VPNプロファイルの構成

これは早期アクセス機能です。有効にするには、Oktaサポートにお問い合わせください。

Okta Mobility Management(OMM)では、IT部門がインフラを重複させたり、アプリケーション・プロキシやゲートウェイを実装することなく、パスワードベースでデバイス全体のVPN構成をデバイスに直接プロビジョニングすることができます。Oktaは、モバイル・オペレーティング・システムに内蔵されているネイティブVPN機能を利用して、既存のVPNソリューションを活用し、オンプレミスのリソースに簡単にアクセスできるようにします。

  • [OMM]メニューは、Okta Mobility Management(OMM)を実装している組織のみが利用可能です。
  • このページに文書化されている手順は、自組織用にOMMを既に購入されているお客様のみご利用いただけます。OMMの新規ご購入はサポートされていません。詳細については、Oktaサポートにお問い合わせください。

現在、この機能はiOSデバイスでのみ利用可能です。

  1. 管理コンソール[OMM] > [VPN]に移動します。
  2. [Add Device VPN(デバイスのVPNを追加)]をクリックします。
  3. [VPN client(VPNクライアント)]を選択します。
    注:AppleはPPTPおよびJuniper VPNオプションのサポートを停止しています。これはAppleの制限です。

VPNクライアントの構成

Cisco AnyConnect VPNクライアントの構成

  1. VPNクライアントに対して、次の[General Settings(一般設定)]の設定を行います。
    • [Application label(アプリケーション・ラベル)]:ホーム・ページで、アプリの下に表示される名前を入力します。デフォルトでは、これはCisco AnyConnect VPNです。
    • [VPN Server(VPNサーバー)]:VPNサーバーのIPアドレスまたはホスト名を入力します。ipsecを使用する場合、対応するプロトコルを指定する必要があります。例:ipsec://asa-gateway.example.com
  2. [Next(次へ)]をクリックします。
  3. VPNクライアントに対して、次の[Sign-On Options(サインオン・オプション)]の設定を行います。
    • [VPN Password(VPNパスワード)]:次のいずれかのオプションを選択します。
      • [Delegated Authentication(代理認証)]:会社のVPNがActive Directoryで認証されるように構成されており、OktaユーザーがAD代理認証を使用して認証される場合は、このオプションを選択します。この設定を選択すると、ADの資格情報をVPNにも使用するよう指定されます。この方法では、Oktaは決してADの資格情報をOktaで永続させませんが、エンドユーザーのデバイスでそれらの資格情報を使ってVPNプロファイルを更新することができます。
      • [Password Required(パスワードが必要です)] > [Administrator sets username, password is same as user’s Okta Password(管理者がユーザー名を設定します。パスワードはOktaのパスワードと同じです)]:代理認証を使用しているかどうかに関係なく、デバイス上のVPNプロファイルとOktaのパスワードの同期状態を維持する場合は、このオプションを選択します。
      • [Password Required(パスワードが必要です)] > [Administrator sets username, user sets password(管理者がユーザー名を設定し、ユーザーがパスワードを設定します)]:VPNパスワードをOktaやADのパスワードと紐付けしない場合は、このオプションを選択します。Oktaは、パスワードを含めずにVPNプロファイル/構成をデバイスにプッシュし、ユーザーはデバイス上でそれを入力することができます。
    • [Advanced Sign-On Settings(高度なサインオン設定)]:オプション。[Group for authenticating connection(接続を認証するグループ)]でグループ・ポリシー名を指定します。
      • Cisco AnyConnect設定で、使用するASAサーバーとグループに対応するグループURLを必ず追加してください。
      • Cisco ASDMユーティリティを使用している場合、[Connection Profiles(接続プロファイル)] > [Your group(あなたのグループ)] > [Advanced settings(高度な設定)] > [Group Alias/Group URL(グループ・エイリアス/グループのURL)]でURLを追加できます。例:ipsec://asa-gateway.example/com/group1
    • [VPN Username(VPNユーザー名)]:VPNプロファイルで使用するユーザー名を設定します。これは、他のVPN以外のアプリケーションで使用するユーザー名のマッピングと同じように機能します。
      • [VPN username format(VPNユーザー名の形式)]:ドロップダウン・メニューから形式を選択します。
      • [Password reveal(パスワード表示)]:ユーザーが安全にパスワードを表示できるようにする場合に選択します。
  4. [Done(完了)]をクリックします。
  5. [People(ユーザー)]タブで、アプリをユーザーやグループに割り当てます。[Okta Mobile App Store(Okta Mobileアプリ・ストア)](AndroidおよびiOS)からエンド・ユーザーがアプリを利用できるようにします。
    1. [Mobile(モバイル)]タブをクリックします。
    2. [Edit(編集)](鉛筆)アイコンをクリックし、以下を選択します。
        • 登録時にユーザーにアプリのインストールを促します(iOS 7以降)
        • ユーザーがすでにアプリを持っている場合、会社のアプリ・ストアからこれをマネージド・アプリとして使用できるようにする(iOS 9以上)
        • このアプリをユーザーに提供する

