Cisco ASAゲートウェイを構成する

このタスクでは、RADIUSサーバープロファイルの定義、Okta RADIUS Agentの認証プロファイルの定義、ゲートウェイへのOkta RADIUS認証プロファイルの適用、Okta RADIUS認証プロファイルを使用するためのポータルの構成を行います。

手順

AAAサーバーグループを定義する
AAAサーバーグループにAAAサーバーを追加します。
AAAサーバーグループを使用するようにAnyConnect接続プロファイルを変更する
AnyConnectクライアントプロファイルを変更してタイムアウトを延長する

開始する前に

共通のUDPポートと秘密鍵の値が利用可能であることを確認します。

AAAサーバーグループを定義する

十分な権限でVPNアプライアンスのCisco ASDMコンソールにサインインします。
以下に示すように、［Configuration（構成）］>［Remote Access VPN（リモートアクセスVPN）］>［AAA/Local users（AAA/ローカルユーザー）］>［AAA server groups（AAAサーバーグループ）］に移動します。
［Add（追加）］をクリックし、新しいグループを作成します。下のような［Add AAA Server Group（AAAサーバーグループの追加）］画面が表示されます。
以下を除き、デフォルト設定のままにします。
- ［AAA Server Group（AAAサーバーグループ）］：MFAサーバーのグループを識別する名前を指定します。
- ［Protocol（プロトコル）］：必要に応じてRADIUSを選択します。

AAAサーバーグループにAAAサーバーを追加します。

［OK］をクリックして、上記の手順2に示したCisco ASDMコンソールに戻ります。
［Remote Access VPN（リモートアクセスVPN）］をクリックし、［AAA/Local Users（AAA/ローカルユーザー）］>［AAA Server Groups（AAAサーバーグループ）］に移動します。前の手順で作成したサーバーグループを選択します。
［Add（追加）］をクリックします。以下の画面が開きます。
以下を除き、デフォルト設定のままにします。
- ［Interface Name（インターフェイス名）］： MFAサーバーとの通信を処理するインターフェイスを選択します。
- ［Server Name or IP Address（サーバー名またはIPアドレス）］：Okta RADIUS Agentの名前またはIPアドレスを指定します。
- ［Timeout (seconds)（タイムアウト（秒））］：60秒
- ［Server Authentication Port（サーバー認証ポート）］：Oktaでアプリをセットアップする際、上記の手順3で構成したポート番号を入力します。この例ではポート1812を使用しています。
- ［Server Accounting Port（サーバーアカウンティングポート）］：1646。この値は使用されませんが、セットアップを完了するには入力する必要があります。
- ［Retry Interval（再試行間隔）］：デフォルトの60秒のままにします
- ［Server Secret Key（サーバー秘密鍵）］：Oktaでアプリをセットアップする際に上記の手順3で定義したシークレットが入力されます。
- ［Common Password（共通パスワード）］：空白のままにします
- ［Microsoft CHAPv2 Capable（Microsoft CHAPv2を有効にする）］のチェックを外します（重要）。
完了したら、［OK］をクリックします。
［APPLY（適用）］をクリックして構成を保存します。

AAAサーバーグループを使用するようにAnyConnect接続プロファイルを変更する

この手順では、競合または矛盾している認可/認証/アカウンティング設定がないかについても確認します。

VPNアプライアンスのCisco ASDMコンソールで、以下のように［Configuration（構成）］>［Remote Access VPN（リモートアクセスVPN）］>［Network (Client) Access（ネットワーク（クライアント）アクセス）］>［AnyConnect Connection Profiles（AnyConnect接続プロファイル）］に移動します。
［Connection Profiles（接続プロファイル）］セクションで目的の接続プロファイルを反転表示し、プロファイル名のリストの上にある［Edit（編集）］をクリックします。以下の画面が開きます。
［Authentication（認証）］セクションで、［Method（方法）］を［AAA］に設定します。
以前に作成または変更したAAAサーバーグループを選択し、左側の列の［Advanced（詳細設定）］をクリックします。以下の画面が開きます。
左側の［Secondary Authentication（セカンダリ認証）］をクリックし、［Secondary Authentication Server Group（セカンダリ認証サーバーグループ）］が定義されていないことを確認します。

現在の構成は「多段階認証」とも呼ばれます。

［Secondary Authentication Server Group（セカンダリ認証サーバーグループ）］を使用して、別のフローでMFAを実行する代替構成が存在します。この構成では、「セカンダリ」認証はメインのAAAサーバーグループのサーバーによって、RADIUSチャレンジ/レスポンスメッセージを使用して処理されます。

その構成では、プライマリAAAサーバーグループは、1つのAAAサーバーグループに対してプライマリ認証（ユーザー名/パスワード）を実行するように構成されています。このAAAサーバーグループは、プライマリ認証を実行するためにのみ構成されているOkta RADIUS Server Agentに対して検証することができます。セカンダリAAAサーバーグループは、2番目のAAAサーバーグループに対してセカンダリ認証を行うように構成されています。このAAAサーバーグループは通常、プライマリ認証を実行しないように明示的に構成されているアプリを搭載したOkta RADIUS Serverであり、登録されている要素（プッシュ、Verify OTP、SMS OTPなど）を検証するためにのみ使用されます。

この代替構成を使用する理由として、以下の2点が挙げられます。
- プライマリ認証サーバーが、Oktaでは提供できない追加のアカウンティング、認可、または接続の詳細を提供している
- コンプライアンス上の理由により、マルチステップ以外のMFAエクスペリエンスを使う必要がある
左側の［Authorization（認可）］をクリックし、以下のように［Server Group（サーバーグループ）］の値が［None（なし）］に設定されていることを確認します。
別の認可サーバーグループを追加で利用する構成が存在する可能性がありますが、そうした構成はこのガイドの範囲外となります。この設定が、Okta RADIUS Server Agentの情報が入力されたAAAサーバーグループを指していたために、Oktaで問題が発生したケースがありました。このような場合、余分なアクセス要求メッセージがOkta RADIUS Serverに送信されます。
左側の［Accounting（アカウンティング）］をクリックし、以下のように［Accounting Server Group（アカウンティングサーバーグループ）］の値が［None（なし）］に設定されていることを確認します。
一意でわかりやすいアカウンティングサーバーグループが役立つ場合があります。Okta RADIUS Serverエージェントを使用するAAAサーバーグループは、RADIUSアカウンティングメッセージをサポートしていません。
［OK］をクリックして設定を保存します。

AnyConnectクライアントプロファイルを変更してタイムアウトを延長する

Cisco ASA Admin Consoleで、［Configuration（構成）］ボタンをクリックし、［Remote Access VPN（リモートアクセスVPN）］ボタンをクリックします。
以下のように、［Network (Client) Access（ネットワーク（クライアント）アクセス）］>［AnyConnect Client Profile（AnyConnectクライアントプロファイル）］に移動し、目的のクライアントプロファイルをハイライト表示し、［Edit（編集）］をクリックします。
表示される画面で、以下のように［Preferences (Part 2)（設定（パート2））］を選択します。
下にスクロールして［Authentication Timeout (seconds)（認証タイムアウト（秒））］を探し、値を60に設定します。
［OK］をクリックして設定を保存します。
［Commit（コミット）］をクリックしてCisco ASA Admin ConsoleでOkta RADIUS構成を保存します。