Cisco Firepower Management Centerの構成

多要素認証にOkta RADIUS Server Agentを使用するようCisco Firepower Management Center(FMC)を構成します。

Oktaは、OrganizationがRADIUSプロトコルとOkta RADIUSエージェントを使用して、オンプレミスのアプリケーションおよびリソースへの承認とアクセスを管理する機能を提供します。OrganizationはOkta RADIUS Advanced Server Accessサーバーエージェントを使用することで、認証をOktaに委任できます。

一般的なアーキテクチャ

多くのクライアントはCisco AnyConnect Secure Mobilityクライアントを使用してCisco Firepowerファイアウォールに接続しています。Microsoft Active Directoryを活用したOkta RADIUSエージェントを使用してユーザーが認証されます。認証プロセスではMFAを使用します。<MadCap:conditionalText data-mc-conditions="MultiProdPublish.Classic">「サポートされる要素」を参照してください。</MadCap:conditionalText>

はじめに

Okta RADIUSエージェントをインストールする前に、以下のネットワーク接続要件を満たしてください。

ソース 宛先 ポート/プロトコル 説明
Okta RADIUSエージェント Okta Identity Cloud TCP/443

HTTP

構成および認証トラフィック。
クライアントゲートウェイ Okta RADIUSエージェント UDP/1812 RADIUS(デフォルト。RADIUSアプリをインストールおよび構成する際に変更できます) ゲートウェイ(クライアント)とRADIUSエージェント(サーバー)間のRADIUSトラフィック。

サポートされる要素

多数の要素の登録をユーザーに許可した場合、RADIUSプロンプトに対してチャレンジメッセージのサイズが大きくなりすぎることがあります。Oktaでは、一定期間に登録する要素を8個までにすることを推奨しています。

OktaではRADIUSアプリ用に次の要素をサポートしています。

MFA要素

パスワード認証プロトコル(PAP) 拡張認証プロトコル - Generic Token Card(EAP-GTC) 拡張認証プロトコル - Tunneled Transport Layer Security(EAP-TTLS)*
カスタムTOTP認証 サポート サポート サポート - チャレンジが回避される限り。
たとえば、MFAのみ、または「パスワード、パスコード」。
Duo(プッシュ、SMS、パスコードのみ) サポート サポート Duoパスコードのみ。

メール

サポート

サポート

文字列「EMAIL」が最初に送信された場合にサポートされます。
「関連する注意事項」を参照してください。

Google Authenticator

サポート サポート サポート(チャレンジが回避される限り)。
たとえば、MFAのみ、または「パスワード、パスコード」。

Okta Verify(TOTPおよびPUSH)

サポート サポート サポート(チャレンジが回避される限り)。
例:
TOTPの場合、MFAのみ、または「パスワード、MFA」。
プッシュチャレンジは帯域外で送信されるため、プッシュはプライマリ認証 + MFAで機能します。

Okta Verify(番号チャレンジ)

サポート対象外

サポート対象外

サポート対象外

RSAトークン/オンプレミスMFA

サポート

サポート

サポート - チャレンジが回避される限り。
たとえば、MFAのみ、または「パスワード、パスコード」。

秘密の質問

サポート(パスワードとMFAのみ) サポート(パスワードとMFAのみ)。
サポート対象外
SMS認証 サポート サポート
文字列「SMS」が送信された場合にサポートされます。
「関連する注意事項」を参照してください。
Symantec VIP サポート サポート サポート - チャレンジが回避される限り。
たとえば、MFAのみ、または「パスワード、パスコード」。

通話

サポート サポート 文字列「CALL」が送信された場合にサポートされます。
「関連する注意事項」を参照してください。

YubiKey

サポート サポート サポート - チャレンジが回避される限り。
たとえば、MFAのみ、または「パスワード、パスコード」。

* RADIUSは、次の3つの認証方法をサポートしています。

  • パスワード + MFA:パスワードを使用したプライマリ認証が行われ、その後、ユーザーは認証を完了するための要素を選択するよう求められます。
  • MFAのみ:パスワードの代わりに、ユーザーはワンタイムパスコード(OTP)を入力するか、EMAILSMSCALLPUSH(大文字と小文字を区別しない)のいずれかを入力します。
  • パスワード、パスコード:リクエストでパスワードの直後にパスコードを入力します。
    同一リクエスト内に存在する必要があります(例:「Abcd1234,879890」または「Abcd1234,SmS」)。

