VPNプロファイルを構成する

Okta Mobility Managementについて
- OMMメニューは、Okta Mobility Management(OMM)を実装する組織でのみ使用できます。
- このページに記載されている手順は、組織ですでにOMMを購入しているお客様のみが利用できます。OMMの新規販売はサポートされていません。詳細については、Oktaサポートにお問い合わせください。
これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。
Okta Mobility Management(OMM)では、IT部門がインフラストラクチャを複製したり、アプリケーションのプロキシーやゲートウェイを実装したりすることなく、パスワードベースのデバイス全体のVPN構成をデバイスに直接プロビジョニングできます。Oktaでは、モバイル・オペレーティング・システムに組み込まれているネイティブVPN機能が使用され、既存のVPNソリューションが活用されて、オンプレミスのリソースに簡単にアクセスできます。注:
- 管理コンソールで、[OMM] > [VPN]に移動します。
- [デバイスVPNを追加]をクリックします。
- VPNクライアントを選択します。
サポートのお知らせ:AppleはPPTPまたはJuniper VPNのオプションをサポートしなくなりました。これはAppleによる制限です。
- 次のいずれかの手順の説明に従ってVPNクライアントを構成します。
Cisco AnyConnect VPNクライアントを構成する
- [一般設定]で、次のことを考慮します。
- [アプリケーション・ラベル]:ホーム・ページでアプリの下に表示される名前を入力します。デフォルトでは、Cisco AnyConnect VPNです。
- [VPNサーバー]:VPNサーバーのIPアドレスまたはホスト名を入力します。ipsecを使用する場合、対応するプロトコルを指定する必要があります。たとえば、ipsec://asa-gateway.example.comとします。
- [次へ]をクリックします。
- [サインオン・オプション]で、次の手順を行います。
- [VPNパスワード]:次のいずれかを選択します。
- [委任認証]:会社のVPNがActive Directoryで認証されるように構成されていて、OktaユーザーがAD委任認証を使用して認証される場合、このオプションを選択します。この設定を選択すると、VPNにもAD認証情報を使用することになります。この方法では、OktaではAD認証情報が保持されませんが、エンド・ユーザーのデバイスでこれらの認証情報を使用してVPNプロファイルを更新できます。
- [必要なパスワード]:次のいずれかを選択します。
- [管理者がユーザー名を設定します。パスワードはOktaのパスワードと同じです]。委任認証を使用しているかどうかに関係なく、デバイスでVPNプロファイルをOktaのパスワードと同期した状態に保つ場合は、このオプションを選択します。
- [管理者がユーザー名を設定し、ユーザーがパスワードを設定します]。VPNのパスワードをOktaまたはADのパスワードと結び付けない場合は、このオプションを選択します。Oktaによりパスワードを含めずにVPNプロファイル/構成がデバイスにプッシュされ、ユーザーはそれをデバイスで入力できます。
- [高度なサインオン設定]。任意:
- [接続を認証するグループ]:グループ・ポリシー名を指定します。
- Cisco AnyConnectの設定に、使用するASAのサーバーとグループに対応するグループURLを追加してください。
- Cisco ASDMユーティリティーを使用している場合は、[接続プロファイル] > [自分のグループ] > [詳細設定] > [グループ・エイリアス/グループURL]で実行できます。例:ipsec://asa-gateway.example/com/group1
- [VPNユーザー名]。
- [VPNユーザー名のフォーマット]:ドロップダウン・メニューからフォーマットを選択します。
- [パスワード表示]:ユーザーが安全にパスワードを表示できるようにする場合に選択します。
- これが、VPNプロファイルで使用するユーザー名を決定する方法です。これは、他の非VPNアプリケーションのユーザー名マッピングと同じように機能します。
- [接続を認証するグループ]:グループ・ポリシー名を指定します。
- [完了]をクリックします。
- [ユーザー]タブで、アプリをユーザーとグループに割り当てます。また、Okta Mobileアプリ・ストア(AndroidおよびiOS)からエンド・ユーザーがアプリを利用できるようにします。
- [モバイル]タブをクリックします。
- [編集](鉛筆) アイコンをクリックし、以下を選択します。
- 登録時にアプリをインストールするようにユーザーに促す(iOS 7+)
- ユーザーがすでにアプリを持っている場合は、会社のアプリ・ストアからの管理対象アプリにすることができます(iOS 9+)
