メールサーバーの設定
PAM360は、新規追加ユーザーにメール通知を送信し、PAM360アクセス認証情報について詳細を通知します。そのため、新しいユーザーを製品に追加する前に、メールサーバーの設定を構成する必要があります。お使いの環境で使用するSMTPメールサーバーを構成するか、Microsoft Exchange Onlineメールボックスを使用することができます。PAM360は、Microsoft Exchange Onlineの使用時、SMTPベースのメール通信についてOAuth 2.0認証をサポートします。Microsoft Exchange Onlineをメールサーバーに選択すると、製品から送信されるすべてのメールでOAuth 2.0認証をアクティブ化します。メールサーバーの設定方法についてもっと読む。
1.Microsoft Exchange Onlineをメールサーバーとして構成
Microsoft Exchange OnlineをPAM360でメールサーバーとして構成するには、Azureポータルにアプリケーションを作成し、アプリケーションID、クライアントID、およびクライアントシークレット値を生成する必要があります。以下の手順に従ってください:
1.1 AzureアプリケーションをMicrosoft Exchange Onlineサーバーに構成する手順
- Microsoft Azureポータルにログインします。
- アプリ登録を[管理]の左ペインでクリックします。
- [+新規登録]を上部メニューでクリックします。
- アプリケーションを登録ページで、以下の属性を入力します:
- 選択した 名を入力します。
- サポートされているアカウントの種類を選択します - 組織ディレクトリのアカウント(Azure ADディレクトリ - Multitenant)
- 転送URIについては、Webをドロップダウンから選択し、PAM360アプリケーションのURIを以下の形式で入力します:https://Hostname:port/pam360redirect/AzureOAuth.ここに記載のPAM360アプリケーションURIがユーザーが他のマシンからPAM360アプリケーションにアクセスするのに使用できるものと同じであることを確認してください。手順1.2のアクセスURLセクションに同じリンクを入力します。
- [登録]をクリックします。PAM360 は、Azure AD ポータルにアプリケーションとして追加されます。
- 新しく登録したアプリケーションの詳細が記載されたページに転送されます。
- 左ペインの[管理]の[API許可]をクリックします。API許可ページで、[+許可を追加]をクリックします。
- API許可を要求ページで、Microsoft Graphを選択します。
- [委任許可]をクリックし、[許可を選択]検索バーでの[読取]を検索し、関連する許可を入力します。Directory.Read.Allオプションを選択し、[許可を追加]をクリックします。
- [許可を選択]検索バーで[SMTP.Send]を選択し、関連する許可を入力します。Directory.Read.Allオプションを選択し、[許可を追加]をクリックします。
- [許可を選択]検索バーの[offline_access]を検索し、関連する許可を入力します。Directory.Read.Allオプションを選択し、[許可を追加]をクリックします。
- [アプリケーション許可]をクリックし、[許可を選択]検索バーの[読取]を検索し、関連する許可を入力します。Directory.Read.Allオプションを選択し、[許可を追加]をクリックします。
- 次に、[同意を付与]の[管理者同意を付与]ボタンをクリックします。
- 開いたポップアップで、[はい]をクリックし、要求された許可に同意を付与します。
- 左ペインの[証明書とシークレット]オプションをクリックします。
- [クライアントシークレット]タブに移動し、[+新しいクライアントシークレット]をクリックします。
- 説明を入力し、有効期間を選択します。[追加]をクリックします。
- 作成直後、クライアントシークレット値はテーブルの値列に表示されますので、値をコピーして、安全な場所に保存してください。このクライアントシークレット値は一度のみ表示され、このページから一度移動すると、アクセスできなくなります。
- アプリケーションを適切な権限のアプリケーションを登録したら、PAM360のWebインターフェイスに進み、メールサーバー設定を構成します。
1.2 Microsoft Exchange OnlineをPAM360で構成する手順
- [管理者] >> [設定] >> [メールサーバーの設定]の順に移動します
- 開いたポップアップフォームで、以下を入力します:
- サーバー名 - 実際のSMTPサーバーの名前。例 smtp.office365.com。
- ポート - TLSのデフォルトポートは587、SSLは465です。使用しているポートを入力します。
- 送信者のメールアドレス - 入力している送信者のメールアドレスがポイント3でメールサーバーを認証するのに使用するMicrosoft Azure認証情報と同じであることを確認してください。
- アクセスURL - PAM360にアクセスするユーザーに送信されるメール案内に表示されるURL.アクセスURLが手順1.1に記載の転送URIと同じであることを確認してください。例えば、記載される転送URIがhttps://win10-prod-qa:8282/pam360redirect/AzureOAuthの場合、ここで与えられるアクセスURLは、https://win10-prod-qa:8282.である必要があります。
- メールサーバー - Microsoft Exchange Onlineをドロップダウンから選択します。
- テナントID - AzureアプリケーションのディレクトリID。
- クライアントID - AzureアプリケーションのアプリケーションID。
- クライアントシークレット- Azureアプリケーション用に作成したclient secret valueクライアントシークレット値。[保存]をクリックして設定を保存します。
- Microsoft Exchange Onlineをメールサーバーとして構成しました。設定を保存すると、認証のためMicrosoft Azureポータルに転送されます。これは1回限りの操作です。
2.他のメールサーバーを構成
- [管理者] >> [設定] >> [メールサーバーの設定]の順に移動します
- 開いたポップアップフォームで、以下を入力します:
- サーバー名 - 実際のSMTPサーバーの名前。例 smtp.zoho.com。
- ポート - ほとんどのSMTPサーバーはポート25で作動します。ただし、TLSのデフォルトポートは587、SSLは465です。
- 送信者のメールアドレス
- アクセスURL - PAM360にアクセスするユーザーに送信されるメール案内に表示されるURL.
- メールサーバー - [その他]をドロップダウンから選択します。
- [認証が必要]チェックボックスをクリックすると、ポップアップフォームに2つのオプションが表示されます:
- ユーザー名とパスワードを手動で指定するか、PAM360で使用するアカウントを使用します。
- 最初のオプション[ユーザー名とパスワードを手動で指定],を選択した場合は、認証詳細を入力して[保存]をクリックします。
- 2番目のオプション[PAM360で使用するアカウントを使用]を選択する場合、リソースタブに表示されるリソースとアカウントは、ドロップダウンに一覧表示されます。必要な値を編集して[保存]をクリックします。選択されたアカウントは、認証に使用されます。これまでは、パスワード変更の場合、ユーザーは、メールサーバーの設定で新しいパスワードを手動で更新する必要があります。しかし、これで、パスワードは自動で更新され認証されます。
- また、セキュア接続プロトコルを選択するオプションもあります - なし/SSL/TLS。
- SSL - セキュアソケットレイヤ(SSL)は、インターネット上で、セキュア接続を有効にする暗号プロトコルです。
- TLS - トランスポートレイヤセキュリティ(TLS)は、インターネット上でセキュア接続を有効にするSSLの新しいバージョンです。
注記:
- インターネット/イントラネット上でのセキュア通信のためSSL/TLSオプションの使用を推奨します。
- メールサーバーが自己署名証明書を使用している場合、それをPAM360にインポートする必要があります。
- サーバー証明書をコピーし、<PAM360インストールフォルダ>/binディレクトリに貼り付けます。
- <PAM360インストールフォルダ>/binディレクトリから、以下のコマンドを実行します:
importCert.bat <サーバー証明書の名前>
- これにより、証明書が PAM360 証明書ストアに追加されます。
- 認証詳細とセキュア接続モードを入力した後、[保存]をクリックする前に、メールサーバーをテストするオプションもあります。