムパスワードの入力も要求します。
      注: このオプションを選択した場合、認証ポリシーに別の認証を追加して、ワンタイムパスワードよりも高い位置付けにする必要があります。
      以下の操作を実行します。
      1. 認証方法の名前を入力します。
      2. [ワンタイムパスワードの設定]セクションの最初のリストで、間隔を選択します。ウィンドウ内のあらゆるコードは、予期したコードから指定した更新間隔の数だけ前または後にある場合は有効です。更新間隔は 30 秒で、デフォルト設定は 1 です。
      3. [ワンタイムパスワードの設定]セクションの 2 つ目のリストでは、OTP アプリのセットアップをスキップして、コード入力なしで認証できる回数を指定します。
    • [Ping Identity] > [OIDC] — ユーザーは、Ping Identity を使用して認証する必要があります。
      以下の操作を実行します。
      1. 認証方法の名前を入力します。
      2. [アイデンティティプロバイダクライアント]セクションで、OIDC 検出ドキュメントの URL、クライアント ID、およびプライベートキー JWKS を入力します。
      3. [ID トークンの署名アルゴリズム]のリストで、署名アルゴリズムを選択します。
      4. [保存]をクリックします。
    • [Ping Identity] > [SAML] — プライマリサインインページでユーザーに Ping Identity 資格情報の入力させることで、Endpoint Defense コンソールへの IDP 開始アクセスを有効にします。
      注: SSO コールバック URL は、認証方法を保存すると生成され、https://login.eid.blackberry.com/_/resume/saml20/<hash> の形式になります。

      IDP 環境に別途コールバック URL を追加する必要があります。詳細については、「IDP 環境でのレガシー SSO コールバック URL のドメインの更新」を参照してください。

      以下の操作を実行します。

      1. 認証方法の名前を入力します。
      2. ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、[検証が必要]をオンにします。
      3. [ログイン要求 URL]フィールドに、ID プロバイダーのシングルサインオン URL を入力します。
      4. [IDP 署名証明書]フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。

        証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。

      5. [SP エンティティ ID]フィールドに、PingOne コンソールで記録したエンティティ ID を入力します。必須フィールドです。[SP エンティティ ID]の値は、IDP コンソールで記録したエンティティ ID の値と一致する必要があります。
      6. 他のオプション設定を指定します。
      7. [保存]をクリックします。
      8. 追加した認証方法を開きます。シングルサインオン URL を記録します。この URL は、以下の PingOne コンソールの設定画面のフィールドに入力する必要があります。
        • アサーションコンシューマサービス(ACS)
        • アプリケーション URL
    • IP アドレス — IP アドレスに基づいてユーザーアクセスを制限します。IP アドレス認証を複数作成すると、異なるグループのアクセスを管理できるようになりますが、1 つのポリシーには、1 つの IP アドレス認証しか割り当てることができません。
      注意: IP アドレス認証は、認証ポリシーにおいて他の認証方法と組み合わせて使用する必要があります。認証ポリシーにおいて IP アドレス認証のみを使用すると、十分な認証が提供されないため、コンソールへの安全なアクセスを確保することができません。

      以下の操作を実行します。

      1. 認証方法の名前を入力します。
      2. [IP アドレス範囲]フィールドで、IP アドレス、IP 範囲、CIDR を 1 つ以上指定します。エントリはカンマで区切ります。たとえば、IP 範囲:192.168.0.100-192.168.1.255 または CIDR:192.168.0.10/24
      3. [保存]をクリックします。
    • [OneLogin] > [OIDC] — ユーザーは、OneLogin を使用して認証する必要があります。
      以下の操作を実行します。
      1. 認証方法の名前を入力します。
      2. ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、[検証が必要]をオンにします。
      3. [OneLogin の設定]セクションで、OIDC 検出ドキュメントの URL、クライアント ID、クライアントシークレット、および認証方法を入力します。
      4. [保存]をクリックします。
    • OneLogin(SAML) — プライマリサインインページでユーザーに OneLogin 資格情報の入力させることで、Endpoint Defense コンソールへの IDP 開始アクセスを有効にします。
      注: SSO コールバック URL は、認証方法を保存すると生成され、https://login.eid.blackberry.com/_/resume/saml20/<hash> の形式になります。

      IDP 環境に別途コールバック URL を追加する必要があります。詳細については、「IDP 環境でのレガシー SSO コールバック URL のドメインの更新」を参照してください。

      以下の操作を実行します。

      1. 認証方法の名前を入力します。
      2. ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、[検証が必要]をオンにします。
      3. [ログイン要求 URL]フィールドに、ID プロバイダーのシングルサインオン URL を入力します。
      4. [IDP 署名証明書]フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。

        証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。

      5. [SP エンティティ ID]フィールドに、OneLogin コンソールで記録した ID(エンティティ ID)を入力します。必須フィールドです。[SP エンティティ ID]の値は、IDP コンソールで記録した ID(エンティティ ID)の値と一致する必要があります。
      6. 他のオプション設定を指定します。
      7. [保存]をクリックします。
      8. 追加した認証方法を開きます。シングルサインオン URL を記録します。この URL は、OneLogin コンソールの以下のフィールドに追加されます。
        • ACS(コンシューマ)URL バリデータ*
        • ACS(コンシューマ)URL*
        • シングルログアウト URL
    • FIDO — ユーザーは、FIDO2 デバイスを登録し、それを使用して ID を確認する必要があります。サポートされるデバイスタイプには、スマートフォン、USB セキュリティキー、Windows Hello があります。

      以下の操作を実行します。

      1. 認証方法の名前を入力します。
      2. [保存]をクリックします。

      FIDO が第 1 認証要素の場合は、ユーザーがデバイスの初回登録を行うときに、サインインで使用するメールアドレスにワンタイムパスワードが送信されます。FIDO がポリシーの第 2 認証要素として使用される場合は、ユーザーがデバイスの初回登録を行うときでもワンタイムパスワードは要求されません。

      ユーザーアカウントから登録済みデバイスを削除する方法については、管理関連の資料の「ユーザーアカウントに登録した FIDO デバイスの削除」を参照してください。

    • 統合されたディレクトリ(Active Directory/Entra ID/LDAP) — ユーザーは、Active Directory パスワードを入力する必要があります。このオプションを選択する場合は、Aurora Endpoint Security テナントが会社のディレクトリのインスタンスと接続している必要があります。
      以下の操作を実行します。
      1. 認証方法の名前を入力します。
      2. [保存]をクリックします。
    • ローカルアカウント — ユーザーは、自分の BlackBerry Online AccountmyAccount)資格情報を入力する必要があります。
      以下の操作を実行します。
      1. 認証方法の名前を入力します。
      2. [保存]をクリックします。
  4. [保存]をクリックします。
認証用のユーザーポリシーの追加 およびテナントのデフォルト認証ポリシーの設定