Cisco ASAゲートウェイの構成
このタスクでは、RADIUS Serverプロファイルを定義し、Okta RADIUSエージェントの認証プロファイルを定義し、Okta RADIUS認証プロファイルをゲートウェイに適用し、ポータルを設定してOkta RADIUS認証プロファイルを使用します。
手順
- AAAサーバーグループの定義
- AAAサーバーのAAAサーバーグループへの追加
- AAAサーバーグループを使用するためのAnyConnect接続プロファイルの変更
- タイムアウトを延長するためのAnyConnectクライアントプロファイルの変更
開始する前に
- 共通のUDPポートおよび秘密鍵の値が利用できることを確認します。
AAAサーバーグループの定義
- 十分な権限でVPNアプライアンス向けのCisco ASDMコンソールにサインインします。
- 下に示すように、[Configuration (構成)]>[Remote Access VPN (リモートアクセスVPN)]> [AAA/Local users (AAA/ローカルユーザー)]>[AAA server groups (AAAサーバーグループ)]に移動します。
- [Add (追加)]をクリックすると、新しいグループが作成されます。下のような[Add AAA Server Group (AAAサーバーグループの追加)]画面が表示されます。
-
以下を除いてデフォルト設定をそのまま残します。
-
AAAサーバーグループ - MFAサーバーのグループを識別するための名前を指定します。
-
プロトコル - 必要に応じてRADIUSを選択します。
-
AAAサーバーのAAAサーバーグループへの追加
-
[OK]をクリックすると、上記の手順2で示したCisco ASDMコンソールに戻ります。
-
[Remote Access VPN (リモートアクセスVPN)]をクリックし、[AAA/Local Users (AAA/ローカルユーザー)]>[AAA Server Groups (AAAサーバーグループ)]に移動します。作成したばかりのサーバーグループを選択します。
-
[Add(追加)]をクリックします。下図のような画面が開きます。
- 以下を除いてデフォルト設定をそのまま残します。
- インターフェイス名 - MFAサーバーとの通信を処理するインターフェイスを選択します。
- サーバー名またはIPアドレス - Okta RADIUSエージェントの名前またはIPアドレスを指定します。
- タイムアウト(秒)-60秒
- サーバー認証ポート – Oktaでアプリを設定する際に、上記の手順3で設定したポート番号を入力します。この例ではポート1812を使用しました。
- サーバーアカウンティングポート– 1646 この値は使用されませんが、設定を完了するために入力する必要があります。
- 再試行間隔 – デフォルトの60秒のままにします。
- サーバーの秘密鍵 – Oktaでアプリを設定する際に手順3で定義した、提供された秘密。
- 共通パスワード – 空白のままにします。
- [Microsoft CHAPv2 Capable (Microsoft CHAPv2対応)]のチェックを外します(重要)。
- 完了したら[OK]をクリックします。
-
[APPLY (適用)]をクリックして構成を保存します。
AAAサーバーグループを使用するためのAnyConnect接続プロファイルの変更
また、このステップでは、権限付与/認証/アカウンティングの設定に矛盾や不一致がないことを確認します。
- VPNアプライアンスのCisco ASDMコンソールで、下のように[Configuration (構成)]>[Remote Access VPN (リモートアクセス VPN)]>[Network (Client) Access (ネットワーク(クライアント) アクセス)]>[AnyConnect Connection Profiles (AnyConnect接続プロファイル)]に移動します。
-
[Connection Profiles (接続プロファイル)]セクションで目的の接続プロファイルを強調表示し、プロファイル名のリストの上にある[Edit (編集)]をクリックします。下図のような画面が開きます。
- [Authentication (認証)]セクションで、[Method (方法)]を[AAA]に設定します。
- 以前に作成または変更したAAAサーバーグループを選択し、左側の列にある[Advanced (詳細)]をクリックします。下図のような画面が開きます。
-
左側の[Secondary Authentication (セカンダリ認証)]をクリックし、「Secondary Authentication Server Group (セカンダリ認証サーバーグループ)」が未定義であることを確認します。
注
現在の構成は、「マルチステップ認証」とも呼ばれています。
「セカンダリ認証サーバーグループ」を活用して、別のフローでMFAを実行する構成も存在します。この構成では、メインのAAAサーバーグループサーバーがRADIUSチャレンジとレスポンスメッセージを使用して「セカンダリ」認証を処理します。
この構成では、プライマリAAAサーバーグループは、1つのAAAサーバーグループに対してプライマリ認証(ユーザー名/パスワード)を実行するように設定されており、プライマリ認証のみを実行するように設定されているOkta RADIUSサーバーエージェントに対して検証することができます。セカンダリAAAサーバーグループは、第2のAAAサーバーグループに対してセカンダリ認証を実行するように設定されています。セカンダリAAAサーバーグループは、通常、Okta RADIUSサーバーとアプリで構成され、プライマリ認証を行わないように明示的に設定されており、登録された要素の検証(プッシュ、OTPの検証、SMS OTPなど)にのみ使用されます。
このような別の構成を採用する理由としては、以下が考えられます。
- プライマリ認証サーバーが、Oktaが提供できない追加のアカウンティング、認証、または接続の詳細を提供している。
- マルチステップでないMFAエクスペリエンスを必要とするコンプライアンス上の理由
- 左側の[Authorization (権限付与)]をクリックし、下のように[Server Group (サーバーグループ)]の値が[None (なし)]になっていることを確認します。
注
別の認証サーバーグループを利用する構成もありますが、これは本ガイドの対象範囲外です。この設定がOkta RADIUS Serverエージェントを含むAAAサーバーグループを指す場合、Oktaでは問題が発生していました。このような場合、Okta RADIUSサーバーに余分なアクセス要求メッセージが送信されます。
- 左側の[Accounting (アカウンティング)]をクリックし、下のように[Accounting Server Group (アカウンティングサーバーグループ)]の値が[None (なし)]になっていることを確認します。
注
固有の意味を持つアカウンティングサーバーグループが必要な場合もあります。Okta RADIUS Serverエージェントを使用するAAAサーバーグループは、RADIUSアカウンティングメッセージをサポートしていません。
- [OK]をクリックして設定を保存します。
タイムアウトを延長するためのAnyConnectクライアントプロファイルの変更
- Cisco ASA管理コンソールで、[Configuration (構成)]ボタンをクリックし、[Remote Access VPN (リモートアクセスVPN)]ボタンをクリックします。
- [Network (Client) Access (ネットワーク (クライアント) アクセス)]>[AnyConnect Client Profile (AnyConnectクライアントプロファイル)]に移動し、目的のクライアントプロファイルをハイライト表示して[Edit (編集)]をクリックします (下記参照)。
- 開いた画面で、以下のように[Preferences (Part 2) (環境設定(その2))]を選択します。
-
スクロールダウンして[Authentication Timeout (seconds) (認証タイムアウト (秒))]を見つけ、値を「60」に設定します。
- [OK]をクリックして設定を保存します。
-
[Commit(確定)]をクリックしてCIsco ASA管理コンソールでOkta RADIUS 構成を保存します。