OktaのRADIUSアプリケーション

Okta RADIUSサポートは、異なるRADIUS対応アプリを区別し、構成ごとにOkta RADIUSアプリを設定することでそれらを同時にサポートすることができます。さらに、Okta RADIUSアプリケーションは、ポリシーの作成とグループへのアプリケーションの割り当てをサポートします。

管理者はOkta管理コンソールからこれらすべてのアプリとインフラストラクチャ構成を管理できるため、RADIUS対応のアプリは簡単に管理できます。

サポートされている要素

次の多要素認証オーセンティケーターがサポートされています。

Okta RADIUSと統合する場合、サポートされる登録済みオーセンティケーターの最大数は、結果のチャレンジ・メッセージのサイズによって異なります。同時に登録するのは8個以下にすることをお勧めします。

多要素認証オーセンティケーター	パスワード認証プロトコル PAP	拡張認証プロトコル - Generic Token Card EAP-GTC
カスタムTOTP認証	サポート	サポート
Duo（プッシュ、SMS、パスコードのみ）	サポート	サポート対象外
メール	サポート	サポート
RADIUSは、メールによるインライン登録をサポートしていません。インライン登録を使用する場合は、メールを無効にするか、メール設定で[パスワード・リセット]を指定します。
Google Authenticator	サポート	サポート
Okta Verify（TOTPおよびPUSH）	サポート	サポート
電話（SMSおよび音声通話）	サポート	サポート

注

U2FセキュリティーおよびWindows Hello多要素認証要素は、RADIUS対応の実装と互換性がありません。
RADIUSアプリの詳細については、「OktaでRADIUSアプリケーションを構成する」を参照してください。

サポートされる機能と制限

機能

複数のRADIUS対応アプリとインフラストラクチャをサポート

改善されたRADIUSエージェントは、個別のRADIUS構成に対して複数の異なるポートをリッスンできるため、各アプリやVPNなどのインフラストラクチャ・コンポーネントを、同じOkta RADIUS Agentを介して別々に構成できます。たとえば、Cisco AnyConnectではRADIUS UDPポート1812を使用し、別のオンプレミス・アプリではRADIUS UDPポート1813を使用することが可能です。
ユーザーおよびグループ固有の構成

新しいアプリ・モデルにより、アプリへのアクセスを制限するのと同じ方法で、必要に応じてアクセスを特定のユーザーとグループに制限することが可能です。管理者は、RADIUS対応アプリおよびインフラストラクチャへのアクセスを、すべてのOktaユーザーではなく特定のユーザー・グループに制限できます。
グループの所有権をRADIUSアプリケーションに渡す

Oktaは、ユーザーが属するすべてのグループのリストを、RADIUS対応アプリまたはインフラストラクチャに渡すことができるようになりました。これにより、管理者はユーザーのグループ・メンバーシップに基づいて、さまざまなレベルのアクセスとセキュリティーによるきめ細かい認可をサポートできます。
IPアドレスに基づく多要素認証とセキュリティーを提供

RADIUS対応アプリまたはインフラストラクチャに接続しようとするクライアントのIPアドレスを解決することで、管理者はユーザーの接続元が特定のIP範囲内かネットワーク・ゾーン内かに応じてアクセス・レベルを調整できます。範囲とゾーンの詳細については、「ネットワーク」を参照してください。
一元化されたクラウド・ベースの構成

管理者はOkta RADIUS Agentサーバー自体に変更を加えることなく、すべてのRADIUS対応アプリとインフラストラクチャ構成をOkta管理コンソールから管理できます。
2FAのみ（パスワードなしモード）

RADIUS対応アプリは、多要素認証で第2要素のみを使用するように構成できます。これはパスワードなしモードとしても知られています。

アプリケーションを構成する際に、[Oktaがプライマリ認証を実行]チェックボックスをオフにします。以下のスクリーンショットは、2FAのみではないデフォルトの構成を示しています。さらに、UDPポートは一意である必要があります。2FAモードを有効にする場合は、[アプリケーション・ユーザー名のフォーマット]を確認してください。

制限事項

RADIUSポートと共有シークレットは、構成済みのRADIUSアプリケーションまたはVPNを通じてOkta管理コンソールから取得されます。RADIUSエージェントのプロンプトから入力された情報は、情報の入力後に組織がこの機能を有効にした場合に使用できます。
WiFiインフラストラクチャはサポートされていません。
RADIUSエージェントはPAPベースの認証のみをサポートします。他のプロトコルはサポートされていません。

典型的なワークフロー

タスク	説明
RADIUSエージェントをダウンロードする	Okta組織の[設定] > [ダウンロード]ページから、Okta RADIUS Agentをダウンロードします。WindowsエージェントとLinuxエージェントの両方があることに注意してください。
Windows用またはLinux用のRADIUSエージェントをインストールします。	WindowsまたはLinuxにOkta RADIUS Agentをインストールします。
RADIUSアプリケーションを追加する	汎用RADIUSアプリケーションを追加し、グループを作成して構成します。
顧客向けRADIUSアプリケーションを構成する	顧客向けアプリケーションを構成します。
テスト	統合を検証およびテストします。
クライアントIPレポート	[オプション]RADIUS対応システムにアクセスするユーザーのIPアドレスまたはネットワーク・ゾーンに応じて、異なるレベルのアクセスを適用、制限、または提供するようにOktaを構成できます。
認可のためのOktaグループ・メンバーシップ情報	[オプション]RADIUS対応サービスを利用するユーザーが属するグループに基づいて、異なるレベルの認可とアクセスを提供するようにOktaを構成できます。以下の手順で各アプリをグループ・メンバーシップごとに構成します。
RADIUSサービス・アドレス・フィルタリング	[オプション]セキュリティを強化するために、特定のネットワーク・アダプターのIPアドレスを入力するか、（VPNサーバーなどの）IPアドレスのリストを追加して、RADIUSサービスへのアクセスを制限することもできます。これにより、不正なホストがRADIUSサービスにアクセスすることがなくなります。