ユーザ識別(User-ID) 製品情報

User-IDとは

User-ID構成図

User-IDは、パロアルトネットワークス PAシリーズとMicrosoft社のActive Directoryサーバーをシームレスに連携し、アプリケーションの可視化、ポリシーの策定、ログの取得、レポートの作成を管理者が行う際に、ユーザ名およびユーザグループのデータを使用できるようになる機能です。これにより、例えば従業員や部門ID毎に、アプリケーションやコンテンツの監視と制御を行えるということです。

ページの先頭へ戻る

Active Directory連携

Active Directory連携の仕組みは、PAシリーズに付属しているUser Identification Agent(ユーザ識別エージェント)を用いてActive Directoryのドメインコントローラーと通信を行い、ある特定の時点でユーザが使用しているIPアドレスにそのユーザ情報をマッピングします。User Identification Agent(ユーザ識別エージェント)は、以下の場合に、複数の技術を使用してユーザとIPアドレスの関係を確認し、維持します。

ログイン監視:
ログイン活動を監視し、ユーザがドメインにログインする際に、IPアドレスとユーザおよびユーザグループの情報を関連付けます。
エンドステーションポーリング:
ユーザがドメインの再認証を行わずにネットワーク内を移動した場合に、マッピングの正確性を維持するためにアクティブなPCのポーリングを行い、IPアドレスを確認します。
Captive Portal:
ホストがドメインに含まれていない場合、ウェブページベースの認証フォームでユーザとIPアドレスを関連付けます。例えば、この機能を使用し、Active Directory以外の認証サーバー(Radius、LDAP等)と連携することが可能になります。

さらに、User Identification Agent(ユーザ識別エージェント)はユーザにマッピングされた最新のロールやグループを維持します。User-IDは既存のインフラ上で動作し、別のデバイスにユーザやグループの情報を複製したり、PCにエージェントをインストールしたりする必要はありません。

上記で識別したユーザ情報を元にする、ユーザベースのポリシー制御は、アプリケーション、カテゴリーとサブカテゴリー、秘匿技術、アプリケーション特性を組み合わせて構成されます。ポリシーを使用することで、特定のユーザやグループのアプリケーションアクセスを通信方向に関わらず管理できるようになります。例えば、次のような例があります。

  • ヘルプデスクサービスグループにはYahoo Messengerの使用を許可する。
  • サーバー運用グループにはMS-RDPの使用を許可する。ただし、デフォルトポートのみ。
  • ファイル転送目的でBitTorrentの使用を許可されているA氏以外に対しては、P2Pテクノロジーを使用したファイル共有アプリケーションの使用をブロックする。

さらに、App-IDTMテクノロジーによりネットワーク上に不審なアプリケーションが発見された場合に、このUser-IDは効力を最大限に発揮します。

アプリケーションを利用しているユーザーを素早く判断

上記のように、アプリケーション名をマウスでクリックするだけで、そのアプリケーションを利用しているユーザを素早く判断できます。また、アプリケーションのユーザを表示するだけでなく、関連する脅威、帯域消費やセッション数、アプリケーショントラフィックの送受信場所も閲覧できます。さらに、ユーザ名をクリックしてドリルダウンすることで、そのユーザがアクセスしているその他のアプリケーションを簡単に調査することができます。すると、管理者はそのユーザが使用中の他のアプリケーション、帯域消費、セッション数、脅威までも確認することが可能になります。

ページの先頭へ戻る

  • 日立ソリューションズでご購入いただくメリット
  • 資料ダウンロード
  • 製品情報
  • サポートサービス
  • 導入事例・評価事例

お問い合わせ

お電話でのお問い合わせ(フリーダイヤル)0120-571-488 受付時間 10時から17時30分(土曜・日曜・祝日および年末年始を除く)

ウェブサイトからのお問い合わせ
資料請求・お問い合わせ

ページの先頭へ戻る