OktaのRADIUS アプリケーション

Okta RADIUSサポートは、異なるRADIUS対応アプリを区別し、構成ごとにOkta RADIUSアプリを設定することでそれらを同時にサポートすることができます。さらに、Okta RADIUSアプリケーションは、ポリシーの作成とグループへのアプリケーションの割り当てをサポートします。

管理者はOkta管理コンソールからこれらすべてのアプリとインフラストラクチャ構成を管理できるため、RADIUS対応のアプリは簡単に管理できます。

サポートされる要素

次の多要素認証がサポートされています。

Important Note

Okta RADIUSと統合する場合、サポートされる登録済みの最大数は、結果のチャレンジ・メッセージのサイズによって異なります。 同時に登録するのは8個以下にすることをお勧めします。

多要素認証 パスワード認証プロトコル
PAP		 拡張認証プロトコル - Generic Token Card
EAP-GTC		 拡張認証プロトコル - Tunneled Transport Layer Security
EAP-TTLS
カスタムTOTP認証 サポート サポート サポート
Duo(プッシュ、SMS、パスコードのみ) サポート サポート対象外 サポート対象外

サポート

サポート

サポート対象外
Google Authenticator サポート サポート サポート - チャレンジが回避される限り。
たとえば、多要素認証のみ、またはパスワード、多要素認証。
サポート サポート サポート - チャレンジが回避される限り。
例:
TOTPの場合、多要素認証のみ、またはパスワード、多要素認証。
プッシュ・チャレンジは帯域外で送信されるため、プッシュはプライマリ認証 + 多要素認証で機能します。
サポート サポート サポート対象外
Caution

EAP-TTLSは登録をサポートしていません
EAP-TTLSが有効になっていて、Okta Verifyまたは電話が必須登録ポリシーとして指定されており、ユーザーがそのに登録されていない場合、認証は予期せず失敗します。

Info

U2FセキュリティーおよびWindows Hello多要素認証要素は、RADIUS対応の実装と互換性がありません。
RADIUSアプリの詳細については 、「OktaでRADIUSアプリケーションを構成する」を参照してください。

サポートされる機能および制約

機能

  • 複数のRADIUS対応アプリおよびインフラストラクチャをサポート

    各アプリおよびインフラストラクチャ コンポーネント(VPNなど)は同じOkta RADIUSエージェントを介して別々に構成できます。なぜなら強化されたRADIUSエージェントは、個別のRADUIS構成に対して複数の異なるポートをリッスンできるからです。例えばCisco AnyConnectはRADIUS UDPポート1812を使用し、別のオンプレミスアプリはRADIUS UDPポート1813を使用できます。

  • ユーザーおよびグループ固有の構成

    新規アプリモデルのため、必要に応じて任意のアプリへのアクセスを制限する方法と同じように、アクセスを特定のユーザーおよびグループに制限できます。管理者はRADIUS対応アプリおよびインフラストラクチャへのアクセスをすべてのOktaユーザーではなく特定のユーザーグループに制限できます。

  • グループ オーナーシップをRADUISアプリケーションに引き渡し

    Oktaはユーザーが所属するすべてのグループのリストをRADIUS対応アプリまたはインフラストラクチャに引き渡すことができます。これにより、管理者はユーザーのグループ メンバーシップに基づいて様々なレベルのアクセスとセキュリティでより詳細な認証をサポートできます。

  • IPアドレスに基づいた多要素認証およびセキュリティを実現

    RADIUS対応アプリまたはインフラストラクチャに接続を試みるクライアントのIPアドレスを解決することで、ユーザーが特定のIP範囲やネットワークゾーンにいるかどうかに基づいて管理者はアクセスレベルを調整できます。範囲とゾーンについての詳細は、「ネットワーク」を参照してください。

  • 一元化されたクラウドベースの構成

    管理者は、Okta RADUISエージェント サーバー自体で変更を行わなくても、Okta管理コンソールからすべてのRADIUS対応アプリまたはインフラストラクチャの構成を管理できます。

  • 二要素認証のみ(パスワードレス モード)

    多要素認証で第二要素のみ使用するようRADIUS対応アプリを設定できます。これは「パスワードレス モード」と呼ばれています。

    アプリを構成する際に、[Okta performs primary authentication(Oktaでプライマリ認証を実施)]ボックスをオフにします。以下のスクリーンショットは、二要素認証のみでないデフォルト設定を示しています。さらに、UDPポートは一意である必要があります。二要素認証モードを有効化する際にアプリケーション ユーザー名の形式を確認してください。

制限事項

  1. RADIUSポートおよび共有シークレットは設定済みのRADIUSアプリまたはVPNを介してOkta管理コンソールから取得されます。RADIUSエージェントのプロンプトから入力された情報は、情報が入力された後、組織がこの機能を有効化した場合に利用できます。
  2. WiFiインフラストラクチャはサポートされません。
  3. RADIUSエージェントはPAPベースの認証のみをサポートします。他のプロトコルはサポートされません。

典型的なワークフロー

タスク

説明

RADIUSエージェントのダウンロード
  • Okta orgの [Settings(設定) ]> [Downloads(ダウンロード)]ページからOkta RADIUSエージェントをダウンロードします。Windows版およびLinux版のエージェントがあることにご注意ください。

WindowsまたはLinux RADIUSエージェントのインストール

  • WindowsまたはLinuxにOkta RADIUSエージェントをインストールします。
RADIUSアプリケーションの追加
  • 汎用RADIUSアプリケーションを追加し、グループを作成して構成します。
RADIUSカスタマー アプリケーションの構成
  • RADIUSカスタマー アプリケーションを構成します。
テスト

  • 統合を検証しテストします。

クライアントIPレポート
  • (任意)RADIUS対応システムにアクセスするユーザーのIPアドレスまたはネットワーク ゾーンに基づいて、アクセス権を適用、制限、または異なるレベルで提供するようOktaを設定できます。
認証用のOktaグループ メンバーシップ情報
  • (オプション)ユーザーがRADIUS対応サービスで所属するグループに基づいて、異なる認証レベルとアクセスを提供するようOktaを構成できます。以下の手順を使用して各アプリに対してグループ メンバーシップごとに設定を行います。
RADIUS サービス アドレス フィルタリング
  • (オプション)セキュリティ強化のため、特定のネットワーク アダプターのIPアドレスを入力したりIPアドレスの一覧(VPNサーバーなど)を追加して、RADIUSサーバーへのアクセスを制限することを選択できます。これにより、RADIUSサービスが未承認のホストからアクセスされるのを防ぎます。