BeyondTrustを構成する
Okta RADIUS Server Agentを使用するようにBeyondTrust PowerBroker Password Safeを構成します。
OktaとBeyondTrustは、RADIUSまたはSAML 2.0を使用して相互運用できます。Password Safeデプロイメントごとに、1つ以上の認証プロバイダーを割り当てることができます。各RADIUS認証プロファイルは、フィルター(ドメインに含まれるすべてのユーザー、すべてのローカルユーザー、すべてのドメインユーザーなど)を使ってユーザーのグループにマッピングされます。OktaのエージェントはRADIUSを使用して、BeyondInsightからのRADIUS認証要求をOkta API呼び出しに変換します。
統合でRADIUSを使用する
- Admin Consoleで に移動します。
- [Browse App Catalog(アプリカタログを参照)]をクリックします。
- BeyondTrust MFA (RADIUS)を検索して選択します。
- [Add Integration(統合を追加)]をクリックします。
統合でSAML 2.0を使用する
- Admin Consoleで、 に移動します。
- [Browse App Catalog(アプリカタログを参照)]をクリックします。
- BeyondTrustを検索し、SAMLをサポートしているアプリを選択します。
- [Add Integration(統合を追加)]をクリックします。
はじめに
Okta RADIUSエージェントをインストールする前に、以下のネットワーク接続要件を満たしてください。
ソース | 宛先 | ポート/プロトコル | 説明 |
---|---|---|---|
Okta RADIUSエージェント | Okta Identity Cloud | TCP/443 HTTP |
構成および認証トラフィック。 |
クライアントゲートウェイ | Okta RADIUSエージェント | UDP/1812 RADIUS(デフォルト。RADIUSアプリをインストールおよび構成する際に変更できます) | ゲートウェイ(クライアント)とRADIUSエージェント(サーバー)間のRADIUSトラフィック。 |
サポートされる要素
多数の要素の登録をユーザーに許可した場合、RADIUSプロンプトに対してチャレンジメッセージのサイズが大きくなりすぎることがあります。Oktaでは、一定期間に登録する要素を8個までにすることを推奨しています。
OktaではRADIUSアプリ用に次の要素をサポートしています。
MFA要素 |
パスワード認証プロトコル(PAP) | 拡張認証プロトコル - Generic Token Card(EAP-GTC) | 拡張認証プロトコル - Tunneled Transport Layer Security(EAP-TTLS)* |
---|---|---|---|
カスタムTOTP認証 | サポート | サポート | サポート - チャレンジが回避される限り。 たとえば、MFAのみ、または「パスワード、パスコード」。 |
Duo(プッシュ、SMS、パスコードのみ) | サポート | サポート | Duoパスコードのみ。 |
サポート |
サポート |
文字列「EMAIL」が最初に送信された場合にサポートされます。 |
|
サポート | サポート | サポート(チャレンジが回避される限り)。 たとえば、MFAのみ、または「パスワード、パスコード」。 |
|
サポート | サポート | サポート(チャレンジが回避される限り)。 例: TOTPの場合、MFAのみ、または「パスワード、MFA」。 プッシュチャレンジは帯域外で送信されるため、プッシュはプライマリ認証 + MFAで機能します。 |
|
サポート対象外 |
サポート対象外 |
サポート対象外 |
|
RSAトークン/オンプレミスMFA |
サポート |
サポート |
サポート - チャレンジが回避される限り。 |
サポート(パスワードとMFAのみ) | サポート(パスワードとMFAのみ)。 |
サポート対象外 | |
SMS認証 | サポート | サポート |
文字列「SMS」が送信された場合にサポートされます。 「関連する注意事項」を参照してください。 |
Symantec VIP | サポート | サポート | サポート - チャレンジが回避される限り。 たとえば、MFAのみ、または「パスワード、パスコード」。 |
サポート | サポート | 文字列「CALL」が送信された場合にサポートされます。 「関連する注意事項」を参照してください。 |
|
サポート | サポート | サポート - チャレンジが回避される限り。 たとえば、MFAのみ、または「パスワード、パスコード」。 |
* RADIUSは、次の3つの認証方法をサポートしています。
- パスワード + MFA:パスワードを使用したプライマリ認証が行われ、その後、ユーザーは認証を完了するための要素を選択するよう求められます。
- MFAのみ:パスワードの代わりに、ユーザーはワンタイムパスコード(OTP)を入力するか、EMAIL、SMS、CALL、PUSH(大文字と小文字を区別しない)のいずれかを入力します。
- パスワード、パスコード:リクエストでパスワードの直後にパスコードを入力します。
同一リクエスト内に存在する必要があります(例:「Abcd1234,879890」または「Abcd1234,SmS」)。
プロトコルは次の認証方法をサポートします。
プロトコル | サポート |
---|---|
PAP | パスワードとMFA、MFA、「パスワードとパスコード」。 |
EAP-TTLS | MFAのみ、「パスワードとパスコード」。 |
EAP-GTC | パスワードとMFA、MFAのみ、「パスワードとパスコード」。 |
ユーザーは指定された文字列EMAIL/SMS/CALLを送信する必要があります。最初は失敗が返されます。これにより、指定された方法を使用して提供されるOTPが生成されます。提供されたOTPは、認証に使用できます。
EAP-TTLSは登録をサポートしていません
EAP-TTLSが有効になっていて、Okta Verifyまたは電話が必須登録ポリシーとして指定されており、ユーザーがその要素に登録されていない場合、認証は予期せず失敗します。
U2FセキュリティおよびWindows Hello MFA要素は、RADIUS対応の実装と互換性がありません。「OktaでRADIUSアプリケーションを構成する」を参照してください。
パスワードなしの認証
RADIUS認証では、プライマリ認証メカニズムとしてパスワードが使用されます。従来のRADIUS認証は、パスワードを持たないユーザーでは実行できません。アプリケーション設定プロパティの[Okta performs primary authentication(Oktaでプライマリ認証を実施)]がクリアされている場合は、RADIUSで認証のためにほかの要素を使用できます。詳細については、「OktaのRADIUSアプリケーション」の 「二要素認証のみ(パスワードなしモード)」を参照してください。
一般的なワークフロー
タスク |
説明 |
---|---|
RADIUSエージェントをダウンロードする | Admin Consoleで、 に移動します。環境に適したOkta RADIUSエージェントをダウンロードします。 スループット、可用性、その他の考慮事項については、「Okta RADIUS Server Agentのデプロイメントに関するベストプラクティス」を参照してください。 |
Okta RADIUSエージェントをインストールする | WindowsにOkta RADIUSサーバーエージェントをインストールする |
アプリケーションを構成する | BeyondTrust MFA(RADIUS)アプリを構成します。 |
オプション設定を構成する | 任意。RADIUSがベンダー固有の設定を使用してグループ情報を返すように構成します。 |
ゲートウェイを構成する | BeyondInsight構成ツールを使用してゲートウェイを構成します。 |
テスト | BeyondInsightの統合をテストする |