Juniper SSL VPNクライアントを構成する

  1. [Juniper SSL VPN]オプションを選択します。
    注:AppleはmacOS SierraでのJuniper VPNオプションのサポートを停止しています。これはAppleの制限です。Oktaではこのオプションを維持していますが、バグ修正のサポートは提供しません。
  2. VPNクライアントに対して、次の[General Settings(一般設定)]の設定を行います。
    • [Application label(アプリケーション・ラベル)]:ホーム・ページで、アプリの下に表示する名前を入力します。デフォルトでは、Juniper SSL VPNによって自動入力されています。
    • [Server(サーバー)]: Juniper VPNサーバーのIPアドレスを入力します。
  3. [Next(次へ)]をクリックします。
  4. VPNクライアントに対して、次の[Sign-On Options(サインオン・オプション)]オプションの設定を行います。
    • [VPN Password(VPNパスワード)]:次のいずれかを選択します。
      • [Delegated Authentication(代理認証)]:会社のVPNがActive Directory(AD)で認証されるように構成されており、OktaユーザーがAD代理認証を使用して認証される場合は、このオプションを選択します。これにより、ADの資格情報をVPNに使用するオプションが指定されます。この方法では、Oktaは決してADの資格情報をOktaで永続させませんが、エンドユーザーのデバイスでそれらの資格情報を使ってVPNプロファイルを更新することができます。
      • [Password Required(パスワードが必要です)] > [Administrator sets username, password is same as user’s Okta Password(管理者がユーザー名を設定します。パスワードはOktaのパスワードと同じです)]:代理認証を使用しているかどうかに関係なく、デバイス上のVPNプロファイルとOktaのパスワードの同期状態を維持する場合は、このオプションを選択します。
      • [Password Required(パスワードが必要です)] > [Administrator sets username, user sets password(管理者がユーザー名を設定し、ユーザーがパスワードを設定します)]:VPNパスワードをOktaやADのパスワードと紐付けしない場合は、このオプションを選択します。Oktaは、パスワードを含めずにVPNプロファイル/構成をデバイスにプッシュし、ユーザーはデバイス上でそれを入力することができます。
      • [Advanced Sign-On Settings(高度なサインオン設定)]:オプション。
    • [Realm(領域)]:接続を認証するための領域を指定します。
    • [Role(ロール)]:接続を認証するためのロールを指定します。
    • [RADIUS Authentication Behavior(RADIUS認証の動作)]:このデフォルト・ボタンを維持すると、Oktaはプライマリ認証を実行します。
    • [RADIUS Client(RADIUSクライアント)]:以下を入力します。
      • [UDP Port(UDPポート)]:RADIUSアプリの一意の番号を入力します。
      • [Secret Key(秘密鍵)]:ユーザー・パスワードの暗号化および復号化に使用する秘密鍵を入力します。この鍵は、VPNサーバーに設定されている鍵と同一でなければなりません。
    • [VPN Username(VPNユーザー名)]:VPNプロファイルで使用するユーザー名を設定します。これは、他のVPN以外のアプリケーションで使用するユーザー名のマッピングと同じように機能します。
      • [VPN username format(VPNユーザー名の形式)]:ドロップダウン・メニューから形式を選択します。
      • [Password reveal(パスワード表示)]:ユーザーが安全にパスワードを表示できるようにする場合に選択します。
  5. [Done(完了)]をクリックします。
    この新しく構成されたJuniper SSL VPNクライアントは、[Device VPN(デバイスVPN)]ページに表示されます。これは自動でアクティベートされます。