- このアプリをユーザーが利用できるようにする
Juniper SSL VPNクライアントを構成する
- [Juniper SSL VPN]オプションを選択します。
サポートのお知らせ:AppleはJuniper VPNのオプションをmacOS Sierraでサポートしなくなりました。これはAppleによる制限です。Oktaではこのオプションが維持されますが、バグ修正ではサポートされません。
- [一般設定]で、次の手順を行います。
- [アプリケーション・ラベル]:ホーム・ページでアプリの下に表示される名前を入力します。デフォルトでは、Juniper SSL VPNと入力されます。
- [サーバー]:Juniper VPNサーバーのIPアドレスを入力します。
- [次へ]をクリックします。
- [サインオン・オプション]で、次の手順を行います。
- [VPNパスワード]:次のいずれかを選択します。
- [委任認証]:会社のVPNがActive Directory(AD)で認証されるように構成されていて、OktaユーザーがAD委任認証を使用して認証される場合、このオプションを選択します。これにより、VPNにAD認証情報を使用することになります。この方法では、OktaではAD認証情報が保持されませんが、エンド・ユーザーのデバイスでこれらの認証情報を使用してVPNプロファイルを更新できます。
- [必要なパスワード]:次のいずれかを選択します。
- [管理者がユーザー名を設定します。パスワードはOktaのパスワードと同じです]。委任認証を使用しているかどうかに関係なく、デバイスでVPNプロファイルをOktaのパスワードと同期した状態に保つ場合は、このオプションを選択します。
- [管理者がユーザー名を設定し、ユーザーがパスワードを設定します]。VPNのパスワードをOktaまたはADのパスワードと結び付けない場合は、このオプションを選択します。Oktaによりパスワードを含めずにVPNプロファイル/構成がデバイスにプッシュされ、ユーザーはそれをデバイスで入力できます。
- [高度なサインオン設定]。任意:
- [レルム]:接続を認証するためのレルムを指定します。
- [ロール]:接続を認証するためのロールを指定します。
- [Radius認証の挙動]:このデフォルトのボタンを維持すると、Oktaでプライマリ認証を実行できます。
- RADIUSクライアント
- [UDPポート]:RADIUSアプリの一意の番号を入力します。
- [秘密鍵]:ユーザー・パスワードの暗号化および復号に使用する秘密鍵を入力します。このキーは、VPNサーバーで構成されたキーと同じである必要があります。
- VPNユーザー名
- [VPNユーザー名のフォーマット]:ドロップダウン・メニューを使用してフォーマットを選択します。
- [パスワード表示]:ユーザーが安全にパスワードを表示できるようにする場合に選択します。
これにより、VPNプロファイルで使用するユーザー名をOktaで決定できます。これは、他の非VPNアプリケーションのユーザー名マッピングと同じように機能します。
- [完了]をクリックします。
この新しく構成されたJuniper SSL VPNクライアントが、[デバイスVPN]ページに表示されるようになりました。自動的にアクティブ化されることに注意してください。
L2TP VPNクライアントを構成する
- [L2TP VPN]オプションを選択します。
サポートのお知らせ:AppleはPPTPをサポートしなくなったことに注意してください。これはAppleによる制限です。
- [一般設定]で、次の手順を行います。
- [アプリケーション・ラベル]:ホーム・ページでアプリの下に表示される名前を入力します。
- [サーバー]:VPNサーバーのIPアドレスまたはホスト名を入力します。ipsecを使用する場合、対応するプロトコルを指定する必要があります(例:ipsec://asa-gateway.example.com)。
- [次へ]をクリックします。
- [サインオン・オプション]。ユーザーがVPNにサインインする方法を指定します。ユーザーはパスワードを使用するか、委任認証が構成されている場合はそれを使用してサインインできます。
[高度なサインオン設定]:
- [共有シークレット](L2TPのみ):VPNログイン用の共有秘密鍵を入力します。
[VPNパスワード]:次のいずれかを選択します。
[委任認証]:会社のVPNがActive Directoryで認証されるように設定されていて、OktaユーザーがAD委任認証を使用して認証される場合、この設定を選択します。この設定を選択すると、VPNにもActive Directory認証情報を使用することになります。この方法では、OktaではAD認証情報が保持されませんが、エンド・ユーザーのデバイスでこれらの認証情報を使用してVPNプロファイルを更新できます。
[必要なパスワード]:次のいずれかを選択します。
- [管理者がユーザー名を設定します。パスワードはOktaのパスワードと同じです]。委任認証を使用しているかどうかに関係なく、デバイスでVPNプロファイルをOktaのパスワードと同期した状態に保つ場合は、このオプションを選択します。
