~FortiAuthenticator 技術ブログ~
【第2回】FortiToken連携による自動割当て方法
今回は、FortiAuthenticatorでFortiTokenを管理運用する上でのメリットについて、ご紹介させて頂きます。
一般的に、FortiTokenをFortiGate内で管理運用しているケースが多いかと思いますが、FortiTokenをFortiAuthenticator内で管理運用を行う事で、大きく以下2つのメリットがあります。
1. FortiTokenの一元管理
複数のFortiGateでFortiTokenを管理する煩雑さを軽減、認証の一元化
2. FortiTokenの自動割当て
LDAP(AD)サーバー連携によるユーザーへのFortiToken自動割当て及びFortiToken Mobileを使ったアクティベーション・メールの自動送信
技術ブログ
今回はFortiAuthenticatorによるFortiTokenの自動割当ての設定方法について、当ブログにて解説させて頂きます。
尚、FortiAuthenticatorとFortiTokenの製品概要については、“【第1回】FortiToken連携”をご覧ください。
1. 環境構成
- FortiAuthenticator v6.6.2
- FortiToken Hardware 200B
- FortiToken Mobile
- Windows Server 2019 Standard Edition (以下、ADサーバーと記載)
FortiAuthenticator 300F
FortiToken シリーズ
2. ADサーバーのユーザー構成
OUとセキュリティーグループの使い分け
ADサーバーのユーザーについては、以下の構成としています。
- 組織単位(OU)=TokenUsers : ユーザーの登録先 (全7ユーザー)
- セキュリティーグループ(CN)=FortiTokenGroup : FortiTokenの割当てを行うユーザーの所属先
ADサーバーユーザー構成
組織単位(OU)=TokenUsersの登録ユーザー
セキュリティーグループ(CN)=FortiTokenGroupの所属ユーザー
FortiTokenGroupとFortiAuthenticatorの連携、およびFortiTokenの自動割当てと解除方法について以下解説します。
3. LDAPサーバーとユーザー連携設定
LDAPサーバーの登録
FortiAuthenticatorに、連携するLDAPサーバーの登録を行います。
[Authentication] > [Remote Auth. Servers] > [LDAP]
LDAPサーバーの登録
[Browse]ボタンを押下して、設定した値にてBase distinguished name(以下、BaseDNと記載)配下のディレクトリー構造が表示されるか確認してください。
BaseDN配下のディレクトリー表示
参考情報になりますが、BaseDNへの設定値については、ユーザー連携対象となるADサーバーのグループの[プロパティ] > [属性エディター]を開いて、[distinguishedName]属性を確認すると分かりやすいと思います。
distinguishedName属性確認画面
LDAPサーバー登録完了
LDAPサーバー登録一覧
ユーザー連携ルールの登録
ADサーバーと連携するユーザールールの登録を行います。
FortiAuthenticatorでは、当ユーザールール設定に基づいて連携処理が行われます。連携したユーザーは、[Remote Users]として、インポートされ管理されます。よって、当ルールでは、シンクロナイズドする間隔[Sync every]も併せて設定を行う必要があります。
[Authentication] > [User Management] > [Remote User Sync Rule] > [LDAP]
ユーザー連携ルールの登録
- Remote LDAP : 上記で登録したLDAPサーバーを選択してください。
- Base distinguished name : LDAPサーバーを選択すると自動表示されます。
- LDAP Filter : セキュリティーグループ(CN)=FortiTokenGroupの所属ユーザーを連携(インポート)するため、Filterで“FortiTokenGroup”を指定します。
LDAP Filterを設定後、[Set Group Filter]を押下します。表示される[Set Group Filter]画面にて、対象のGroupが表示される事を確認して[Use Filter]を押下します。Filter設定に誤りがある場合は、対象のGroupは表示されないため、設定の見直しを行います。
Group Filter確認画面
[Set Group Filter]画面にて、対象のGroupが表示される事を確認した後、[Test Filter]を押下します。対象のGroupに所属するユーザーが表示される事を確認して[Use Filter]を押下します。Filter設定に誤りがある場合は、対象のGroupに所属するユーザーが表示されないため、設定の見直しを行います。
Test Filter確認画面
FortiTokenの自動割当てを[ON]にします。今回はFortiToken 200Bを使用しているため[FortiToken Hardware (assign an available token)]を使用しました。他にも使用するTokenに合わせた設定が可能となっています。尚、ドラッグ&ドロップする事で、割当ての優先順位を入れ替える事もできます。
シンクロナイズド属性設定画面
ユーザー連携ルール登録完了
ユーザー連携ルール一覧画面
4. ユーザー連携によるFortiTokeの自動割当てと解除の確認
ユーザー連携とFortiTokenの自動割当て
ユーザー連携ルールに従って、ADサーバーからFortiAuthenticatorにユーザーのインポートが行われます。インポートされたユーザーは、[Remote Users]として管理されます。また、[Remote Users]に新規でインポートされるユーザーには、FortiTokenの自動割当ても同時に行われます。
FortiTokenGroupには6名のユーザーが所属しています。
- 所属ユーザー:tokenuser01 ~ tokenuser06
セキュリティーグループ(CN)=FortiTokenGroupの所属ユーザー
FortiTokenGroupに所属する6名のユーザーがインポートされ、FortiTokenが自動割当てされました。
[Authentication] > [User Management] > [Remote Users]
インポートされたユーザーと自動割当てされたFortiTokenの一覧画面
ユーザーの詳細画面を確認すると、[One-Time Password (OTP) authentication]がONとなり、FortiTokenが自動割当てされている事を確認できます。
