管理者の認証

この記事では、管理者がCato管理画面にログインするために定義できる異なる認証方法について説明します。管理者について詳しく学ぶには、管理者とロールベースアクセス制御 (RBAC) についてをご覧ください。

概要

組織の要件に最適に適合させるために、以下の方法を使用してCMAの認証方法を定義できます。

SSO (推奨) - アカウントに設定されたシングルサインオン (SSO) プロバイダで認証します アクセス > シングルサインオン
Cato 認証情報 - CMA で設定したユーザー名 (管理者メール) とパスワードでログインします。
2要素認証 (MFA) - Cato の資格情報を使用する際、管理者は2要素認証アプリを用いて多要素認証 (MFA) を使用します。このオプションは新しい管理者にはデフォルトで有効化され、2023年12月10日以降に作成されたアカウントの管理者には常に有効です。

CMA認証方法の設定

Cato管理画面の管理者がログインに使用できる方法を定義します。これらの設定はアカウント内のすべての管理者に適用されます。

次のツールはCato管理画面の管理者向けSSOでサポートされています：

ツールが必要なIPアドレスを許可リストに登録していることを確認してください。詳細については、CMA IP許可リストを参照してください。各CMA管理者のメールは、SSOプロバイダーの対応するユーザーのメールアドレスと同じでなければなりません。

CMA 管理者の認証方法を設定するには：

管理者が SSO で認証できるようにするには：
1. SSO プロバイダーの手順に従ってください (上記のリンク)。
2. ナビゲーションメニューから、アクセス > シングルサインオン をクリックします。
3. Cato 管理画面の管理者 セクションで、シングルサインオンのログインを許可 を選択します。
4. 保存をクリックしてください。
管理者がユーザー名とパスワードで認証できるようにするには：
1. ナビゲーションメニューから アカウント > ログイン制限 を選択します。
2. Login Authentication Method for Cato Management Application セクションで、Cato のユーザ認証を許可 を選択します。
3. 保存をクリックしてください。

管理者向けの多要素認証 (MFA) 使用中

追加のセキュリティを提供するために、管理者がCMAにログインするときにマルチファクタ認証（MFA）を使用するように設定できます。 MFAは認証アプリ（例: Google Authenticator）を使用して、安全なワンタイムパスワード（OTP）を生成し、管理者がログインプロセスの一環として入力します。そうしないと、管理者は認証できず、CMAにログインできません。

注意

注：

MFA は Cato ユーザ認証情報でのみサポートされています。管理者が SSO でログインする際、MFA コードの入力は要求されません。
2023年12月10日以降に作成されたアカウントでは、MFA は Cato ユーザ認証を使用する管理者に常に有効です。

管理者の多要素認証を無効化する

2要素認証 (MFA) の無効化をサポートしているアカウントの場合、管理者を作成した後に、その管理者にはデフォルトでMFAが有効になります。 MFAが有効化されている場合、管理者がCMAに初めてログインすると、QRコードのあるウェブページにリダイレクトされます。管理者は認証アプリを使用してQRコードをスキャンし、CMA MFAは認証アプリに追加されます。

管理者に対して MFA を有効にするには：

ナビゲーションメニューから、アカウント > 管理者 をクリックします。
管理者を選択します。
ログイン詳細 セクションで、MFA 有効化 を選択します。
保存をクリックしてください。

多要素認証のリセット

管理者のMFA権限をリセットすることができます。 MFA権限をリセットした後、管理者は現在の認証アプリを使用してCMAにログインできなくなります。次に管理者がCMAにログインするとき、QRコードのあるウェブページにリダイレクトされます。管理者は認証アプリを使ってQRコードをスキャンし、CMAのMFAが認証アプリに追加されます。

管理者の MFA 権限をリセットするには：

ナビゲーションメニューから、アカウント > 管理者 をクリックします。
1 名また複数の管理者を選択します。
アクション ドロップダウンメニューから、MFA リセット を選択します。
確認ウィンドウ内で、OK をクリックします。管理者にメール通知が送信されます。

管理者パスワードの管理

デフォルトでは、管理者はCMAのパスワードを90日ごとに変更する必要があり、パスワードの有効期限が切れる14日前と3日前にメール通知を受け取ります。管理者に対してパスワードが無期限オプションを有効にすると、その管理者はパスワードを変更する必要がありません。

管理者のパスワードは、小文字の文字、一つの大文字、一つの数字、一つの特殊文字を含め、8〜32文字でなければなりません。さらに、管理者のパスワードにはメールアドレスを含めてはならず、一般的なパスワードのリストに存在してはなりません (例: "Password1!")。

管理者パスワードの有効期限の設定

ログイン制限画面でパスワードの有効期限設定を使用して、管理者がパスワードを変更する必要があるまでのCMAパスワードの有効期間を定義します。パスワードは14日から730日間有効です。

この設定は、管理者向けにパスワードの有効期限なしオプションが有効になっている場合には適用されません。

管理者のパスワードの有効期限を設定するには：

ナビゲーションメニューから アカウント > ログイン制限 を選択します。
パスワードの有効期限 セクションで、パスワードが有効な日数を入力します。
保存をクリックしてください。

管理者パスワードのリセット

管理者がアカウントからロックアウトされた場合、パスワードのリセットオプションを使用して再度ログインできるようにします。

管理者のパスワードをリセットするには：

ナビゲーションメニューから、アカウント > 管理者 をクリックします。
1 名または複数の管理者を選択します。
アクション をクリックしてから、ドロップダウンメニューから パスワードのリセット を選択します。
確認ウィンドウ内で、OKをクリックします。

管理者はパスワードを変更するリンクが含まれたメールを受け取ります。
メールでは、管理者はこちらリンクをクリックしてパスワード変更ウィンドウに移動できます。

管理者がこのメールを受け取ったが要求を開始していない場合は、私ではありませんリンクをクリックしてください。

管理者用ログイン制限の設定

すべての管理者が特定のIPアドレスからのみログインするように要求できます。

外向きのIPアドレス (NATed IPs) を使用するアカウントでは、これらのIPアドレスから管理者がログインできるように許可できます。 またはNATされたIPからのログインを許可のチェックボックスを有効にする場合、許可されたログインIPエリアにIPを指定する必要があります。そうしないと、管理者は任意のIPからCMAにアクセス可能になります。

管理者のログイン制限を設定するには：

ナビゲーションメニューから アカウント > ログイン制限 を選択します。
特定の IP アドレスからのみ管理者が CMA にログインできるようにするには：
1. Cato 管理アプリケーションへのログイン制限 セクション内の 許可されたログイン IP で、許可する IP アドレスを入力します。
2. 追加アイコンをクリックします。
  
  IPアドレスが許可されたログインIPリストに追加されます。
3. 許可された IP アドレスを削除するには、その IP アドレスを選択して削除アイコンをクリックします。
(オプション) 変換された IP からログインを許可するには、NAT された IP からもログインを許可 を選択します。
保存をクリックしてください。

CAPTCHAを使用したセキュアログインの理解

アカウントのセキュリティを強化するために、CMA の管理者認証フローには CAPTCHA 保護が含まれています。 CAPTCHA 保護は管理者には見えず、ボットによる不正アクセスを防ぐためにバックグラウンドで実行されます。これにより、通常のログインプロセスを妨げることなく、安全な体験が保証されます。まれなケースでは、管理者は人間であることを証明し、ログインを完了するために認証情報の再入力を求められることがあります。 CAPTCHA 保護は、SSO で認証された管理者には関係ありません。