外部認証ガイドライン

ローカル認証フォールバック

ローカル認証フォールバック用に各非管理者ユーザーを構成できます。 ローカル認証フォールバックは、デフォルトではオフになっています。 有効にすると、外部プロバイダーが使用できない場合、または外部プロバイダーのパスワードがロックアウトされているかユーザーにわからない場合でも、非管理者の QRadar ユーザーが、ローカルに格納されているパスワードを使用してシステムにアクセスできます。 これにより、不正な QRadar 管理者がローカルに格納されているパスワードを変更し、そのユーザーとしてログインする可能性も生じるため、QRadar 管理者が信頼できることを確認してください。 これは、外部の認証プロバイダーが構成されていない場合にもあてはまります。

admin という名前のデフォルトの管理者アカウントは、常にデフォルトでローカル認証フォールバック用に構成されています。 これにより、管理ユーザーがシステムからロックアウトされることは防止されますが、構成されている外部認証プロバイダーの admin ユーザーに対するエントリーが正しいことと、パスワードが許可された QRadar 管理者のみに知られていることを確認する必要があることにもなります。 外部認証プロバイダーの admin エントリーの制御を維持できない場合は、QRadar 内の admin アカウントを無効にすることで、無許可ユーザーが adminとしてQRadar にログインするのを防止してください。 LDAP グループ認証を使用するときなど、自動プロビジョニングを有効にしているときは、LDAP 照会 と一致するすべてのユーザー・アカウントが、マップされている該当ロールで作成または再アクティブ化されます。 これが発生しないように防止するには、LDAP ローカルを使用して自動プロビジョニングを無効にしてください。

他の特権 QRadar ユーザー (管理者ロールのユーザー) については、ユーザーごとにローカル認証フォールバックを有効にするかどうかを選択できます。 ENABLE_FALLBACK_ALL_ADMINS 設定 (デフォルトでは無効) を使用して、すべての特権ユーザーがローカル認証フォールバックを使用するように強制できます。 ローカル認証フォールバックを構成する場合は、admin アカウントと同様の考慮事項があてはまります。

外部認証プロバイダーを構成して新規ユーザーを作成したときは、そのユーザーには QRadar のローカル・パスワードが自動的には設定されません。 ユーザーがローカル・パスワードを必要とする場合は、そのユーザーに対してローカル認証フォールバックを構成する必要があります。 ローカル認証フォールバックを使用すると、無効なパスワードを含め、何らかの理由で外部認証が失敗した場合にユーザーをローカルで認証できます。 これで、フォールバック・ユーザーは外部認証の状態に関係なく、QRadar にアクセスできます。

ユーザー・アカウントに対してローカル認証フォールバックが有効になっている場合でも、QRadar は、ローカル認証を試行する前に、まず外部認証モジュールに対するユーザーの認証を試行します。 外部認証が失敗すると、そのユーザーに対してローカル認証フォールバックが有効になっている場合は、QRadar が自動的にローカルで認証を試行します。 外部認証プロバイダーが構成されている場合、ユーザー・アカウントをローカルで認証するようにのみ構成することはできません。 このため、すべての QRadar ユーザー・アカウントが、同じ許可ユーザーに関連付けられている、外部認証プロバイダーの同じ名前のアカウントに対応していることが重要です。

この構成はセキュリティー上の決定事項をアウトソーシングするもので、不正な管理者がご使用の QRadar システムへの無許可アクセスを許可する可能性があるため、外部認証プロバイダーが信頼できることを確認してください。 セキュアなバージョンのプロトコルを使用 (LDAP ではなく LDAPS を使用するなど) して、この接続をセキュアに設定してください。

ローカル認証フォールバックは、SAML 認証では使用できません。 SAML 認証を使用する場合、ユーザーはローカルで認証できません。

ユーザーをオフボーディングする場合は、外部認証プロバイダーから認証アクセスを削除する前に、そのユーザーに対するローカル認証フォールバックを無効にします。