チェックポイントを構成してRADIUSを介したOktaとの相互運用を可能にする
本ガイドは、Oktaチェックポイントソフトウェア (RADIUS)アプリと組み合わせてOkta RADIUSサーバーエージェントを使用するようチェックポイントを構成する方法を説明します。
チェックポイントは、RADIUSをはじめとする複数のサードパーティのIDストアと統合しています。OktaとチェックポイントはRADIUSを通じて相互運用できます。OktaのエージェントはRADIUS を使用して、チェックポイントからのRADIUS認証リクエストを OktaのAPI呼び出しに変換します。
Okta、RADIUSエージェント、チェックポイント間のフローの詳細については、Check PointとRADIUSの統合フローを参照してください。
開始する前に
Okta RADIUS Agentをインストールする前に、ネットワーク接続に関する次の最小要件を満たしていることを確認してください。
| ソース | 宛先 | ポート/プロトコル | 説明 |
|---|---|---|---|
| Okta RADIUS Agent | Okta Identity Cloud | TCP/443 HTTP |
構成および認証トラフィック |
| クライアント・ゲートウェイ | Okta RADIUS Agent | UDP/1812 RADIUS (デフォルト、RADIUSアプリのインストールと構成で変更される場合があります) | ゲートウェイ(クライアント)とRADIUSエージェント(サーバー)間のRADIUSトラフィック |
サポートされている要素
次の多要素認証がサポートされています。
Okta RADIUSと統合する場合、サポートされる登録済みの最大数は、結果のチャレンジ・メッセージのサイズによって異なります。 同時に登録するのは8個以下にすることをお勧めします。
| 多要素認証 | パスワード認証プロトコル PAP |
拡張認証プロトコル - Generic Token Card EAP-GTC |
拡張認証プロトコル - Tunneled Transport Layer Security EAP-TTLS |
|---|---|---|---|
| カスタムTOTP認証 | サポート | サポート | サポート |
| Duo(プッシュ、SMS、パスコードのみ) | サポート | サポート対象外 | サポート対象外 |
|
サポート |
サポート |
サポート対象外 |
|
| Google Authenticator | サポート | サポート | サポート - チャレンジが回避される限り。 たとえば、多要素認証のみ、またはパスワード、多要素認証。 |
| サポート | サポート | サポート - チャレンジが回避される限り。 例: TOTPの場合、多要素認証のみ、またはパスワード、多要素認証。 プッシュ・チャレンジは帯域外で送信されるため、プッシュはプライマリ認証 + 多要素認証で機能します。 |
|
| サポート | サポート | サポート対象外 |
EAP-TTLSは登録をサポートしていません
EAP-TTLSが有効になっていて、Okta Verifyまたは電話が必須登録ポリシーとして指定されており、ユーザーがそのに登録されていない場合、認証は予期せず失敗します。
注
U2FセキュリティーおよびWindows Hello多要素認証要素は、RADIUS対応の実装と互換性がありません。
RADIUSアプリの詳細については 、「OktaでRADIUSアプリケーションを構成する」を参照してください。
典型的なワークフロー
タスク | 説明 |
|---|---|
| RADIUSエージェントのダウンロード |
|
| Okta RADIUSエージェントのインストール | |
| アプリケーションの構成 |
|
| ゲートウェイの構成 |
|
| オプション設定の構成 |
|
| テスト |