ホーム
構成ガイド
必要に応じて BigFix の構成方法について習得します。
LDAP オペレーター用の SAML V2.0 認証の有効化
BigFix のバージョン 9.5.5 以降では、LDAP を基盤とした SAML ID プロバイダー経由の SAML V2.0 認証をサポートしています。
SAML 2.0 とは
OASIS の Security Assertion Markup Language (SAML) は、XML ベースのフレームワークを使用して、オンライン・エンティティー間でセキュリティー情報を記述し交換します。

構成ガイド
必要に応じて BigFix の構成方法について習得します。
- 概要
  このガイドでは、インストール後に環境で実行できる追加の構成手順について説明します。
- BigFix サイト管理者およびコンソール・オペレーター
  BigFix には、次の 2 つの基本的なユーザー・クラスがあります。
- LDAP との統合
  Lightweight Directory Access Protocol (LDAP) の関連付けを BigFix に追加することができます。
- LDAP オペレーター用の SAML V2.0 認証の有効化
  BigFix のバージョン 9.5.5 以降では、LDAP を基盤とした SAML ID プロバイダー経由の SAML V2.0 認証をサポートしています。
  - SAML 2.0 とは
    OASIS の Security Assertion Markup Language (SAML) は、XML ベースのフレームワークを使用して、オンライン・エンティティー間でセキュリティー情報を記述し交換します。
  - SAML の仕組み
    SAML 仕様では、以下の 3 つの関係者が定義されています。
  - SAML V2.0 と統合される BigFix ユーザー・インターフェースの種類
  - BigFix と SAML V2.0 との統合の仕組み
    SAML V2.0 との統合では、passport-saml 認証プロバイダーを使用して、ID プロバイダー (IdP) が開始した認証とサービス・プロバイダー (SP) が開始した認証の両方に対応します。
  - 前提事項と要件
    SAML V2.0 を使用できるよう BigFix を構成する前に、以下の前提事項および要件のリストをよくお読みください。
  - BigFix ユーザーの観点から見た変更内容
    BigFix ユーザー・インターフェースの観点から見て、この機能拡張が影響を及ぼすのは認証のみです。
  - SAML 2.0 と統合するように BigFix を構成する方法
    SAML ID プロバイダーと BigFix サーバーを構成する方法。
- ローカル・オペレーターの無効化
  BigFix バージョン 10.0.8 以降では、ローカル・オペレーターが BigFix コンソールにログインできないようにして、代わりに LDAP オペレーターを使用できます。
- 複数サーバー (DSA) の使用
  複数のサーバー・インストールの一部の重要な要素。
- サーバー・オブジェクト ID
  BigFix サーバーは、Fixlet、タスク、ベースライン、プロパティー、分析、アクション、ロール、カスタム・サイト、コンピューター・グループ、管理権限、サブスクリプションなど、作成するオブジェクトの一意の ID を生成します。
- 収集のための HTTPS のカスタマイズ
  HTTPS プロトコルをサーバー上またはエアー・ギャップ環境内で使用すると、ライセンス更新および外部サイトを収集できます
- DHE/ECDHE 鍵交換方式の使用
  デフォルトでは、BigFix 10.0 パッチ 1 コンポーネントは、SSL 通信の反対側の BigFix コンポーネントのバージョンで DHE/ECDHE 鍵交換方式が許可されている場合に、この方式を使用します。
- セキュア通信の構成
- リアルタイム AV 除外
  BigFix アーキテクチャーのコンソール、サーバー、およびリレー・コンポーネントは、大量のファイル操作を実行します。このアクティビティーは、これらの BigFix アーキテクチャー・コンポーネントが提供する機能の重要な部分です。
- エアー・ギャップ環境でのファイルのダウンロード
  エアー・ギャップ環境で、メインの BigFix サーバーにファイルをダウンロードおよび転送するには、Airgap ユーティリティーおよび BES Download Cacher ユーティリティーを使用します。
- BigFix Query の使用によるクライアント情報の取得
  BigFix Query 機能により、WebUI BigFix Query アプリケーションから、または REST API を使用して、クライアント・ワークステーションに関する情報を取得して関連度の照会を実行できます。
- プラグイン・ポータル
  プラグイン・ポータルは、BigFix 10 に導入された新しいコンポーネントであり、クラウド・デバイスや、BigFix に登録されている Windows 10 や MacOS のエンドポイントなどの最新デバイスを管理するのに役立ちます。最新のクライアント管理の詳細については、最新のクライアント管理の資料を参照してください。
- BigFix 管理機能の拡張
  BigFix 10 は、デバイスが物理デバイスか仮想デバイスかに関係なく、ネットワーク上のデバイスの可視性と管理を強化するいくつかの重要な新機能を備えています。
- 永続的な接続
  永続的な接続を確立する機能が製品に追加されました。
- DMZ 内のリレー
  より安全なゾーンにある親リレーと DMZ ネットワーク内のその子リレーの間に永続的な TCP 接続を確立する機能が製品に追加されました。この機能を使用することで、非武装地帯 (DMZ ネットワーク) 内のシステムを管理できます。
- PeerNest を使用した作業
  BigFix クライアントには PeerNest という新機能が搭載されており、この機能を使用すると、同じサブネット内にあるクライアント間でバイナリー・ファイルを共有できます。この機能は、BigFix バージョン 9.5 パッチ 11 以降で使用可能です。
- BigFix でのクライアント・ファイルのアーカイブ
  BigFix クライアントから複数のファイルを 1 つのアーカイブに収集し、それらをリレー・システム経由でサーバーに移動することができます。
- BigFix 構成設定
  BigFix には、BigFix スイートの動作を実質的に制御する手段として使用できる詳細な構成設定がいくつかあります。これらのオプションを使用することで、ネットワーク内の BigFix サーバー、リレー、およびクライアントの動作をカスタマイズできます。
- 追加の構成手順
  これ以降の各トピックでは、現在の環境で実行できる追加の構成手順について説明します。
- BigFix サーバーのマイグレーション (Windows/MS-SQL)
  このセクションでは、BigFix サーバーを既存のハードウェアから新しいコンピューター・システムにマイグレーションするために必要なステップと操作手順について詳しく説明します。
- BigFix サーバーのマイグレーション (Linux)
  このセクションでは、BigFix サーバーを既存の Linux ハードウェアから新しいシステムにマイグレーションするための基本情報ついて説明します。
- サーバー監査ログ
  BigFix サーバーは、サーバー監査ログ・ファイルを生成します。このファイルには、アクセス情報 (ログイン/ログアウト) と、各ユーザーがコンソールまたは WebUI を通じて実行したアクションに関する情報が含まれます。
- 詳細オプションのリスト
  次のリストは、詳細オプションを示しています。
- セキュリティー構成シナリオ
  BigFix から、拡張セキュリティー・オプションを構成して NIST セキュリティー標準に準拠する機能を提供しています。
- クライアント認証
  最新の業界標準に準拠するため、製品バージョン 10.0.7 以降での BigFix エージェントのクライアント証明書の有効期間は 13 カ月となります。
- クライアント認証
  クライアント認証 (バージョン 9 で導入) は、BigFix で使用されるセキュリティー・モデルを拡張して、信頼できるクライアント・レポートおよびプライベート・メッセージを実現します。
- メンテナンスおよびトラブルシューティング
  Windows サイトのパッチをサブスクライブすると、SQL Server データベース・サーバーに最新のアップグレードとパッチを確実に適用することができます。