- [管理者がユーザー名を設定し、ユーザーがパスワードを設定します]。VPNのパスワードをOktaまたはADのパスワードと結び付けない場合は、このオプションを選択します。Oktaによりパスワードを含めずにVPNプロファイル/構成がデバイスにプッシュされ、ユーザーはそれをデバイスで入力できます。
[VPNユーザー名]。
- [VPNユーザー名のフォーマット]:ドロップダウン・メニューからフォーマットを選択します。VPNプロファイルで使用するユーザー名のフォーマットを指定します。これは、他の非VPNアプリケーションのユーザー名マッピングと同じように機能します。
- [パスワード表示]:ユーザーが安全にパスワードを表示できるようにする場合に選択します。
- [完了]をクリックします。
Pulse Secure VPNクライアントを構成する
- [Pulse Secure VPN]オプションを選択します。[Pulse Secure VPN]構成ページが開きます。
- [一般設定]で、次の手順を行います。
- [アプリケーション・ラベル]:ホーム・ページでアプリの下に表示されるラベルです。デフォルトではPulse Secure VPNと入力されますが、必要に応じて編集できます。
- [サーバー]:Pulse Secure VPNサーバーのIPアドレスを入力します。
[次へ]をクリックします。
- [サインオン・オプション]で、次の手順を行います。
- [VPNパスワード]:次のいずれかを選択します。
- [委任認証]:この設定は、会社のVPNがActive Directoryで認証されるように設定されていて、OktaユーザーがAD委任認証を使用して認証される場合に使用します。この設定を選択すると、VPNにもAD認証情報を使用することになります。この方法では、OktaではAD認証情報が保持されませんが、エンド・ユーザーのデバイスでこれらの認証情報を使用してVPNプロファイルを更新できます。
- [必要なパスワード]:次のいずれかを選択します。
- [管理者がユーザー名を設定します。パスワードはOktaのパスワードと同じです]。委任認証を使用しているかどうかに関係なく、デバイスでVPNプロファイルをOktaのパスワードと同期した状態に保つ場合は、このオプションを選択します。
- [管理者がユーザー名を設定し、ユーザーがパスワードを設定します]。VPNのパスワードをOktaまたはADのパスワードと結び付けない場合は、このオプションを選択します。Oktaによりパスワードを含めずにVPNプロファイル/構成がデバイスにプッシュされ、ユーザーはそれをデバイスで入力できます。
- [高度なサインオン設定]。任意:
- [レルム]:接続を認証するためのレルムを指定します。
- [ロール]:接続を認証するためのロールを指定します。
これが、VPNプロファイルで使用するユーザー名を決定する方法です。これは、他の非VPNアプリケーションのユーザー名マッピングと同じように機能します。
- VPNユーザー名
- [VPNユーザー名のフォーマット]:ドロップダウン・メニューからフォーマットを選択します。これにより、VPNプロファイルで使用するユーザー名を指定します。これは、他の非VPNアプリケーションのユーザー名マッピングと同じように機能します。
- [パスワード表示]:ユーザーが安全にパスワードを表示できるようにする場合に選択します。
- [完了]をクリックします。
[ユーザー]タブで、アプリをユーザーとグループに割り当てます。
また、Okta Mobileアプリ・ストア(AndroidおよびiOS)からエンド・ユーザーがアプリを利用できるようにする必要があります。これを行うには、次の手順を行います。
- [モバイル]タブをクリックします。
- [編集]をクリックし、次の手順を行います。
- すでに自分でiOSモバイル・アプリをインストールしているエンド・ユーザーに、管理者がアプリを管理することを許可するように促します。(iOSのみ)
- 登録時にアプリをインストールするようにユーザーに促します。(iOSのみ)
- [デプロイ]:[このアプリをユーザーが利用できるようにする]チェック・ボックスを選択します。
- [一般設定]で、次のことを考慮します。
- 次のいずれかの手順の説明に従ってVPNクライアントを構成します。
VPN構成(プロファイル)とそれぞれのVPNモバイル・アプリがOMMに登録されたデバイスにプッシュされると、ユーザーはVPNにサインインしてリモートで作業できるようになります。
注:VPNパスワードの構成が、VPNプロファイルのプッシュ方法に影響します。
- 委任認証:ユーザーの登録時にVPNプロファイルがプッシュされます。
- ユーザーがパスワードを設定する:ユーザーの登録時、アプリ・ユーザーの割り当て時、またはVPNアプリ・インスタンスの設定変更時にVPNプロファイルがプッシュされます。
- Oktaと同じパスワード:ユーザーのログ・オン時にVPNプロファイルがプッシュされます。