L2TP VPNクライアントの構成

  1. [L2TP VPN]オプションを選択します。
    注:AppleはPPTPのサポートを停止しています。これはAppleの制限です。
  2. VPNクライアントに対して、次の[General Settings(一般設定)]の設定を行います。
    • [Application label(アプリケーション・ラベル)]:ホーム・ページで、アプリの下に表示する名前を入力します。
    • [Server(サーバー)]:VPNサーバーのIPアドレスまたはホスト名を入力します。ipsecを使用する場合は、ipsec://asa-gateway.example.comのように、対応するプロトコルを指定する必要があります。
  3. [Next(次へ)]をクリックします。
  4. [Sign-On Options(サインオン・オプション)]を設定して、ユーザーがVPNにサインインする方法を指定します。パスワードを使ってサインインするか、代理認証が設定されている場合はそれを使ってサインインすることができます。
    • [Advanced Sign-On Settings(高度なサインオン設定)]:
      • [Shared Secret (L2TP only)(共有シークレット(L2TPのみ))]:VPNログイン用の共有シークレット・キーを入力します。
    • [VPN Password(VPNパスワード)]:次のいずれかを選択します。
      • [Delegated Authentication(代理認証)]:会社のVPNがActive Directoryで認証されるようにセットアップされており、OktaユーザーがAD代理認証を使用して認証される場合は、この設定を選択します。この設定を選択すると、Active Directoryの資格情報をVPNにも使用するよう指定されます。この方法では、Oktaは決してADの資格情報をOktaで永続させませんが、エンドユーザーのデバイスでそれらの資格情報を使ってVPNプロファイルを更新することができます。
      • [Password Required(パスワードが必要です)] > [Administrator sets username, password is the same as user's Okta password(管理者がユーザー名を設定します。パスワードはOktaのパスワードと同じです)]。デバイス上のVPNプロファイルとOktaパスワードの同期を、代理認証の使用の有無にかかわらず維持する場合は、このオプションを選択します。
      • [Password Required(パスワードが必要です)] > [Administrator sets username, user sets password(管理者がユーザー名を設定し、ユーザーがパスワードを設定します)]。VPNパスワードをOktaやADのパスワードと紐付けしない場合は、このオプションを選択します。Oktaは、パスワードを含めずにVPNプロファイル/構成をデバイスにプッシュし、ユーザーはデバイス上でそれを入力することができます。
    • [VPN Username(VPNユーザー名)]:次のいずれかを選択します。
      • [VPN username format(VPNユーザー名の形式)]:ドロップダウン・メニューから形式を選択します。VPNプロファイルで使用するユーザー名の形式を指定します。これは、他のVPNではないアプリケーションのユーザー名のマッピングと同じように機能します。
      • [Password Reveal(パスワードの公開)]: ユーザーに安全にパスワードを公開する場合は、このオプションを選択します。
  5. [Done(完了)]をクリックします。

