VMware Horizon Viewを構成する

Okta RADIUS Server Agentに対して2要素認証を実行するようにConnection Serverを構成します。

開始する前に

Okta RADIUS agentをインストールする前に、以下のネットワーク接続要件を満たしてください。

ソース 宛先 ポート/プロトコル 説明
Okta RADIUS Agent Okta Identity Cloud TCP/443

HTTP

構成および認証トラフィック。
クライアントゲートウェイ Okta RADIUS Agent UDP/1812 RADIUS(デフォルト。RADIUSアプリをインストールおよび構成する際に変更できます) ゲートウェイ(クライアント)とRADIUS Agent(サーバー)間のRADIUSトラフィック。

サポートされる要素

多数の要素の登録をユーザーに許可した場合、RADIUSプロンプトに対してチャレンジメッセージのサイズが大きくなりすぎることがあります。Oktaでは、一定期間に登録する要素を8個までにすることを推奨しています。

OktaではRADIUSアプリ用に次の要素をサポートしています。

<MadCap:conditionalText data-mc-conditions="MultiProdPublish.Core">MFA要素</MadCap:conditionalText> パスワード認証プロトコル
PAP
拡張認証プロトコル - Generic Token Card
EAP-GTC
拡張認証プロトコル - Tunneled Transport Layer Security
EAP-TTLS
カスタムTOTP認証 サポート サポート サポート - チャレンジが回避される限り。
たとえば、MFAのみ、または「パスワード、パスコード」。
Duo(プッシュ、SMS、パスコードのみ) サポート サポート Duoパスコードのみ。

メール

サポート

サポート

文字列「EMAIL」が最初に送信された場合にサポートされます。
「関連する注意事項」を参照してください。

Google認証システム

サポート サポート サポート - チャレンジが回避される限り。
たとえば、MFAのみ、または「パスワード、パスコード」。

Okta Verify(TOTPおよびPUSH)

サポート サポート サポート - チャレンジが回避される限り。
例:
TOTPの場合、MFAのみ、または「パスワード、MFA」。
プッシュチャレンジは帯域外で送信されるため、プッシュはプライマリ認証 + MFAで機能します。

Okta Verify(番号チャレンジ)

サポート対象外

サポート対象外

サポート対象外

RSAトークン/オンプレミスMFA

サポート

サポート

サポート - チャレンジが回避される限り。
たとえば、MFAのみ、または「パスワード、パスコード」。

セキュリティ上の質問

サポート(パスワードとMFAのみ) サポート(パスワードとMFAのみ)。
サポート対象外
SMS認証 サポート サポート
文字列「SMS」が送信された場合にサポートされます。
「関連する注意事項」を参照してください。
Symantec VIP サポート サポート サポート - チャレンジが回避される限り。
たとえば、MFAのみ、または「パスワード、パスコード」。

音声通話

サポート サポート 文字列「CALL」が送信された場合にサポートされます。
「関連する注意事項」を参照してください。

YubiKey

サポート サポート サポート - チャレンジが回避される限り。
たとえば、MFAのみ、または「パスワード、パスコード」。

RADIUSは、次の3つの認証方法をサポートしています。

  • パスワード + MFA:パスワードを使用したプライマリ認証が行われ、その後、ユーザーは認証を完了するための要素を選択するよう求められます。
  • MFAのみ:パスワードの代わりに、ユーザーはワンタイムパスコードを入力するか、「EMAIL」、「SMS」、「CALL」、「PUSH」(大文字と小文字を区別しない)のいずれかを入力します。
  • パスワード、パスコード:リクエストでパスワード入力の直後にパスコード。
    同じリクエスト内に存在する必要があります。例:「Abcd1234,879890」または「Abcd1234,SmS」。

次の認証方法がプロトコルではサポートされています。

プロトコル サポート
PAP パスワードとMFA、MFA、「パスワードとパスコード」。
EAP-TTLS MFAのみ、「パスワードとパスコード」。
EAP-GTC パスワードとMFA、MFAのみ、「パスワードとパスコード」。

指定された文字列「EMAIL/SMS/CALL」を送信する必要があります。これにより、最初は失敗が返されますが、指定された方法を使用して提供されるワンタイムパスコード(OTP)が生成されます。提供されたOTPは、認証に使用できます。

EAP-TTLSは登録をサポートしていません

EAP-TTLSが有効になっていて、Okta Verifyまたは電話が必須登録ポリシーとして指定されており、ユーザーがその要素に登録されていない場合、認証は予期せず失敗します。

U2FセキュリティおよびWindows Hello MFA要素は、RADIUS対応の実装と互換性がありません。「OktaでRADIUSアプリケーションを構成する」を参照してください。

パスワードなしの認証

RADIUS認証では、プライマリ認証メカニズムとしてパスワードが使用されます。従来のRADIUS認証は、パスワードを持たないユーザーでは実行できません。アプリケーション設定プロパティの[Okta performs primary authentication(Oktaでプライマリ認証を実施)]がオフになっている場合は、RADIUSで認証のためにほかの要素を使用できます。詳細については、「OktaのRADIUSアプリケーション」「2FAのみ(パスワードレスモード)」を参照してください。

パスワードなしの認証について詳しくは、「パスワードなしサインインエクスペリエンスをセットアップする」を参照してください。

一般的なワークフロー

タスク

説明

RADIUS Agentをダウンロードする Okta Admin Consoleで、[Settings(設定)]>[Downloads(ダウンロード)]に移動します。環境に適したOkta RADIUS Agentをダウンロードします。

スループット、可用性、その他の考慮事項については、「Okta RADIUS Server Agentのデプロイメントに関するベストプラクティス」を参照してください。

Okta RADIUS Agentをインストールする WindowsにOkta RADIUS Serverエージェントをインストールする

LinuxにOkta RADIUSエージェントをインストールする

アプリケーションの構成 VMware Horizon View(RADIUS)アプリケーションを構成します
ゲートウェイを構成する VMware Horizon Administratorコンソールを使用して、VMware Horizon View Connection Serverを構成します。
オプション設定を構成する 任意。RADIUSがベンダー固有の設定を使用してグループ情報を返すように構成します。
テスト VMware Horizon統合をテストする

関連項目