プロトコルは次の認証方法をサポートします。

プロトコル サポート
PAP パスワードとMFA、MFA、「パスワードとパスコード」。
EAP-TTLS MFAのみ、「パスワードとパスコード」。
EAP-GTC パスワードとMFA、MFAのみ、「パスワードとパスコード」。

ユーザーは指定された文字列EMAIL/SMS/CALLを送信する必要があります。最初は失敗が返されます。これにより、指定された方法を使用して提供されるOTPが生成されます。提供されたOTPは、認証に使用できます。

EAP-TTLSは登録をサポートしていません

EAP-TTLSが有効になっていて、Okta Verifyまたは電話が必須登録ポリシーとして指定されており、ユーザーがその要素に登録されていない場合、認証は予期せず失敗します。

U2FセキュリティおよびWindows Hello MFA要素は、RADIUS対応の実装と互換性がありません。「OktaでRADIUSアプリケーションを構成する」を参照してください。

パスワードなしの認証

RADIUS認証では、プライマリ認証メカニズムとしてパスワードが使用されます。従来のRADIUS認証は、パスワードを持たないユーザーでは実行できません。アプリケーション設定プロパティの[Okta performs primary authentication(Oktaでプライマリ認証を実施)]がクリアされている場合は、RADIUSで認証のためにほかの要素を使用できます。詳細については、「OktaのRADIUSアプリケーション」の 「二要素認証のみ(パスワードなしモード)」を参照してください。

サポートされるバージョン、クライアント、機能

バージョン

ソフトウェアバージョン [Roles(ロール)]
Windows Server 2016 Standard Windowsドメインコントローラー
Windows Server 2016、2019 Standard Windowsアプリケーションサーバー
Cisco Firepower Thread Defense 6.4.0.9 NGFW Firewall
Cisco Firepower Virtual Management Center NGFW Management

Okta RADIUSサーバーエージェントは、次のLinuxバージョンでテストされています。

  • Red Hat Enterprise Linuxリリース8.0、8.3
  • CentOS 7.6
  • Ubuntu 18.04.4、20.04.1 LTS

クライアント

ソフトウェアバージョン [Roles(ロール)]

Windows 10

デスクトップクライアント

Cisco Anyconnect Secure Mobility Client 4.6.01103

WindowsリモートVPNエージェント

Active Directoryを統合するための一般的なワークフロー

タスク

説明

RADIUSエージェントをダウンロードする Admin Consoleで、[Settings(設定)][Downloads(ダウンロード)]に移動します。環境に適したOkta RADIUSエージェントをダウンロードします。

エージェントをインストールする

WindowsにOkta RADIUSサーバーエージェントをインストールする

LinuxにOkta RADIUSサーバーエージェントをインストールする

Okta RADIUS Server Agentのデプロイメントに関するベストプラクティス」を参照してください。

任意。Okta Active Directory(AD)Agentのダウンロード、インストール、構成 Admin Consoleで、[Settings(設定)][Downloads(ダウンロード)]に移動します。Okta AD Agentインストーラーをダウンロードします。

Okta AD Agentをインストールして構成します。「Active Directory統合を開始する」を参照してください。

このプロセスで選択したActive Directoryユーザーのみにドメインユーザー機能が必要です。Oktaでは、Windows AD RSATツールがインストールされているサーバー上の管理者権限を持つエージェントをインストールすることを推奨しています。

OktaでRADIUSアプリケーションを構成する Cisco Advanced Server Access - RADIUSアプリを構成します。

この統合はすべてのRADIUSアプリケーションで機能します。

Cisco Firewall Management Centerの構成 RADIUS用のファイアウォール管理を構成します。
Cisco Firepower Management Center統合をテストする エージェントをテストします。