F5 BIG IP APMゲートウェイを構成する

このタスクではF5コンソールを使用して、RADIUSと統合するようにF5 BIG IPを構成します。

手順

この構成には2つのパートがあります。

  1. RADIUSサーバープロファイルを定義する
  2. アクセスポリシーを編集する

はじめに

  • 共通のUDPポートと秘密鍵の値が利用可能であることを確認します。

RADIUSサーバープロファイルを定義する

  1. 十分な権限でF5コンソールにサインインします。
  2. [Access(アクセス)]>[Authentication(認証)]>[RADIUS]に移動し、[Create...(作成...)]をクリックして新しいRADIUSサーバーを定義します。旧バージョンでは、[Access Policy(アクセスポリシー)]>[AAA Servers(AAAサーバー)]>[RADIUS]に移動します。
  3. 次の値を入力して、新しいRADIUSサーバーを作成します。
    [Name(名前)] 一意で適切な名前(OktaMFA)
    [Mode(モード)]認証
    [Server Connection(サーバー接続)]直接
    [Server Address(サーバーアドレス)]Okta RADIUS Server AgentのIPまたは名前
    [Authentication Service Port(認証サービスポート)]ポート(1812)
    [Secret(シークレット)]上で定義したシークレットの値
    [Confirm Secret(シークレットの確認)]上で定義したシークレットの値
    [NAS IP Address(NAS IPアドレス)]任意:F5のIPアドレス
    [NAS Identifier(NAS識別子)]任意:NASの識別子
    [Timeout(タイムアウト)]推奨:60
    [Retries(再試行)]2
  4. [完了]をクリックして設定を保存します。

アクセスポリシーを編集する

  1. [Access(アクセス)]>[Profiles / Policies(プロファイル/ポリシー)]>[Access Profiles(アクセスプロファイル)]に移動します。

  2. 変更したいアクセスプロファイルを特定し、以下に示すように[Per-Session Policy(セッションごとのポリシー)]列で[編集]リンクをクリックします。

  3. 以下の画面が開きます。[Logon Page(ログオンページ)]をクリックしてログオンページを編集します。

  4. 以下の画面が開きます。

  5. 次の選択で3番目の入力を有効にします。

    • [Type(タイプ)]:password

    • [Variable(変数)]:factor

    • [Login page input field(ログインページ入力フィールド)]:要素(例:<i>push、sms、123456</i>)

  6. 完了したら[保存]をクリックします。

  7. 以下に示すように、既存のRADIUS認証を編集するか、既存の認証シーケンスを、前の手順で作成したパスワードのみのRADIUSサーバーを指すRADIUS認証ステップに置き換えます。

  8. 最初の認証の後、以前に作成した要素のみのRADIUSサーバーを指す新しいRADIUS認証ステップを挿入します。[Password Source(パスワードソース)]の変数を、更新されたログオンページの入力である%{session.logon.last.factor}に合わせて変更します。

  9. [保存]をクリックして設定を保存します。

  10. 下図のように、左上の[Apply Access Policy(アクセスポリシーを適用)]ボタンをクリックします。