Cisco ASA IKEV2 VPN を構成してRADIUSを介したOktaとの相互運用を可能にする

Oktaは、RADIUSプロトコルとOkta RADIUS エージェントを用いて、組織がオンプレミスのアプリケーションやリソースへの認証やアクセスを管理する機能を提供します。Okta RADIUS Serverエージェントを使うと、組織は認証をOktaに委任することができます。
このページでは、EAP-TTLSOkta RADIUS Serverエージェントを使用するCisco ASA IKEV2 VPN の設定方法について説明します。

情報

AnyConnect v4.4以降とASA バージョン9.7.1以降を使用している場合は、SAMLの使用を検討してください。

項目

開始する前に

Okta RADIUS Agentをインストールする前に、ネットワーク接続に関する次の最小要件を満たしていることを確認してください。

ソース 宛先 ポート/プロトコル 説明
Okta RADIUS Agent Okta Identity Cloud TCP/443
HTTP
構成および認証トラフィック
クライアント・ゲートウェイ Okta RADIUS Agent UDP/1812 RADIUS (デフォルト、RADIUSアプリのインストールと構成で変更される場合があります) ゲートウェイ(クライアント)とRADIUSエージェント(サーバー)間のRADIUSトラフィック

サポートされている要素

次の多要素認証がサポートされています。

Important Note

Okta RADIUSと統合する場合、サポートされる登録済みの最大数は、結果のチャレンジ・メッセージのサイズによって異なります。 同時に登録するのは8個以下にすることをお勧めします。

多要素認証 パスワード認証プロトコル
PAP
拡張認証プロトコル - Generic Token Card
EAP-GTC
拡張認証プロトコル - Tunneled Transport Layer Security
EAP-TTLS
カスタムTOTP認証 サポート サポート サポート
Duo(プッシュ、SMS、パスコードのみ) サポート サポート対象外 サポート対象外

サポート

サポート

サポート対象外

Google Authenticator サポート サポート サポート - チャレンジが回避される限り。
たとえば、多要素認証のみ、またはパスワード、多要素認証。
サポート サポート サポート - チャレンジが回避される限り。
例:
TOTPの場合、多要素認証のみ、またはパスワード、多要素認証。
プッシュ・チャレンジは帯域外で送信されるため、プッシュはプライマリ認証 + 多要素認証で機能します。
サポート サポート サポート対象外
Caution

EAP-TTLSは登録をサポートしていません
EAP-TTLSが有効になっていて、Okta Verifyまたは電話が必須登録ポリシーとして指定されており、ユーザーがそのに登録されていない場合、認証は予期せず失敗します。

Info

U2FセキュリティーおよびWindows Hello多要素認証要素は、RADIUS対応の実装と互換性がありません。
RADIUSアプリの詳細については 、「OktaでRADIUSアプリケーションを構成する」を参照してください。

典型的なワークフロー

タスク

説明

RADIUSエージェントのダウンロード
Okta RADIUSエージェントのインストール
  • 使用環境に適したWindowsまたはLinux RADIUSエージェントをインストールします。
アプリケーションの構成
ゲートウェイの構成
オプション設定の構成
Windows VPNの構成
ルートCAの追加
  • Windowsクライアントは、信頼できるCA証明書を追加することで、中間者攻撃を回避することができます。Windows クライアントに、信頼できるルート CA 証明書をインストールします。
テスト

関連トピック