インポートされたユーザーの詳細画面
FortiTokenの一覧画面でも割当て先のユーザーを確認する事ができます。
[Authentication] > [User Management] > [FortiTokens]
FortiToken一覧画面
ユーザー追加時の連携とFortiTokenの自動割当て
FortiTokenGroupへ所属ユーザーを追加した場合、連携時に追加ユーザーが[Remote Users]にインポートされ、且つFortiTokenの自動割当ても同時に行われます。
FortiTokenGroupに1名追加され、7名のユーザーが所属しています。
- 追加ユーザー:tokenuser07
セキュリティーグループ(CN)=FortiTokenGroupの所属ユーザー
FortiTokenGroupに追加されたユーザー1名がインポートされ、FortiTokenが自動割当てされました。
[Authentication] > [User Management] > [Remote Users]
追加ユーザーと自動割当てされたFortiTokenの一覧画面
FortiTokenの一覧画面でも追加されたユーザーへの割当てを確認する事ができます。
[Authentication] > [User Management] > [FortiTokens]
FortiToken一覧画面
ユーザー削除時の連携とFortiTokenの自動割当て解除
FortiTokenGroupの所属ユーザーを削除した場合、連携時に対象ユーザーが[Remote Users]から削除され、且つ割当てられていたFortiTokenは自動で解除されます。
FortiTokenGroupから2名削除され、5名のユーザーが所属しています
- 削除ユーザー:tokenuser01、tokenuser02
セキュリティーグループ(CN)=FortiTokenGroupの所属ユーザー
FortiTokenGroupから削除ユーザー2名が連携時に[Remote Users]から削除され、且つFortiTokenも自動で割当解除されました。
[Authentication] > [User Management] > [Remote Users]
削除後されたユーザーを除いた一覧画面
FortiTokenの一覧画面でも、ユーザー削除後に割当てが解除されている事を確認できます。
[Authentication] > [User Management] > [FortiTokens]
FortiToken一覧画面
5. ユーザー連携ログの確認
ログの確認
ユーザー連携時のユーザー追加・FortiToken自動割当て・ユーザー削除等の動作状況を、それぞれログで確認する事が可能です。
[Logging] > [Log Access] > [Logs]
ユーザー追加時のログ
FortiToken自動割当て時のログ
ユーザー削除時のログ
6. FortiToken Mobile使用時の便利機能
FortiToken Mobile割当て時のアクティベーション・メール送信
FortiToken Mobileの割当てが行われた際、アクティベーション用のメールを該当ユーザーに宛に自動送信する事が可能です。自動送信を行う場合は、ユーザー連携時にADサーバー上の当該ユーザーのメールアドレスを同時にインポートする事もでき、個別にメールアドレスを設定する必要も無いため、お勧めの運用方法となっております。以下では、メールアドレスのインポート方法も含めた設定をご紹介いたします。
先ずはメール送信用のSMTPサーバーの設定を行います。お使いの環境にあわせて設定を行ってください。設定後に[Test Connection]を押して、テストメールの送信・受信を確認します。
[System] > [Messaging] > [SMTP Servers]
SMTPサーバー設定画面
FortiToken Mobileの自動割当て設定を行います。[FortiToken Mobile (assign an available token)]をドラッグして上下を入替える事で、割当ての優順位も変更可能です。今回は先の設定にFortiToken Mobileの割当てを加える方式で行いました。
[Authentication] > [User Management] > [Remote User Sync Rule] > [LDAP]
ユーザー連携ルールの設定
FortiTokenGroupに所属するユーザーのインポートを行い、内2名がFortiToken Mobileに自動割当てされました。
[Authentication] > [User Management] > [Remote Users]
インポートされたユーザーと自動割当てされたFortiTokenの一覧画面
ユーザーの詳細画面を確認すると、[One-Time Password (OTP) authentication]がONとなり、FortiToken Mobileが自動割当てされている事を確認できます。また、メールアドレスも同時にインポートされています。
インポートされたユーザーの詳細画面
FortiTokenの一覧画面でも割当て先のユーザーを確認する事ができます。
[Authentication] > [User Management] > [FortiTokens]
FortiToken一覧画面
メールサーバーを確認すると、FortiToken Mobileが割当てられたユーザー宛に、アクティベーション用のメールが届ている事が確認できます。これら一連の連携処理によって、FortiToken Mobileのアクティベーション・メール送信まで自動化され、管理者の負担を軽減する事が可能となります。
FortiToken Mobileアクティベーション・メール
7. まとめ
FortiAuthenticatorでFortiTokenを扱う際の設定方法についてご紹介させて頂きました。ユーザー連携を行う事でユーザー管理の負担を軽減でき、且つFortiTokenの管理も一元的化する事で、セキュリティー強化にも繋がります。また、FortiToken Mobileのアクティベーション・メールの自動送信は、とても便利な機能なので、是非使って頂きたいと思います。
著者
関連製品
-
FortiGate/FortiGateCloud強固なセキュリティ機能を一台で提供する統合脅威管理(UTM)アプライアンスです。- Cloud / SaaS
- Network Security
- OT Security
-
FortiAPFortiGateとの統合により、業界で最高水準の安全な無線サービスを提供します。- Network Security
- OT Security
-
FortiAuthenticator/FortiTokenFortinetが提供するIDおよびアクセス管理ソリューションです。- Network Security
- OT Security
- Endpoint Security