Pulse Secure VPNクライアントの構成

  1. [Pulse Secure VPN]オプションを選択します。[Pulse Secure VPN]の構成ページが表示されます。
  2. [General Settings(一般設定)]:で、以下を設定します。
    • [Application label(アプリケーション・ラベル)]:ホーム・ページで、アプリの下に表示されるラベルです。デフォルトでは、Pulse Secure VPNによって自動入力されていますが、必要に応じて編集することができます。
    • [Server(サーバー)]:Pulse Secure VPNサーバーのIPアドレスを入力します。
  3. [Next(次へ)]をクリックします。
  4. [Sign-On Options(サインオン・オプション)]で、以下のようにします。
    • [VPN Password(VPNパスワード)]:次のいずれかを選択します。
      • [Delegated Authentication(代理認証)]:会社のVPNがActive Directoryで認証されるようにセットアップされており、OktaユーザーがAD代理認証を使用して認証される場合に使用する設定です。この設定を選択すると、ADの資格情報をVPNにも使用するよう指定されます。この方法では、Oktaは決してADの資格情報をOktaで永続させませんが、エンドユーザーのデバイスでそれらの資格情報を使ってVPNプロファイルを更新することができます。
      • [Password Required(パスワードが必要です)] > [Administrator sets username, password is the same as user's Okta password(管理者がユーザー名を設定します。パスワードはOktaのパスワードと同じです)]。デバイス上のVPNプロファイルとOktaパスワードの同期を、代理認証の使用の有無にかかわらず維持する場合は、このオプションを選択します。
      • [Password Required(パスワードが必要です)] > [Administrator sets username, user sets password(管理者がユーザー名を設定し、ユーザーがパスワードを設定します)]。VPNパスワードをOktaやADのパスワードと紐付けしない場合は、このオプションを選択します。Oktaは、パスワードを含めずにVPNプロファイル/構成をデバイスにプッシュし、ユーザーはデバイス上でそれを入力することができます。
    • [Advanced Sign-On Settings(高度なサインオン設定)]。任意。
      • [Realm(領域)]:接続を認証するための領域を指定します。
      • [Role(ロール)]:接続を認証するためのロールを指定します。
    • [VPN Username(VPNユーザー名)]:VPNプロファイルで使用するユーザー名を設定します。これは、他のVPN以外のアプリケーションで使用するユーザー名のマッピングと同じように機能します。
      • [VPN username format(VPNユーザー名の形式)]:ドロップダウン・メニューから形式を選択します。
      • [Password Reveal(パスワードの公開)]: ユーザーに安全にパスワードを公開する場合は、このオプションを選択します。
  5. [Done(完了)]をクリックします。
  6. [People(ユーザー)]タブで、アプリをユーザーやグループに割り当てます。
  7. また、[Okta Mobile App Store(Okta Mobileアプリ・ストア)](AndroidおよびiOS)からエンド・ユーザーがアプリを利用できるようにする必要があります。これを行うには、次の手順を行います。
    1. [Mobile(モバイル)]タブをクリックします。
    2. [Edit(編集)]をクリックして以下を完了します。
      • iOSモバイル・アプリを自分でインストール済みのエンドユーザーに対して、管理者によるアプリの管理を許可するように促す。(iOSのみ)
      • 登録時にユーザーにアプリのインストールを促す。(iOSのみ)
      • [Deploy(デプロイ)][Make this app available to users(このアプリをユーザーに提供する)]チェック・ボックスを選択します。

​VPNの設定(プロファイル)とそれぞれのVPNモバイル・アプリがOMMに登録されたデバイスにプッシュされると、ユーザーはVPNにサインインしてリモートで仕事をすることができるようになります。

注:VPNパスワードの設定は、VPNプロファイルのプッシュ方法に影響します。

  • [Delegated Authentication(委任認証)]:VPNプロファイルは、ユーザーが登録された時点でプッシュされます。
  • [User sets password(ユーザーがパスワードを設定)]: VPNプロファイルは、ユーザーが登録されたとき、アプリのユーザーが割り当てられたとき、またはVPNアプリのインスタンスの設定が変更されたときにプッシュされます。
  • [Password is same as Okta(パスワードはOktaと同じ)]:VPNプロファイルは、ユーザーがログオンしたときにプッシュされます。