RADIUS経由でOktaと相互運用するようにBeyondTrustを構成する
OktaとBeyondTrustは、RADIUSまたはSAML 2.0のいずれかを通じて相互運用できます。Password Safeデプロイメントごとに、1つ以上の認証プロバイダーを割り当てることができます。 各RADIUS認証プロファイルは、フィルター(すべてのユーザー、すべてのローカル・ユーザー、すべてのドメイン・ユーザー、対象を含むドメインなど)を介してユーザーのグループにマッピングされます。OktaのエージェントはRADIUSを使用して、BeyondInsight(BeyondTrust Webアプリケーションおよびコンソール)からのRADIUS認証要求をOkta API呼び出しに変換します。
このガイドでは、BeyondTrust PowerBroker Password Safeが Okta RADIUSサーバー ・エージェントを使用するように構成する方法について詳しく説明します。
トピック
開始する前に
Okta RADIUS Agentをインストールする前に、ネットワーク接続に関する次の最小要件を満たしていることを確認してください。
| ソース | 宛先 | ポート/プロトコル | 説明 |
|---|---|---|---|
| Okta RADIUS Agent | Okta Identity Cloud | TCP/443 HTTP |
構成および認証トラフィック |
| クライアント・ゲートウェイ | Okta RADIUS Agent | UDP/1812 RADIUS (デフォルト、RADIUSアプリのインストールと構成で変更される場合があります) | ゲートウェイ(クライアント)とRADIUSエージェント(サーバー)間のRADIUSトラフィック |
サポートされている要素
次の多要素認証
Okta RADIUSと統合する場合、サポートされる登録済み
| 多要素認証 |
パスワード認証プロトコル PAP |
拡張認証プロトコル - Generic Token Card EAP-GTC |
拡張認証プロトコル - Tunneled Transport Layer Security EAP-TTLS |
|---|---|---|---|
| カスタムTOTP認証 | サポート | サポート | サポート |
| Duo(プッシュ、SMS、パスコードのみ) | サポート | サポート対象外 | サポート対象外 |
|
サポート |
サポート |
サポート対象外 |
|
|
RADIUSは、メールによるインライン登録をサポートしていません。 インライン登録を使用する場合は、メールを無効にするか、メール設定で[パスワード・リセット]を指定します。 |
|||
| Google Authenticator | サポート | サポート | サポート - チャレンジが回避される限り。 たとえば、多要素認証のみ、またはパスワード、多要素認証。 |
| サポート | サポート | サポート - チャレンジが回避される限り。 例: TOTPの場合、多要素認証のみ、またはパスワード、多要素認証。 プッシュ・チャレンジは帯域外で送信されるため、プッシュはプライマリ認証 + 多要素認証で機能します。 |
|
| サポート | サポート | サポート対象外 | |
EAP-TTLSは登録をサポートしていません
EAP-TTLSが有効になっていて、Okta Verifyまたは電話が必須登録ポリシーとして指定されており、ユーザーがその
注
U2FセキュリティーおよびWindows Hello多要素認証要素は、RADIUS対応の実装と互換性がありません。
RADIUSアプリの詳細については 、「OktaでRADIUSアプリケーションを構成する」を参照してください。
典型的なワークフロー
タスク | 説明 |
|---|---|
| RADIUSエージェントをダウンロードする |
|
| Okta RADIUS Agentをインストールします。 | |
| アプリケーションを構成する |
|
| オプション設定を構成する |
|
| ゲートウェイを構成する |
|
| テスト |
関連項目
- BeyondInsightの統合をトラブルシューティングする
- BeyondTrustカスタマー・ポータル- https://beyondtrustsecurity.force.com/customer/login