BeyondTrustを構成する

Okta RADIUS Server Agentを使用するようにBeyondTrust PowerBroker Password Safeを構成します。

OktaとBeyondTrustは、RADIUSまたはSAML 2.0を使用して相互運用できます。Password Safeデプロイメントごとに、1つ以上の認証プロバイダーを割り当てることができます。各RADIUS認証プロファイルは、フィルター(すべてのユーザー、すべてのローカルユーザー、すべてのドメインユーザー、対象を含むドメインなど)を使用してユーザーのグループにマッピングされます。OktaのエージェントはRADIUSを使用して、BeyondInsightからのRADIUS認証要求をOkta API呼び出しに変換します。

統合でRADIUSを使用する

  1. Okta Admin Consoleで、[Applications(アプリケーション)]>[Applications(アプリケーション)]に移動します。
  2. [Browse App Catalog(アプリカタログを参照)]をクリックします。
  3. BeyondTrust MFA (RADIUS)を検索して選択します。
  4. [Add Integration(統合を追加)]をクリックします。

統合でSAML 2.0を使用する

  1. Okta Admin Consoleで、[Applications(アプリケーション)]>[Applications(アプリケーション)]に移動します。
  2. [Browse App Catalog(アプリカタログを参照)]をクリックします。
  3. BeyondTrustを検索し、SAMLをサポートしているアプリを選択します。
  4. [Add Integration(統合を追加)]をクリックします。

開始する前に

Okta RADIUS agentをインストールする前に、以下のネットワーク接続要件を満たしてください。

ソース 宛先 ポート/プロトコル 説明
Okta RADIUS Agent Okta Identity Cloud TCP/443

HTTP

構成および認証トラフィック。
クライアントゲートウェイ Okta RADIUS Agent UDP/1812 RADIUS(デフォルト。RADIUSアプリをインストールおよび構成する際に変更できます) ゲートウェイ(クライアント)とRADIUS Agent(サーバー)間のRADIUSトラフィック。

サポートされる要素

多数の要素の登録をユーザーに許可した場合、RADIUSプロンプトに対してチャレンジメッセージのサイズが大きくなりすぎることがあります。Oktaでは、一定期間に登録する要素を8個までにすることを推奨しています。

OktaではRADIUSアプリ用に次の要素をサポートしています。

<MadCap:conditionalText data-mc-conditions="MultiProdPublish.Core">MFA要素</MadCap:conditionalText> パスワード認証プロトコル
PAP
拡張認証プロトコル - Generic Token Card
EAP-GTC
拡張認証プロトコル - Tunneled Transport Layer Security
EAP-TTLS
カスタムTOTP認証 サポート サポート サポート - チャレンジが回避される限り。
たとえば、MFAのみ、または「パスワード、パスコード」。
Duo(プッシュ、SMS、パスコードのみ) サポート サポート Duoパスコードのみ。

メール

サポート

サポート

文字列「EMAIL」が最初に送信された場合にサポートされます。
「関連する注意事項」を参照してください。

Google認証システム

サポート サポート サポート - チャレンジが回避される限り。
たとえば、MFAのみ、または「パスワード、パスコード」。

Okta Verify(TOTPおよびPUSH)

サポート サポート サポート - チャレンジが回避される限り。
例:
TOTPの場合、MFAのみ、または「パスワード、MFA」。
プッシュチャレンジは帯域外で送信されるため、プッシュはプライマリ認証 + MFAで機能します。

Okta Verify(番号チャレンジ)

サポート対象外

サポート対象外

サポート対象外

RSAトークン/オンプレミスMFA

サポート

サポート

サポート - チャレンジが回避される限り。
たとえば、MFAのみ、または「パスワード、パスコード」。

セキュリティ上の質問

サポート(パスワードとMFAのみ) サポート(パスワードとMFAのみ)。
サポート対象外
SMS認証 サポート サポート
文字列「SMS」が送信された場合にサポートされます。
「関連する注意事項」を参照してください。
Symantec VIP サポート サポート サポート - チャレンジが回避される限り。
たとえば、MFAのみ、または「パスワード、パスコード」。

音声通話

サポート サポート 文字列「CALL」が送信された場合にサポートされます。
「関連する注意事項」を参照してください。

YubiKey

サポート サポート サポート - チャレンジが回避される限り。
たとえば、MFAのみ、または「パスワード、パスコード」。

RADIUSは、次の3つの認証方法をサポートしています。

  • パスワード + MFA:パスワードを使用したプライマリ認証が行われ、その後、ユーザーは認証を完了するための要素を選択するよう求められます。
  • MFAのみ:パスワードの代わりに、ユーザーはワンタイムパスコードを入力するか、「EMAIL」、「SMS」、「CALL」、「PUSH」(大文字と小文字を区別しない)のいずれかを入力します。
  • パスワード、パスコード:リクエストでパスワード入力の直後にパスコード。
    同じリクエスト内に存在する必要があります。例:「Abcd1234,879890」または「Abcd1234,SmS」。

次の認証方法がプロトコルではサポートされています。

プロトコル サポート
PAP パスワードとMFA、MFA、「パスワードとパスコード」。
EAP-TTLS MFAのみ、「パスワードとパスコード」。
EAP-GTC パスワードとMFA、MFAのみ、「パスワードとパスコード」。

指定された文字列「EMAIL/SMS/CALL」を送信する必要があります。これにより、最初は失敗が返されますが、指定された方法を使用して提供されるワンタイムパスコード(OTP)が生成されます。提供されたOTPは、認証に使用できます。

EAP-TTLSは登録をサポートしていません

EAP-TTLSが有効になっていて、Okta Verifyまたは電話が必須登録ポリシーとして指定されており、ユーザーがその要素に登録されていない場合、認証は予期せず失敗します。

U2FセキュリティおよびWindows Hello MFA要素は、RADIUS対応の実装と互換性がありません。「OktaでRADIUSアプリケーションを構成する」を参照してください。

パスワードなしの認証

RADIUS認証では、プライマリ認証メカニズムとしてパスワードが使用されます。従来のRADIUS認証は、パスワードを持たないユーザーでは実行できません。アプリケーション設定プロパティの[Okta performs primary authentication(Oktaでプライマリ認証を実施)]がオフになっている場合は、RADIUSで認証のためにほかの要素を使用できます。詳細については、「OktaのRADIUSアプリケーション」「2FAのみ(パスワードレスモード)」を参照してください。

パスワードなしの認証について詳しくは、「パスワードなしサインインエクスペリエンスをセットアップする」を参照してください。

一般的なワークフロー

タスク

説明

RADIUS Agentをダウンロードする Okta Admin Consoleで、[Settings(設定)]>[Downloads(ダウンロード)]に移動します。環境に適したOkta RADIUS Agentをダウンロードします。

スループット、可用性、その他の考慮事項については、「Okta RADIUS Server Agentのデプロイメントに関するベストプラクティス」を参照してください。

Okta RADIUS Agentをインストールする WindowsにOkta RADIUS Serverエージェントをインストールする

LinuxにOkta RADIUSエージェントをインストールする

アプリケーションの構成 BeyondTrust MFA(RADIUS)アプリを構成します。
オプション設定を構成する 任意。RADIUSがベンダー固有の設定を使用してグループ情報を返すように構成します。
ゲートウェイを構成する BeyondInsight構成ツールを使用してゲートウェイを構成します
テスト BeyondInsightの統合をテストする

関連項目