Cisco ASAゲートウェイを構成する

このタスクでは、RADIUSサーバー・プロファイルの定義、Okta RADIUS Agentの認証プロファイルの定義、ゲートウェイへのOkta RADIUS認証プロファイルの適用、Okta RADIUS認証プロファイルを使用するためのポータルの構成を行います。

手順

  1. AAAサーバー・グループを定義する
  2. AAAサーバー・グループにAAAサーバーを追加します。
  3. AAAサーバー・グループを使用するようにAnyConnect接続プロファイルを変更する
  4. AnyConnectクライアント・プロファイルを変更してタイムアウトを延長する

開始する前に

  • 共通のUDPポートと秘密鍵の値が利用可能であることを確認します。

AAAサーバー・グループを定義する

  1. 十分な権限でVPNアプライアンスのCisco ASDMコンソールにサインインします。
  2. 以下に示すように、[構成] > [リモート・アクセスVPN] > [AAA/ローカル・ユーザー] > [AAAサーバー・グループ]に移動します。

  3. [追加]をクリックし、新しいグループを作成します。以下に示すように、[AAAサーバー・グループの追加]画面が開きます。

  4. 以下を除き、デフォルト設定のままにします。

    • [AAAサーバー・グループ]:MFAサーバーのグループを識別する名前を指定します。

    • [プロトコル]:必要に応じてRADIUSを選択します。

AAAサーバー・グループにAAAサーバーを追加します。

  1. [OK]をクリックして、上記の手順2に示したCisco ASDMコンソールに戻ります。

  2. [リモート・アクセスVPN] をクリックして、[AAA/ローカル・ユーザー] > [AAAサーバー・グループ]に移動します。前の手順で作成したサーバー・グループを選択します。

  3. [追加]をクリックします。以下の画面が開きます。

  4. 以下を除き、デフォルト設定のままにします。
    • [インターフェイス名]: MFAサーバーとの通信を処理するインターフェイスを選択します。
    • [サーバー名またはIPアドレス]:Okta RADIUS Agentの名前またはIPアドレスを指定します。
    • [タイムアウト](秒):60秒
    • [サーバー認証ポート]:Oktaでアプリをセットアップする際、上記の手順3で構成したポート番号を入力します。この例ではポート1812を使用しています。
    • [サーバー・アカウンティング・ポート]:1646。この値は使用されませんが、セットアップを完了するには入力する必要があります。
    • [再試行間隔]:デフォルトの60秒のままにします
    • [サーバー・シークレット・キー]:Oktaでアプリをセットアップする際に上記の手順3で定義したシークレットが入力されます。
    • [共通パスワード]:空白のままにします
    • [Microsoft CHAPv2を有効にする]のチェックを外します(重要)。
  5. 完了したら、[OK]をクリックします。

  6. [適用] をクリックして構成を保存します。

AAAサーバー・グループを使用するようにAnyConnect接続プロファイルを変更する

この手順では、競合または矛盾している認可/認証/アカウンティング設定がないかについても確認します。

  1. 以下に示すように、VPNアプライアンスのCisco ASDMコンソールで、[構成] > [リモート・アクセスVPN] > [ネットワーク(クライアント)アクセス ] > [AnyConnect接続プロファイル]に移動します。

  2. [接続プロファイル]セクションで目的の接続プロファイルを反転表示し、プロファイル名のリストの上にある[編集]をクリックします。以下の画面が開きます。

  3. [認証]セクションで、[方法][AAA]に設定します。
  4. 以前に作成または変更したAAAサーバー・グループを選択し、左側の列の[詳細設定]をクリックします。以下の画面が開きます。

  5. 左側の[セカンダリ認証]をクリックし、[セカンダリ認証サーバー・グループ]が定義されていないことを確認します。

    情報

    現在の構成は「多段階認証」とも呼ばれます。

    [セカンダリ認証サーバー・グループ]を使用して、別のフローでMFAを実行する代替構成が存在します。この構成では、「セカンダリ」認証はメインのAAAサーバー・グループのサーバーによって、RADIUSチャレンジ/レスポンス・メッセージを使用して処理されます。

    その構成では、プライマリAAAサーバー・グループは、1つのAAAサーバー・グループに対してプライマリ認証(ユーザー名/パスワード)を実行するように構成されています。 このAAAサーバー・グループは、プライマリ認証を実行するためにのみ 構成されているOkta RADIUS Server Agentに対して検証することができます。セカンダリAAAサーバー・グループは、2番目のAAAサーバー・グループに対してセカンダリ認証を行うように構成されています。このAAAサーバー・グループは通常、プライマリ認証を実行しないように明示的に構成されているアプリを搭載したOkta RADIUSサーバーであり、登録されている要素(プッシュ、Verify OTP、SMS OTPなど)を検証するためにのみ使用されます。

    この代替構成を使用する理由として、以下の2点が挙げられます。

    • プライマリ認証サーバーが、Oktaでは提供できない追加のアカウンティング、認可、または接続の詳細を提供している
    • コンプライアンス上の理由により、マルチステップ以外のMFAエクスペリエンスを使う必要がある
  6. 左側の[認可]をクリックし、以下のように[サーバー・グループ]の値が[なし]に設定されていることを確認します。

    情報

    別の認可サーバー・グループを追加で利用する構成が存在する可能性がありますが、そうした構成はこのガイドの範囲外となります。この設定が、Okta RADIUS Server Agentの情報が入力されたAAAサーバー・グループを指していたために、Oktaで問題が発生したケースがありました。このような場合、余分なアクセス要求メッセージがOkta RADIUS Serverに送信されます。

  7. 左側の[アカウンティング]をクリックし、以下のように[アカウンティング・サーバー・グループ]の値が[なし]に設定されていることを確認します。
    情報

    一意でわかりやすいアカウンティング・サーバー・グループが役立つ場合があります。Okta RADIUS Serverエージェントを使用するAAAサーバー・グループは、RADIUSアカウンティング・メッセージをサポートしていません。

  8. [OK]をクリックして設定を保存します。

AnyConnectクライアント・プロファイルを変更してタイムアウトを延長する

  1. Cisco ASA管理コンソールで、[構成 ] ボタンをクリックし、[リモート・アクセスVPN]ボタンをクリックします。
  2. 以下のように、[ ネットワーク(クライアント)アクセス] > [AnyConnectクライアント・プロファイル]に移動し、目的のクライアント・プロファイルを反転表示して、[編集]をクリックします。

  3. 表示される画面で、以下のように [設定(パート2)]を選択します。

  4. 下にスクロールして[認証タイムアウト(秒)]を探し、値を60に設定します。

  5. [OK]をクリックして設定を保存します。

  6. [コミット]をクリックして、Okta RADIUS構成をCisco ASA管理コンソール内に保存します。