SAML 2.0 とは

OASIS の Security Assertion Markup Language (SAML) は、XML ベースのフレームワークを使用して、オンライン・エンティティー間でセキュリティー情報を記述し交換します。

SAML 2.0 は以下をサポートします。

Web ベースのシングル・サインオン

サーバーの DNS ドメインに関係なく、Web サーバー間でユーザーについての情報を転送するための、ベンダーに依存しない標準的な文法およびプロトコルを提供します。

ID 連携

パートナー・サービスがユーザーの共通名 ID について合意し、この ID を設定して、組織の境界を越えてユーザー自身についての情報を共有できるようにします。

このタイプの共有は、ID 管理コストを減らすのに役立ちます。

連携された ID は FIPS 201 を実装して、米国政府全体にわたって相互利用可能な ID 資格情報を定義します。この資格情報は Personal Identity Verification (PIV) と呼ばれ、連邦機関の施設への物理的アクセスおよび連邦情報システムへの論理的アクセスを制御するために使用されます。

CAC PIV カードは、PIV カード所有者認証用のマルチアプリケーション・スマート・カードであり、これには、線形バーコード、2 次元バーコード、磁気ストライプ、カラーのデジタル写真、および印刷テキストが組み込まれています。このカードは、以下に対応するトークンとして機能します。

コンピューター・システムへの論理的アクセス
個人の識別
建物への物理的アクセス
署名用、暗号化用、および否認防止用の Public Key Infrastructure (PKI)。

Web サービスおよびその他の業界標準

SAML により、そのセキュリティー・アサーション形式を「ネイティブ」の SAML ベースのプロトコル・コンテキストの外部で使用できるようになります。このモジュール性は、許可サービス (IETF、OASIS)、ID フレームワーク、Web サービス (OASIS、Liberty Alliance) などを扱う他の業界の取り組みにとって有益であることが実証されています。